IBM Security เปิดเผยรายงาน IBM X-Force Threat Intelligence Index ประจำปี 2563 ที่แสดงให้เห็นถึงวิวัฒนาการใหม่ๆ ของเทคนิคที่อาชญากรไซเบอร์นำมาใช้ หลังจากที่ตลอดหลายสิบปีที่ผ่านมานี้สามารถเข้าถึงข้อมูลส่วนตัวและข้อมูลบริษัทหลายหมื่นล้านเรคคอร์ด รวมถึงช่องโหว่ในซอฟต์แวร์อีกนับแสนรายการมาแล้ว โดยจากรายงานพบว่า 60% ของการเริ่มเจาะเข้าถึงเครือข่ายของผู้ตกเป็นเป้าหมายนั้น อาศัยข้อมูลประจำตัวที่ถูกขโมยมา หรือช่องโหว่ของซอฟต์แวร์ที่เคยมีการแจ้งเตือนให้ทราบแล้ว โดยที่ผู้โจมตีไม่ต้องพยายามวางแผนเพื่อใช้วิธีหลอกลวงที่แยบยลในการเข้าถึงระบบมากเหมือนเมื่อก่อน 

รายงาน IBM X-Force Threat Intelligence Index ได้ชี้ให้เห็นถึงปัจจัยที่ส่งผลต่อวิวัฒนาการต่างๆ ข้างต้น กล่าวคือ

•    การเจาะระบบครั้งแรกสำเร็จด้วยวิธีฟิชชิ่ง ถือเป็นสัดส่วน 1 ใน 3 จากเหตุที่เกิดขึ้นทั้งหมด (31%) เมื่อเทียบกับสัดส่วน 50% ในปี 2561

•    การสแกนและการโจมตีช่องโหว่คิดเป็น 30% ของเหตุทั้งหมด เมื่อเทียบกับสัดส่วนเพียง 8% ในปี 2561 โดยช่องโหว่เก่าๆ บน Microsoft Office และ Windows Server Message Block ที่เป็นที่รู้กันอยู่แล้ว ยังคงถูกโจมตีด้วยอัตราที่สูงจนน่าตกใจในปี 2562

•    จากการเฝ้าสังเกต พบว่าการใช้ข้อมูลประจำตัวที่ถูกขโมยมาเพื่อเป็นตัวนำเข้าถึงระบบ ได้รับความนิยมเพิ่มมากขึ้นโดยคิดเป็นสัดส่วน 29% จากทั้งหมด เฉพาะในปี 2562 เพียงปีเดียว มีข้อมูลรั่วไหลกว่า 8.5 พันล้านเรคคอร์ด ทำให้มีการรับแจ้งเหตุข้อมูลรั่วไหลเพิ่มขึ้นจากปีก่อนถึง 200% ส่วนข้อมูลประจำตัวที่ถูกขโมยและถูกอาชญากรไซเบอร์นำไปใช้เป็นข้อมูลตั้งต้นนั้นก็เพิ่มสูงขึ้นเช่นกัน 

“ข้อมูลรั่วไหลปริมาณมากที่เราเห็นในทุกวันนี้ สะท้อนให้เห็นว่าอาชญากรไซเบอร์มีกุญแจที่สามารถใช้ไขเข้ามาที่บ้านหรือธุรกิจของเรามากขึ้นกว่าเดิม และผู้โจมตีก็ไม่ต้องเสียเวลาคิดหาวิธีที่แยบยลในการเจาะเข้ามายังธุรกิจเลย เพราะสามารถโจมตีได้ทันทีโดยใช้ช้อมูลแสดงตัวตนที่มีอยู่ อย่างเช่นการล็อกอินด้วยข้อมูลประจำตัวที่ขโมยมา เป็นต้น” เวนดี้ วิตมอร์ รองประธานของ IBM X-Force Threat Intelligence กล่าว “มาตรการป้องกันต่างๆ เช่น การยืนยันตัวตนหลายปัจจัย และการลงชื่อเข้าใช้แบบ single sign-on จึงมีความสำคัญมากสำหรับการรับมือกับการโจมตีทางไซเบอร์ขององค์กร และการปกป้องความเป็นส่วนตัวของข้อมูลผู้ใช้”

IBM X-Force ทำการวิเคราะห์โดยอาศัยข้อมูลเชิงลึกและข้อสังเกตที่ได้จากการเฝ้าตรวจสอบเหตุด้านซิเคียวริตี้ 7 หมื่นล้านเหตุการณ์ต่อวันในกว่า 130 ประเทศ ร่วมกับการรวบรวมและวิเคราะห์ข้อมูลจากหลายแหล่ง ไม่ว่าจะเป็น X-Force IRIS, X-Force Red, IBM Managed Security Services รวมถึงรายละเอียดการรั่วไหลของข้อมูลที่ได้มีการเปิดเผยสู่สาธารณะ นอกจากนี้ IBM X-Force ยังวางกับดักหลอกล่อสแปมทั่วโลกหลายพันแห่ง เฝ้าตรวจสอบสแปมและการโจมตีแบบฟิชชิ่งที่เกิดขึ้นในแต่ละวัน และวิเคราะห์เว็บเพจและรูปภาพหลายพันล้านรายการ เพื่อตรวจหากิจกรรมในลักษณะฉ้อโกงและการแอบอ้างชื่อแบรนด์ไปใช้ในทางมิชอบ 

ข้อสังเกตที่น่าสนใจบางส่วนที่ชี้แจงไว้ในรายงาน

•    การตั้งค่าผิด — รายงานชี้ให้เห็นว่าจากจำนวนข้อมูลที่รั่วไหลมากกว่า 8.5 พันล้านเรคคอร์ดในปี 2562 นั้น มีถึง 7 พันล้านเรคคอร์ดหรือคิดเป็นสัดส่วนมากกว่า 85% ที่มีสาเหตุมาจากการตั้งค่าคลาวด์เซิร์ฟเวอร์ไม่ถูกต้อง และการกำหนดค่าระบบไม่เหมาะสม ทิ้งห่างจากปี 2561 ที่มีไม่ถึงครึ่ง

•    ภาคธนาคารโดนแรนซัมแวร์เล่นงาน — จากรายงานของปีนี้ โทรจันภาคธนาคารที่มีการใช้มากที่สุดอย่าง TrickBot เริ่มกลายเป็นตัวปูทางสู่การเข้าโจมตีด้วยแรนซัมแวร์แบบเต็มตัว โดยมีการพบโค้ดรูปแบบใหม่ที่ใช้โดยโทรจันและแรนซัมแวร์ในภาคธนาคารสูงเป็นอันดับต้นๆ เมื่อเทียบกับมัลแวร์รูปแบบอื่นๆ ที่มีการพูดถึงในรายงาน

•    ฟิชชิ่งเบนเข็มไปสู่ภาคเทคโนโลยี — แบรนด์ “10 อันดับแรก” ที่อาชญากรไซเบอร์นำไปสวมรอยเพื่อใช้ในการหลอกลวงแบบฟิชชิ่งนั้นมีทั้งแบรนด์ด้านเทคโนโลยี โซเชียลมีเดีย และบริการคอนเทนต์สตรีมมิ่งที่ใช้ตามบ้าน โดยการเปลี่ยนแปลงครั้งนี้แสดงให้เห็นว่าผู้คนหันมาเชื่อใจผู้ให้บริการด้านเทคโนโลยีมากกว่าแบรนด์ค้าปลีกและการเงินที่เคยเป็นที่น่าเชื่อถือมายาวนาน โดยแบรนด์ยอดนิยมที่ถูกนำไปแอบอ้างมากที่สุด ได้แก่ Google, YouTube และ Apple

วิวัฒนาการของการโจมตีด้วยแรนซัมแวร์ 

รายงานยังเผยให้เห็นถึงเทรนด์การโจมตีด้วยแรนซัมแวร์ที่มีเป้าหมายเป็นทั้งภาครัฐและภาคเอกชน โดยในปี 2562 นั้น พบว่ามีการใช้แรนซัมแวร์เพิ่มสูงขึ้นมาก และได้มีการส่งทีม IBM X-Force ไปช่วยแก้ไขเหตุแรนซัมแวร์ใน 13 ภาคธุรกิจทั่วโลก ซึ่งเป็นสิ่งที่ยืนยันว่าการโจมตีลักษณะนี้เกิดขึ้นได้กับทุกภาคธุรกิจ 

นอกจากหน่วยงานรัฐของสหรัฐฯ กว่า 100 แห่งจะได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ในปีที่ผ่านมาแล้ว IBM X-Force ยังพบว่ามีการเน้นโจมตีธุรกิจในภาคค้าปลีก การผลิต และการคมนาคม อย่างเห็นได้ชัด เนื่องจากเป็นภาคธุรกิจที่ทราบกันดีว่ามีข้อมูลมากมายที่สามารถทำเงินได้ หรือยังใช้เทคโนโลยีล้าสมัยอยู่ จึงมีช่องโหว่มากมายนับไม่ถ้วน โดยจาก 80% ของการพยายามโจมตีด้วยแรนซัมแวร์ที่ได้เฝ้าสังเกตนั้น พบว่าผู้โจมตีอาศัยช่องโหว่ใน Windows Server Message Block ซึ่งเป็นกลวิธีเดียวกันกับที่ใช้ในการกระจาย WannaCry ที่ทำให้ธุรกิจหลายแห่งใน 150 ประเทศต้องเป็นอัมพาตในปี 2560

การโจมตีด้วยแรนซัมแวร์สร้างความเสียหายให้แก่องค์กรต่างๆ มากกว่า 2 แสนล้านบาทในปี 2562 โดยที่ผลประโยชน์ตกไปอยู่ในมือผู้ไม่หวังดีและเหตุการณ์ลักษณะนี้ยังไม่มีทีท่าว่าจะลดลงในปี 2563 ทั้งนี้ ในรายงานที่ไอบีเอ็มร่วมทำกับ Intezer นั้น ระบุว่ามีการพบโค้ดมัลแวร์ใหม่ในโค้ดของโทรจันภาคธนาคารถึง 45% และพบในโค้ดของแรนซัมแวร์ถึง 36% โดยการสร้างโค้ดใหม่ขึ้นมานั้นแสดงให้เห็นว่าผู้โจมตียังคงให้ความสำคัญกับการหาวิธีหลบเลี่ยงการตรวจจับอยู่

ในขณะเดียวกัน IBM X-Force ยังสังเกตเห็นความสัมพันธ์ที่ใกล้ชิดระหว่างแรนซัมแวร์และโทรจันที่ใช้ในภาคธนาคาร โดยมีการใช้โทรจันดังกล่าวเพื่อเบิกทางให้กับการใช้แรนซัมแวร์ในการโจมตีเป้าหมายที่มีมูลค่าสูง ซึ่งแสดงให้เห็นว่ามีการใช้งานแรนซัมแวร์ในรูปแบบที่หลากหลายมากขึ้น ตัวอย่างเช่น มัลแวร์ที่มีการใช้ในภาคธุรกรรมทางการเงินมากที่สุดตามรายงานอย่าง TrickBot นั้น ต้องสงสัยว่าเป็นตัวการปล่อย Ryuk เข้าสู่เครือข่ายองค์กร ในขณะที่โทรจันภาคธนาคารอีกหลายตัว เช่น QakBot, GootKit และ Dridex ต่างก็หันมาใช้แรนซัมแวร์เพื่อเพิ่มความหลากหลายเช่นกัน  

ผู้ไม่หวังดีแอบอ้างบริษัทเทคโนโลยีและโซเชียลมีเดียในการหลอกลวงแบบฟิชชิ่ง

เมื่อผู้ใช้งานทั่วไปเริ่มจับทางอีเมลฟิชชิ่งได้ กลวิธีฟิชชิ่งหลายๆ แบบก็ตกเป็นเป้าหมายเสียเอง โดยไอบีเอ็มได้ร่วมมือกับ Quad9 และสังเกตเห็นแนวโน้มการฟิชชิ่งในรูปแบบที่ผู้โจมตีสวมรอยเป็นแบรนด์ด้านเทคโนโลยีสำหรับผู้บริโภค พร้อมใส่ลิงค์ที่ดูน่าสนใจ โดยใช้บริษัทเทคโนโลยี โซเชียลมีเดีย และคอนเทนต์สตรีมมิ่ง ในการหลอกล่อให้ผู้ใช้คลิกลิงค์อันตรายด้วยวิธีการแบบฟิชชิ่ง 

เกือบ 60% ของแบรนด์ที่ถูกแอบอ้างและตรวจพบ 10 อันดับแรกนั้นใช้โดเมนของ Google และ YouTube ในขณะที่ Apple (15%) และ Amazon (12%) ก็ถูกแอบอ้างโดยผู้โจมตีที่หวังจะขโมยข้อมูลที่ทำเงินได้ของผู้ใช้ โดยจากการประเมินของ IBM X-Force พบว่าสาเหตุหลักที่ทำให้แบรนด์เหล่านี้ตกเป็นเป้าหมายคือข้อมูลที่ทำเงินได้ที่แบรนด์เหล่านี้จัดเก็บไว้

Facebook, Instagram และ Netflix เองก็ติด 10 อันดับแรกของแบรนด์ที่ถูกแอบอ้างมากที่สุด แต่อยู่ในอัตราที่ต่ำกว่ามาก ทั้งนี้อาจเนื่องมาจากการที่บริการเหล่านี้มักไม่ค่อยเก็บข้อมูลที่ทำเงินได้ไว้โดยตรง นอกจากนี้ ผู้โจมตียังหวังพึ่งการใช้ข้อมูลประจำตัวซ้ำในการเข้าถึงบัญชีที่ทำเงินได้สูง โดย IBM X-Force ตั้งข้อสังเกตว่าการใช้รหัสผ่านเดิมซ้ำบ่อยๆ ได้ น่าจะเป็นปัจจัยที่ทำให้แบรนด์เหล่านี้ตกเป็นเป้าหมาย ทั้งนี้ ข้อมูลจาก Future of Identity Study ของไอบีเอ็ม ชี้ให้เห็นว่า 41% ของชาวมิลเลนเนียลใช้รหัสผ่านเดิมซ้ำหลายครั้ง ในขณะที่กลุ่มเจน Z ใช้รหัสผ่านเฉลี่ยเพียง 5 รหัส ซึ่งแสดงให้เห็นถึงอัตราการใช้รหัสผ่านซ้ำที่สูงมาก 

การแยกแยะโดเมนที่ถูกแอบอ้างเป็นเรื่องที่ยากมาก และผู้โจมตีเองก็หวังพึ่งจุดแข็งในเรื่องนี้ โดยเมื่อรวมบัญชีทั้งหมดจากแบรนด์ 10 อันดับแรกที่ถูกแอบอ้างตามที่ระบุไว้ในรายงานแล้ว  พบว่ามีบัญชีรวมกันถึง 1 หมื่นล้านบัญชี ทำให้ผู้ไม่หวังดีมีเป้าหมายให้เลือกโจมตีหลากหลายกลุ่ม และยิ่งเป็นการเพิ่มโอกาสที่ผู้ใช้ที่ไม่ระวังจะคลิกลิงก์ที่ดูไม่มีพิษมีภัยจากแบรนด์ที่ถูกแอบอ้างอีกด้วย 

ข้อสรุปสำคัญเพิ่มเติมที่มีการชี้แจงในรายงาน

•    ธุรกิจค้าปลีกกลับมาอยู่ในลิสต์กลุ่มอุตสาหกรรมเป้าหมาย: ธุรกิจค้าปลีกพุ่งขึ้นมาเป็นธุรกิจที่ถูกโจมตีมากที่สุดเป็นอันดับ 2 ในรายงานของปีนี้ สูสีกับบริการทางการเงิน ซึ่งครองอันดับ 1 มานาน 4 ปีติดต่อกัน การโจมตีของกลุ่ม Magecart ถือเป็นการโจมตีธุรกิจในภาคค้าปลีกที่รุนแรงที่สุด มีเว็บไซต์อีคอมเมิร์ซที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าวในช่วงฤดูร้อนปี 2562 ถึง 80 แห่ง โดยอาชญากรไซเบอร์พุ่งเป้าไปที่ข้อมูลส่วนบุคคลที่ระบุตัวบุคคลได้ (PII) ของลูกค้า ข้อมูลบัตรชำระเงิน หรือแม้แต่ข้อมูลโปรแกรมสมาชิกสะสมคะแนนที่มีมูลค่า นอกจากนี้เมื่อพิจารณาจากข้อมูลเชิงลึกที่ได้จากการที่ไอบีเอ็มเข้าไปช่วยรับมือกับเหตุการณ์ต่างๆ ยังพบว่ามีการโจมตีธุรกิจค้าปลีกด้วยแรนซัมแวร์สูงมาก 

•    การโจมตีระบบที่ใช้ควบคุมเครื่องจักรในอุตสาหกรรมต่างๆ (Industrial Control System หรือ ICS) และเทคโนโลยีส่วนปฏิบัติการ (Operational Technology หรือ OT) พุ่งสูงเป็นประวัติการณ์: ในปี 2562 นั้น เทคโนโลยีส่วนปฏิบัติการตกเป็นเป้าหมายการโจมตีเพิ่มขึ้นถึง 2000% เมื่อเทียบกับปีก่อน เรียกได้ว่าเป็นปีที่มีการโจมตีโครงสร้างพื้นฐาน ICS และ OT สูงที่สุดนับตั้งแต่ปี 2559 เป็นต้นมา และการโจมตีส่วนใหญ่ที่สังเกตเห็นนั้น เป็นการใช้ช่องโหว่ที่ทราบอยู่แล้วภายในฮาร์ดแวร์ SCADA และ ICS ร่วมกับการพยายามเข้าถึงบัญชีผู้ใช้จำนวนมากด้วยรหัสผ่านที่คนมักใช้ไม่กี่รหัส (Password-spraying)

•    อเมริกาเหนือและเอเชียคือภูมิภาคที่ตกเป็นเป้าหมายมากที่สุด: ภูมิภาคเหล่านี้ถูกโจมตีมากที่สุด อีกทั้งยังได้รับความเสียหายจากข้อมูลรั่วไหลมากที่สุดในปีที่ผ่านมา โดยมีข้อมูลรั่วไหลมากกว่า 5 พันล้านเรคคอร์ด และ 2 พันล้านเรคคอร์ดตามลำดับ 

รายงาน IBM X-Force Threat Intelligence Index รวบรวมข้อมูลที่ไอบีเอ็มได้จัดเก็บในปี 2562 เพื่อให้รายละเอียดเชิงลึกเกี่ยวกับสถานการณ์ด้านภัยคุกคามทั่วโลก และเป็นแหล่งให้ผู้ที่ทำงานด้านซิเคียวริตี้ได้ทราบข้อมูลภัยคุกคามที่เกี่ยวข้องกับองค์กรของตนมากที่สุด โดยสามารถดาวน์โหลดรายงานฉบับเต็มได้ที่ https://ibm.biz/downloadxforcethreatindex

RELATED ARTICLE

Responsive image

IBM นำ AI พัฒนาตัวยาและการรักษามะเร็งเปิด Open source ให้ทุกคนทดลองและเข้าถึง Source code ได้

IBM เปิดเผยถึงสามโครงการวิจัยที่นำเทคโนโลยีเอไอและแมชชีนเลิร์นนิงเข้ามาช่วยพัฒนาแนวทางการรักษามะเร็ง ทั้งในแง่การคาดการณ์ประสิทธิภาพตัวยา การสังเคราะห์ข้อมูลจากงานตีพิมพ์ทางวิทยาศา...

Responsive image

IBM เข้าซื้อระบบปฏิบัติการ Red Hat ด้วยเงิน 34,000 ล้านเหรียญ

บริษัทยักษ์ใหญ่ด้านไอทีอย่าง IBM ประกาศเข้าซื้อหุ้นบริษัท Red Hat บริษัทผู้พัฒนาระบบปฏิบัติการ (Operating System) อย่าง Linux สำหรับใช้ในองค์กร ด้วยเงิน 34,000 ล้านดอลลาร์สหรัฐฯ โด...

Responsive image

ธนาคาร Tokyo Mitsubishi UFJ ทดสอบการนำ Blockchain มาใช้จัดการ Smart Contract กับคู่ค้า

ธนาคาร Tokyo-Mitsubishi UFJ (BTMU) เป็นอีกธนาคารในญี่ปุ่นที่มีความเคลื่อนไหวในการทดสอบบริการใหม่ๆ บน Blockchain เสมอ ล่าสุดกำลังเปิดตัวทดสอบระบบการจัดการสัญญาอัจฉริยะ (Smart Contra...