มัลแวร์ที่ขโมยข้อมูลและข้อมูลส่วนบุคคลเป็นภัยคุกคามสองอันดับแรกต่อธุรกิจ SMB ในปี 2023 ซึ่งคิดเป็นเกือบ 50% ของมัลแวร์ทั้งหมดที่ Sophosตรวจพบในธุรกิจนี้
แรนซัมแวร์ยังคงเป็นภัยคุกคามที่ใหญ่ที่สุดสำหรับธุรกิจ SMB การโจมตีผ่านอีเมลธุรกิจมีจำนวนเพิ่มมากขึ้นพร้อมด้วยเทคนิคการหลอกลวง (Social Engineering) ที่ซับซ้อนยิ่งขึ้น
มีนาคม 2567 กรุงเทพฯประเทศไทย –โซฟอส (Sophos) บริษัทผู้นำด้านนวัตกรรม และการให้บริการความปลอดภัยไซเบอร์เปิดรายงานสำรวจภัยคุกคามจากแรนซัมแวร์ปี 2024 โดยรายงานในปีนี้มีรายละเอียดเกี่ยวกับ“Cybercrime on Main Street”และภัยคุกคามที่ใหญ่ที่สุดที่ธุรกิจขนาดเล็กและขนาดกลาง (SMBs*) กำลังเผชิญอยู่ซึ่งตามรายงานในปี 2023 พบว่าการตรวจจับมัลแวร์เกือบ 50% สำหรับธุรกิจ SMB นั้นเกิดขึ้นในรูปแบบคีย์ล็อกเกอร์สปายแวร์และสตีลเลอร์ซึ่งเป็นมัลแวร์ที่ผู้โจมตีใช้เพื่อขโมยข้อมูลและข้อมูลส่วนบุคคลโดยผู้โจมตีจะใช้ข้อมูลที่ขโมยมานี้เพื่อเข้าถึงจากระยะไกลโดยไม่ได้รับอนุญาตเพื่อขู่กรรโชกเหยื่อปล่อยแรนซัมแวร์และอื่นๆอีกมากมาย
รายงานของโซฟอสยังวิเคราะห์ Initial Access Brokers (IABs) ซึ่งเป็นอาชญากรที่เชี่ยวชาญในการเจาะเข้าสู่เครือข่ายคอมพิวเตอร์ซึ่งรายงานพบว่าเหล่า IABs กำลังใช้ดาร์กเว็บ (Dark Web) เพื่อโฆษณาความสามารถและการบริการของพวกเขาในการเจาะเข้าสู่เครือข่ายของธุรกิจ SMB โดยเฉพาะหรือขายการเข้าถึง SMBs ที่พวกเขาได้เจาะระบบเรียบร้อยแล้ว
คำอธิบายภาพ: Sophos X-Ops พบตัวอย่างการโพสต์โฆษณาในดาร์กเว็บที่สามารถเข้าถึงบริษัทบัญชีขนาดเล็กในสหรัฐฯรวมถึงตัวอย่างเพิ่มเติมของโฆษณาในฟอรัมอาชญากรทางไซเบอร์ที่กำหนดเป้าหมายธุรกิจ SMB ตามกลุ่มอุตสาหกรรมและประเทศจากรายงานภัยคุกคามของโซฟอสประจำปี 2024
คริสโตเฟอร์บัดด์ผู้อำนวยการฝ่ายวิจัย Sophos X-Ops ของโซฟอสกล่าวว่า “มูลค่าของ ‘ข้อมูล’ เป็นเหมือนเงินที่เพิ่มขึ้นแบบทวีคูณในหมู่อาชญากรไซเบอร์โดยเฉพาะอย่างยิ่งในธุรกิจ SMB ซึ่งมักใช้หนึ่งเซอร์วิสหรือแอปพลิเคชันต่อหนึ่งฟังก์ชันสำหรับการดำเนินการทั้งหมดตัวอย่างเช่นสมมุติว่าผู้โจมตีใช้การขโมยข้อมูล(infostealer) บนเครือข่ายของเป้าหมายเพื่อขโมยข้อมูลประจำตัวและนำรหัสผ่านที่ได้ไปใช้เข้าถึงบริษัทซอฟต์แวร์บัญชีผู้โจมตีสามารถเข้าถึงข้อมูลทางการเงินของบริษัทเป้าหมายและส่งโอนเงินเข้าสู่บัญชีของตนเองจึงเป็นเหตุผลว่าทำไมว่า 90% ของการโจมตีทางไซเบอร์ทั้งหมดในรายงานของโซฟอสปี 2023 ถึงเกี่ยวข้องกับการขโมยข้อมูลหรือข้อมูลส่วนบุคคลไม่ว่าจะผ่านการโจมตีด้วยแรนซัมแวร์การขู่กรรโชกข้อมูลการเข้าถึงระยะไกลโดยไม่ได้รับอนุญาตหรือการขโมยข้อมูลทั่วไป”
แรนซัมแวร์ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB
แม้ว่าจำนวนการโจมตีด้วยแรนซัมแวร์ต่อธุรกิจ SMB นั้นค่อนข้างคงที่แต่แรนซัมแวร์ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดสำหรับธุรกิจ SMB ที่ไม่ควรมองข้ามตัวอย่างเคสของธุรกิจ SMB ที่จัดการโดยหน่วยงานการตรวจจับและวิเคราะห์ภัยคุกคามของโซฟอส (Sophos Incident Response: IR)ที่ทำหน้าที่ช่วยเหลือองค์กรในขณะที่การโจมตีที่เกิดขึ้นพบว่าLockBitถือเป็นแก๊งแรนซัมแวร์อันดับต้นๆที่สร้างความหายนะให้แก่ธุรกิจตามมาด้วยAkiraและBlackCatเป็นอันดับสองและสามตามลำดับจากรายงานพบว่าธุรกิจ SMB ยังเผชิญกับการโจมตีจากแรนซัมแวร์รุ่นเก่าและที่ไม่ค่อยมีคนรู้จักเช่น BitLocker และ Crytox อีกด้วย
จากรายงานยังพบอีกว่าผู้ใช้แรนซัมแวร์ยังคงเปลี่ยนเทคนิคใช้แรนซัมแวร์อย่างต่อเนื่องซึ่งรวมถึงจากการเข้ารหัสระยะไกลและกำหนดเป้าหมายไปที่ผู้ให้บริการการจัดการ (Managed Service Providers: MSP) โดยระหว่างปี 2022 ถึง 2023 จำนวนการโจมตีแรนซัมแวร์ที่เกี่ยวข้องกับการเข้ารหัสระยะไกลในรูปแบบที่ผู้โจมตีใช้อุปกรณ์ที่ไม่มีการควบคุม ทำการเข้ารหัสไฟล์บนระบบอื่นๆ ในเครือข่ายเพิ่มขึ้นถึง 62%
นอกจากนี้ในปีที่ผ่านมาทีมตรวจจับและตอบสนองต่อการโจมตีทางไซเบอร์ (Managed Detection and Response: MDR)ของโซฟอสได้เข้าไปจัดการดูแล 5 เหตุการณ์ที่เกิดขึ้นกับธุรกิจขนาดเล็กโดยถูกโจมตีผ่านช่องโหว่ของ MSP ที่ใช้ซอฟต์แวร์การตรวจสอบและการจัดการระยะไกล (Remote Monitoring and Management: RMM)
มีการโจมตีโดยวิธีการหลอกลวง (Social Engineering) รวมทั้งทางอีเมลธุรกิจ (BEC) เพิ่มมากขึ้น
นอกจากแรนซัมแวร์แล้วการโจมตีโดยการหลอกลวงผ่านทางอีเมลธุรกิจ (BEC) ถือเป็นการโจมตีที่สูงเป็นอันดับสองที่ Sophos IR รับมือในปี 2566 ตามรายงานของโซฟอส
การโจมตีแบบ BEC และการหลอกลวงต่างๆ มีความซับซ้อนเพิ่มมากขึ้นแทนที่จะส่งอีเมลพร้อมไฟล์แนบที่เป็นอันตรายผู้โจมตีมีแนวโน้มที่จะมีปฎิสัมพันธ์กับเป้าหมายมากขึ้นโดยการส่งอีเมลสนทนาตอบกลับไปมาหรือแม้แต่โทรหาเหยื่อ
ผู้โจมตีมีความพยายามที่จะหลบเลี่ยงการตรวจจับด้วยเครื่องมือป้องกันสแปมแบบดั้งเดิมโดยปัจจุบันผู้โจมตีกำลังทดลองใช้การโจมตีรูปแบบใหม่ๆที่ประกอบด้วยเนื้อหาที่เป็นอันตรายการฝังรูปภาพที่มีโค้ดที่เป็นอันตรายหรือการส่งไฟล์แนบที่เป็นอันตรายในOneNoteหรือarchive formatsต่างๆยกตัวอย่างเหตุการณ์หนึ่งที่โซฟอสเข้าตรวจสอบผู้โจมตีได้ส่งเอกสาร PDF พร้อมภาพขนาดย่อของ “ใบแจ้งหนี้” ที่เบลอและไม่สามารถอ่านได้พร้อมปุ่มดาวน์โหลดโดยลิงก์ไปยังเว็บไซต์ที่เป็นอันตรายเป็นต้น
สำหรับรายละเอียดเชิงลึกเกี่ยวกับอาชญากรรมทางไซเบอร์ที่มุ่งเป้าไปยังธุรกิจ SMB เพิ่มเติมโปรดอ่านรายงานภัยคุกคามของโซฟอสปี 2024: Cybercrime on Main Streetบนเว็บไซต์ Sophos.com
*ธุรกิจ SMB คือองค์กรที่มีพนักงานไม่เกิน 500 คน
