โซฟอส (Sophos) บริษัทผู้นำด้านนวัตกรรม และการให้บริการความปลอดภัยไซเบอร์ เปิดรายงานสำรวจภัยคุกคามจากแรนซัมแวร์ ปี 2024 โดยรายงานในปีนี้มีรายละเอียดเกี่ยวกับ “Cybercrime on Main Street” และภัยคุกคามที่ใหญ่ที่สุดที่ธุรกิจขนาดเล็กและขนาดกลาง (SMBs*) กำลังเผชิญอยู่ ซึ่งตามรายงานในปี 2023 พบว่าการตรวจจับมัลแวร์เกือบ 50% สำหรับธุรกิจ SMB  (ธุรกิจ SMB คือองค์กรที่มีพนักงานไม่เกิน 500 คน) นั้นเกิดขึ้นในรูปแบบคีย์ล็อกเกอร์ สปายแวร์ และสตีลเลอร์ ซึ่งเป็นมัลแวร์ที่ผู้โจมตีใช้เพื่อขโมยข้อมูล และข้อมูลส่วนบุคคล โดยผู้โจมตีจะใช้ข้อมูลที่ขโมยมานี้เพื่อเข้าถึงจากระยะไกลโดยไม่ได้รับอนุญาต เพื่อขู่กรรโชกเหยื่อ ปล่อยแรนซัมแวร์ และอื่น ๆ อีกมากมาย

รายงานของโซฟอส ยังวิเคราะห์ Initial Access Brokers (IABs) ซึ่งเป็นอาชญากรที่เชี่ยวชาญในการเจาะเข้าสู่เครือข่ายคอมพิวเตอร์ ซึ่งรายงานพบว่า เหล่า IABs กำลังใช้ดาร์กเว็บ (Dark Web) เพื่อโฆษณาความสามารถ และการบริการของพวกเขาในการเจาะเข้าสู่เครือข่ายของธุรกิจ SMB โดยเฉพาะ หรือขายการเข้าถึง SMBs ที่พวกเขาได้เจาะระบบเรียบร้อยแล้ว

คำอธิบายภาพ: Sophos X-Ops พบตัวอย่างการโพสต์โฆษณาในดาร์กเว็บที่สามารถเข้าถึงบริษัทบัญชีขนาดเล็กในสหรัฐฯ รวมถึงตัวอย่างเพิ่มเติมของโฆษณาในฟอรัมอาชญากรทางไซเบอร์ที่กำหนดเป้าหมายธุรกิจ SMB ตามกลุ่มอุตสาหกรรม และประเทศ จากรายงานภัยคุกคามของโซฟอส ประจำปี 2024

คริสโตเฟอร์ บัดด์ ผู้อำนวยการฝ่ายวิจัย Sophos X-Ops ของ โซฟอส กล่าวว่า “มูลค่าของ ‘ข้อมูล’ เป็นเหมือนเงินที่เพิ่มขึ้นแบบทวีคูณในหมู่อาชญากรไซเบอร์ โดยเฉพาะอย่างยิ่งในธุรกิจ SMB ซึ่งมักใช้หนึ่งเซอร์วิส หรือแอปพลิเคชันต่อหนึ่งฟังก์ชันสำหรับการดำเนินการทั้งหมด ตัวอย่างเช่น สมมุติว่าผู้โจมตีใช้การขโมยข้อมูล (infostealer) บนเครือข่ายของเป้าหมายเพื่อขโมยข้อมูลประจำตัว และนำรหัสผ่านที่ได้ไปใช้เข้าถึงบริษัทซอฟต์แวร์บัญชี ผู้โจมตีสามารถเข้าถึงข้อมูลทางการเงินของบริษัทเป้าหมาย และส่งโอนเงินเข้าสู่บัญชีของตนเอง จึงเป็นเหตุผลว่าทำไมว่า 90% ของการโจมตีทางไซเบอร์ทั้งหมดในรายงานของโซฟอส ปี 2023 ถึงเกี่ยวข้องกับการขโมยข้อมูล หรือข้อมูลส่วนบุคคล ไม่ว่าจะผ่านการโจมตีด้วยแรนซัมแวร์ การขู่กรรโชกข้อมูล การเข้าถึงระยะไกลโดยไม่ได้รับอนุญาต หรือการขโมยข้อมูลทั่วไป”

แรนซัมแวร์ ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB

แม้ว่าจำนวนการโจมตีด้วยแรนซัมแวร์ต่อธุรกิจ SMB นั้นค่อนข้างคงที่ แต่แรนซัมแวร์ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB ที่ไม่ควรมองข้าม ตัวอย่างเคสของธุรกิจ SMB ที่จัดการโดยหน่วยงานการตรวจจับ และวิเคราะห์ภัยคุกคามของโซฟอส (Sophos Incident Response: IR) ที่ทำหน้าที่ช่วยเหลือองค์กรในขณะที่การโจมตีที่เกิดขึ้น พบว่า LockBit ถือเป็นแก๊งแรนซัมแวร์อันดับต้นๆ ที่สร้างความหายนะให้แก่ธุรกิจ ตามมาด้วย Akira และ BlackCat เป็นอันดับสองและสามตามลำดับ จากรายงานพบว่าธุรกิจ SMB ยังเผชิญกับการโจมตีจากแรนซัมแวร์รุ่นเก่า และที่ไม่ค่อยมีคนรู้จัก เช่น BitLocker และ Crytox อีกด้วย

จากรายงานยังพบอีกว่าผู้ใช้แรนซัมแวร์ยังคงเปลี่ยนเทคนิคใช้แรนซัมแวร์อย่างต่อเนื่อง ซึ่งรวมถึงจากการเข้ารหัสระยะไกล และกำหนดเป้าหมายไปที่ผู้ให้บริการการจัดการ (Managed Service Providers: MSP) โดยระหว่างปี 2022 ถึง 2023 จำนวนการโจมตีแรนซัมแวร์ที่เกี่ยวข้องกับการเข้ารหัสระยะไกล ในรูปแบบที่ผู้โจมตีใช้อุปกรณ์ที่ไม่มีการควบคุม ทำการเข้ารหัสไฟล์บนระบบอื่นๆ ในเครือข่ายเพิ่มขึ้นถึง 62%

นอกจากนี้ในปีที่ผ่านมา ทีมตรวจจับและตอบสนองต่อการโจมตีทางไซเบอร์ (Managed Detection and Response: MDR) ของ โซฟอส ได้เข้าไปจัดการดูแล 5 เหตุการณ์ที่เกิดขึ้นกับธุรกิจขนาดเล็กโดยถูกโจมตีผ่านช่องโหว่ของ MSP ที่ใช้ซอฟต์แวร์การตรวจสอบ และการจัดการระยะไกล (Remote Monitoring and Management: RMM)

มีการโจมตีโดยวิธีการหลอกลวง (Social Engineering) รวมทั้งทางอีเมลธุรกิจ (BEC) เพิ่มมากขึ้น

นอกจากแรนซัมแวร์แล้ว การโจมตีโดยการหลอกลวงผ่านทางอีเมลธุรกิจ (BEC) ถือเป็นการโจมตีที่สูงเป็นอันดับสองที่ Sophos IR รับมือในปี 2566 ตามรายงานของโซฟอส

การโจมตีแบบ BEC และการหลอกลวงต่างๆ มีความซับซ้อนเพิ่มมากขึ้น แทนที่จะส่งอีเมลพร้อมไฟล์แนบที่เป็นอันตราย ผู้โจมตีมีแนวโน้มที่จะมีปฎิสัมพันธ์กับเป้าหมายมากขึ้นโดยการส่งอีเมลสนทนาตอบกลับไปมา หรือแม้แต่โทรหาเหยื่อ

ผู้โจมตีมีความพยายามที่จะหลบเลี่ยงการตรวจจับด้วยเครื่องมือป้องกันสแปมแบบดั้งเดิม โดยปัจจุบันผู้โจมตีกำลังทดลองใช้การโจมตีรูปแบบใหม่ ๆ ที่ประกอบด้วยเนื้อหาที่เป็นอันตราย การฝังรูปภาพที่มีโค้ดที่เป็นอันตราย หรือการส่งไฟล์แนบที่เป็นอันตรายใน OneNote หรือ archive formats ต่างๆ ยกตัวอย่างเหตุการณ์หนึ่งที่โซฟอสเข้าตรวจสอบ ผู้โจมตีได้ส่งเอกสาร PDF พร้อมภาพขนาดย่อของ “ใบแจ้งหนี้” ที่เบลอ และไม่สามารถอ่านได้ พร้อมปุ่มดาวน์โหลดโดยลิงก์ไปยังเว็บไซต์ที่เป็นอันตราย เป็นต้น

สำหรับรายละเอียดเชิงลึกเกี่ยวกับอาชญากรรมทางไซเบอร์ที่มุ่งเป้าไปยังธุรกิจ SMB เพิ่มเติม โปรดอ่านรายงานภัยคุกคามของโซฟอสปี 2024: Cybercrime on Main Street บนเว็บไซต์ Sophos.com

ข้อมูลเพิ่มเติม

การโจมตี LockBit ล่าสุด โดยใช้ประโยชน์จากช่องโหว่ ScreenConnect ใหม่

บทเรียนจากการกำจัด LockBit ล่าสุด

การเพิ่มขึ้นของการเข้ารหัสระยะไกลในกลุ่มแรนซัมแวร์

ผู้คุกคามโดยแรนซัมแวร์ที่แตกต่างกัน TTP และการวิจัยแรนซัมแวร์ล่าสุดของโซฟอส จาก Ransomware Threat Intelligence Center

วิธีการป้องกัน และต่อสู้กับภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในรายงาน 2023 Active Adversary Report for Security Practitioners

เวลาในการตรวจจับที่ลดลง และการเปลี่ยนแปลงพฤติกรรม และเทคนิคของผู้โจมตี จากรายงาน Active Adversary Report for Tech Leaders 2023

การเปลี่ยนแปลงพฤติกรรม เทคนิค และวิธีการของผู้โจมตี จากรายงาน 2023 Active Adversary Report for Business Leaders โดยอิงจากการวิเคราะห์การตอบสนองต่อเหตุการณ์ของ โซฟอส มากกว่า 150 เหตุการณ์

Sophos X-Ops และการวิจัยภัยคุกคาม สามารถติดตามผ่านช่องทาง Sophos X-Ops blogs

เกี่ยวกับ โซฟอส

โซฟอส เป็นผู้นำและผู้ริเริ่มโซลูชันความปลอดภัยทางไซเบอร์ขั้นสูงระดับโลก เช่น Managed Detection and Response (MDR) และบริการตอบสนองต่อเหตุการณ์การโจมตี รวมถึงกลุ่มผลิตภัณฑ์เทคโนโลยีความปลอดภัยปลายทาง เครือข่าย อีเมล และระบบคลาวด์ที่หลากหลาย ที่ช่วยให้องค์กรเอาชนะการโจมตีทางไซเบอร์ โดยในฐานะหนึ่งในผู้ให้บริการรักษาความปลอดภัยทางไซเบอร์รายใหญ่ที่สุด โซฟอสปกป้ององค์กรมากกว่า 500,000 แห่งและผู้ใช้มากกว่า 100 ล้านคนทั่วโลกจากผู้โจมตี แรนซัมแวร์ ฟิชชิ่ง มัลแวร์ และอื่นๆ อีกมากมาย บริการและผลิตภัณฑ์ของ โซฟอส เชื่อมต่อผ่านคอนโซลการจัดการ Sophos Central บนคลาวด์ และขับเคลื่อนโดย Sophos X-Ops ซึ่งเป็นหน่วยข่าวกรองภัยคุกคามข้ามโดเมนของบริษัท ความอัจฉริยะของ Sophos X-Ops ช่วยปรับระบบนิเวศความปลอดภัยทางไซเบอร์แบบ Adaptive Cybersecurity ของ โซฟอส ทั้งหมด ซึ่งรวมถึง Data Lake แบบรวมศูนย์ที่ใช้ประโยชน์จากชุด API แบบเปิดที่หลากหลายที่มีให้สำหรับลูกค้า คู่ค้า นักพัฒนา และผู้จำหน่ายความปลอดภัยทางไซเบอร์และเทคโนโลยีสารสนเทศอื่น ๆ นอกจากนี้ โซฟอส ให้บริการรักษาความปลอดภัยทางไซเบอร์แก่องค์กรที่ต้องการโซลูชันรักษาความปลอดภัยแบบครบวงจรที่มีการจัดการเต็มรูปแบบ ลูกค้ายังสามารถจัดการความปลอดภัยทางไซเบอร์ได้โดยตรงด้วยแพลตฟอร์มปฏิบัติการความปลอดภัยของ โซฟอส หรือใช้แนวทางแบบไฮบริดโดยเสริมทีมงานภายในองค์กรด้วยบริการของ โซฟอส รวมถึงการตามล่าและแก้ไขภัยคุกคามได้อีกด้วย ทั้งนี้ โซฟอส ให้บริการผ่านพันธมิตรผู้ค้าปลีกและผู้ให้บริการการจัดการ (MSP) ทั่วโลก โซฟอส มีสำนักงานใหญ่ในเมืองอ็อกซ์ฟอร์ด สหราชอาณาจักร ดูข้อมูลเพิ่มเติมได้ที่ www.sophos.com