IBM เปิดเผยรายงาน 2021 X-Force Threat Intelligence Index ที่ชี้ให้เห็นวิวัฒนาการของการโจมตีไซเบอร์ในปีที่ผ่านมา ที่มุ่งเป้าประเด็นท้าทายด้านภาวะทางเศรษฐกิจและสังคม ธุรกิจ และการเมือง อันเป็นผลมาจากการแพร่ระบาดของโควิด-19 พบแฮคเกอร์มุ่งโจมตีธุรกิจที่เกี่ยวกับการรับมือโควิด-19 เช่น โรงพยาบาล ผู้ผลิตอุปกรณ์ทางการแพทย์และเภสัชกรรม รวมถึงหน่วยงานด้านพลังงานที่สนับสนุนระบบซัพพลายเชนของโควิด-19

รายงานล่าสุดชี้ให้เห็นว่าการโจมตีไซเบอร์ที่เกี่ยวข้องกับอุตสาหกรรมการดูแลสุขภาพ การผลิต และพลังงาน เพิ่มขึ้นจากปีก่อนกว่าเท่าตัว โดยแฮคเกอร์จะมุ่งเป้าหน่วยงานที่ไม่สามารถปล่อยให้ระบบของตนหยุดชะงักได้เพราะจะกระทบงานด้านการแพทย์หรือระบบซัพพลายเชนที่มีความสำคัญมาก ทั้งนี้ อุตสาหกรรมการผลิตและพลังงานเป็นอุตสาหกรรมที่ถูกโจมตีมากที่สุดในปี 2563 รองจากอุตสาหกรรมการเงินและประกันภัย อันเป็นผลมากจากการที่ผู้โจมตีพยายามใช้ประโยชน์จากช่องโหว่ของระบบที่ใช้ควบคุมเครื่องจักรในอุตสาหกรรมต่างๆ (industrial control systems หรือ ICS) ที่เพิ่มขึ้นเกือบ 50% ซึ่งเป็นระบบที่มีความจำเป็นต่อทั้งอุตสาหกรรมการผลิตและพลังงาน

“การแพร่ระบาดที่เกิดขึ้นทำให้ภูมิทัศน์ของระบบโครงสร้างพื้นฐานสำคัญเปลี่ยนไป และผู้โจมตีก็ทราบถึงเรื่องนี้ดี มีองค์กรจำนวนมากที่กลายเป็นด่านหน้าของการรับมือเป็นครั้งแรก ไม่ว่าจะเป็นหน่วยงานวิจัยด้านโควิด-19 หน่วยงานที่สนับสนุนซัพพลายเชนของวัคซีนและอาหาร หรือหน่วยงานที่ผลิตอุปกรณ์ป้องกันส่วนบุคคล” นายนิค รอสส์แมนน์ หัวหน้างาน Global Threat Intelligence ของ IBM Security X-Force กล่าว “เหยื่อของการโจมตีเปลี่ยนไปตามเหตุการณ์ในแต่ละไทม์ไลน์ของโควิด-19 ซึ่งชี้ให้เห็นว่าอาชญากรไซเบอร์มีความสามารถในการปรับตัว มีทรัพยากรเพียบพร้อม และพร้อมเดินหน้าปฏิบัติการอย่างต่อเนื่อง”

รายงาน X-Force Threat Intelligence Index เป็นผลมาจากการรวบรวมข้อมูลเชิงลึกและการมอนิเตอร์เหตุด้านซิเคียวริตี้กว่า 150,000 ล้านรายการต่อวันในกว่า 130 ประเทศ ร่วมด้วยข้อมูลที่รวบรวมและวิเคราะห์จากแหล่งต่างๆ ในไอบีเอ็ม อาทิ IBM Security X-Force Threat Intelligence and Incident Response, X-Force Red, IBM Managed Security Services และข้อมูลจาก Quad9 และ Intezer ที่มีส่วนร่วมในรายงานฉบับปี 2564 นี้ 

ไฮไลท์สำคัญๆ จากรายงาน ประกอบด้วย

• อาชญากรไซเบอร์มีการใช้มัลแวร์ลินุกซ์เพิ่มขึ้น โดยปีที่ผ่านมา อินทิเซอร์เผยว่ามีการใช้มัลแวร์ในตระกูลลินุกซ์เพิ่มขึ้นถึง 40% และมีการใช้มัลแวร์ที่เขียนโดยภาษา Go เพิ่มขึ้น 500% ในช่วงหกเดือนแรกของปี 2563 โดยกลุ่มนักโจมตีกำลังเร่ง migrate สู่มัลแวร์ลินุกซ์ ที่สามารถรันได้ง่ายบนแพลตฟอร์มหลากหลายรูปแบบ รวมถึงบนสภาพแวดล้อมแบบคลาวด์ด้วย
• แบรนด์ที่กลายเป็นเป้าโจมตีสูงสุด ผลลัพธ์จากการแพร่ระบาด โดยแบรนด์ที่ให้บริการเครื่องมือสำหรับการทำงานร่วมกันในช่วง social distancing และการทำงานจากระยะไกล อย่างGoogle, Dropbox และ Microsoft รวมถึงแบรนด์ออนไลน์ช็อปปิ้งอย่าง Amazon และ PayPal อยู่ในกลุ่ม 10 อันดับแรกของแบรนด์ที่กลายเป็นเป้าโจมตีสูงสุดในปี 2563 ขณะที่ YouTube และ Facebook ที่ผู้บริโภคใช้ติดตามข่าวในปีที่ผ่านมา ก็อยู่ในอันดับต้นๆ ของการถูกโจมตีเช่นกัน นอกจากนี้ สิ่งที่เหนือการคาดการณ์คือการที่ Adidas ได้เข้ามาอยู่ในอันดับที่เจ็ดของแบรนด์ที่ถูกแอบอ้างมากที่สุดในปี 2563 ซึ่งน่าจะเป็นเพราะความต้องการที่มีต่อรองเท้าในไลน์ Yeezy และSuperstar 
• กลุ่มแรนซัมแวร์ชื่นมื่นโมเดลธุรกิจทำกำไร แรนซัมแวร์เป็นสาเหตุของการโจมตีเกือบหนึ่งในสี่ครั้งที่ X-Force ได้เข้าไปต่อกรด้วยในปี 2563 ด้วยรูปแบบการโจมตีที่รุนแรงขึ้นเรื่อยๆ และมีการใช้แท็คติคขู่กรรโชกแบบสองชั้น และกลายเป็นปีที่ทำกำไรเป็นอย่างมากให้แก่กลุ่มแรนซัมแวร์ Sodinokibi ที่ทาง X-Force พบว่าเป็นกลุ่มที่นำแท็คติคนี้มาใช้มากที่สุดในปี 2563  โดย X-Force คาดการณ์ว่ากลุ่มดังกล่าวสามารถทำเงินได้กว่า 3,600 ล้านบาทในปีที่ผ่านมา โดยรายงานชี้ว่ามีเหยื่อสองในสามรายที่ยอมจ่ายค่าไถ่

การลงทุนในมัลแวร์โอเพนซอร์สเพื่อเจาะสภาพแวดล้อมแบบคลาวด์ 

หลายองค์กรมองถึงการเร่งใช้คลาวด์ในช่วงสถานการณ์การแพร่ระบาดของโควิด-19 “อันที่จริงแล้ว ผลสำรวจโดยการ์ทเนอร์เมื่อเร็วๆ นี้พบว่า 70% ขององค์กรที่ใช้บริการคลาวด์ในวันนี้วางแผนที่จะเพิ่มการใช้จ่ายเกี่ยวกับคลาวด์อันเป็นผลมาจากดิสรัปชันที่เกิดจากโควิด-19” [1] แต่การที่ปัจจุบันลินุกซ์อยู่เบื้องหลัง เวิร์คโหลดคลาวด์ถึง 90% และมีการเพิ่มขึ้นของมัลแวร์ตระกูลลินุกซ์ถึง 500% ตามรายงานของ X-Force ทำให้เป็นไปได้ว่าสภาพแวดล้อมแบบคลาวด์จะเป็นเป้าโจมตีหลักของนักโจมตี 

ไอบีเอ็มประเมินว่าการเพิ่มขึ้นของมัลแวร์โอเพนซอร์ส อาจมีสาเหตุมาจากการที่นักโจมตีต้องการเพิ่มมาร์จินกำไร ไม่ว่าจะด้วยการลดต้นทุน การเพิ่มประสิทธาพ หรือการสร้างโอกาสในการทำกำไรจากการโจมตีมากขึ้น โดยกลุ่ม APT28, APT29 และ Carbanak ที่กำลังหันมาใช้มัลแวร์โอเพนซอร์ส ระบุว่าเทรนด์นี้จะเติบโตขึ้นเรื่อยๆ เพื่อนำสู่การโจมตีระบบคลาวด์ในปีที่จะถึงนี้ 

รายงานยังระบุว่านักโจมตีใช้พลังประมวลผลบนคลาวด์ที่ขยายการใช้งานได้ และปล่อยให้องค์กรที่ตกเป็นเหยื่อรับภาระค่าใช้คลาวด์ที่แสนโหดนี้ไป ดังที่อินทิเซอร์ได้ตรวจพบว่ามีโค้ดขุดเงินสกุลดิจิทัลแบบลินุกซ์เพิ่มขึ้นถึง 13% ในปี 2563 หลังจากตรวจไม่พบที่ก่อนหน้านี้

ผลจากการที่นักโจมตีพุ่งเป้าไปที่คลาวด์ทำให้ X-Force แนะนำให้องค์กรหันมาใช้กลยุทธ์ซิเคียวริตี้แบบ zero-trust  รวมถึงนำ confidential computing มาเป็นคอมโพเน้นท์หลังของระบบโครงสร้างพื้นฐานด้านซิเคียวริตี้ เพื่อปกป้องข้อมูลที่ละเอียดอ่อนขององค์กร โดยการเข้ารหัสข้อมูลขณะใช้งานจะช่วยลดโอกาสที่ผู้ประสงค์ร้ายจะหาข้อมูลพบ แม้ว่าจะสามารถเจาะเข้าระบบมาได้แล้วก็ตาม 

อาชญากรไซเบอร์ปลอมเป็นแบรนด์ดัง  

ไฮไลท์ของรายงานปีนี้ยังรวมถึงการที่อาชญากรไซเบอร์มักปลอมตัวเป็นแบรนด์ที่ผู้บริโภคให้ความไว้วางใจ ดังตัวอย่างของหนึ่งในสุดยอดแบรนด์ทรงพลังของโลกอย่าง Adidas ที่อาชญากรไซเบอร์จะล่อลวงผู้บริโภคที่อยากได้รองเท้าไปยังเว็บที่ได้รับการออกแบบมาให้แลดูคล้ายเว็บจริง และเมื่อผู้ใช้เข้าไปที่เว็บเหล่านั้นแล้ว อาชญากรไซเบอร์ก็จะหาทางล่อลวงให้เกิดการจ่ายเงินออนไลน์ ขโมยข้อมูลด้านการเงิน เก็บข้อมูลประจำตัว หรือจู่โจมอุปกรณ์ของเหยื่อด้วยมัลแวร์

รายงานระบุว่า การตกเป็นเป้าโจมตีของ Adidas ส่วนใหญ่แล้วเกี่ยวข้องกับรองเท้าในไลน์ Yeezy และSuperstar โดยมีรายงานว่าเฉพาะไลน์ Yeezy มีการเปิดดูถึง 1,300 ล้านครั้งในปี 2563 และเป็นหนึ่งในรองเท้ากีฬาที่ขายดีที่สุดของยักษ์ใหญ่ผู้ผลิตอุปกรณ์กีฬารายนี้ โดยคาดว่านักโจมตีได้ใช้โอกาสในแต่ละครั้งที่มีการโฆษณาถึงการเปิดตัวรองเท้าแบบใหม่ ในการสร้างรายได้ให้กับตัวเอง

แรนซัมแวร์ครองแชมป์การโจมตีที่เป็นที่นิยมมากที่สุดในปีก 2563 

ข้อมูลจากรายงานชี้ว่าในปี 2563 โลกต้องเผชิญกับการโจมตีแบบแรนซัมแวร์มากกว่าปี 2562 โดยเกือบ 60% ของการโจมตีที่ทางทีม X-Force ได้เข้าไปรับมือ ได้ใช้กลยุทธ์การขู่กรรโชกแบบสองชั้น ด้วยการที่นักโจมตีเข้ารหัส ขโมย จากนั้นจึงขู่ปล่อยข้อมูลถ้าเหยื่อไม่ยอมจ่าย ทั้งนี้ 36% ของข้อมูลรั่วไหลที่ทีม X-Force ตรวจพบเป็นการโจมตีแบบแรนซัมแวร์ที่มาพร้อมกับคำกล่าวอ้างจากโจรขโมยข้อมูล ชี้ให้เห็นว่าการที่ข้อมูลรั่วและการโจมตีแบบแรนซัมแวร์กำลังมาถึงจุดที่บรรจบกัน 

กลุ่มแรนซัมแวร์ที่เคลื่อนไหวมากที่สุดในปี 2563 คือกลุ่ม Sodinokibi (เป็นที่รู้จักในอีกชื่อว่า REvil) ที่เป็นผู้อยู่เบื้องหลังเหตุแรนซัมแวร์ที่ X-Force ตรวจพบถึง 22% โดย X-Force คาดว่า Sodinokibi ขโมยข้อมูลราว 21.6 เทราไบต์จากเหยื่อ และมีเหยื่อเกือบสองในสามที่ยอมจ่ายค่าไถ่ ขณะที่ข้อมูลของเหยื่อประมาณ 43% รั่วไหล ซึ่ง X-Force คาดว่ากลุ่มดังกล่าวสามารถทำเงินได้กว่า 3,600 ล้านบาทในปีที่ผ่านมา

รายงานยังชี้ให้เห็นว่ากลุ่มแรนซัมแวร์ที่ประสบความสำเร็จมากที่สุดในปี 2563 ต่างเน้นที่การขโมยข้อมูลและปล่อยข้อมูลรั่วไหลเช่นเดียวกับ Sodinokibi รวมถึงรวมกลุ่มผูกขาดทำ ransomware-as-a-service และเอาท์ซอร์สส่วนงานหลักๆ ของการปฏิบัติการไปยังกลุ่มอาชญากรไซเบอร์ที่มีความเชี่ยวชาญการโจมตีเฉพาะด้าน และเพื่อเตรียมพร้อมรับมือแรนซัมแวร์ที่ทวีความรุนแรงเพิ่มขึ้นเรื่อยๆ นี้ X-Force จึงได้แนะนำให้องค์กรจำกัดการเข้าถึงข้อมูลที่มีความละเอียดอ่อนและปกป้องบัญชีผู้ใช้ที่ได้รับสิทธิ์การเข้าถึงข้อมูลมากๆ ด้วย privileged access management (PAM) และ identity and access management (IAM).

ข้อมูลเพิ่มเติมจากรายงานยังแสดงให้เห็นว่า

• การเจาะช่องโหว่พุ่งแซงหน้าฟิชชิงจนกลายเป็นวิธีที่นิยมที่สุด โดยวิธีการที่ช่วยให้ประสบความสำเร็จในการเข้าถึงข้อมูลของเหยื่อมากที่สุดคือการสแกนและใช้ประโยชน์จากช่องโหว่ (35%) ซึ่งแซงหน้าฟิชชิง phishing (31%) เป็นครั้งแรกในรอบหลายปี
• ยุโรปสัมผัลได้ถึงความรุนแรงของการโจมตีในปีที่ผ่านมา การโจมตีเกิดขึ้นในยุโรปมากที่สุด นับเป็น 31% ของการโจมตีที่เกิดขึ้น โดยเป็นแรนซัมแวร์มากที่สุด นอกจากนี้ยังมีการโจมตีจากคนในองค์กรมากกว่าภูมิภาคอื่น ซึ่งมากกว่าการโจมตีที่เกิดขึ้นที่อเมริกาเหนือกับเอชียรวมกัน 

รายงานยังได้นำเสนอข้อมูลที่ไอบีเอ็มได้รวบรวมไว้ในปี 2563 เพื่อให้มุมมองเชิงลึกเกี่ยวกับภูมิทัศน์ภัยคุกคามทั่วโลก และเพื่อเป็นข้อมูลให้ผู้เชี่ยวชาญด้านซิเคียวริตี้ได้ทราบถึงภัยคุกคามที่เกี่ยวกับองค์กรของตนมากที่สุด สามารถดาวน์โหลดรายงาน X-Force Threat Intelligence Index 2021 ได้ที่ https://www.ibm.biz/threatindex2021