IBM Security เปิดเผยรายงาน X-Force Threat Intelligence Index ประจำปี ชี้การเติบโตของแรนซัมแวร์และการหาประโยชน์จากช่องโหว่ในปี 2564 ได้ “จองจำ” และเพิ่มภาระให้กับซัพพลายเชนทั่วโลก โดยภาคการผลิตกลายเป็นหนึ่งในอุตสาหกรรมที่ตกเป็นเป้าหมายมากที่สุด ขณะที่การโจมตีช่องโหว่และฟิชชิ่ง เป็นสาเหตุการโจมตีทางไซเบอร์ที่พบบ่อยที่สุดในเอเชีย ในปีที่ผ่านมา X-Force สังเกตเห็นถึงการโจมตีช่องโหว่ของซอฟต์แวร์ที่ไม่ได้รับการแพตช์เพิ่มขึ้น 33% ซึ่งเป็นช่องที่อาชญากรแรนซัมแวร์อาศัยใช้ในการโจมตีมากกว่าวิธีการอื่นๆ และเป็นสาเหตุ 44% ของการโจมตีแรนซัมแวร์

รายงานของปี 2565 ยังแสดงรายละเอียดของวิธีการที่เหล่าอาชญากรแรนซัมแวร์พยายามใช้เพื่อ “สร้างรอยร้าว” ให้กับโครงสร้างหลักของซัพพลายเชนทั่วโลกผ่านการโจมตีภาคการผลิต โดยภาคการผลิตกลายเป็นหนึ่งในอุตสาหกรรมที่ได้รับการโจมตีสูงสุด (29%) ในเอเชียในปี 2564 รองจากบริการทางการเงินและประกันภัยซึ่งเป็นอันดับหนึ่งมาอย่างยาวนาน การที่ภาคการผลิตประสบกับเหตุโจมตีด้วยแรนซัมแวร์มากกว่าอุตสาหกรรมอื่นๆ สะท้อนให้เห็นว่าอาชญากรหวังพึ่งผลกระทบที่จะถูกกระเพื่อมออกไปเป็นระลอกคลื่น เพราะเมื่อบริษัทหนึ่งในภาคการผลิตหยุดชะงัก ย่อมกระทบบริษัทอื่นๆ ในซัพพลายเชนและส่งผลให้บริษัทเหล่านั้นหันมากดดันให้องค์กรที่โดนโจมตีต้องจ่ายยอมค่าไถ่ โดย 47% ของการโจมตีในภาคการผลิตมีสาเหตุมาจากช่องโหว่ที่องค์กรเหยื่อยังไม่ได้แก้ไขด้วยแพตช์หรือไม่สามารถแก้ไขได้ สิ่งนี้เน้นย้ำถึงความจำเป็นที่องค์กรต้องให้ความสำคัญกับการจัดการแก้ไขแพตช์ช่องโหว่

รายงาน IBM Security X-Force Threat Intelligence Index ปี 2565 เปิดเผยถึงเทรนด์และแพทเทิร์นการโจมตีที่ IBM Security ได้สังเกตและวิเคราะห์จากข้อมูลจากแหล่งต่างๆ อาทิ ข้อมูลจากดาต้าพอยท์หลายพันล้านจุดจากทั่วโลกและประเทศไทย ไม่ว่าจะเป็นเครือข่ายหรืออุปกรณ์เอ็นด์พอยท์ ข้อมูลการตอบสนองต่อเหตุโจมตี การแทร็คการฟิชชิ่ง ฯลฯ รวมถึงข้อมูลที่ได้จาก Intezer

 ข้อมูลไฮไลต์อื่นๆ จากรายงานประจำปีนี้ อาทิ

• แกงค์แรนซัมแวร์เกิดใหม่แม้ล่มสลาย แรนซัมแวร์ยังคงเป็นวิธีการโจมตีอันดับต้นๆ ที่พบในปี 2564 และไม่มีแนวโน้มว่าจะลดลงเลยแม้แต่น้อย แม้ว่าจะมีความพยายามในการกำจัดแกงค์แรนซัมแวร์เพิ่มขึ้นก็ตาม จากรายงานในปี 2565 อายุเฉลี่ยของกลุ่มแรนซัมแวร์ก่อนปิดตัวลงหรือรีแบรนด์ใหม่คือ 17 เดือน
• ช่องโหว่ ภัยน่ากลัวที่สุดของธุรกิจ X-Force เปิดเผยว่าสำหรับในเอเชีย ช่องโหว่ที่ไม่ได้รับการแก้ไขเป็นสาเหตุนำสู่ 46% ของการโจมตีในปี 2564 ตอกย้ำให้เห็นถึงปัญหายากลำบากใหญ่หลวงของธุรกิจ ซึ่งก็คือการอุดแพตช์ช่องโหว่ต่างๆ
• สัญญาณเตือนวิกฤตไซเบอร์ในระบบคลาวด์ อาชญากรไซเบอร์กำลังวางรากฐานเพื่อมุ่งเป้าสภาพแวดล้อมคลาวด์ โดยรายงานล่าสุดชี้ให้เห็นการเพิ่มขึ้นของโค้ดแรนซัมแวร์ลินุกซ์ถึง 146% และการหันไปมุ่งเป้า Docker ซึ่งน่าจะเป็นช่องที่ทำให้อาชญากรไซเบอร์สามารถใช้ประโยชน์จากสภาพแวดล้อมระบบคลาวด์ได้ง่ายขึ้น

“โดยปกติแล้วอาชญากรไซเบอร์จะไล่ตามเงิน แต่วันนี้สิ่งที่พวกเขากำลังทำคือการใช้แรนซัมแวร์เพื่อเพิ่มผลตอบแทนสูงสุด” นายชาร์ลส์ เฮ็นเดอร์สัน Head of IBM X-Force กล่าว“องค์กรควรตระหนักว่าช่องโหว่ต่างๆ สามารถทำให้พวกเขาตกอยู่ในภาวะหยุดชะงัก และอาชญากรแรนซัมแวร์ก็กำลังใช้ช่องโหว่เหล่านี้เพื่อสร้างประโยชน์ให้ตน นี่เป็นความท้าทายที่ไม่ได้มีผลแค่สองทาง เพราะพื้นที่การโจมตีจะขยายใหญ่ขึ้นเรื่อยๆ ดังนั้นแทนที่จะดำเนินการภายใต้สมมติฐานที่ว่าทุกช่องโหว่ในสภาพแวดล้อมของตนได้รับการแก้ไขแล้ว ธุรกิจควรดำเนินการภายใต้สมมติฐานที่ว่าองค์กรตนถูกเจาะเรียบร้อยแล้ว และหันมายกระดับการจัดการช่องโหว่ด้วยกลยุทธ์ Zero Trust แทน”

กลุ่มแรนซัมแวร์ “เก้าชีวิต” 

เพื่อตอบสนองต่อการเดินหน้าเร่งกำจัดกลุ่มแรนซัมแวร์ของหน่วยงานบังคับใช้กฎหมาย กลุ่มแรนซัมแวร์อาจเริ่มใช้แผน disaster recovery การวิเคราะห์ของ X-Force ชี้ให้เห็นว่าอายุเฉลี่ยของกลุ่มแรนซัมแวร์คือ 17 เดือน ก่อนที่จะปิดตัวลงหรือรีแบรนด์ใหม่ ยกตัวอย่างเช่น REvil ซึ่งเป็นกลุ่มที่ก่อเหตุโจมตีถึง 37% ของเหตุแรนซัมแวร์ทั้งหมดที่เกิดขึ้นในปี 2564 สามารถอยู่มาได้ยาวนานถึงสี่ปีโดยอาศัยการรีแบรนด์ตัวเอง สะท้อนความเป็นไปได้ที่ว่ากลุ่มเหล่านี้จะกลับมาอีกครั้ง แม้ว่าจะถูกกำจัดลงโดยความร่วมมือของหน่วยงานภาครัฐต่างๆ แล้วก็ตามในช่วงกลางปี 2564

แม้ว่าหน่วยงานบังคับใช้กฎหมายจะสามารถชะลอการโจมตีของแรนซัมแวร์ลงได้ และยังส่งผลให้กลุ่มแรนซัมแวร์ต้องจัดหาเงินทุนสำหรับการรีแบรนด์หรือสร้างระบบโครงสร้างพื้นฐานขึ้นมาใหม่ แต่เมื่อเวลาผ่านไป สิ่งสำคัญคือองค์กรต้องปรับปรุงระบบโครงสร้างพื้นฐานของตนให้ทันสมัย เพื่อให้สามารถจัดเก็บข้อมูลในสภาพแวดล้อมที่ให้การปกป้องข้อมูล ไม่ว่าจะบนระบบในองค์กรหรือบนคลาวด์ การทำเช่นนี้จะช่วยให้องค์กรสามารถจัดการ ควบคุม และปกป้องเวิร์คโหลดของตน และขจัดผู้คุกคามที่ใช้ประโยชน์จากข้อมูลที่รั่ว โดยทำให้การเข้าถึงข้อมูลในสภาพแวดล้อมแบบไฮบริดคลาวด์เป็นไปได้ยากขึ้น

ช่องโหว่กลายเป็นวิกฤตสำหรับบางองค์กร

รายงานของ X-Force เน้นถึงจำนวนช่องโหว่ที่สูงเป็นประวัติการณ์ในปี 2564 โดยช่องโหว่ในระบบควบคุมอุตสาหกรรม (Industrial Control Systems: ICS) เพิ่มขึ้น 50% จากปีก่อนหน้า แม้ว่าจะมีการเปิดเผยช่องโหว่มากกว่า 146,000 รายการในช่วงทศวรรษที่ผ่านมา แต่เนื่องจากในช่วงไม่กี่ปีที่ผ่านมานี้ องค์กรต่างๆ ได้เร่งสปีดเส้นทางดิจิทัลของตน ซึ่งส่วนใหญ่แล้วล้วนเป็นผลมาจากแรงหนุนจากการระบาดใหญ่ จึงคาดการณ์ได้ว่าความท้าทายในการจัดการช่องโหว่ในปัจจุบันยังไม่ถึงจุดสูงสุด

ในขณะเดียวกัน การแสวงหาประโยชน์ด้วยการโจมตีช่องโหว่ก็ได้รับความนิยมมากขึ้นเรื่อยๆ โดย X-Force พบการโจมตีในลักษณะดังกล่าวเพิ่มขึ้น 33% เมื่อเทียบกับปีก่อนหน้า พบช่องโหว่ที่ถูกโจมตีมากที่สุดในปี 2564 จำนวนสองจุด บนแอพพลิเคชันองค์กรที่มีการใช้งานอย่างแพร่หลาย (Microsoft Exchange, Apache Log4J Library) เมื่อโครงสร้างพื้นฐานดิจิทัลขยายตัว องค์กรจะเผชิญความท้าทายในการจัดการช่องโหว่มากขึ้น การตรวจสอบและการดูแลให้ธุรกิจปฏิบัติอย่างสอดคล้องต่อกฎข้อบังคับต่างๆ จะกลายเป็นงานล้นมือขององค์กร สิ่งนี้ตอกย้ำถึงความสำคัญของการดำเนินการตามสมมติฐานที่ว่าองค์กรของตนได้ตกอยู่ในความเสี่ยงแล้ว และต้องนำกลยุทธ์แบบ Zero Trust เข้ามาช่วยปกป้องสถาปัตยกรรมของตนเอง

ผู้โจมตีมุ่งเป้าไปที่จุดร่วมระหว่างคลาวด์

การสังเกตโดย X-Force ในปี 2564 พบว่าผู้โจมตีเปลี่ยนเป้าหมายไปที่ container อย่าง Docker ซึ่งเป็นคอนเทนเนอร์รันไทม์เอนจินที่โดดเด่นที่สุดตามข้อมูลจาก RedHat ผู้โจมตีตระหนักดีว่าคอนเทนเนอร์เป็นพื้นที่ร่วมในหลายองค์กร ดังนั้นจึงเพิ่มความพยายามเป็นสองเท่าเพื่อเพิ่ม ROI ของตน ด้วยมัลแวร์ที่สามารถทำงานข้ามแพลตฟอร์มและสามารถใช้เป็นจุดต่อไปยังคอมโพเนนท์อื่นๆ บนระบบโครงสร้างพื้นฐานของเหยื่อ

 รายงานดังกล่าว ยังเตือนว่าเหล่าอาชญากรได้ลงทุนอย่างต่อเนื่องในมัลแวร์ Linux ซึ่งเรื่องนี้ไม่ปรากฎในการสังเกตการณ์ครั้งก่อนหน้านี้ โดยข้อมูลจาก Intezer ชี้ให้เห็นการเพิ่มขึ้นของแรนซัมแวร์ Linux ที่มีโค้ดใหม่ถึง 146% วันนี้อาชญากรยังคงมุ่งมั่นแสวงหาวิธีในการสเกลการโจมตีบนสภาพแวดล้อมคลาวด์ ธุรกิจต่างๆ จึงต้องให้ความสำคัญกับการเพิ่ม visibility ในโครงสร้างพื้นฐานแบบไฮบริดของตน สภาพแวดล้อมไฮบริดคลาวด์ที่สร้างขึ้นบนมาตรฐานที่เอื้อต่อการทำงานข้ามระบบและมาตรฐานแบบเปิด จะช่วยให้องค์กรสามารถตรวจจับจุดบอด เร่งสปีด และตอบสนองเหตุซิเคียวริตี้ได้โดยอัตโนมัติ

ข้อค้นพบเพิ่มเติมจากรายงานปี 2565 ยังคลอบคลุมถึง

• เอเชียเป้าโจมตีสูงสุด จากการสังเกตของไอบีเอ็ม เอเชียประสบกับการโจมตีมากกว่า 1ใน 4 ของเหตุที่เกิดขึ้นทั่วโลกในปี 2564 ซึ่งมากกว่าภูมิภาคอื่น โดยธุรกิจบริการทางการเงินและการผลิต ประสบกับเหตุโจมตีนับเป็นเกือบ 60% ของเหตุที่เกิดขึ้นทั้งหมดในเอเชีย
• การใช้โทรศัพท์ร่วมกับฟิชชิ่งฟิชชิ่งเป็นสาเหตุการโจมตีทางไซเบอร์ที่พบบ่อยที่สุดในปี2564 ในการทดสอบการเจาะระบบของ X-Force Red อัตราการคลิกในแคมเปญฟิชชิ่งเพิ่มขึ้นสามเท่าเมื่อทำร่วมกับการโทรศัพท์

รายงานฉบับนี้ นำเสนอข้อมูลที่ไอบีเอ็มรวบรวมจากทั่วโลกในปี 2564 เพื่อมอบเป็นข้อมูลเชิงลึกเกี่ยวกับแลนด์สเคปของภัยคุกคามทั่วโลก และเป็นมุมมองให้ผู้เชี่ยวชาญด้านซิเคียวริตี้ได้ทราบถึงภัยคุกคามที่เกี่ยวข้องกับองค์กรตนมากที่สุด โดยสามารถดาวน์โหลด IBM Security X-Force Threat Intelligence Index ปี 2565 ฉบับเต็มได้ที่ https://www.ibm.com/security/data-breach/threat-intelligence/