Trace Id is missing
ข้ามไปที่เนื้อหาหลัก
Security Insider

แรนซัมแวร์ในรูปการบริการ: โฉมหน้าใหม่ของอาชญากรรมไซเบอร์ทางอุตสาหกรรม

แชร์
ลูกศรสองลูกวางซ้อนกันบนเส้นและชี้เข้าหากันในเส้นทางที่ต่างกัน

 รูปแบบธุรกิจใหม่ล่าสุดของอาชญากรรมไซเบอร์ การโจมตีที่ดำเนินการโดยมนุษย์ กระตุ้นอาชญากรที่มีความสามารถหลากหลาย

Ransomware หนึ่งในภัยคุกคามทางไซเบอร์ที่มีมานานและแพร่หลายที่สุด ยังคงพัฒนาอย่างต่อเนื่อง และรูปแบบล่าสุดถือเป็นภัยคุกคามครั้งใหม่ต่อองค์กรต่างๆ ทั่วโลก วิวัฒนาการของแรนซัมแวร์ไม่ได้เกี่ยวข้องกับความก้าวหน้าทางเทคโนโลยีใหม่ๆ แต่จะเกี่ยวข้องกับรูปแบบธุรกิจใหม่: แรนซัมแวร์ในรูปการบริการ (RaaS)

แรนซัมแวร์ในรูปการบริการ (RaaS) เป็นการจัดเตรียมระหว่างผู้ดำเนินการที่พัฒนาและบำรุงรักษาเครื่องมือเพื่อส่งเสริมการดำเนินการขู่กรรโชก และพันธมิตรที่ปรับใช้ส่วนข้อมูลแรนซัมแวร์ เมื่อพันธมิตรทำการโจมตีด้วยแรนซัมแวร์และขู่กรรโชกได้สำเร็จ ทั้งสองฝ่ายจะได้รับผลประโยชน์

โมเดล RaaS ลดอุปสรรคในการเข้าใช้งานสำหรับผู้โจมตีที่อาจไม่มีทักษะหรือเทคนิคในการพัฒนาเครื่องมือของตนเอง แต่สามารถจัดการการทดสอบการเจาะระบบสำเร็จรูปและเครื่องมือผู้ดูแลระบบเพื่อทำการโจมตีได้ อาชญากรระดับล่างเหล่านี้สามารถซื้อการเข้าถึงเครือข่ายจากกลุ่มอาชญากรที่มีความซับซ้อนมากกว่าซึ่งได้เจาะระบบขอบเขตแล้ว

แม้ว่าพันธมิตร RaaS จะใช้ส่วนข้อมูลแรนซัมแวร์ที่มาจากผู้ดำเนินการที่มีความซับซ้อนมากกว่า แต่ก็ไม่ได้เป็นส่วนหนึ่งของ “กลุ่ม” แรนซัมแวร์กลุ่มเดียวกัน แต่เป็นองค์กรที่แตกต่างกันออกไปซึ่งดำเนินงานในระบบเศรษฐกิจอาชญากรไซเบอร์โดยรวม

การพัฒนาขีดความสามารถของอาชญากรไซเบอร์และการขยายเศรษฐกิจอาชญากรไซเบอร์โดยรวม

โมเดลแรนซัมแวร์ในรูปการบริการได้อำนวยความสะดวกในการปรับแต่งอย่างรวดเร็วและการพัฒนาอุตสาหกรรมในสิ่งที่อาชญากรที่มีความสามารถน้อยกว่าสามารถทำได้ ในอดีต อาชญากรที่มีความซับซ้อนน้อยกว่าเหล่านี้อาจใช้มัลแวร์สินค้าโภคภัณฑ์ที่พวกเขาสร้างขึ้นหรือซื้อมาเพื่อทำการโจมตีที่มีขอบเขตจำกัด แต่ตอนนี้พวกเขาสามารถได้รับทุกสิ่งที่ต้องการ ตั้งแต่การเข้าถึงเครือข่ายไปจนถึงส่วนข้อมูลแรนซัมแวร์ จากผู้ดำเนินการ RaaS (แน่นอนว่าต้องจ่ายเงินซื้อมา) โปรแกรม RaaS จำนวนมากยังรวมชุดข้อเสนอการสนับสนุนการขู่กรรโชก รวมถึงการโฮสต์ไซต์ที่รั่วไหลและการรวมเข้ากับเงินค่าไถ่ เช่นเดียวกับการเจรจาเพื่อการถอดรหัส การกดดันให้ชำระเงิน และบริการธุรกรรมสกุลเงินดิจิทัล

ซึ่งหมายความว่าผลกระทบจากการโจมตีด้วยแรนซัมแวร์และการขู่กรรโชกที่ประสบความสำเร็จยังคงเหมือนเดิม ไม่ว่าผู้โจมตีจะมีทักษะใดก็ตาม

การค้นหาและใช้ประโยชน์จากช่องโหว่ของเครือข่าย...แลกกับเงิน

ทางหนึ่งที่ผู้ดำเนินการ RaaS มอบประโยชน์ให้กับพันธมิตรคือการให้สิทธิ์การเข้าถึงเครือข่ายที่มีช่องโหว่ ตัวกลางการเข้าถึงจะสแกนอินเทอร์เน็ตเพื่อหาระบบที่มีช่องโหว่ ซึ่งสามารถเจาะระบบและสงวนไว้สำหรับผลกำไรในภายหลัง

ผู้โจมตีต้องมีข้อมูลประจำตัวเพื่อให้ประสบความสำเร็จ ข้อมูลประจำตัวที่มีช่องโหว่มีความสำคัญต่อการโจมตีเหล่านี้มาก ซึ่งเมื่ออาชญากรไซเบอร์ขายการเข้าถึงเครือข่าย ในหลาย ๆ กรณี ราคาจะรวมบัญชีผู้ดูแลระบบที่รับประกันไว้ด้วย

สิ่งที่อาชญากรทำกับสิทธิ์การเข้าถึงเมื่อได้มาอาจแตกต่างกันอย่างมาก ขึ้นอยู่กับกลุ่มและปริมาณงานหรือแรงจูงใจของพวกเขา ระยะเวลาระหว่างการเข้าถึงเบื้องต้นกับการลงมือโจมตีจริงอาจใช้เวลาหลายนาทีไปจนถึงหลายวันหรือนานกว่านั้น แต่เมื่อสถานการณ์เอื้ออำนวย ความเสียหายอาจเกิดขึ้นได้อย่างรวดเร็ว อันที่จริง ระยะเวลาตั้งแต่การเข้าถึงเบื้องต้นไปจนถึงการเรียกค่าไถ่เต็มรูปแบบ (รวมถึงการโอนย้ายจากตัวกลางการเข้าถึงไปยังพันธมิตร RaaS) ใช้เวลาน้อยกว่าหนึ่งชั่วโมง

ขับเคลื่อนเศรษฐกิจต่อไป – วิธีการเข้าถึงสุดเจ้าเล่ห์เรื้อรัง

เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้ พวกเขาก็ไม่ต้องการออกไป แม้จะได้รับเงินค่าไถ่แล้วก็ตาม อันที่จริง การจ่ายค่าไถ่อาจไม่ช่วยลดความเสี่ยงให้กับเครือข่ายที่ได้รับผลกระทบ และอาจทำหน้าที่ให้เงินแก่อาชญากรไซเบอร์เท่านั้น ซึ่งจะพยายามสร้างรายได้จากการโจมตีด้วยมัลแวร์หรือแรนซัมแวร์ที่แตกต่างกันต่อไป จนกว่าพวกเขาจะถูกไล่ออกไป

การถ่ายโอนที่เกิดขึ้นระหว่างผู้โจมตีที่แตกต่างกันเมื่อมีการเปลี่ยนแปลงเศรษฐกิจของอาชญากรไซเบอร์เกิดขึ้น หมายความว่ากลุ่มกิจกรรมหลายกลุ่มอาจยังคงอยู่ในสภาพแวดล้อมโดยใช้วิธีการต่างๆ ที่แตกต่างกันไปจากเครื่องมือที่ใช้ในการโจมตีด้วยแรนซัมแวร์ ตัวอย่างเช่น การเข้าถึงเบื้องต้นที่ได้รับจากโทรจันธนาคารจะนำไปสู่การปรับใช้ Cobalt Strike แต่พันธมิตร RaaS ที่ซื้อการเข้าถึงอาจเลือกใช้เครื่องมือการเข้าถึงจากระยะไกล เช่น TeamViewer เพื่อดำเนินการแคมเปญ

การใช้เครื่องมือและการตั้งค่าที่ถูกต้องตามกฎหมายเพื่อคงอยู่ต่อไปเมื่อเทียบกับการฝังมัลแวร์ เช่น Cobalt Strike เป็นเทคนิคยอดนิยมในหมู่ผู้โจมตีด้วยแรนซัมแวร์เพื่อหลีกเลี่ยงการตรวจหาและคงอยู่ในเครือข่ายได้นานขึ้น

เทคนิคการโจมตีที่ได้รับความนิยมอีกวิธีหนึ่งคือการสร้างบัญชีผู้ใช้แบ็คดอร์ใหม่ ไม่ว่าจะเป็นในเครื่องหรือใน Active Directory ที่สามารถเพิ่มลงในเครื่องมือการเข้าถึงจากระยะไกล เช่น เครือข่ายส่วนตัวเสมือน (VPN) หรือเดสก์ท็อประยะไกล ผู้โจมตีด้วยแรนซัมแวร์ยังถูกพบว่าแก้ไขการตั้งค่าของระบบเพื่อเปิดใช้งานเดสก์ท็อประยะไกล ลดความปลอดภัยของโพรโทคอล และเพิ่มผู้ใช้ใหม่ไปยังกลุ่มผู้ใช้เดสก์ท็อประยะไกล

ไดอะแกรมแผนผังที่อธิบายวิธีการวางแผนและการใช้การโจมตี RaaS

การเผชิญกับปรปักษ์ที่เข้าใจยากและมีไหวพริบมากที่สุดในโลก

คุณสมบัติอย่างหนึ่งของ RaaS ที่ทำให้ภัยคุกคามน่ากังวลมากคือการใช้ผู้โจมตีที่เป็นมนุษย์ซึ่งสามารถตัดสินใจโดยใช้ข้อมูลและผ่านการคำนวณ และรูปแบบการโจมตีที่หลากหลายตามสิ่งที่พวกเขาพบในเครือข่ายที่พวกเขาเจาะระบบเข้าไปได้ เพื่อให้มั่นใจว่าพวกเขาจะบรรลุเป้าหมาย

Microsoft บัญญัติคำว่าแรนซัมแวร์ที่ดำเนินการโดยมนุษย์เพื่อกำหนดการโจมตีประเภทนี้ว่าเป็นห่วงโซ่ของกิจกรรมที่ไปสิ้นสุดที่ส่วนข้อมูลแรนซัมแวร์ ไม่ใช่ชุดส่วนข้อมูลมัลแวร์ที่จะบล็อก

ในขณะที่แคมเปญการเข้าถึงเบื้องต้นส่วนใหญ่ใช้การสอดแนมอัตโนมัติ เมื่อการโจมตีเปลี่ยนไปสู่ขั้นตอนการลงมือโจมตีจริง ผู้โจมตีจะใช้ความรู้และทักษะของตนเพื่อพยายามเอาชนะผลิตภัณฑ์รักษาความปลอดภัยในสภาพแวดล้อม

ผู้โจมตีด้วยแรนซัมแวร์มีแรงบันดาลใจจากการทำกำไรง่ายๆ ดังนั้นการเพิ่มต้นทุนด้วยการเสริมความปลอดภัยจึงเป็นกุญแจสำคัญในการขัดขวางเศรษฐกิจของอาชญากรไซเบอร์ การตัดสินใจโดยมนุษย์นี้หมายความว่าแม้ว่าผลิตภัณฑ์รักษาความปลอดภัยจะตรวจพบขั้นตอนการโจมตีเฉพาะ แต่ผู้โจมตีเองก็ยังไม่ถูกขับไล่ออกไปอย่างสมบูรณ์ พวกเขาพยายามที่จะดำเนินการต่อหากไม่ถูกบล็อกโดยตัวควบคุมความปลอดภัย ในหลายๆ กรณี หากผลิตภัณฑ์ป้องกันไวรัสตรวจพบและบล็อกเครื่องมือหรือส่วนข้อมูล ผู้โจมตีเพียงแค่ใช้เครื่องมืออื่นหรือปรับเปลี่ยนส่วนข้อมูลของตน

นอกจากนี้ ผู้โจมตียังตระหนักถึงเวลาการตอบสนองของศูนย์ปฏิบัติการรักษาความปลอดภัย (SOC) รวมถึงความสามารถและข้อจำกัดของเครื่องมือการตรวจจับ เมื่อการโจมตีไปถึงขั้นตอนการลบข้อมูลสำรองหรือการทำสำเนาลับ ก็จะใช้เวลาอีกไม่กี่นาทีในการปรับใช้แรนซัมแวร์ ปรปักษ์น่าจะดำเนินการที่เป็นอันตรายอย่างการลักลอบถ่ายโอนข้อมูลไปแล้ว ความรู้นี้เป็นกุญแจสำคัญสำหรับ SOC ที่ตอบสนองต่อแรนซัมแวร์: การตรวจสอบการตรวจหา เช่น Cobalt Strike ก่อนขั้นตอนการปรับใช้แรนซัมแวร์ และการดำเนินการแก้ไขอย่างรวดเร็วและขั้นตอนการตอบสนองต่อเหตุการณ์ (IR) มีความสำคัญอย่างยิ่งในการยับยั้งปรปักษ์ที่เป็นมนุษย์

เสริมการรักษาความปลอดภัยเพื่อป้องกันภัยคุกคาม พร้อมกับหลีกเลี่ยงความเหนื่อยล้าจากการแจ้งเตือน

กลยุทธ์การรักษาความปลอดภัยที่คงทนต่อปรปักษ์ที่เป็นมนุษย์จะต้องมีเป้าหมายการตรวจหาและการบรรเทาผลกระทบ การพึ่งพาการตรวจหาเพียงอย่างเดียวนั้นไม่เพียงพอ เนื่องจาก 1) เหตุการณ์การแทรกซึมบางอย่างไม่สามารถตรวจหาได้ในทางปฏิบัติ (ดูเหมือนเป็นการดำเนินการที่ไม่มีพิษภัยหลายครั้ง) และ 2) ไม่ใช่เรื่องแปลกที่การโจมตีด้วยแรนซัมแวร์จะถูกมองข้ามเนื่องจากความเหนื่อยล้าจากการแจ้งเตือนที่เกิดจากการแจ้งเตือนผลิตภัณฑ์รักษาความปลอดภัยที่แตกต่างกันหลายครั้ง

เนื่องจากผู้โจมตีมีหลายวิธีในการหลบเลี่ยงและปิดการใช้งานผลิตภัณฑ์รักษาความปลอดภัย และสามารถเลียนแบบพฤติกรรมของผู้ดูแลระบบที่ไม่เป็นอันตรายเพื่อให้กลมกลืนมากที่สุด ทีมรักษาความปลอดภัยด้าน IT และ SOC จึงควรสนับสนุนความพยายามในการตรวจจับด้วยมาตรการรักษาความปลอดภัยที่เข้มงวด

ผู้โจมตีด้วยแรนซัมแวร์มีแรงบันดาลใจจากการทำกำไรง่ายๆ ดังนั้นการเพิ่มต้นทุนด้วยการเสริมความปลอดภัยจึงเป็นกุญแจสำคัญในการขัดขวางเศรษฐกิจของอาชญากรไซเบอร์

ต่อไปนี้คือขั้นตอนบางส่วนที่องค์กรสามารถทำได้เพื่อป้องกันตนเอง:

 

  • สร้างสุขอนามัยด้านข้อมูลประจำตัว: พัฒนาการแบ่งส่วนเครือข่ายแบบลอจิคัลตามสิทธิ์ที่สามารถนำไปใช้ควบคู่ไปกับการแบ่งส่วนเครือข่ายเพื่อจำกัดการโจมตีแบบย้ายเครื่องไปเรื่อยๆ
  • ตรวจสอบการเปิดเผยข้อมูลประจำตัว: การตรวจสอบการเปิดเผยข้อมูลประจำตัวเป็นสิ่งสำคัญในการป้องกันการโจมตีของแรนซัมแวร์และอาชญากรรมไซเบอร์โดยทั่วไป ทีมรักษาความปลอดภัยด้าน IT และ SOC สามารถทำงานร่วมกันเพื่อลดสิทธิ์ของผู้ดูแลระบบและทำความเข้าใจระดับที่ข้อมูลประจำตัวของพวกเขาถูกเปิดเผย
  • เสริมสร้างความแข็งแกร่งให้กับระบบคลาวด์: เมื่อผู้โจมตีมุ่งสู่ทรัพยากรในระบบคลาวด์ สิ่งสำคัญคือต้องรักษาความปลอดภัยของทรัพยากรบนคลาวด์และข้อมูลประจำตัวตลอดจนบัญชีในองค์กร ทีมรักษาความปลอดภัยควรมุ่งเน้นไปที่การเสริมความแข็งแกร่งให้กับโครงสร้างพื้นฐานของข้อมูลประจำตัวด้านความปลอดภัย การบังคับใช้การรับรองความถูกต้องโดยใช้หลายปัจจัย (MFA) ในทุกบัญชี และการปฏิบัติต่อผู้ดูแลระบบคลาวด์/ผู้ดูแลระบบผู้เช่าด้วยการรักษาความปลอดภัยและสุขลักษณะข้อมูลประจำตัวในระดับเดียวกันกับผู้ดูแลระบบโดเมน
  • ปิดจุดบอดด้านความปลอดภัย: องค์กรควรตรวจสอบว่าเครื่องมือรักษาความปลอดภัยของตนทำงานในการกำหนดค่าที่เหมาะสมที่สุด และทำการสแกนเครือข่ายเป็นประจำเพื่อให้แน่ใจว่าผลิตภัณฑ์รักษาความปลอดภัยปกป้องทุกระบบ
  • ลดพื้นหน้าของการโจมตี: สร้างกฎการลดพื้นหน้าของการโจมตีเพื่อป้องกันเทคนิคการโจมตีทั่วไปที่ใช้ในการโจมตีด้วยแรนซัมแวร์ ในการโจมตีที่พบจากกลุ่มกิจกรรมที่เกี่ยวข้องกับแรนซัมแวร์หลายกลุ่ม องค์กรที่มีกฎที่กำหนดไว้อย่างชัดเจนสามารถบรรเทาการโจมตีในระยะเริ่มแรกได้ ในขณะเดียวกันก็ป้องกันกิจกรรมการใช้คีย์บอร์ดด้วยมือ
  • ประเมินขอบเขต: องค์กรต้องระบุและรักษาระบบเแพาะเขตที่ผู้โจมตีอาจใช้เพื่อเข้าถึงเครือข่ายให้ปลอดภัย เช่น สามารถใช้ส่วนติดต่อการสแกนสาธารณะเพื่อปรับแต่งข้อมูลได้
  • เสริมสร้างความแข็งแกร่งให้กับแอสเซทที่เผยแพร่บนอินเทอร์เน็ต: ผู้โจมตีด้วยแรนซัมแวร์และตัวกลางการเข้าถึงจะใช้ช่องโหว่ที่ไม่ได้รับการแก้ไข ไม่ว่าจะเป็นช่องโหว่ที่เปิดเผยแล้วหรือแบบ Zero-day ก็ตาม โดยเฉพาะอย่างยิ่งในขั้นตอนการเข้าถึงเบื้องต้น พวกเขายังปรับใช้ช่องโหว่ใหม่ได้อย่างรวดเร็วอีกด้วย หากต้องการลดช่องโหว่ให้ได้มากยิ่งขึ้น องค์กรสามารถใช้ความสามารถการจัดการภัยคุกคามและช่องโหว่ในผลิตภัณฑ์การตรวจหาและการตอบสนองปลายทางเพื่อค้นหา จัดลำดับความสำคัญ และแก้ไขช่องโหว่และการกำหนดค่าผิดพลาดได้
  • เตรียมพร้อมสำหรับการกู้คืน: การป้องกันแรนซัมแวร์ที่ดีที่สุดควรมีแผนเพื่อกู้คืนอย่างรวดเร็วในกรณีที่เกิดการโจมตี การกู้คืนจากการโจมตีจะมีค่าใช้จ่ายน้อยกว่าการจ่ายค่าไถ่ ดังนั้นโปรดตรวจสอบให้แน่ใจว่าได้ทำการสำรองข้อมูลระบบที่สำคัญของคุณเป็นประจำ และป้องกันการสำรองข้อมูลเหล่านั้นจากการลบข้อมูลและการเข้ารหัสลับโดยเจตนา หากเป็นไปได้ ให้จัดเก็บข้อมูลสำรองไว้ในที่เก็บข้อมูลออนไลน์ที่ไม่เปลี่ยนรูปแบบ หรือออฟไลน์โดยสมบูรณ์หรือนอกสถานที่
  • ป้องกันการโจมตีด้วยแรนซัมแวร์ได้มากขึ้น: ภัยคุกคามที่หลากหลายจากเศรษฐกิจแรนซัมแวร์รูปแบบใหม่และลักษณะการโจมตีของแรนซัมแวร์ที่ดำเนินการโดยมนุษย์ที่เข้าใจยาก ทำให้องค์กรต่างๆ ต้องใช้แนวทางการรักษาความปลอดภัยที่ครอบคลุม

ขั้นตอนที่เราระบุไว้ข้างต้นช่วยป้องกันรูปแบบการโจมตีทั่วไปและจะส่งผลระยะยาวในการป้องกันการโจมตีด้วยแรนซัมแวร์ เพื่อเพิ่มความแข็งแกร่งในการป้องกันต่อแรนซัมแวร์แบบดั้งเดิมและที่ดำเนินการโดยมนุษย์และภัยคุกคามอื่นๆ ให้ใช้เครื่องมือรักษาความปลอดภัยที่สามารถให้การมองเห็นข้ามโดเมนในเชิงลึกและความสามารถในการตรวจสอบแบบครบวงจร

สำหรับภาพรวมเพิ่มเติมของแรนซัมแวร์ พร้อมเคล็ดลับและแนวทางปฏิบัติสำหรับการป้องกัน การตรวจหา และการแก้ไข ให้ดู ป้องกันองค์กรของคุณจากแรนซัมแวร์ และสำหรับข้อมูลเชิงลึกยิ่งขึ้นเกี่ยวกับแรนซัมแวร์ที่ดำเนินการโดยมนุษย์ ให้อ่าน แรนซัมแวร์ในรูปแบบบริการของ Jessica Payne นักวิจัยการรักษาความปลอดภัยอาวุโส: ทำความเข้าใจระบบเศรษฐกิจอาชญากรรมไซเบอร์และวิธีการปกป้องตัวคุณเอง

บทความที่เกี่ยวข้อง

สัญญาณไซเบอร์ฉบับที่ 2: เศรษฐศาสตร์การขู่กรรโชก

รับฟังความเห็นจากผู้เชี่ยวชาญแนวหน้าเกี่ยวกับการพัฒนาแรนซัมแวร์ในรูปการบริการ เรียนรู้เกี่ยวกับเครื่องมือ กลยุทธ์ และเป้าหมายที่อาชญากรไซเบอร์ชื่นชอบ ตั้งแต่โปรแกรมและส่วนข้อมูลไปจนถึงการเข้าถึงนายหน้าและบริษัทในเครือ และรับคำแนะนำเพื่อช่วยปกป้ององค์กรของคุณ
เรียนรู้เพิ่มเติม

โปรไฟล์ผู้เชี่ยวชาญ: Nick Carr

Nick Carr หัวหน้าทีมข่าวกรองอาชญากรรมไซเบอร์ที่ศูนย์ Microsoft Threat Intelligence พูดคุยเกี่ยวกับแนวโน้มของแรนซัมแวร์ และได้อธิบายว่า Microsoft กำลังทำอะไรเพื่อปกป้องลูกค้าจากแรนซัมแวร์ และอธิบายว่าองค์กรต่างๆ จะทำอะไรได้บ้างหากพวกเขาได้รับผลกระทบ
เรียนรู้เพิ่มเติม

ปกป้ององค์กรของคุณจากแรนซัมแวร์

ทำความรู้จักกับอาชญากรที่ดำเนินการภายในเศรษฐกิจแรนซัมแวร์ใต้ดิน เราจะช่วยให้คุณทำความเข้าใจแรงจูงใจและกลไกของการโจมตีแรนซัมแวร์ และมอบแนวทางปฏิบัติสำหรับการป้องกัน ตลอดจนการสำรองข้อมูลและการกู้คืนให้กับคุณ
เรียนรู้เพิ่มเติม