สิ่งที่จะเกิดขึ้นในปี 2024 สำหรับความปลอดภัยทางไซเบอร์
ภัยคุกคามในโลกไซเบอร์กำลังเปลี่ยนแปลงไป จากเดิมที่เหล่าแฮ็กเกอร์มักทำไป “เพื่อความสะใจ” มุ่งสร้างความวุ่นวายหรือแสดงฝีมือ มาสู่ยุคปัจจุบันที่พวกเขา “มุ่งหาผลกำไร” กลายเป็นธุรกิจที่แสวงหาช่องทางทำเงินซ้ำๆ อย่างเป็นระบบ
ในปี 2024 เราคาดการณ์ว่าภัยคุกคามจากแรนซัมแวร์จะยังคงมุ่งหาโอกาสโจมตีมากขึ้น ซึ่งเป็นแนวโน้มที่เราสังเกตเห็นครั้งแรกในปี 2022 และทวีความรุนแรงขึ้นตลอดปี 2023 (สังเกตได้จากการเตือนภัยต่างๆ และการโจมตี CitrixBleed ที่ยังคงดำเนินอยู่) คาดว่าแนวโน้มนี้จะถึงจุดสูงสุดในปีนี้
1 . การเร่งตัวของRansomwareแบบฉวยโอกาสด้วยช่องโหว่ Zero-Day
ในปี 2024 ภัยคุกคามจากแรนซัมแวร์มีแนวโน้มทวีความรุนแรงขึ้น โดยเหล่าผู้ก่อการร้ายไซเบอร์จะใช้วิธีการโจมตีแบบฉวยโอกาสมากขึ้น โดยผู้โจมตีจะใช้ช่องโหว่แบบ Zero-Day ที่เพิ่งค้นพบภายใน 24 ชั่วโมง และใช้สแกนเนอร์อัตโนมัติโจมตีเครือข่ายจำนวนมาก หลังจากเจาะเข้าระบบ พวกเขาจะคัดกรองเป้าหมายด้วยมือเพื่อเลือกวิธีเรียกค่าไถ่และโจมตีที่เหมาะสมที่สุดบริษัทที่เน้นการติดแพตช์และตอบสนองอย่างรวดเร็วจะปลอดภัยกว่า แต่กลุ่มที่มีทรัพยากรมากจะลงทุนในช่องโหว่ Zero-Day
ในปี 2024 ผู้คุกคามจากแรนซัมแวร์จะยังคงใช้กรอบความคิดแบบฉวยโอกาสมากขึ้น และเพิ่มอาวุธให้กับช่องโหว่ที่เพิ่งค้นพบอย่างรวดเร็วภายใน 24 ชั่วโมง หลังจากโจมตีเครือข่ายจำนวนมากโดยใช้เครื่องสแกนอัตโนมัติ พวกเขาจะทดสอบเครือข่ายด้วยตนเองเพื่อกำหนดวิธีการสร้างรายได้ที่เหมาะสมที่สุด และเลือกโหมดการโจมตีที่เหมาะสม ในขณะที่บริษัทต่างๆ หันมาใช้แพตช์ที่จัดลำดับความสำคัญและการตอบสนองที่รวดเร็วมากขึ้น กลุ่มที่มีความซับซ้อนมากขึ้นซึ่งมีทรัพยากรจำนวนมากจะเริ่มลงทุนในช่องโหว่แบบ Zero-day ของแท้ โดยไม่ต้องรอความพร้อมใช้งานของโค้ด Proof-of-Concept (PoC)
กลุ่มแรนซัมแวร์จะยังคงมุ่งเน้นไปที่ซอฟต์แวร์ระดับองค์กรต่อไป ทั้งผู้จำหน่ายระดับองค์กรและลูกค้าจำเป็นต้องปรับตัวให้เข้ากับเทรนด์นี้ นอกเหนือจากการนำไปใช้อย่างแพร่หลายแล้ว ซอฟต์แวร์ระดับองค์กรยังโดดเด่นในฐานะเป้าหมายหลักเนื่องจากมีวงจรการบำรุงรักษาแบบดั้งเดิม ตรงกันข้ามกับกลไกการอัปเดตอัตโนมัติเต็มรูปแบบและราบรื่นซึ่งแพร่หลายในซอฟต์แวร์สำหรับผู้บริโภค เช่น เบราว์เซอร์หรือแอปพลิเคชันสำนักงาน โดยทั่วไปแล้วซอฟต์แวร์ระดับองค์กรจะใช้วิธีการแพตช์แบบอนุรักษ์นิยมและมีขั้นตอนมากกว่า สิ่งนี้จะสร้างหน้าต่างแห่งโอกาสสำหรับผู้แสดงภัยคุกคาม และความพยายามของพวกเขามีแนวโน้มที่จะขยายระยะเวลาของหน้าต่างนี้ให้มากที่สุด แนวทางวงจรชีวิตแบบเดิมของซอฟต์แวร์ระดับองค์กรอาจต้องได้รับการเปลี่ยนแปลงเพื่อรับมือกับแรงกดดันที่เพิ่มขึ้นซึ่งกำหนดโดยผู้แสดงภัยคุกคาม
เมื่อพิจารณาถึงเวลาที่จำเป็นสำหรับการปรับเปลี่ยนนี้ ความไม่สมดุลชั่วคราวระหว่างความสามารถในการรุกและการป้องกันอาจเกิดขึ้นได้ หลังจากการโจมตีที่มีชื่อเสียงไม่กี่ครั้ง บริษัทต่างๆ คาดว่าจะมุ่งเน้นไปที่โซลูชั่นการจัดการความเสี่ยง
2 . การลดขั้นตอนการประเมินและคัดกรองเหยื่อ
การโจมตีแบบฉวยโอกาสซึ่งดำเนินการโดยนายหน้าการเข้าถึงเบื้องต้นหรือบริษัทในเครือแรนซัมแวร์ จะเข้าถึงเครือข่ายนับร้อยหรือหลายพันเครือข่ายได้อย่างรวดเร็ว หลังจากการประนีประนอมเบื้องต้นแบบอัตโนมัติ กระบวนการคัดแยกด้วยตนเองจะตามมา โดยต้องใช้เวลาเพิ่มเติม เวลาพักนี้ทำให้ผู้ปกป้องมีโอกาสตรวจจับและบรรเทาภัยคุกคาม โดยเฉพาะอย่างยิ่งด้วยความสามารถในการตรวจจับและตอบสนองที่มีประสิทธิภาพ (XDR หรือ MDR)
Triage มีความสำคัญอย่างยิ่งในการพิจารณาศักยภาพในการเรียกค่าไถ่สูงสุดและวิธีการที่มีประสิทธิภาพสูงสุด โดยพิจารณาจากปัจจัยต่างๆ เช่น อุตสาหกรรมหรือขนาดบริษัท อุตสาหกรรมการผลิตและอุตสาหกรรมที่ต้องพึ่งพาการปฏิบัติงานที่คล้ายกันมีแนวโน้มที่จะถูกปรับใช้แรนซัมแวร์ ในขณะที่ภาคส่วนต่างๆ เช่น การดูแลสุขภาพหรือสำนักงานกฎหมาย มีแนวโน้มที่จะถูกขโมยข้อมูลมากกว่า กลุ่มแรนซัมแวร์มีความเชี่ยวชาญมากขึ้นในการทำความเข้าใจความแตกต่างของอุตสาหกรรม โดยเฉพาะอย่างยิ่งสตูดิโอเกมจำเป็นต้องตื่นตัวอยู่เสมอ เนื่องจากเราคาดว่าการโจมตีจะเพิ่มขึ้นในปี 2567
ธุรกิจขนาดเล็กหรือขนาดกลางที่มีศักยภาพในการเรียกค่าไถ่จำกัดทำหน้าที่เป็นแหล่งสำหรับการเชื่อมต่อทางธุรกิจเพื่อเพิ่มการโจมตี โดยมักจะผ่านการเชื่อมต่อ VPN/VDI หรือการบุกรุกอีเมลธุรกิจ ในสถานการณ์นี้ ทรัพย์สินที่มีค่าที่สุดสำหรับพันธมิตรแรนซัมแวร์อาจไม่ใช่สิ่งที่คุณมี แต่คือคนที่คุณรู้จัก การใช้ประโยชน์จากช่องโหว่ในช่วงแรกอาจทำให้บริษัทเสียหายผ่านทางห่วงโซ่อุปทาน แม้ว่าจะไม่ได้ใช้ซอฟต์แวร์ที่ได้รับผลกระทบโดยตรงก็ตาม
3 . การปรับปรุงโค้ดแรนซัมแวร์ให้ทันสมัย
นักพัฒนาแรนซัมแวร์เริ่มใช้ Rust เป็นภาษาการเขียนโปรแกรมหลักมากขึ้นเรื่อยๆ Rust ช่วยให้นักพัฒนาเขียนโค้ดที่ปลอดภัยยิ่งขึ้น ในขณะเดียวกันก็ทำให้นักวิจัยด้านความปลอดภัยทำวิศวกรรมย้อนกลับและวิเคราะห์ได้ยากขึ้น นอกจากนี้ยังช่วยให้สามารถพัฒนาโค้ดที่สามารถคอมไพล์สำหรับระบบปฏิบัติการที่แตกต่างกันได้ แม้ว่าจะไม่มีการพัฒนาแรนซัมแวร์จริงสำหรับ macOS แต่ก็มีแนวโน้มเพิ่มขึ้นในการกำหนดเป้าหมายไฮเปอร์ไวเซอร์และปริมาณงานเซิร์ฟเวอร์อื่นๆ
แทนที่จะเข้ารหัสไฟล์อย่างสมบูรณ์ โค้ดแรนซัมแวร์จะสนับสนุนการเข้ารหัสแบบไม่ต่อเนื่อง และค่อยๆ เปลี่ยนไปใช้การเข้ารหัสแบบควอนตัมยืดหยุ่น เช่น การเข้ารหัส NTRU การเข้ารหัสแบบไม่ต่อเนื่องเกี่ยวข้องกับการเข้ารหัสเพียงส่วนหนึ่งของไฟล์ในแต่ละครั้ง โดยมีข้อดีหลักสองประการ ประการแรก การตรวจจับการโจมตีจะมีความท้าทายมากขึ้นสำหรับเครื่องมือรักษาความปลอดภัย เนื่องจากความคล้ายคลึงกันทางสถิติระหว่างไฟล์ที่เข้ารหัสบางส่วนกับไฟล์ต้นฉบับ และประการที่สอง กระบวนการเข้ารหัสจะเร็วขึ้น ทำให้แรนซัมแวร์สามารถเข้ารหัสไฟล์ได้มากขึ้นภายในระยะเวลาที่กำหนด
โดยสรุป โค้ดแรนซัมแวร์คุณภาพสูงกำลังกลายเป็นสินค้าโภคภัณฑ์ แรนซัมแวร์มักส่งผลกระทบต่อระบบจำนวนมากและข้อมูลจำนวนมหาศาล อย่างไรก็ตาม แม้จะมีการพัฒนาทางวิชาชีพ แต่การกู้คืนข้อมูลยังคงมีความท้าทายและไม่รับประกันว่าจะได้ 100% กลุ่มแรนซัมแวร์จำนวนมากขึ้นกำลังเปลี่ยนมาใช้การโจรกรรมข้อมูลเป็นกลยุทธ์ โดยตระหนักถึงปัญหาที่เกิดขึ้นอย่างต่อเนื่องในการกู้คืนข้อมูล ไม่ว่าคุณภาพของโค้ดจะเป็นอย่างไร
4 . การเปลี่ยนแปลงอย่างต่อเนื่องไปสู่การขโมยข้อมูลผ่านการเข้ารหัสแรนซัมแวร์
การเข้ารหัสข้อมูลจะยังคงเป็นส่วนหนึ่งของคลังแสงสําหรับกลุ่มแรนซัมแวร์ที่ซับซ้อน แต่จะมีบทบาทเสริม การเปลี่ยนแปลงไปสู่การโจรกรรมและการขโมยข้อมูลยังคงดําเนินต่อไปโดยเปลี่ยนจากการมุ่งเน้นแบบเดิม ๆ ในการเข้ารหัสแรนซัมแวร์ (ข้อยกเว้นคืออุตสาหกรรมที่รับรองความพร้อมใช้งานได้รับการจัดลําดับความสําคัญเหนือการรักษาความลับเช่นการผลิต) ตัวอย่างที่โดดเด่นบางส่วน ได้แก่ CL0P, BianLian, Avos, BlackCat, Hunters International และ Rhysida
การขโมยข้อมูลมีศักยภาพในการจ่ายเงินที่สูงขึ้นเมื่อเทียบกับการโจมตีของแรนซัมแวร์ หลังจากการกรองข้อมูลที่ประสบความสําเร็จผู้ที่ตกเป็นเหยื่อต้องเผชิญกับการตัดสินใจแบบไบนารี: เก็บข้อมูลไว้เป็นความลับหรืออนุญาตให้ผู้คุกคามเผยแพร่ซึ่งตรงกันข้ามกับผลลัพธ์ที่ยืดหยุ่นกว่าของสถานการณ์การเข้ารหัสข้อมูล
การขโมยข้อมูลต่างจากแรนซัมแวร์ตรงที่หลีกเลี่ยงการทําลายล้างทําให้กลุ่มแรนซัมแวร์สามารถแสดงภาพตัวเองว่าเป็นผู้ทดสอบการเจาะโดยไม่สมัครใจ การขโมยข้อมูลช่วยให้ผู้ที่ตกเป็นเหยื่อสามารถรักษาส่วนหน้าของการรักษาความลับของข้อมูล เนื่องจากผู้คุกคามเสนอให้จัดการการละเมิดอย่างรอบคอบ อาชญากรไซเบอร์ใช้ประโยชน์จากกฎหมายและความรู้ด้านการปฏิบัติตามกฎระเบียบเพื่อบังคับให้เหยื่อปฏิบัติตามความต้องการเรียกค่าไถ่ที่เพิ่มขึ้น และเหยื่อบางรายอาจเลือกที่จะจ่ายค่าไถ่เพื่อหลบเลี่ยงค่าปรับหรือผลกระทบด้านลบต่อแบรนด์
Hunters International เป็นหนึ่งในกลุ่มที่ชอบการขโมยข้อมูลมากกว่าการเข้ารหัสข้อมูล
ดังที่แสดงในผลลัพธ์จากการสํารวจ “Bitdefender 2023 Cybersecurity Assessment” ของเรา มากกว่า 70% ของผู้ตอบแบบสอบถามในสหรัฐอเมริกากล่าวว่าพวกเขาได้รับคําสั่งให้ปกปิดการละเมิด ในขณะที่ 55% กล่าวว่าพวกเขาเก็บการละเมิดไว้เป็นความลับเมื่อรู้ว่าควรได้รับการรายงาน หน่วยงานบังคับใช้กฎหมายมักจะเข้าถึงข้อมูลที่รั่วไหลจากกลุ่มแรนซัมแวร์ ซึ่งอาจมีข้อมูลเกี่ยวกับการละเมิดความปลอดภัยที่ไม่ได้รับรายงาน เราคาดหวัง (และหวังว่า) จะได้เห็นเขา
5 . การยกระดับกลุ่มแรนซัมแวร์ให้มีความซับซ้อนสูงขึ้น
การเปลี่ยนจากผู้เชี่ยวชาญทั่วไปด้านความปลอดภัยไปสู่ความเชี่ยวชาญที่เพิ่มขึ้นนั้นได้รับแรงหนุนจากรูปแบบการแบ่งปันผลกําไรของกลุ่มอาชญากร ซึ่งเป็นคําที่แม่นยํายิ่งขึ้นสําหรับรูปแบบธุรกิจ Ransomware-as-a-Service (RaaS) กลุ่มที่มีความซับซ้อนที่จะรับสมัครสมาชิกที่มีทักษะขั้นสูงและการศึกษาระดับปริญญาตรีที่มีความสามารถเเละพร้อมเเข่งขัน
เมื่อเผชิญกับความท้าทายด้านความสามารถในการปรับขนาดที่เชื่อมโยงกับการโจมตีแบบฉวยโอกาส กลุ่มแรนซัมแวร์คาดว่าจะแสวงหาทักษะระบบอัตโนมัติอย่างแข็งขันในอนาคตอันใกล้นี้ เพื่อเพิ่มค่าไถ่สูงสุดความเข้าใจอย่างลึกซึ้งเกี่ยวกับวิธีการดําเนินธุรกิจเป็นสิ่งสําคัญซึ่งนําไปสู่การให้ความสําคัญกับการประกันภัยไซเบอร์การปฏิบัติตามข้อกําหนดและความเชี่ยวชาญด้านกฎหมายมากขึ้น สิ่งนี้เปิดโอกาสมากขึ้นสําหรับผู้เชี่ยวชาญที่ไม่ใช่ด้านเทคนิคในการเข้าร่วมระบบนิเวศทางอาญาที่กําลังขยายตัว
สําหรับกลุ่มแรนซัมแวร์ที่ประสบความสําเร็จปัจจัยสําคัญคือการดึงดูดบริษัทในเครือที่มีความสามารถและเชื่อมต่อกันมากที่สุดและภูมิทัศน์การแข่งขันระหว่างกลุ่มแรนซัมแวร์จะทวีความรุนแรงขึ้น กลุ่มที่ดิ้นรนกับความท้าทายด้านความปลอดภัยในการปฏิบัติงาน ซึ่งยกตัวอย่างโดย BlackCat (ปิดตัวลงเมื่อเร็วๆ นี้โดยหน่วยงานบังคับใช้กฎหมายและเชื่อมต่อกับกลุ่ม BlackMatter และ DarkSide ที่ล้มเหลวก่อนหน้านี้) มีแนวโน้มที่จะรีแบรนด์ แต่พยายามดิ้นรนเพื่อดึงดูดบริษัทในเครือที่มีความซับซ้อนมากขึ้น บางกลุ่มอาจเลือกที่จะไม่
6 . การหยุดชะงักของเทคนิคที่ได้รับการสนับสนุนจากรัฐโดยกลุ่มแรนซัมแวร์
ความซับซ้อนที่เพิ่มขึ้นของกลุ่มแรนซัมแวร์ในปี 2024 จะนําไปสู่การนําเครื่องมือและเทคนิคที่เกี่ยวข้องกับผู้คุกคามที่ได้รับการสนับสนุนจากรัฐมาใช้อย่างแพร่หลาย การไซด์โหลด DLLZ จะกลายเป็นแนวทางปฏิบัติทั่วไป และเทคนิค “การใช้ชีวิตนอกแผ่นดิน” จะยังคงเป็นกระแสหลัก เนื่องจาก บริษัท ทุกขนาดใช้การป้องกันที่มีประสิทธิภาพเช่น MDR และ XDR มันจะกลายเป็นเรื่องท้าทายมากขึ้นสําหรับกลุ่มที่ได้รับการสนับสนุนจากรัฐในการปกปิดกิจกรรมของพวกเขาบังคับให้พวกเขาเปลี่ยนไปใช้ความซับซ้อนที่กําหนดเอง
ระบอบการปกครองที่ทนต่อการมีอยู่ของกลุ่มแรนซัมแวร์เหล่านี้อาจต้องตั้งกฎการมีส่วนร่วมเมื่อปฏิบัติการเหล่านี้เริ่มก่อให้เกิดความขัดแย้งกับพันธมิตรหรือบ่อนทําลายผลประโยชน์ของตนเอง
สรุป
โดยสรุป ปี 2024 คาดว่าจะเป็นอีกปีหนึ่งของแรนซัมแวร์ อย่างไรก็ตาม สิ่งสําคัญคือต้องตระหนักว่ารูปแบบธุรกิจแรนซัมแวร์มีการพัฒนาอย่างมากตั้งแต่ปี 2017 และเราอยู่ท่ามกลางการเปลี่ยนแปลงเหล่านี้ การรับทราบข้อมูลเกี่ยวกับแนวโน้มล่าสุดเป็นสิ่งสําคัญ เช่นเดียวกับการจัดลําดับความสําคัญของกลยุทธ์พื้นฐาน เช่น การป้องกันในเชิงลึกและการรักษาความปลอดภัยหลายชั้น ควรเน้นที่การได้มาซึ่งความสามารถมากกว่าเครื่องมือ ครอบคลุมการป้องกัน การป้องกัน การตรวจจับ และขีดจํากัดการตอบสนอง
การคาดการณ์เหล่านี้เป็นผลมาจากการทํางานอย่างทุ่มเทของนักวิจัยด้านความปลอดภัยของเราที่ Bitdefender Labs และข้อมูลเชิงลึกเชิงปฏิบัติของผู้เชี่ยวชาญด้านความปลอดภัยของเราในทีม Bitdefender MDR เราขอขอบคุณพวกเขาสําหรับการทํางานหนัก โดยเฉพาะอย่างยิ่งความพยายามในการวิเคราะห์โค้ดแรนซัมแวร์เพื่อพัฒนาตัวถอดรหัสฟรี
เเหล่งอ้างอิง : https://www.bitdefender.com/
Leave a Reply