‘แรนซัมแวร์’ โจมตีอาเซียน ‘ลดลง’ แต่เพิ่มดีกรี 'อันตราย'มากขึ้น

‘แรนซัมแวร์’ โจมตีอาเซียน ‘ลดลง’ แต่เพิ่มดีกรี 'อันตราย'มากขึ้น

‘แคสเปอร์สกี้’ บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก รายงานว่าปี 2563 ที่ผ่านมา จำนวนความพยายามในการโจมตีธุรกิจขนาดเล็กและขนาดกลาง (SMB) ด้วยแรนซัมแวร์ลดลงอย่างมากในภูมิภาคเอเชียตะวันออกเฉียงใต้ เมื่อเทียบกับปี 2562

จากรายงาน Kaspersky Security Network (KSN) ฉบับล่าสุด ระบุว่า มีความพยายามในการโจมตีด้วย แรนซัมแวร์ น้อยกว่าหนึ่งล้านครั้ง (804,513 ครั้ง) ในปี 2563 ซึ่งน้อยกว่าครึ่งหนึ่งของปี 2562 ซึ่งตรวจจับได้มากกว่า 1.9 ล้านครั้ง

ในบรรดา 6 ประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้ มีเพียง “สิงคโปร์” เท่านั้นที่มีจำนวนการตรวจจับแรนซัมแวร์ที่เพิ่มขึ้น โดยเพิ่มขึ้นเล็กน้อยจาก 2,275 ครั้งในปี 2562 เป็น 3,191 ครั้งในปี 2563

อินโดฯ ครองแชมป์โดนโจมตีสูงสุด

แม้ว่า “อินโดนีเซีย” จะมียอดการตรวจจับแรนซัมแวร์สูงสุดในภูมิภาค และอยู่ในอันดับที่ 5 ของโลก แต่ปริมาณการตรวจจับปีก่อนจำนวน 1,158,837 ครั้งนั้นลดลงเหลือ 439,473 ครั้ง แนวโน้มของเหตุการณ์โจมตีด้วยแรนซัมแวร์ที่ลดลงพบได้ในประเทศอื่นๆ ในภูมิภาคเช่นกัน ได้แก่ เวียดนาม ฟิลิปปินส์ มาเลเซีย และไทย

จีนยังคงอยู่ในอันดับหนึ่งเรื่องปริมาณการตรวจจับ แรนซัมแวร์ ทั่วโลกทั้งในปี 2019 และ 2020 ในขณะเดียวกัน บราซิลและสหพันธรัฐรัสเซียสลับอันดับที่สองและสามกัน โดยบราซิลเป็นอันดับ 2 ของโลกในปี 2020

“เฟเดอร์ ซินิตซิน” นักวิจัยด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “เมื่อได้ดูสถิติของแรนซัมแวร์แต่ละตระกูล พบจำนวนการตรวจจับโดยรวมที่ลดลง ส่วนใหญ่เป็นผลมาจากจำนวนการตรวจจับ WannaCry ที่ลดลง ซึ่งตระกูล WannaCry นี้เป็นสัดส่วนสำคัญของแรนซัมแวร์ที่ตรวจพบทั้งหมด เนื่องจากผู้สร้างแรนซัมแวร์ไม่ได้รับการสนับสนุนมานานกว่าสามปีและมีสถานะเป็นซอมบี้”

ชี้แรนซัมแวร์อาจ “ลด” แต่อันตรายเพิ่ม

หนึ่งในภัยคุกคามทางไซเบอร์ที่เกิดขึ้นอย่างต่อเนื่องสำหรับ SMB ในภูมิภาคนี้ยังคงเป็นแรนซัมแวร์ ซึ่งเป็นมัลแวร์ที่ออกแบบมาเพื่อแพร่กระจายในคอมพิวเตอร์ขององค์กรและบุคคลทั่วไป จากนั้นจะเข้ารหัสข้อมูลในคอมพิวเตอร์ และบล็อกการเข้าถึง จากนั้นผู้โจมตีแรนซัมแวร์จะเรียกร้องค่าไถ่จากเหยื่อ เพื่อแลกกับการทำให้ระบบกลับมาทำงานได้อีกครั้ง

การโจมตีของแรนซัมแวร์อาจลดลง แต่แคสเปอร์สกี้ได้ออกคำเตือนถึงบริษัททุกรูปแบบและทุกขนาด เรื่องกิจกรรมที่เพิ่มขึ้นของ “Ransomware 2.0” หรือแรนซัมแวร์แบบกำหนดเป้าหมาย

ภัยด้านความปลอดภัยทางไซเบอร์นี้ไปไกลกว่าการลักข้อมูลเรียกค่าไถ่ ขณะนี้กลุ่มแรนซัมแวร์ที่เป็นอันตรายกำลังดำเนินการขุดเจาะข้อมูลควบคู่ไปกับการแบล็กเมล์ อาชญากรไซเบอร์ใช้ “กลยุทธ์กดดัน” ขู่ว่าจะเผยแพร่ข้อมูลที่มีสู่สาธารณะทำให้เหยื่อต้องจ่ายค่าไถ่เพื่อปกป้องชื่อเสียงอันมีค่ายิ่งขึ้นไปอีก

“โยว เซียง เทียง” ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า ไม่ควรนิ่งนอนใจกับปริมาณการตรวจจับแรนซัมแวร์ที่ลดลง ตั้งแต่ปีที่แล้วเราได้ติดตามวิวัฒนาการของภัยคุกคามนี้ ปัจจุบันเราต้องกังวลกลุ่มแรนซัมแวร์ในเรื่องคุณภาพมากกว่าปริมาณ จากที่เคยหว่านมัลแวร์สุ่มสี่สุ่มห้าและรอให้ผู้ใช้ที่ไม่ระวังความปลอดภัยมาติดกับ ผู้โจมตีได้เปลี่ยนใช้วิธีการรุนแรงและพุ่งเป้าเจาะจงไปที่เหยื่อมากขึ้น”

“กลุ่มแรนซัมแวร์ที่กำหนดเป้าหมายเพียงกลุ่มเดียวสามารถรุกล้ำบริษัทมากกว่า 61 แห่งในภูมิภาคเอเชียแปซิฟิกเมื่อปีที่แล้ว และด้วยการเร่งให้เกิดดิจิทัลของธุรกิจในภูมิภาคนี้ เรายังคาดการณ์ว่าความซับซ้อนเบื้องหลังวิธีการโจมตีจะเพิ่มขึ้น SMB และองค์กรต่างๆ ควรพิจารณาเทคโนโลยีที่ใช้ข้อมูลอัจฉริยะอย่างจริงจัง เพื่อการป้องกัน การตรวจจับ และการตอบสนองระดับเอ็นด์พอยต์” นายโยว กล่าวเสริม

แนะวิธีป้องกัน-คุมทุกจุด

แคสเปอร์สกี้ แนะ วิธีปกป้องคอมพิวเตอร์และข้อมูลจากการโจมตีของแรนซัมแวร์หลักๆ ต้องไม่เปิดเผยบริการเดสก์ทอประยะไกล (เช่น RDP) ในเครือข่ายสาธารณะ เว้นแต่จำเป็นจริงๆ และควรใช้รหัสผ่านที่คาดเดายากเสมอ

ติดตั้งแพตช์ที่พร้อมใช้งานทันทีสำหรับโซลูชั่น VPN เชิงพาณิชย์ที่ให้บริการการเข้าถึงสำหรับพนักงานที่ทำงานจากระยะไกล และทำหน้าที่เป็นเกตเวย์ในเครือข่าย

เร่งอัพเดทซอฟต์แวร์ในทุกอุปกรณ์ที่ใช้อยู่เสมอ ป้องกันไม่ให้แรนซัมแวร์ใช้ช่องโหว่เพื่อโจมตี เน้นกลยุทธ์ป้องกันในการตรวจจับการสแกนรอบๆ เครือข่าย และการขุดเจาะข้อมูลไปยังอินเทอร์เน็ต ให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออก เพื่อตรวจจับการเชื่อมต่อของอาชญากรไซเบอร์ 

องค์กรธุรกิจควร สำรองข้อมูลเป็นประจำ ตรวจสอบให้แน่ใจว่าสามารถเข้าถึงข้อมูลที่สำรองไว้ได้อย่างรวดเร็วกรณีฉุกเฉินเมื่อจำเป็น ใช้ข้อมูล Threat Intelligence ล่าสุดเพื่อรับทราบข้อมูลวิธีการ เทคนิค และกระบวนการ (Tactics, Techniques and Procedures หรือ TTP) ที่ผู้ก่อคุกคามใช้ ขณะที่สามารถใช้โซลูชัน เช่น Kaspersky Endpoint Detection and Response และ Kaspersky Managed Detection and Response ช่วยระบุและหยุดการโจมตีในระยะแรกก่อนที่ผู้โจมตีจะบรรลุเป้าหมายสุดท้ายได้  

สิ่งหนึ่งที่สำคัญ ควรสำรองข้อมูลไว้ในฮาร์ดไดรฟ์ภายนอกแยกต่างหากเสมอ และหลีกเลี่ยงการเจรจาหรือจ่ายค่าไถ่ให้อาชญากรไซเบอร์