Trend Micro ผู้นำด้านการรักษาความปลอดภัยไซเบอร์ เปิดเผยรายงานการศึกษาเกี่ยวกับแรนซัมแวร์ในตระกูล Nefilim โดยให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการโจมตีของแรนซัมแวร์ยุคใหม่ ซึ่งเป็นข้อมูลที่เจาะลึกถึงพัฒนาการในการโจมตีของแรนซัมแวร์กลุ่มนี้ว่าหลุดรอดการตรวจจับไปได้อย่างไร อีกทั้งยังอธิบายว่าแพลตฟอร์มในการตรวจจับและตอบสนองภัยคุกคามอัจฉริยะนั้นจะช่วยหยุดการคุกคามนี้ได้อย่างไร
แนวทางของแรนซัมแวร์ยุคใหม่ในตระกูลนี้ ทำให้ตรวจจับและตอบโต้ได้ยากมากขึ้นสำหรับทีมศูนย์รักษาความปลอดภัยและทีมดูแลความปลอดภัยระบบไอทีที่มีงานล้นมืออยู่แล้ว ซึ่งเรื่องนี้นอกจากจะกระทบถึงรายได้และชื่อเสียงขององค์กรแล้ว ยังรวมถึงสวัสดิภาพของทีมงานที่ดูแลเรื่องรักษาความปลอดภัยด้วยเช่นกัน
ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า “แรนซัมแวร์ยุคใหม่จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูงอย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูลและปิดล็อคการทำงานของระบบสำคัญๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง”
“ประเทศไทยเอง ก็เป็นหนึ่งในประเทศอาเซียนที่มีสถิติการโจมตีด้วยแรนซัมแวร์สูงเป็นอันดับต้น และเราก็ได้เห็นข่าวการโจมตีด้วยแรนซัมแวร์มาเรื่อยๆ เช่นกัน รวมถึงการโจมตีที่เกิดขึ้นกับสื่อบนยูทูปล่าสุด โดยรายงานฉบับล่าสุดของเรา จะช่วยให้ใครก็ตามที่อยู่ในอุตสาหกรรม ที่อยากเข้าใจถึงมุมมองจากภายในของระบบเศรษฐกิจใต้ดินดังกล่าวที่เติบโตอย่างรวดเร็วว่ามีที่มาที่ไปอย่างไร และโซลูชันระบบรักษาความปลอดภัยไซเบอร์อย่าง Trend Micro Vision One จะช่วยผู้คนรับมือกับเรื่องนี้ได้อย่างไร” ปิยธิดา กล่าวเสริม
จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลาตั้งแต่เดือนมีนาคม 2563 – มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์
อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด
ในรายงานยังเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบและขั้นตอนการโจมตีดังต่อไปนี้
- เริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ
- เมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำให้ไม่สามารถใช้งานได้
- ระบบจะถูกตั้งการทำงานให้ “แจ้งเตือน” กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS
- ใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี
- มีการถ่ายเทข้อมูลและนำไปโพสต์บนเว็บไซต์เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว
- หลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง
ก่อนหน้านี้ เทรนด์ไมโครได้มีการออกคำเตือนถึงการนำเอาเครื่องมือบางตัวมาใช้อย่างแพร่หลาย เช่น AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec และ MegaSync ซึ่งช่วยให้ผู้โจมตีด้วยแรนซัมแวร์ สามารถบรรลุเป้าหมายการโจมตีได้ในขณะที่ยังคงซ่อนตัวอยู่ ซึ่งพฤติกรรมนี้สร้างความท้าทายให้กับทีมดูแลงานรักษาความปลอดภัยไซเบอร์ในแง่ของการวิเคราะห์บันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจากส่วนต่างๆ ในสภาพแวดล้อมเพื่อให้เห็นจุดที่โดนโจมตีในภาพรวมที่กว้างขึ้น
Trend Micro Vision One จะตรวจสอบและเชื่อมโยงพฤติกรรมที่น่าสงสัยที่เกิดขึ้นในหลากหลายเลเยอร์ ไม่ว่าจะเป็น อุปกรณ์ปลายทาง อีเมล เซิร์ฟเวอร์ และการใช้งานบนคลาวด์ เพื่อให้แน่ใจว่าไม่มีพื้นที่ซ่อนตัวสำหรับผู้โจมตี ทำให้ดำเนินการตอบสนองได้ทันต่อเหตุการณ์และสามารถหยุดการโจมตีได้ก่อนที่ผู้บุกรุกจะมีโอกาสสร้างผลกระทบร้ายแรงต่อองค์กร