
โลกไซเบอร์: เกมล่าค่าไถ่ที่เหนือกว่าการเข้ารหัส
โลกของภัยคุกคามไซเบอร์กำลังเปลี่ยนแปลงไปอย่างรวดเร็ว โดยเฉพาะกลุ่มแรนซัมแวร์ที่ไม่ได้จำกัดแค่การเข้ารหัสไฟล์ข้อมูลอีกต่อไป แต่กำลังพัฒนาวิธีโจมตีให้ซับซ้อนและแนบเนียนขึ้น เพื่อเจาะเข้าสู่ระบบและสร้างความเสียหายในรูปแบบใหม่ ซึ่งเป็นสิ่งที่เราทุกคน โดยเฉพาะองค์กรต่างๆ ต้องทำความเข้าใจและเตรียมรับมือให้ทันท่วงที
กลยุทธ์ใหม่ของแรนซัมแวร์: ไม่ใช่แค่เข้ารหัสอีกต่อไป
เจาะลึก Citrix Bleed: ช่องโหว่จากอุปกรณ์ปลายทาง
กลุ่มแรนซัมแวร์หัวใสกำลังใช้ช่องโหว่ที่เรียกว่า Citrix Bleed (CVE-2023-4966) ซึ่งเป็นจุดอ่อนในอุปกรณ์เครือข่ายอย่าง Citrix NetScaler ADC และ Gateway ช่องโหว่นี้ร้ายกาจตรงที่ผู้โจมตีไม่จำเป็นต้องมีการยืนยันตัวตน ก็สามารถขโมย โทเคนเซสชัน ของผู้ใช้งานได้
เมื่อได้โทเคนเซสชันมา กลุ่มแรนซัมแวร์ก็เหมือนได้กุญแจสำคัญที่เปิดประตูเข้าสู่เครือข่ายขององค์กรได้อย่างง่ายดาย โดยไม่ถูกตรวจจับ เพราะการเข้าถึงดูเหมือนเป็นการทำงานปกติของผู้ใช้งานที่ได้รับอนุญาต
BYOVD: ใช้ช่องโหว่ซ่อนเร้นในไดรเวอร์ที่ถูกต้อง
อีกหนึ่งกลยุทธ์ที่น่ากังวลคือ BYOVD (Bring Your Own Vulnerable Driver) คือการที่ผู้โจมตีใช้ประโยชน์จากไดรเวอร์ของระบบปฏิบัติการที่มีช่องโหว่ แต่เป็นไดรเวอร์ที่ ถูกต้องตามกฎหมาย และมีใบรับรอง
วิธีนี้ช่วยให้มัลแวร์สามารถหลีกเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัย เช่น EDR (Endpoint Detection and Response) หรือโปรแกรมป้องกันไวรัสทั่วไป ทำให้สามารถเข้าถึงส่วนที่ลึกที่สุดของระบบ หรือแม้แต่ระดับเคอร์เนลได้โดยไม่ถูกจับได้
ข้อมูลรับรองจากซัพพลายเชน: กุญแจสู่เครือข่ายองค์กร
การโจมตีผ่าน ซัพพลายเชน กลายเป็นเส้นทางหลักที่กลุ่มแรนซัมแวร์ให้ความสนใจอย่างมาก ผู้โจมตีจะพุ่งเป้าไปที่คู่ค้า ผู้ให้บริการ หรือซัพพลายเออร์ที่มีความเกี่ยวข้องกับองค์กรเป้าหมาย เพื่อขโมย ข้อมูลรับรอง (เช่น ชื่อผู้ใช้และรหัสผ่าน)
เมื่อได้ข้อมูลรับรองเหล่านี้มา ก็สามารถนำมาใช้เข้าถึงเครือข่ายขององค์กรใหญ่ๆ ได้อย่างแนบเนียน เพราะเป็นการเข้าถึงที่ดูเหมือนมาจากผู้ใช้งานที่ได้รับอนุญาต ซึ่งยากต่อการตรวจจับและป้องกัน
หลบเลี่ยงการตรวจจับด้วยเครื่องมือปกติ (Living Off The Land)
แทนที่จะใช้มัลแวร์แปลกปลอม ผู้โจมตีมักเลือกใช้ เครื่องมือที่มีอยู่ในระบบ ขององค์กรอยู่แล้ว เช่น PowerShell, Remote Desktop Protocol (RDP), AnyDesk หรือ TeamViewer
การใช้เครื่องมือเหล่านี้ทำให้กิจกรรมของผู้โจมตีกลมกลืนไปกับการทำงานปกติของระบบ ทำให้ระบบรักษาความปลอดภัยมองข้ามไปได้ง่าย ถือเป็นวิธีที่ แนบเนียน และมีประสิทธิภาพในการหลบเลี่ยงการตรวจจับ เพื่อเคลื่อนย้ายข้อมูลหรือเข้าถึงส่วนต่างๆ ของเครือข่าย
จากการเข้ารหัสสู่การกรรโชกและทำลายล้าง
เป้าหมายที่เปลี่ยนไปของกลุ่มแรนซัมแวร์
ปัจจุบันกลุ่มแรนซัมแวร์ไม่ได้ต้องการเพียงแค่เงินจากการเข้ารหัสข้อมูลเท่านั้น แต่มีเป้าหมายที่ใหญ่กว่านั้นมาก คือการ ขโมยข้อมูล สำคัญ (data exfiltration) เพื่อใช้ในการ กรรโชกทรัพย์ (extortion) โดยขู่ว่าจะเปิดเผยข้อมูลสู่สาธารณะ
นอกจากนี้ ยังต้องการสร้างความ เสียหาย และ หยุดชะงัก การดำเนินงานขององค์กร รวมถึงพยายามฝังตัวอยู่ในระบบให้นานที่สุดเพื่อสร้างความเสียหายในระยะยาว
การป้องกันที่ต้องปรับตัวตาม
มาตรการสำคัญที่ทุกองค์กรต้องทำ
เพื่อรับมือกับภัยคุกคามที่ซับซ้อนขึ้น การป้องกันต้องแข็งแกร่งและรอบด้าน
เริ่มต้นจากการ อัปเดตและแพตช์ ช่องโหว่ต่างๆ โดยเฉพาะบนอุปกรณ์ปลายทางอย่าง NetScaler ADC และ Gateway
ควรบังคับใช้การ ยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับทุกการเข้าถึง รวมถึงกำหนด รหัสผ่านที่รัดกุม
ใช้หลักการ เข้าถึงขั้นต่ำสุด (Least Privilege) โดยให้สิทธิ์การเข้าถึงเท่าที่จำเป็นต่อการทำงานเท่านั้น และแบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดวงความเสียหาย
ที่สำคัญคือการ เฝ้าระวังและตรวจจับ กิจกรรมที่ผิดปกติ รวมถึงสร้าง แผนรับมือเหตุการณ์ (Incident Response Plan) ที่ชัดเจน และบริหารจัดการ ความเสี่ยงซัพพลายเชน อย่างจริงจัง
โลกไซเบอร์ยังคงเต็มไปด้วยความท้าทาย การตื่นตัวและปรับตัวอยู่เสมอคือหัวใจสำคัญของการป้องกันองค์กรให้ปลอดภัยจากภัยร้ายเหล่านี้