เตือนภัย Nefilim แรนซัมแวร์เก่งรีดไถ เป้าหมายโจมตีเหยื่อองค์กรระดับหมื่นล้าน
Trend Micro Incorporated ผู้นำด้านการรักษาความปลอดภัยไซเบอร์ เปิดเผยรายงานการศึกษาเกี่ยวกับแรนซัมแวร์ในตระกูล Nefilim โดยให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการโจมตีของแรนซัมแวร์ยุคใหม่ ซึ่งเป็นข้อมูลที่เจาะลึกถึงพัฒนาการในการโจมตีของแรนซัมแวร์กลุ่มนี้ว่าหลุดรอดการตรวจจับไปได้อย่างไร อีกทั้งยังอธิบายว่าแพลตฟอร์มในการตรวจจับและตอบสนองภัยคุกคามอัจฉริยะนั้นจะช่วยหยุดการคุกคามนี้ได้อย่างไร
แนวทางของแรนซัมแวร์ยุคใหม่ในตระกูลนี้ ทำให้ตรวจจับและตอบโต้ได้ยากมากขึ้นสำหรับทีมศูนย์รักษาความปลอดภัยและทีมดูแลความปลอดภัยระบบไอทีที่มีงานล้นมืออยู่แล้ว ซึ่งเรื่องนี้นอกจากจะกระทบถึงรายได้และชื่อเสียงขององค์กรแล้ว ยังรวมถึงสวัสดิภาพของทีมงานที่ดูแลเรื่องรักษาความปลอดภัยด้วยเช่นกัน
ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า “แรนซัมแวร์ยุคใหม่จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูงอย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูลและปิดล็อคการทำงานของระบบสำคัญๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง”
“ประเทศไทยเอง ก็เป็นหนึ่งในประเทศอาเซียนที่มีสถิติการโจมตีด้วยแรนซัมแวร์สูงเป็นอันดับต้น และเราก็ได้เห็นข่าวการโจมตีด้วยแรนซัมแวร์มาเรื่อยๆ เช่นกัน รวมถึงการโจมตีที่เกิดขึ้นกับสื่อบนยูทูปล่าสุด โดยรายงานฉบับล่าสุดของเรา จะช่วยให้ใครก็ตามที่อยู่ในอุตสาหกรรม ที่อยากเข้าใจถึงมุมมองจากภายในของระบบเศรษฐกิจใต้ดินดังกล่าวที่เติบโตอย่างรวดเร็วว่ามีที่มาที่ไปอย่างไร และโซลูชันระบบรักษาความปลอดภัยไซเบอร์อย่าง Trend Micro Vision One จะช่วยผู้คนรับมือกับเรื่องนี้ได้อย่างไร” ปิยธิดา กล่าวเสริม
จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลาตั้งแต่เดือนมีนาคม 2563 - มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์
อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด
ในรายงานยังเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบและขั้นตอนการโจมตีดังต่อไปนี้
- เริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ
- เมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำให้ไม่สามารถใช้งานได้
- ระบบจะถูกตั้งการทำงานให้ “แจ้งเตือน” กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS
- ใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี
- มีการถ่ายเทข้อมูลและนำไปโพสต์บนเว็บไซต์เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว
- หลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง
ก่อนหน้านี้ เทรนด์ไมโครได้มีการออกคำเตือนถึงการนำเอาเครื่องมือบางตัวมาใช้อย่างแพร่หลาย เช่น AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec และ MegaSync ซึ่งช่วยให้ผู้โจมตีด้วยแรนซัมแวร์ สามารถบรรลุเป้าหมายการโจมตีได้ในขณะที่ยังคงซ่อนตัวอยู่ ซึ่งพฤติกรรมนี้สร้างความท้าทายให้กับทีมดูแลงานรักษาความปลอดภัยไซเบอร์ในแง่ของการวิเคราะห์บันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจากส่วนต่างๆ ในสภาพแวดล้อมเพื่อให้เห็นจุดที่โดนโจมตีในภาพรวมที่กว้างขึ้น
Trend Micro Vision One จะตรวจสอบและเชื่อมโยงพฤติกรรมที่น่าสงสัยที่เกิดขึ้นในหลากหลายเลเยอร์ ไม่ว่าจะเป็น อุปกรณ์ปลายทาง อีเมล เซิร์ฟเวอร์ และการใช้งานบนคลาวด์ เพื่อให้แน่ใจว่าไม่มีพื้นที่ซ่อนตัวสำหรับผู้โจมตี ทำให้ดำเนินการตอบสนองได้ทันต่อเหตุการณ์และสามารถหยุดการโจมตีได้ก่อนที่ผู้บุกรุกจะมีโอกาสสร้างผลกระทบร้ายแรงต่อองค์กร
ที่มา:
ไอทีจีเนียส เอ็นจิเนียริ่ง (IT Genius Engineering) ให้บริการด้านไอทีครบวงจร ทั้งงานด้านการอบรม (Training) สัมมนา รับงานเขียนโปรแกรม เว็บไซต์ แอพพลิเคชั่น งานออกแบบกราฟิก และงานด้าน E-Marketing ที่กำลังได้รับความนิยมในปัจจุบัน ทั้ง SEO , PPC , และ Social media marketting
ติดต่อเราเพื่อสอบถามผลิตภัณฑ์ ขอราคา หรือปรึกษาเรื่องไอที ได้เลยค่ะ
Line : @itgenius (มี @ ด้านหน้า) หรือ https://lin.ee/xoFlBFeFacebook : https://www.facebook.com/itgeniusonline
Tel : 02-570-8449 มือถือ 088-807-9770 และ 092-841-7931
Email : contact@itgenius.co.th
แนะนำหลักสูตรอบรมที่น่าสนใจ
การใช้งานโปรแกรม PowToon
PowToon เป็น Application ที่ใช้สร้าง Video และ Presentation ที่มีเอกลักษณ์แตกต่าง...
PostgreSQL for Administration
PostgreSQL เรียกได้ว่าเป็นระบบการจัดการฐานข้อมูลเชิงวัตถุ-สัมพันธ์ (object-relational)...
Exchange Server 2019/2023 Administration
This course provides the knowledge and skills to configure and manage an Exchange Serve...
Basic Crystal Reports 2014 พื้นฐาน
SAP Crystal Reports2013 (Crystal Reports) isdesignedto work withyourdatabasetohelpyouan...
PHP 7 New Features สิ่งใหม่ใน PHP 7
PHP เป็นหนึ่งในภาษาสำหรับพัฒนาเว็บแอพพลิเคชั่น ที่ได้รับความนิยมมาอย่างยาวนาน โดยปัจจุบ...
คำค้นหา : เตือนภัย nefilimtrend micro incorporatedความปลอดภัยไซเบอร์แรนซัมแวร์ระบบไอทีระบบเศรษฐกิจtrend micro vision onecontidoppelpaymeregregorrevilการขโมยข้อมูลบนออนไลน์บริการ rdpบริการ httpransomware payloadadfindcobalt strikemimikatzprocess hackerpsexecmegasync