แคสเปอร์สกี้ เผยยอดโจมตีไซเบอร์จาก Work from home ในอาเซียน ‘ลดลง’
แคสเปอร์สกี้เผย หลังโควิดยอดการโจมตีเดสก์ท็อประยะไกลในอาเซียนลดลง – แต่ RDP ยังเป็นช่องทางยอดนิยมของกลุ่มแรนซัมแวร์ เผยการโจมตี แบบแฮกพาสเวิร์ด ยังไม่น่าไว้วางใจ
แคสเปอร์สกี้ (Kaspersky) บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก เผยข้อมูลการลดลงของการ bruteforce โจมตีพนักงานที่ทำงานระยะไกลในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแม้จะเป็นเรื่องดีแต่ที่ไม่ถือเป็นสัญญาณที่น่าวางใจ
Remote Desktop Protocol (RDP) เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Microsoft ซึ่งมีอินเทอร์เฟซแบบกราฟิกให้ผู้ใช้เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นผ่านเครือข่าย RDP ถูกใช้อย่างแพร่หลายโดยทั้งผู้ดูแลระบบและผู้ใช้ที่มีความรู้ด้านเทคนิคน้อยเพื่อควบคุมเซิร์ฟเวอร์และพีซีอื่นๆ จากระยะไกล
การโจมตี Bruteforce.Generic.RDP ใช้วิธีพยายามค้นหาคู่การล็อกอิน / พาสเวิร์ด ในการเข้าสู่ระบบ RDP ที่ถูกต้องโดยการตรวจสอบพาสเวิร์ดที่เป็นไปได้ทั้งหมดอย่างเป็นระบบ จนกว่าจะพบพาสเวิร์ดที่ถูกต้อง การโจมตีที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์โฮสต์ที่เป็นเป้าหมายจากระยะไกลได้
อย่างไรก็ตาม Brute force Attack เป็นการเดา password ทุกความเป็นไปได้ของตัวอักษรในแต่ละหลัก เช่น รหัส ATM มีจำนวน 4 หลัก แต่ละหลักสามารถตั้งค่าตัวเลข 0-9 ดังนั้น โปรแกรมจะทำการไล่ตัวเลขจาก 0000 ไปจนถึง 9999 หมื่นวิธีจนได้ password
เมื่อปี 2022 ข้อมูลของแคสเปอร์สกี้แสดงให้เห็นว่าโซลูชัน B2B ของแคสเปอร์สกี้ได้บล็อก Bruteforce.Generic.RDP ทั้งหมด 75,855,129 รายการ ที่พยายามโจมตีบริษัทในเอเชียตะวันออกเฉียงใต้
การโจมตี Bruteforce จำนวนรวมของปี 2022 ลดลง 49% จาก 149,003,835 รายการในปีก่อนหน้า ซึ่งพบการลดลงของจำนวนการโจมตีทั่วทั้งหกประเทศในเอเชียตะวันออกเฉียงใต้ โดยบริษัทในเวียดนาม อินโดนีเซีย และไทยตกเป็นเป้าหมายมากที่สุด
นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “จากการโจมตีบริษัทต่างๆ ในปี 2021 ด้วย Bruteforce เกือบ 150 ล้านรายการ แต่ในปีที่แล้วมีจำนวนเหลือเพียงครึ่งหนึ่งเท่านั้น เมื่อมองแวบแรกนับเป็นสัญญาณที่ดี ส่วนหนึ่งได้รับอิทธิพลจากการเปลี่ยนกลับไปทำงานในสภาพแวดล้อมแบบเผชิญหน้ากันและการทำงานทางไกลแบบไฮบริด ซึ่งหมายความว่ามีพนักงานในภูมิภาคนี้ทำงานจากระยะไกลน้อยลง เมื่อเทียบกับช่วงที่มีการระบาดสูงสุด”
“อย่างไรก็ตาม ยังเร็วเกินไปที่จะบอกว่าองค์กรธุรกิจนั้นปลอดภัยจากการโจมตีด้วย Bruteforce ทั้งหมด เมื่อพิจารณาภาพรวมของภัยคุกคามที่ขยายกว้างขึ้น ผู้เชี่ยวชาญของเราเห็นว่ากลุ่มแรนซัมแวร์สมัยใหม่ใช้ประโยชน์จาก RDP เพื่อเข้าถึงองค์กรที่เป็นเป้าหมายในเบื้องต้น นี่เป็นสัญญาณระดับธงแดงที่ทีมรักษาความปลอดภัยควรให้ความสำคัญ” นายโยวกล่าวเสริม
รายงานล่าสุดของแคสเปอร์สกี้เผยเทคนิคยอดนิยมที่กลุ่มแรนซัมแวร์ใช้เข้าถึงเบื้องต้น พบว่าการใช้ประโยชน์จากบริการระยะไกลภายนอกเกิดขึ้นบ่อยที่สุด
ในความเป็นจริง กลุ่มแรนซัมแวร์ทั้งแปดกลุ่มที่กล่าวถึงในรายงานซึ่งส่วนใหญ่ทำงานเป็น RaaS (Ransomware as a Service) ได้แก่ Conti, PysaClop (TA505), Hive, Ragnar Locker, Lockbit, BlackByte และ BlackCat ใช้แอ็คเค้าท์ที่ถูกต้อง ข้อมูลประจำตัวที่ถูกขโมยหรือใช้การ bruteforcing เพื่อเข้าสู่เครือข่ายของเหยื่อ
รายงานยังระบุด้วยว่ากลุ่มแรนซัมแวร์ทั้งหมดใช้ RDP แบบเปิดเพื่อเข้าถึงระบบเบื้องต้น เนื่องจากเป็นเว็กเตอร์ที่ง่ายที่สุดสำหรับการเข้าถึงในครั้งแรก
แนวทางปฏิบัติที่ดีที่สุดในการป้องกันการโจมตีที่เกี่ยวข้องกับ RDP คือการ ‘ซ่อน’ ไว้หลัง VPN และกำหนดค่าอย่างเหมาะสม สิ่งสำคัญคือต้องใช้พาสเวิร์ดที่รัดกุม