โลกไซเบอร์: เกมล่าค่าไถ่ที่เหนือกว่าการเข้ารหัส


โลกไซเบอร์: เกมล่าค่าไถ่ที่เหนือกว่าการเข้ารหัส

โลกของภัยคุกคามไซเบอร์กำลังเปลี่ยนแปลงไปอย่างรวดเร็ว โดยเฉพาะกลุ่มแรนซัมแวร์ที่ไม่ได้จำกัดแค่การเข้ารหัสไฟล์ข้อมูลอีกต่อไป แต่กำลังพัฒนาวิธีโจมตีให้ซับซ้อนและแนบเนียนขึ้น เพื่อเจาะเข้าสู่ระบบและสร้างความเสียหายในรูปแบบใหม่ ซึ่งเป็นสิ่งที่เราทุกคน โดยเฉพาะองค์กรต่างๆ ต้องทำความเข้าใจและเตรียมรับมือให้ทันท่วงที

กลยุทธ์ใหม่ของแรนซัมแวร์: ไม่ใช่แค่เข้ารหัสอีกต่อไป

เจาะลึก Citrix Bleed: ช่องโหว่จากอุปกรณ์ปลายทาง

กลุ่มแรนซัมแวร์หัวใสกำลังใช้ช่องโหว่ที่เรียกว่า Citrix Bleed (CVE-2023-4966) ซึ่งเป็นจุดอ่อนในอุปกรณ์เครือข่ายอย่าง Citrix NetScaler ADC และ Gateway ช่องโหว่นี้ร้ายกาจตรงที่ผู้โจมตีไม่จำเป็นต้องมีการยืนยันตัวตน ก็สามารถขโมย โทเคนเซสชัน ของผู้ใช้งานได้

เมื่อได้โทเคนเซสชันมา กลุ่มแรนซัมแวร์ก็เหมือนได้กุญแจสำคัญที่เปิดประตูเข้าสู่เครือข่ายขององค์กรได้อย่างง่ายดาย โดยไม่ถูกตรวจจับ เพราะการเข้าถึงดูเหมือนเป็นการทำงานปกติของผู้ใช้งานที่ได้รับอนุญาต

BYOVD: ใช้ช่องโหว่ซ่อนเร้นในไดรเวอร์ที่ถูกต้อง

อีกหนึ่งกลยุทธ์ที่น่ากังวลคือ BYOVD (Bring Your Own Vulnerable Driver) คือการที่ผู้โจมตีใช้ประโยชน์จากไดรเวอร์ของระบบปฏิบัติการที่มีช่องโหว่ แต่เป็นไดรเวอร์ที่ ถูกต้องตามกฎหมาย และมีใบรับรอง

วิธีนี้ช่วยให้มัลแวร์สามารถหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย เช่น EDR (Endpoint Detection and Response) หรือโปรแกรมป้องกันไวรัสทั่วไป ทำให้สามารถเข้าถึงส่วนที่ลึกที่สุดของระบบ หรือแม้แต่ระดับเคอร์เนลได้โดยไม่ถูกจับได้

ข้อมูลรับรองจากซัพพลายเชน: กุญแจสู่เครือข่ายองค์กร

การโจมตีผ่าน ซัพพลายเชน กลายเป็นเส้นทางหลักที่กลุ่มแรนซัมแวร์ให้ความสนใจอย่างมาก ผู้โจมตีจะพุ่งเป้าไปที่คู่ค้า ผู้ให้บริการ หรือซัพพลายเออร์ที่มีความเกี่ยวข้องกับองค์กรเป้าหมาย เพื่อขโมย ข้อมูลรับรอง (เช่น ชื่อผู้ใช้และรหัสผ่าน)

เมื่อได้ข้อมูลรับรองเหล่านี้มา ก็สามารถนำมาใช้เข้าถึงเครือข่ายขององค์กรใหญ่ๆ ได้อย่างแนบเนียน เพราะเป็นการเข้าถึงที่ดูเหมือนมาจากผู้ใช้งานที่ได้รับอนุญาต ซึ่งยากต่อการตรวจจับและป้องกัน

หลบเลี่ยงการตรวจจับด้วยเครื่องมือปกติ (Living Off The Land)

แทนที่จะใช้มัลแวร์แปลกปลอม ผู้โจมตีมักเลือกใช้ เครื่องมือที่มีอยู่ในระบบ ขององค์กรอยู่แล้ว เช่น PowerShell, Remote Desktop Protocol (RDP), AnyDesk หรือ TeamViewer

การใช้เครื่องมือเหล่านี้ทำให้กิจกรรมของผู้โจมตีกลมกลืนไปกับการทำงานปกติของระบบ ทำให้ระบบรักษาความปลอดภัยมองข้ามไปได้ง่าย ถือเป็นวิธีที่ แนบเนียน และมีประสิทธิภาพในการหลบเลี่ยงการตรวจจับ เพื่อเคลื่อนย้ายข้อมูลหรือเข้าถึงส่วนต่างๆ ของเครือข่าย

จากการเข้ารหัสสู่การกรรโชกและทำลายล้าง

เป้าหมายที่เปลี่ยนไปของกลุ่มแรนซัมแวร์

ปัจจุบันกลุ่มแรนซัมแวร์ไม่ได้ต้องการเพียงแค่เงินจากการเข้ารหัสข้อมูลเท่านั้น แต่มีเป้าหมายที่ใหญ่กว่านั้นมาก คือการ ขโมยข้อมูล สำคัญ (data exfiltration) เพื่อใช้ในการ กรรโชกทรัพย์ (extortion) โดยขู่ว่าจะเปิดเผยข้อมูลสู่สาธารณะ

นอกจากนี้ ยังต้องการสร้างความ เสียหาย และ หยุดชะงัก การดำเนินงานขององค์กร รวมถึงพยายามฝังตัวอยู่ในระบบให้นานที่สุดเพื่อสร้างความเสียหายในระยะยาว

การป้องกันที่ต้องปรับตัวตาม

มาตรการสำคัญที่ทุกองค์กรต้องทำ

เพื่อรับมือกับภัยคุกคามที่ซับซ้อนขึ้น การป้องกันต้องแข็งแกร่งและรอบด้าน

เริ่มต้นจากการ อัปเดตและแพตช์ ช่องโหว่ต่างๆ โดยเฉพาะบนอุปกรณ์ปลายทางอย่าง NetScaler ADC และ Gateway

ควรบังคับใช้การ ยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับทุกการเข้าถึง รวมถึงกำหนด รหัสผ่านที่รัดกุม

ใช้หลักการ เข้าถึงขั้นต่ำสุด (Least Privilege) โดยให้สิทธิ์การเข้าถึงเท่าที่จำเป็นต่อการทำงานเท่านั้น และแบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดวงความเสียหาย

ที่สำคัญคือการ เฝ้าระวังและตรวจจับ กิจกรรมที่ผิดปกติ รวมถึงสร้าง แผนรับมือเหตุการณ์ (Incident Response Plan) ที่ชัดเจน และบริหารจัดการ ความเสี่ยงซัพพลายเชน อย่างจริงจัง

โลกไซเบอร์ยังคงเต็มไปด้วยความท้าทาย การตื่นตัวและปรับตัวอยู่เสมอคือหัวใจสำคัญของการป้องกันองค์กรให้ปลอดภัยจากภัยร้ายเหล่านี้