รายงานภัยคุกคามของ Sophos 2024: ภัยคุกคามทางไซเบอร์ที่ธุรกิจ SMB ต้องเผชิญ

มัลแวร์ที่ขโมยข้อมูล และข้อมูลส่วนบุคคลเป็นภัยคุกคามสองอันดับแรกต่อธุรกิจ SMB ในปี 2023 ซึ่งคิดเป็นเกือบ 50% ของมัลแวร์ทั้งหมดที่ Sophos ตรวจพบในธุรกิจนี้

แรนซัมแวร์ยังคงเป็นภัยคุกคามที่ใหญ่ที่สุดสำหรับธุรกิจ SMB การโจมตีผ่านอีเมลธุรกิจมีจำนวนเพิ่มมากขึ้น พร้อมด้วยเทคนิคการหลอกลวง (Social Engineering) ที่ซับซ้อนยิ่งขึ้น

26 มีนาคม 2567 กรุงเทพฯ ประเทศไทย – โซฟอส (Sophos) บริษัทผู้นำด้านนวัตกรรม และการให้บริการความปลอดภัยไซเบอร์ เปิดรายงานสำรวจภัยคุกคามจากแรนซัมแวร์ ปี 2024 โดยรายงานในปีนี้มีรายละเอียดเกี่ยวกับ “Cybercrime on Main Street” และภัยคุกคามที่ใหญ่ที่สุดที่ธุรกิจขนาดเล็กและขนาดกลาง (SMBs*) กำลังเผชิญอยู่ ซึ่งตามรายงานในปี 2023 พบว่าการตรวจจับมัลแวร์เกือบ 50% สำหรับธุรกิจ SMB นั้นเกิดขึ้นในรูปแบบคีย์ล็อกเกอร์ สปายแวร์ และสตีลเลอร์ ซึ่งเป็นมัลแวร์ที่ผู้โจมตีใช้เพื่อขโมยข้อมูล และข้อมูลส่วนบุคคล โดยผู้โจมตีจะใช้ข้อมูลที่ขโมยมานี้เพื่อเข้าถึงจากระยะไกลโดยไม่ได้รับอนุญาต เพื่อขู่กรรโชกเหยื่อ ปล่อยแรนซัมแวร์ และอื่น ๆ อีกมากมาย

รายงานของโซฟอส ยังวิเคราะห์ Initial Access Brokers (IABs) ซึ่งเป็นอาชญากรที่เชี่ยวชาญในการเจาะเข้าสู่เครือข่ายคอมพิวเตอร์ ซึ่งรายงานพบว่า เหล่า IABs กำลังใช้ดาร์กเว็บ (Dark Web) เพื่อโฆษณาความสามารถ และการบริการของพวกเขาในการเจาะเข้าสู่เครือข่ายของธุรกิจ SMB โดยเฉพาะ หรือขายการเข้าถึง SMBs ที่พวกเขาได้เจาะระบบเรียบร้อยแล้ว

คริสโตเฟอร์ บัดด์ ผู้อำนวยการฝ่ายวิจัย Sophos X-Ops ของ โซฟอส กล่าวว่า “มูลค่าของ ‘ข้อมูล’ เป็นเหมือนเงินที่เพิ่มขึ้นแบบทวีคูณในหมู่อาชญากรไซเบอร์ โดยเฉพาะอย่างยิ่งในธุรกิจ SMB ซึ่งมักใช้หนึ่งเซอร์วิส หรือแอปพลิเคชันต่อหนึ่งฟังก์ชันสำหรับการดำเนินการทั้งหมด ตัวอย่างเช่น สมมุติว่าผู้โจมตีใช้การขโมยข้อมูล (infostealer) บนเครือข่ายของเป้าหมายเพื่อขโมยข้อมูลประจำตัว และนำรหัสผ่านที่ได้ไปใช้เข้าถึงบริษัทซอฟต์แวร์บัญชี ผู้โจมตีสามารถเข้าถึงข้อมูลทางการเงินของบริษัทเป้าหมาย และส่งโอนเงินเข้าสู่บัญชีของตนเอง จึงเป็นเหตุผลว่าทำไมว่า 90% ของการโจมตีทางไซเบอร์ทั้งหมดในรายงานของโซฟอส ปี 2023 ถึงเกี่ยวข้องกับการขโมยข้อมูล หรือข้อมูลส่วนบุคคล ไม่ว่าจะผ่านการโจมตีด้วยแรนซัมแวร์ การขู่กรรโชกข้อมูล การเข้าถึงระยะไกลโดยไม่ได้รับอนุญาต หรือการขโมยข้อมูลทั่วไป”

แรนซัมแวร์ ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB

แม้ว่าจำนวนการโจมตีด้วยแรนซัมแวร์ต่อธุรกิจ SMB นั้นค่อนข้างคงที่ แต่แรนซัมแวร์ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB ที่ไม่ควรมองข้าม ตัวอย่างเคสของธุรกิจ SMB ที่จัดการโดยหน่วยงานการตรวจจับ และวิเคราะห์ภัยคุกคามของโซฟอส (Sophos Incident Response: IR) ที่ทำหน้าที่ช่วยเหลือองค์กรในขณะที่การโจมตีที่เกิดขึ้น พบว่า LockBit ถือเป็นแก๊งแรนซัมแวร์อันดับต้นๆ ที่สร้างความหายนะให้แก่ธุรกิจ ตามมาด้วย Akira และ BlackCat เป็นอันดับสองและสามตามลำดับ จากรายงานพบว่าธุรกิจ SMB ยังเผชิญกับการโจมตีจากแรนซัมแวร์รุ่นเก่า และที่ไม่ค่อยมีคนรู้จัก เช่น BitLocker และ Crytox อีกด้วย

จากรายงานยังพบอีกว่าผู้ใช้แรนซัมแวร์ยังคงเปลี่ยนเทคนิคใช้แรนซัมแวร์อย่างต่อเนื่อง ซึ่งรวมถึงจากการเข้ารหัสระยะไกล และกำหนดเป้าหมายไปที่ผู้ให้บริการการจัดการ (Managed Service Providers: MSP) โดยระหว่างปี 2022 ถึง 2023 จำนวนการโจมตีแรนซัมแวร์ที่เกี่ยวข้องกับการเข้ารหัสระยะไกล ในรูปแบบที่ผู้โจมตีใช้อุปกรณ์ที่ไม่มีการควบคุม ทำการเข้ารหัสไฟล์บนระบบอื่นๆ ในเครือข่ายเพิ่มขึ้นถึง 62%

นอกจากนี้ในปีที่ผ่านมา ทีมตรวจจับและตอบสนองต่อการโจมตีทางไซเบอร์ (Managed Detection and Response: MDR) ของ โซฟอส ได้เข้าไปจัดการดูแล 5 เหตุการณ์ที่เกิดขึ้นกับธุรกิจขนาดเล็กโดยถูกโจมตีผ่านช่องโหว่ของ MSP ที่ใช้ซอฟต์แวร์การตรวจสอบ และการจัดการระยะไกล (Remote Monitoring and Management: RMM)

มีการโจมตีโดยวิธีการหลอกลวง (Social Engineering) รวมทั้งทางอีเมลธุรกิจ (BEC) เพิ่มมากขึ้น

นอกจากแรนซัมแวร์แล้ว การโจมตีโดยการหลอกลวงผ่านทางอีเมลธุรกิจ (BEC) ถือเป็นการโจมตีที่สูงเป็นอันดับสองที่ Sophos IR รับมือในปี 2566 ตามรายงานของโซฟอส

การโจมตีแบบ BEC และการหลอกลวงต่างๆ มีความซับซ้อนเพิ่มมากขึ้น แทนที่จะส่งอีเมลพร้อมไฟล์แนบที่เป็นอันตราย ผู้โจมตีมีแนวโน้มที่จะมีปฎิสัมพันธ์กับเป้าหมายมากขึ้นโดยการส่งอีเมลสนทนาตอบกลับไปมา หรือแม้แต่โทรหาเหยื่อ

ผู้โจมตีมีความพยายามที่จะหลบเลี่ยงการตรวจจับด้วยเครื่องมือป้องกันสแปมแบบดั้งเดิม โดยปัจจุบันผู้โจมตีกำลังทดลองใช้การโจมตีรูปแบบใหม่ ๆ ที่ประกอบด้วยเนื้อหาที่เป็นอันตราย การฝังรูปภาพที่มีโค้ดที่เป็นอันตราย หรือการส่งไฟล์แนบที่เป็นอันตรายใน OneNote หรือ archive formats ต่างๆ ยกตัวอย่างเหตุการณ์หนึ่งที่โซฟอสเข้าตรวจสอบ ผู้โจมตีได้ส่งเอกสาร PDF พร้อมภาพขนาดย่อของ “ใบแจ้งหนี้” ที่เบลอ และไม่สามารถอ่านได้ พร้อมปุ่มดาวน์โหลดโดยลิงก์ไปยังเว็บไซต์ที่เป็นอันตราย เป็นต้น

สำหรับรายละเอียดเชิงลึกเกี่ยวกับอาชญากรรมทางไซเบอร์ที่มุ่งเป้าไปยังธุรกิจ SMB เพิ่มเติม โปรดอ่านรายงานภัยคุกคามของโซฟอสปี 2024: Cybercrime on Main Street บนเว็บไซต์ Sophos.com

*ธุรกิจ SMB คือองค์กรที่มีพนักงานไม่เกิน 500 คน

# # #

ข้อมูลเพิ่มเติม

·          การโจมตี LockBit ล่าสุด โดยใช้ประโยชน์จากช่องโหว่ ScreenConnect ใหม่

·          บทเรียนจากการกำจัด LockBit ล่าสุด

·          การเพิ่มขึ้นของการเข้ารหัสระยะไกลในกลุ่มแรนซัมแวร์

·          ผู้คุกคามโดยแรนซัมแวร์ที่แตกต่างกัน TTP และการวิจัยแรนซัมแวร์ล่าสุดของโซฟอส จาก Ransomware Threat Intelligence Center

·          วิธีการป้องกัน และต่อสู้กับภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในรายงาน 2023 Active Adversary Report for Security Practitioners

·          เวลาในการตรวจจับที่ลดลง และการเปลี่ยนแปลงพฤติกรรม และเทคนิคของผู้โจมตี จากรายงาน Active Adversary Report for Tech Leaders 2023

·          การเปลี่ยนแปลงพฤติกรรม เทคนิค และวิธีการของผู้โจมตี จากรายงาน 2023 Active Adversary Report for Business Leaders โดยอิงจากการวิเคราะห์การตอบสนองต่อเหตุการณ์ของ โซฟอส มากกว่า 150 เหตุการณ์

·          Sophos X-Ops และการวิจัยภัยคุกคาม สามารถติดตามผ่านช่องทาง Sophos X-Ops blogs

เกี่ยวกับ โซฟอส

โซฟอส เป็นผู้นำและผู้ริเริ่มโซลูชันความปลอดภัยทางไซเบอร์ขั้นสูงระดับโลก เช่น Managed Detection and Response (MDR) และบริการตอบสนองต่อเหตุการณ์การโจมตี รวมถึงกลุ่มผลิตภัณฑ์เทคโนโลยีความปลอดภัยปลายทาง เครือข่าย อีเมล และระบบคลาวด์ที่หลากหลาย ที่ช่วยให้องค์กรเอาชนะการโจมตีทางไซเบอร์ โดยในฐานะหนึ่งในผู้ให้บริการรักษาความปลอดภัยทางไซเบอร์รายใหญ่ที่สุด โซฟอสปกป้ององค์กรมากกว่า 500,000 แห่งและผู้ใช้มากกว่า 100 ล้านคนทั่วโลกจากผู้โจมตี แรนซัมแวร์ ฟิชชิ่ง มัลแวร์ และอื่นๆ อีกมากมาย บริการและผลิตภัณฑ์ของ โซฟอส เชื่อมต่อผ่านคอนโซลการจัดการ Sophos Central บนคลาวด์ และขับเคลื่อนโดย Sophos X-Ops ซึ่งเป็นหน่วยข่าวกรองภัยคุกคามข้ามโดเมนของบริษัท ความอัจฉริยะของ Sophos X-Ops ช่วยปรับระบบนิเวศความปลอดภัยทางไซเบอร์แบบ Adaptive Cybersecurity ของ โซฟอส ทั้งหมด ซึ่งรวมถึง Data Lake แบบรวมศูนย์ที่ใช้ประโยชน์จากชุด API แบบเปิดที่หลากหลายที่มีให้สำหรับลูกค้า คู่ค้า นักพัฒนา และผู้จำหน่ายความปลอดภัยทางไซเบอร์และเทคโนโลยีสารสนเทศอื่น ๆ นอกจากนี้ โซฟอส ให้บริการรักษาความปลอดภัยทางไซเบอร์แก่องค์กรที่ต้องการโซลูชันรักษาความปลอดภัยแบบครบวงจรที่มีการจัดการเต็มรูปแบบ ลูกค้ายังสามารถจัดการความปลอดภัยทางไซเบอร์ได้โดยตรงด้วยแพลตฟอร์มปฏิบัติการความปลอดภัยของ โซฟอส หรือใช้แนวทางแบบไฮบริดโดยเสริมทีมงานภายในองค์กรด้วยบริการของ โซฟอส รวมถึงการตามล่าและแก้ไขภัยคุกคามได้อีกด้วย ทั้งนี้ โซฟอส ให้บริการผ่านพันธมิตรผู้ค้าปลีกและผู้ให้บริการการจัดการ (MSP) ทั่วโลก โซฟอส มีสำนักงานใหญ่ในเมืองอ็อกซ์ฟอร์ด สหราชอาณาจักร ดูข้อมูลเพิ่มเติมได้ที่ www.sophos.com