เปิดเทรนด์ ‘แรนซัมแวร์’ ตัวร้าย!! หน้าใหม่แห่งปี
เปิดเทรนด์กลุ่ม แรนซัมแวร์ หน้าใหม่ ปี 2565 พบมีความยืดหยุ่น ใช้เทคนิคขั้นสูง และมักจะนำประเด็นการเมืองมาสร้างกระแส
ปฏิบัติการของกลุ่มแรนซัมแวร์ดำเนินการมาอย่างยาวนาน จากจุดเริ่มต้นที่ค่อนข้างลับและเป็นมือสมัครเล่น กลายเป็นธุรกิจที่มีแบรนด์และสไตล์โดดเด่น และแข่งขันกันในดาร์กเว็บ
โดยรวมแล้ว กลุ่มอาชญากรไซเบอร์ยังคงพัฒนาและประสบความสำเร็จต่อไป แม้ว่าจะมีการปิดตัวครั้งใหญ่ของกลุ่มที่โด่งดังที่สุดบางกลุ่ม
ทุกวันนนี้กลุ่มอาชญากรไซเบอร์ยังพบวิธีที่ผิดปกติในการโจมตีผู้ที่ตกเป็นเหยื่อหรือหันไปใช้ประเด็นข่าวเพื่อให้การโจมตีมีความเกี่ยวข้องมากขึ้น
ผู้เชี่ยวชาญของ แคสเปอร์สกี้ ซึ่งคอยจับตาดูกิจกรรมของกลุ่มแรนซัมแวร์เผยถึงแนวโน้มใหม่ของแรนซัมแวร์ที่พบในปี 2565 นี้ว่า แนวโน้มแรกคือ “การใช้ความสามารถข้ามแพลตฟอร์ม”
ปัจจุบันกลุ่มแรนซัมแวร์ตั้งเป้าที่จะสร้างความเสียหายให้กับระบบให้มากที่สุดเท่าที่เป็นไปได้ด้วยมัลแวร์ตัวเดียวกัน โดยการเขียนโค้ดที่สามารถทำงานได้บนระบบปฏิบัติการหลายระบบพร้อมกัน
กลุ่ม Conti ซึ่งเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่ดำเนินการมากที่สุดได้พัฒนาตัวแปร ซึ่งเผยแพร่ผ่านบริษัทในเครือที่เลือกและกำหนดเป้าหมายไปที่ Linux ในช่วงปลายปี 2564 ภาษา Rust และ Golang ซึ่งเป็นภาษาโปรแกรมข้ามแพลตฟอร์มเริ่มแพร่หลายมากขึ้น
กลุ่ม BlackCat ที่ประกาศตัวเองว่าเป็นแก๊งมัลแวร์รุ่นใหม่ ซึ่งมีรายงานว่าโจมตีองค์กรมากกว่า 60 แห่งตั้งแต่เดือนธ.ค.2564 ได้เขียนมัลแวร์ในภาษา Rust ส่วนภาษา Golang ถูกใช้ในแรนซัมแวร์โดย DeadBolt ซึ่งเป็นกลุ่มที่โจมตี QNAP
แนวโน้มที่สอง ตลอดช่วงปลายปี 2564 ต่อเนื่องมาถึงต้นปี 2565 กลุ่มแรนซัมแวร์ได้ดำเนินกิจกรรมอย่างต่อเนื่องเพื่ออำนวยความสะดวกในกระบวนการทางธุรกิจ รวมถึงการรีแบรนด์เป็นประจำเพื่อเบี่ยงเบนความสนใจจากหน่วยงานและอัปเดตเครื่องมือการกรองข้อมูล
บางกลุ่มพัฒนาและใช้งานชุดเครื่องมือที่สมบูรณ์ซึ่งคล้ายกับชุดเครื่องมือของบริษัทซอฟต์แวร์ที่ไม่เป็นพิษเป็นภัย แรนซัมแวร์ Lockbit เป็นตัวอย่างที่น่าทึ่งของวิวัฒนาการของกลุ่มแรนซัมแวร์ องค์กรมีการปรับปรุงมากมายเมื่อเทียบกับคู่แข่ง รวมถึงการอัปเดตและซ่อมแซมโครงสร้างพื้นฐานเป็นประจำ
อีกทั้งยังเปิดตัว StealBIT เป็นครั้งแรก ซึ่งเป็นเครื่องมือการกรองแรนซัมแวร์แบบกำหนดเองที่ช่วยให้สามารถขโมยข้อมูลด้วยความเร็วสูงสุดที่เคยมีมา
แนวโน้มที่สาม เป็นผลพวงมาจากสถานการณ์ทางภูมิศาสตร์การเมืองที่อิงความขัดแย้งในยูเครน ซึ่งส่งผลกระทบอย่างมากต่อภูมิทัศน์ของแรนซัมแวร์
แม้ว่าการโจมตีดังกล่าวมักจะเกี่ยวข้องกับผู้ก่อภัยคุกคามแบบต่อเนื่องขั้นสูง (APT) แต่แคสเปอร์สกี้ตรวจพบกิจกรรมสำคัญบางอย่างในฟอรัมอาชญากรรมทางอินเทอร์เน็ตและการดำเนินการโดยกลุ่มแรนซัมแวร์เพื่อตอบสนองต่อสถานการณ์
ไม่นานหลังจากความขัดแย้งเริ่มต้น กลุ่มแรนซัมแวร์ก็เลือกข้างสนับสนุนรัสเซียหรือยูเครน ซึ่งนำไปสู่การโจมตีทางการเมือง หนึ่งในมัลแวร์ที่ถูกค้นพบใหม่ระหว่างความขัดแย้งคือ Freeud ซึ่งพัฒนาโดยผู้สนับสนุนชาวยูเครน มีคุณสมบัติในการลบ หากมัลแวร์มีรายการไฟล์ มัลแวร์จะล้างไฟล์ออกจากระบบแทนการเข้ารหัส
ดิมิทรี กาลอฟ นักวิจัยด้านความปลอดภัยอาวุโสทีม GReAT แคสเปอร์สกี้ กล่าวว่า ปีนี้เป็นปีที่แรนซัมแวร์กำลังเฟื่องฟู และเบ่งบานเต็มที่ แม้ว่ากลุ่มแรนซัมแวร์รายใหญ่จากปีที่แล้วจะถูกบังคับให้หยุดดำเนินการ แต่อาชญากรหน้าใหม่ก็โผล่ขึ้นมาพร้อมกับเทคนิคที่ไม่เคยเห็นมาก่อน
อย่างไรก็ตาม เมื่อภัยคุกคามจากแรนซัมแวร์มีวิวัฒนาการและขยายตัวทั้งในด้านเทคโนโลยีและภูมิศาสตร์ ก็ทำให้คาดการณ์ภัยคุกคามได้มากขึ้น ซึ่งช่วยให้เราตรวจจับและป้องกันได้ดีขึ้นเช่นกัน