เทรนด์ไมโคร เตือนภัย Nefilim แรนซัมแวร์เก่งรีดไถ เป้าหมายโจมตีเหยื่อองค์กรระดับหมื่นล้าน

Trend Micro Incorporated ผู้นำด้านการรักษาความปลอดภัยไซเบอร์ เปิดเผยรายงานการศึกษาเกี่ยวกับแรนซัมแวร์ในตระกูล Nefilim โดยให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการโจมตีของแรนซัมแวร์ยุคใหม่ ซึ่งเป็นข้อมูลที่เจาะลึกถึงพัฒนาการในการโจมตีของแรนซัมแวร์กลุ่มนี้ว่าหลุดรอดการตรวจจับไปได้อย่างไร อีกทั้งยังอธิบายว่าแพลตฟอร์มในการตรวจจับและตอบสนองภัยคุกคามอัจฉริยะนั้นจะช่วยหยุดการคุกคามนี้ได้อย่างไร

เทรนด์ไมโคร เตือนภัย Nefilim แรนซัมแวร์เก่งรีดไถ เป้าหมายโจมตีเหยื่อองค์กรระดับหมื่นล้าน

แนวทางของแรนซัมแวร์ยุคใหม่ในตระกูลนี้ ทำให้ตรวจจับและตอบโต้ได้ยากมากขึ้นสำหรับทีมศูนย์รักษาความปลอดภัยและทีมดูแลความปลอดภัยระบบไอทีที่มีงานล้นมืออยู่แล้ว ซึ่งเรื่องนี้นอกจากจะกระทบถึงรายได้และชื่อเสียงขององค์กรแล้ว ยังรวมถึงสวัสดิภาพของทีมงานที่ดูแลเรื่องรักษาความปลอดภัยด้วยเช่นกัน

ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า "แรนซัมแวร์ยุคใหม่จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูงอย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูลและปิดล็อคการทำงานของระบบสำคัญๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง"

"ประเทศไทยเอง ก็เป็นหนึ่งในประเทศอาเซียนที่มีสถิติการโจมตีด้วยแรนซัมแวร์สูงเป็นอันดับต้น และเราก็ได้เห็นข่าวการโจมตีด้วยแรนซัมแวร์มาเรื่อยๆ เช่นกัน รวมถึงการโจมตีที่เกิดขึ้นกับสื่อบนยูทูปล่าสุด โดยรายงานฉบับล่าสุดของเรา จะช่วยให้ใครก็ตามที่อยู่ในอุตสาหกรรม ที่อยากเข้าใจถึงมุมมองจากภายในของระบบเศรษฐกิจใต้ดินดังกล่าวที่เติบโตอย่างรวดเร็วว่ามีที่มาที่ไปอย่างไร และโซลูชันระบบรักษาความปลอดภัยไซเบอร์อย่าง Trend Micro Vision One จะช่วยผู้คนรับมือกับเรื่องนี้ได้อย่างไร" ปิยธิดา กล่าวเสริม

จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลาตั้งแต่เดือนมีนาคม 2563 - มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์

อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด

ในรายงานยังเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบและขั้นตอนการโจมตีดังต่อไปนี้

  • เริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ
  • เมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำให้ไม่สามารถใช้งานได้
  • ระบบจะถูกตั้งการทำงานให้ "แจ้งเตือน" กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS
  • ใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี
  • มีการถ่ายเทข้อมูลและนำไปโพสต์บนเว็บไซต์เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว
  • หลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง

ก่อนหน้านี้ เทรนด์ไมโครได้มีการออกคำเตือนถึงการนำเอาเครื่องมือบางตัวมาใช้อย่างแพร่หลาย เช่น AdFind, Cobalt Strike, Mimikatz, Process Hacker, PsExec และ MegaSync ซึ่งช่วยให้ผู้โจมตีด้วยแรนซัมแวร์ สามารถบรรลุเป้าหมายการโจมตีได้ในขณะที่ยังคงซ่อนตัวอยู่ ซึ่งพฤติกรรมนี้สร้างความท้าทายให้กับทีมดูแลงานรักษาความปลอดภัยไซเบอร์ในแง่ของการวิเคราะห์บันทึกข้อมูลเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจากส่วนต่างๆ ในสภาพแวดล้อมเพื่อให้เห็นจุดที่โดนโจมตีในภาพรวมที่กว้างขึ้น

Trend Micro Vision One จะตรวจสอบและเชื่อมโยงพฤติกรรมที่น่าสงสัยที่เกิดขึ้นในหลากหลายเลเยอร์ ไม่ว่าจะเป็น อุปกรณ์ปลายทาง อีเมล เซิร์ฟเวอร์ และการใช้งานบนคลาวด์ เพื่อให้แน่ใจว่าไม่มีพื้นที่ซ่อนตัวสำหรับผู้โจมตี ทำให้ดำเนินการตอบสนองได้ทันต่อเหตุการณ์และสามารถหยุดการโจมตีได้ก่อนที่ผู้บุกรุกจะมีโอกาสสร้างผลกระทบร้ายแรงต่อองค์กร


ข่าวTrend Micro Incorporated+รักษาความปลอดภัยวันนี้

"เทรนด์ไมโคร" เปิดตัวนวัตกรรมใหม่เพื่อการรักษาความปลอดภัยบนคลาวด์

การติดตั้งใช้งานเพียงครั้งเดียวที่สามารถเพิ่มการมองเห็นและการป้องกันสำหรับบัญชี AWS ภายในเวลาไม่กี่นาที เทรนด์ไมโคร อินคอร์ปอเรเต็ด (Trend Micro Incorporated) (TYO: 4704; TSE: 4704) ผู้นำด้านการรักษาความปลอดภัยทางไซเบอร์ระดับโลก ประกาศเปิดตัวโมเดลการปรับใช้การป้องกันรูปแบบใหม่ "เทรนด์ไมโคร คลาวด์ เซ็นทรี" (Trend Micro Cloud Sentry) มอบคุณค่าสูงสุดให้แก่ทีมงานด้านความปลอดภัยและทีมนักพัฒนา ใช้โซลูชันของเทรนด์ไมโครในการระบุภัยคุกคามภายในเวลาหลักนาที และส่งมอบผลการตรวจสอบด้านความปลอดภัยโดย

Trend Micro Successfully Concluded Risk to Resilience World Tour in Singapore, Manila and Ho Chi Minh City, Bringing Attack Surface Risk Management to Reality

Cybersecurity leader reaches out to most geographically diverse customer base in the industry to build resilience against cyber threats Trend...

Cloud Security Usability to Skyrocket with New Trend Micro Innovation

Single deployment adds visibility and guided protection for AWS accounts in minutes Trend Micro Incorporated (TYO: 4704; TSE: 4704), a global cybersecurity leader, today announced a new protection deployment model, Trend Micro...

Deep Security(TM) Smart Check identifies ... Trend Micro Extends Container Security Solution to Work at the Speed of DevOps — Deep Security(TM) Smart Check identifies security issues prior to deploym...

Trend Micro Achieves Perfect Score of 100 Percent Breach Detection in 2017 Recommended four consecutive years by NSS Labs

The need for strong and reliable threat defense is critical to everyday operations and becomes more important as high profile attacks continue to increase. Trend Micro...