แคสเปอร์สกี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก ระบุว่าปี 2020 เป็นปีแห่ง “Ransomware 2.0” สำหรับภูมิภาคเอเชียแปซิฟิก (APAC) ผู้เชี่ยวชาญยังได้กล่าวถึงตระกูลแรนซัมแวร์ชื่อฉาวสองกลุ่ม คือ REvil และ JSWorm ที่จับจ้องเหยื่อในภูมิภาคโดยเฉพาะ
Ransomware 2.0 หมายถึงกลุ่มอาชญากรไซเบอร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกัน เป็นการขุดเจาะข้อมูลที่ควบคู่ไปกับการแบล็กเมล์ การโจมตีที่ประสบความสำเร็จนั้นรวมถึงการสูญเสียเงินจำนวนมาก และการสูญเสียชื่อเสียง ซึ่งเกือบทุกครั้งเป็น “การโจมตีด้วยแรนซัมแวร์ที่กำหนดเป้าหมาย” ทั้งสิ้น
นายอเล็กซี่ ชูลมิน หัวหน้านักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ กล่าวว่า “ปี 2020 เป็นปีที่มีประสิทธิผลมากที่สุดสำหรับตระกูลแรนซัมแวร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกันไปเป็นการฉกข้อมูลควบคู่ไปกับการแบล็กเมล์ ในภูมิภาคเอเชียแปซิฟิกนี้ เราสังเกตเห็นการเกิดขึ้นใหม่ที่น่าสนใจของกลุ่มอาชญากรไซเบอร์ที่มีการเคลื่อนไหวสูงสองกลุ่มคือ REvil และ JSWorm ทั้งสองกลุ่มนี้กลับมาปรากฏตัวอีกครั้งในช่วงการแพร่ของโรคระบาดในภูมิภาคเมื่อปีที่แล้ว และเราไม่เห็นสัญญาณว่าจะหยุดปฏิบัติการในเร็วๆ นี้”
REvil (หรือ Sodinokibi, Sodin)
เมื่อเดือนกรกฎาคม 2019 แคสเปอร์สกี้เขียนเกี่ยวกับแรนซัมแวร์ REvil เป็นครั้งแรก หรือที่เรียกว่า Sodinokibi และ Sodin กลุ่มอาชญากรไซเบอร์นี้เริ่มแพร่กระจายตัวเองผ่านช่องโหว่ของ Oracle Weblogic และดำเนินการโจมตีผู้ให้บริการ MSP
ในขณะที่กิจกรรมของ REvil พุ่งสูงสุดในเดือนสิงหาคมของปี 2019 โดยมีผู้ตกเป็นเหยื่อ 289 ราย แต่การตรวจวัดระยะไกลของแคสเปอร์สกี้พบการตรวจจับที่น้อยลงเรื่อยๆ แต่เมื่อเดือนมิถุนายน 2020 กลุ่มแรนซัมแวร์เร่งการโจมตีจากการกำหนดเป้าหมายผู้ใช้แคสเปอร์สกี้เพียง 44 รายทั่วโลก โซลูชั่นของแคสเปอร์สกี้ได้ปกป้องผู้ใช้ 877 รายในเดือนกรกฎาคมจากภัยคุกคามนี้ คิดเป็นการเพิ่มขึ้นสูงถึง 1893% ในช่วงเวลาเพียงหนึ่งเดือน
นอกจากนี้การตรวจสอบโดยผู้เชี่ยวชาญยังแสดงให้เห็นวิธีที่กลุ่มอาชญากรไซเบอร์นี้ได้กระจายอาวุธที่เป็นอันตรายจากภูมิภาคเอเชียแปซิฟิกไปยังภูมิภาคอื่นทั่วโลก
นายอเล็กซี่กล่าวเสริมว่า “ย้อนกลับไปในปี 2019 เหยื่อส่วนใหญ่มาจากเอเชียแปซิฟิกเท่านั้น โดยเฉพาะจากไต้หวัน ฮ่องกง และเกาหลีใต้ แต่เมื่อปีที่แล้ว แคสเปอร์สกี้ตรวจพบเหยื่อในเกือบทุกประเทศและดินแดน กล่าวได้ว่าในช่วง “เดือนแห่งความเงียบ” นั้น ผู้สร้าง REvil ได้ใช้เวลาในการปรับปรุงคลังแสง วิธีการกำหนดเป้าหมายเหยื่อ และการเข้าถึงเครือข่ายเหยื่อ”
ภาพแสดงการกระจายภูมิศาสตร์ของบริษัทและบุคคลในดินแดนต่างๆ ที่ถูกโจมตีโดยแรนซัมแวร์ REvil ในปี 2020
สิ่งหนึ่งที่ไม่เปลี่ยนแปลง ก็คือภูมิภาคเอเชียแปซิฟิกยังตกเป็นหนึ่งในเป้าหมายอันดับต้นๆ ของ REvil
จากจำนวนผู้ใช้แคสเปอร์สกี้ที่เกือบตกเป็นเหยื่อกำหนดเป้าหมายโดยกลุ่ม REvil นี้ 1,764 รายในปี 2020 พบว่าบริษัท 635 ราย (36%) มาจากภูมิภาคนี้ อย่างไรก็ตาม บราซิลมีผู้ใช้จำนวนมากที่สุดที่เกือบจะโดนภัยคุกคามนี้โจมตี ตามมาด้วยเวียดนาม แอฟริกาใต้ จีน และอินเดีย
จากข้อมูลที่เผยแพร่โดยผู้คุกคามบนไซต์เปิดเผยข้อมูลรั่วไหล ผู้เชี่ยวชาญของแคสเปอร์สกี้ยังสามารถแบ่งกลุ่มเป้าหมายออกเป็นประเภทอุตสาหกรรมทั่วไปได้หลายประเภท กลุ่มเป้าหมายที่ใหญ่ที่สุดคือวิศวกรรมและการผลิต (30%) ตามด้วยการเงิน (14%) และบริการทางวิชาชีพและผู้บริโภค (9%) กฎหมาย ไอที โทรคมนาคม และอาหารและเครื่องดื่มได้รับความสนใจเท่าๆ กันที่ 7%
JSWorm (หรือ Nemty, Nefilim, Offwhite, Fusion, Milihpen และอื่นๆ)
JSWorm เข้าสู่วงการแรนซัมแวร์ในปี 2019 เช่นเดียวกับ REvil อย่างไรก็ตามการกระจายทางภูมิศาสตร์ของเหยื่อรายแรกๆ มีความหลากหลายมากกว่า ในช่วงเดือนแรกมีการตรวจพบทั่วโลก ในอเมริกาเหนือและใต้ (บราซิล อาร์เจนตินา สหรัฐอเมริกา) ในตะวันออกกลางและแอฟริกา (แอฟริกาใต้ ตุรกี อิหร่าน) ในยุโรป (อิตาลี ฝรั่งเศส เยอรมนี) และในเอเชียแปซิฟิก (เวียดนาม)
จำนวนเหยื่อ JSWorm ค่อนข้างต่ำเมื่อเทียบกับ REvil แต่ชัดเจนว่าตระกูลแรนซัมแวร์นี้กำลังเร่งสร้างคะแนน โดยรวมแล้วโซลูชั่นของแคสเปอร์สกี้ได้บล็อกการพยายามโจมตีผู้ใช้ 230 รายทั่วโลก แต่ยังคงเพิ่มขึ้น 752% เมื่อเทียบกับผู้ใช้เพียง 27 รายในปี 2019 ที่เกือบจะโดนภัยคุกคามประเภทนี้โจมตี
ผู้เชี่ยวชาญจากแคสเปอร์สกี้สังเกตเห็นการเปลี่ยนความสนใจของกลุ่ม JSWorm ที่มีต่อภูมิภาคเอเชียแปซิฟิก จากข้อมูลของ KSN ผู้ใช้ในประเทศจีนเกือบจะถูกโจมตีมากที่สุด ตามมาด้วยสหรัฐอเมริกา เวียดนาม เม็กซิโก และรัสเซีย ผู้ใช้องค์กรและบุคคลจำนวนมากกว่าหนึ่งในสาม (39%) ที่กลุ่มนี้ตั้งเป้าหมายไว้เมื่อปีที่แล้วก็อยู่ในเอเชียแปซิฟิกเช่นกัน
ภาพแสดงการกระจายภูมิศาสตร์ของบริษัทและบุคคลในดินแดนต่างๆ ที่ถูกโจมตีโดยแรนซัมแวร์ JSWorm ในปี 2020
เป็นที่ชัดเจนว่าตระกูลแรนซัมแวร์นี้มีกลุ่มอุตสาหกรรมเป้าหมายเป็นโครงสร้างพื้นฐานที่และภาคส่วนสำคัญๆ ทั่วโลก การโจมตี JSWorm เกือบครึ่งหนึ่ง (41%) มีเป้าหมายโจมตีบริษัทด้านวิศวกรรมและอุตสาหกรรมการผลิต พลังงานและสาธารณูปโภค (10%) การเงิน (10%) บริการทางวิชาชีพและผู้บริโภค (10%) การขนส่ง (7%) และการดูแลสุขภาพ (7%) อยู่ในอันดับต้นๆ ของรายการด้วย โดยข้อมูลนี้อ้างอิงจากข้อมูลที่เผยแพร่โดยผู้คุกคามบนไซต์ข้อมูลรั่วไหล
ผู้เชี่ยวชาญของแคสเปอร์สกี้แนะนำองค์กรและเอ็นเทอร์ไพรซ์ให้ปฏิบัติดังนี้เพื่อป้องกันภัย Ransomware 2.0
- อัปเดตระบบปฏิบัติการและซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอ
- ฝึกอบรมพนักงานทุกคนเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ในขณะที่ทำงานจากระยะไกล
- ใช้เทคโนโลยีที่ปลอดภัยสำหรับการเชื่อมต่อระยะไกลเท่านั้น
- ดำเนินการประเมินความปลอดภัยบนเครือข่ายของคุณ
- ใช้โซลูชั่นการรักษาความปลอดภัยเอ็นด์พอยต์ด้วยการตรวจจับพฤติกรรมและการย้อนกลับไฟล์อัตโนมัติ เช่น Kaspersky Endpoint Security for Business
- ไม่ทำตามข้อเรียกร้องของอาชญากรไซเบอร์ อย่าต่อสู้เพียงลำพัง ควรติดต่อหน่วยงานบังคับใช้กฎหมาย หน่วยงาน CERT ผู้ให้บริการด้านความปลอดภัยเช่น แคสเปอร์สกี้
- ติดตามแนวโน้มล่าสุดผ่านการสมัครรับข้อมูลภัยคุกคามระดับพรีเมียม (threat intelligence) เช่น Kaspersky APT Intelligence Service
- รู้จักศัตรูของคุณ ระบุมัลแวร์ใหม่ที่ตรวจไม่พบด้วย Kaspersky Threat Attribution Engine
ข้อมูลเพิ่มเติมเกี่ยวกับ Ransomware 2.0