Threat Intelligence ช่วยคาดการณ์ การโจมตีของ แรนซัมแวร์
ปัจจุบันแรนซัมแวร์ (Ransomware) คือการโจมตีที่น่ากลัวที่สุด จากการสำรวจมีเพิ่มขึ้นถึง 29% ในไตรมาสที่ 1 ของปี 2567 เมื่อเทียบกับปี 2566 และมีมัลแวร์ใหม่ที่ใช้โจมตีทางไซเบอร์เพิ่มขึ้น 40%
แรนซัมแวร์เป็น 1 ใน 3 ของแนวทางการโจมตีที่พบบ่อยที่สุดซึ่งกำหนดเป้าหมายเป็นองค์กร ควบคู่ไปกับการโจมตีแบบฟิชชิ่งและการโจมตีไซเบอร์-กายภาพ และแฮกเกอร์ยังคงพัฒนาโมเดลและสร้างเครือข่ายเพื่อขยายกลุ่มแรนซัมแวร์ให้เพิ่มมากขึ้น
สำหรับเทรนด์แรนซัมแวร์ที่น่าจับตามองในแง่ของวิธีการที่ใช้เลือกเป้าหมายโจมตีคือ การกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานและห่วงโซ่อุปทานที่สำคัญมากขึ้นทำให้เกิดการหยุดชะงักในวงกว้าง
ด้วยการขยายโมเดล RaaS (Ransomware-as-a-Service) ทำให้สามารถใช้แรนซัมแวร์โจมตีได้ง่ายโดยไม่ต้องมีความเชี่ยวชาญด้านเทคนิค การขโมยข้อมูลที่มากขึ้นเพื่อกดดันให้เหยื่อต้องจ่ายค่าไถ่เพิ่มมากขึ้น และการเพิ่มขึ้นของบริการแรนซัมแวร์ให้เช่า (Ransomware-for-Hire Service) โดยแฮกเกอร์จะคิดค่าธรรมเนียมแก่ผู้ที่สนใจงาน
เมื่อเดือนมิ.ย.ที่ผ่านมา มีกรณีที่ CDK Global ซึ่งเป็นผู้จัดจำหน่าย SaaS (Software-as-a-Service) รายใหญ่ที่ใช้ดูแลระบบจัดการบริหารตัวแทนจำหน่ายรถยนต์ DMS (Dealer Management Software) ให้กับผู้ค้าปลีกรถยนต์ในสหรัฐอเมริกาและแคนาดา
โดย DMS ช่วยให้ตัวแทนจำหน่ายรถยนต์สามารถดำเนินการเกี่ยวกับเงินเดือน สินค้าคงคลัง ลูกค้าและสำนักงาน อีกทั้งผู้ค้าปลีกรถยนต์สามารถใช้ซอฟต์แวร์เพื่อเพิ่มมูลค่าให้กับธุรกิจโดยการรวมตัวเลือกทางการเงินและการประกันภัยให้กับลูกค้า
CDK ถูกแก๊งแฮกเกอร์ในนาม BlackSuit ก่อเหตุแรนซัมแวร์ทำให้บริษัทต้องปิดซอฟต์แวร์ DMS ลงซึ่งส่งผลกระทบต่อผู้ค้าปลีกรถยนต์กว่า 15,000 ราย ทำให้เกิดความล่าช้าในการส่งมอบรถยนต์ให้กับลูกค้าและชิ้นส่วนเพื่อใช้ในการซ่อมแซม ซึ่งแก๊งนี้ได้เรียกเงินหลายสิบล้านดอลลาร์เพื่อยุติการโจมตีนี่เป็นเพียงหนึ่งในตัวอย่างการโจมตี Ransomware ที่เกิดขึ้น
สิ่งที่จะสามารถช่วยให้องค์กรปลอดภัยจากภัยคุกคามทางไซเบอร์คือการมีแนวทางด้านความปลอดภัยทางไซเบอร์ที่ดีเพราะหลายองค์กรมักจะคิดว่า เรื่องเหล่านี้เป็นสิ่งที่ไม่น่าจะเกิดขึ้นกับองค์กรของตนเองทำให้เกิดความชะล่าใจและนำไปสู่การถูกคุกคามในที่สุด
ดังนั้นข้อมูลภัยคุกคามจึงเป็นตัวช่วยให้ทีมรักษาความปลอดภัยสามารถรวบรวม ตรวจสอบ และประมวลผลข้อมูลเกี่ยวกับภัยคุกคามที่อาจเกิดขึ้นต่อความปลอดภัยขององค์กร อย่างข้อมูลที่รวบรวมจาก ข่าวกรองภัยคุกคาม (Threat Intelligence)
ประกอบด้วย รายละเอียดเกี่ยวกับแผนการโจมตีทางไซเบอร์ วิธีการ กลุ่มแฮกเกอร์ที่ก่อเหตุ จุดอ่อนที่เป็นไปได้ภายในโครงสร้างพื้นฐานด้านความปลอดภัยขององค์กร และอื่นๆ ที่เกี่ยวข้อง ด้วยการรวบรวมข้อมูลและดำเนินการวิเคราะห์ข้อมูล เครื่องมือข่าวกรองภัยคุกคามสามารถช่วยให้องค์กรระบุ ทำความเข้าใจ และป้องกันการโจมตีในเชิงรุกได้
โดยข้อมูลภัยคุกคามสามารถช่วยขัดขวางการโจมตีก่อนที่จะเกิดขึ้นและเพิ่มความแข็งแกร่งให้กับโครงสร้างพื้นฐานด้านความปลอดภัยขององค์กร หมายความว่านักวิเคราะห์ความปลอดภัยสามารถใช้ข้อมูลภัยคุกคามเพื่อเช็คและค้นหาแฮกเกอร์ที่กำลังวางแผนหรือโจมตีแรนซัมแวร์อยู่
นอกจากนี้ข้อมูลภัยคุกคามทำให้กระบวนการป้องกันนั้นง่ายขึ้น โดยเฉพาะอย่างยิ่งเมื่อต้องเผชิญกับการโจมตีซ้ำๆ ที่คล้ายกันกับองค์กรอื่น
แพลตฟอร์มข่าวกรองภัยคุกคามยังสามารถใช้แมชีนเลิร์นนิงการประมวลผลแบบอัตโนมัติ และ AI เพื่อระบุการเกิดการละเมิดทางไซเบอร์ที่เฉพาะเจาะจงและจัดทำตัวอย่างพฤติกรรมการโจมตีที่เกิดขึ้น
เช่น นักวิเคราะห์สามารถจดจำกลยุทธ์ เทคนิค และขั้นตอนทั่วไปที่ใช้แรนซัมแวร์โจมตีได้อย่างง่ายดาย ด้วยการระบุวิธีการโจมตีทั่วไป องค์กรต่างๆ จึงสามารถเตรียมการรับมือได้ดียิ่งขึ้นและทีมรักษาความปลอดภัยภายในก็สามารถตรวจสอบภัยคุกคามและปิดการโจมตีที่อาจสร้างความเสียหายจำนวนมหาศาลให้กับองค์กรได้
ท้ายที่สุดแล้ว การป้องกันแรนซัมแวร์จำเป็นต้องดำเนินการเชิงรุกและใช้ข้อมูลจากภายนอกองค์กรอย่างข่าวกรองภัยคุกคามร่วมด้วยเพื่อปกป้องระบบให้มีความปลอดภัยและลดผลกระทบหากมีการละเมิดเกิดขึ้น เพราะหากแรนซัมแวร์เข้ายึดระบบเครือข่ายได้แล้ว องค์กรของคุณก็จะกลายเป็นเหยื่อของแรนซัมแวร์รายล่าสุดครับ