โจ เลวี่ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของโซฟอส ระบุในรายงานภัยคุกคาม 2019 Threat Report ของ SophosLabs ว่า "ลักษณะของภัยคุกคามกำลังจะเปลี่ยนไปอย่างแน่นอน ด้วยอาชญากรไซเบอร์ที่มีทักษะความชำนาญน้อยกำลังถูกบีบให้ออกจากวงจรนี้ เหลือแต่พวกที่มีทักษะเป็นเลิศเท่านั้น ที่จะพัฒนาตัวเองจนอยู่รอดและท้ายที่สุดจะเหลืออยู่เพียงน้อยนิด แต่พวกนี้จะเป็นศัตรูตัวฉกาจที่ทั้งฉลาดและเข้มแข็งมากขึ้น อาชญากรไซเบอร์รุ่นใหม่เหล่านี้เป็นการผสมข้ามสายพันธุ์อย่างมีประสิทธิภาพของกลุ่มนักโจมตีแบบระบุเป้าหมายที่เดิมที่ยังไม่ค่อยเป็นที่รู้จัก และคอยเป็นผู้ส่งสารให้กับบรรดามัลแวร์ที่พัฒนามาเพื่อใช้ในวัตถุประสงค์เฉพาะ โดยใช้เทคนิคการแฮกแบบลงมือด้วยตัวเอง (manual) ไม่ใช่เพื่อการจารกรรมหรือการก่อวินาศกรรม แต่มุ่งหวังจะรักษารายได้จากการทุจริตของพวกเขาไว้ต่อไป"
รายงานภัยคุกคาม 2019 Threat Report ของ SophosLabs มุ่งความสนใจไปที่พฤติกรรมการก่ออาชญากรรมและการโจมตีทางไซเบอร์หลักๆ ดังต่อไปนี้:
ในปี 2018 พบพัฒนาการของการโจมตีด้วย ransomware แบบกำหนดเป้าหมายชัดเจนและผู้โจมตีลงมือเอง ซึ่งสร้างรายได้จำนวนมหาศาลให้แก่อาชญากรไซเบอร์ การโจมตีเหล่านี้แตกต่างจากการโจมตีแบบ "spray and pray" ที่หว่านแหโดยใช้ระบบอัตโนมัติไปยังอีเมล์นับล้านๆ อีเมล์ โดย ransomware ที่เจาะจงเป้าหมายจะสร้างความเสียหายมากกว่าแบบที่ส่งมาจากบอท เนื่องจากผู้โจมตีที่เป็นคนสามารถค้นหาและสะกดรอยตามเหยื่อ ซึ่งคนจะสามารถแก้ปัญหาเพื่อเอาชนะสิ่งกีดขวาง แล้วทำลายล้างระบบสำรองข้อมูลเพื่อให้เหยื่อจำเป็นต้องจ่ายค่าไถ่ "รูปแบบการโจมตีแบบ interactive" เช่นนี้ ซึ่งศัตรูกระทำการด้วยตนเองผ่านเครือข่ายแบบเป็นขั้นเป็นรูปแบบกำลังได้รับความนิยมเพิ่มขึ้นเรื่อยๆ ผู้เชี่ยวชาญของ Sophos เชื่อว่าความสำเร็จทางการเงินของ SamSam, BitPaymer และ Dharma สร้างแรงบันดาลใจให้เกิดการโจมตีในลักษณะเลียนแบบ (copycat) และคาดว่าจะเกิดลักษณะเช่นนี้มากขึ้นอีกในปี 2019
รายงานฉบับประจำปีนี้ ระบุว่า มีการเปลี่ยนแปลงในรูปแบบการสร้างภัยคุกคาม โดยมีผู้โจมตีจำนวนมากขึ้นที่ใช้เทคนิค Advanced Persistent Threat (APT) เพื่อใช้เครื่องมือไอทีที่มีอยู่แล้วเป็นเส้นทางนำร่องต่อไปยังระบบและทำภารกิจของพวกเขาให้สำเร็จ ไม่ว่าจะเป็นการโจรกรรมข้อมูลที่เป็นความลับออกจากเซิร์ฟเวอร์หรือปล่อย ransomware ไว้:
o การเปลี่ยนเครื่องมือการดูแลระบบไปเป็นเครื่องมือโจมตีทางไซเบอร์
วิธีนี้ถือเป็นการหักมุม หรือทำให้ผู้ใช้งานหมดหนทางแก้ปัญหา เพราะอาชญากรไซเบอร์จะใช้เครื่องมือดูแลระบบของ Windows ซึ่งรวมถึงไฟล์ Powershell และ Windows Scripting (ไฟล์ executable) เพื่อทำการโจมตีด้วยมัลแวร์บนระบบของผู้ใช้เอง
o อาชญากรไซเบอร์กำลังเล่นโดมิโนดิจิตอล
โดยการผูกโยงลำดับของเมนูเริ่มต้นประเภทต่างๆ ที่สามารถโยงไปยังการโจมตีในตอนท้ายได้แฮกเกอร์สามารถเริ่มกระบวนการที่เรียกว่า chain reaction ก่อนที่ผู้จัดการด้านไอทีจะตรวจพบว่าภัยคุกคามเริ่มทำงานบนเครือข่าย และเมื่อภัยคุกคามเหล่านั้นบุกเข้าไปแล้วก็ยากที่จะหยุดยั้งภัยดังกล่าวไม่ให้ทำงาน
o อาชญากรไซเบอร์หาโอกาสจากระบบปฏิบัติการ Office ใหม่ๆ เพื่อหลอกล่อเหยื่อ
ระบบปฏิบัติการ Office ถือเป็นช่องโหว่สำหรับการโจมตีมานานแล้ว แต่เมื่อเร็วๆ นี้อาชญากรไซเบอร์ได้ละความสนใจจากการหาประโยชน์จากเอกสารบน Office แบบเดิมไปใช้แบบใหม่แทน
o EternalBlue กลายเป็นเครื่องมือสำคัญสำหรับการโจมตีแบบ cryptojacking
การอัพเดต Patch กลายเป็นภัยที่คุกคาม Windows มานานกว่าหนึ่งปีแล้ว โดย EternalBlue ยังคงเป็นที่ชื่นชอบของเหล่าอาชญากรไซเบอร์ การจับคู่ของ EternalBlue เพื่อเข้ารหัสซอฟท์แวร์ทำให้กิจกรรมเปลี่ยนจากงานอดิเรกอันแสนน่าเบื่อกลายเป็นอาชีพสำหรับอาชญากรที่อาจสร้างรายได้มหาศาล การแพร่แบบกระจายตัวบนเครือข่ายขององค์กรเอื้อให้ cryptojacker แพร่เข้าไปติดเครื่องหลายเครื่องอย่างรวดเร็ว ซึ่งเท่ากับเพิ่มรายได้ให้กับแฮ็กเกอร์และเพิ่มค่าใช้จ่ายที่หนักหนาสาหัสในฝั่งของผู้ใช้
ผลกระทบของมัลแวร์ขยายไปไกลเกินกว่าระบบโครงสร้างพื้นฐานขององค์กร เนื่องจากเราเห็นว่าภัยคุกคามจากมัลแวร์ในมือถือขยายตัวขึ้นอย่างรวดเร็ว ด้วยแอพพลิเคชั่นบนแอนดรอยด์ที่ผิดกฎหมายมีปริมาณเพิ่มขึ้น ในปี 2018 พบว่ามีแนวโน้มปริมาณของมัลแวร์ถูกส่งเข้าไปในโทรศัพท์ แท็บเล็ต และอุปกรณ์ Internet of Things อื่นๆ มากขึ้น เนื่องจากบ้านเรือนและองค์กรธุรกิจใช้อุปกรณ์ที่เชื่อมต่ออินเตอร์เน็ตมากขึ้น อาชญากรจึงได้คิดค้นวิธีการใหม่ๆ ในการโจรกรรมข้อมูลในอุปกรณ์เหล่านั้นเพื่อใช้เป็นจุดศูนย์กลางใน botnets ที่ทำการโจมตี ในปี 2018 VPNFilter ได้แสดงให้เห็นถึงพลังการทำลายล้างของมัลแวร์ที่มีผลต่อระบบฝังตัวและอุปกรณ์ที่ต่อกับเครือข่าย ซึ่งไม่มี user interface ที่ชัดเจน นอกจากนี้ Mirai Aidra, Wifatch และ Gafgyt ได้ส่งกลไกการโจมตีแบบอัตโนมัติที่โจรกรรมข้อมูลในอุปกรณ์เครือข่ายเพื่อใช้เป็นศูนย์กลางของ botnets ที่ทำการโจมตีโดยปฏิเสธการให้บริการ (denial-of-service (DoS) attack) แบบกระจายตัว รวมถึง การขุดเงินสกุลดิจิตอล และ การแทรกซึมบนเครือข่าย
สำหรับข้อมูลเพิ่มเติมและรายละเอียดของแนวโน้มลักษณะภัยคุกคามและพฤติกรรมอาชญากรรมในโลกไซเบอร์ที่เปลี่ยนแปลงไป ติดตามอ่านรายงาน 2019 Threat Report ของ SophosLabs ฉบับเต็มได้ที่ www.sophos.com/threatreport
ติดต่อเราได้ที่ facebook.com/newswit