TECHNOLOGY UPDATE :

Cryptojacking ได้เพิ่มสูงขึ้นอย่างมีนัยสำคัญ

ข่าวไอที ทางบริษัทไซแมนเทค (Nasdaq: SYMC) ได้ออกรายงานภัยคุกคามประจำปีฉบับล่าสุด (Internet Security Threat Report หรือ ISTR) ฉบับที่ 23 ซึ่งมีข้อมูลที่น่าสนใจ โดยพบว่าเหล่าอาชญากรไซเบอร์ ได้พยายามผนวกความสามารถในการโจมตีแบบใหม่ที่เรียกว่า cryptojacking เข้ากับชุดการโจมตีของตน เพื่อเพิ่มประสิทธิภาพในการหารายได้อย่างรวดเร็ว และเพื่อชดเชยกระแสการโจมตีแบบเรียกค่าไถ่ ที่ตลาดมีความผันผวนสูงและมีคู่แข่งมากจนเกินไป

การโจมตีแบบ Cryptojacking ได้เพิ่มสูงขึ้นอย่างมีนัยสำคัญ
มร.เชรีฟ เอล-นาบาวี ผู้อำนวยการอาวุโสฝ่ายวิศวกรรมระบบประจำภูมิภาคเอเชีย-แปซิฟิก ของไซแมนเทค ได้ให้คำนิยามว่า “Cryptojacking เป็นภัยคุกคามประเภทใหม่ที่มีผลกระทบต่อทั้งโลกไซเบอร์และบุคคลทั่วไป” “ผลกำไรมหาศาลที่เกิดขึ้นจากการโจมตีแบบใหม่นี้ ได้ทำให้บุคคล, อุปกรณ์, รวมทั้งองค์กรต่างๆ ตกอยู่ในความเสี่ยง ต่อการโจมตี เพื่อลักลอบใช้งานทรัพยากรระบบ ในการขุดเหรียญดิจิทัล (coinminers) โดยไม่ได้รับอนุญาต ซึ่งเป้าหมายในการโจมตีได้แผ่ขยายไปทุกพื้นที่ตั้งแต่เครื่องคอมพิวเตอร์ตามบ้าน ไปจนถึงศูนย์ข้อมูลขนาดยักษ์”

ในรายงานประจำปีของทางไซแทนเทค ยังได้บรรจุข้อมูลสรุปแนวโน้มภัยคุกคาม รวมทั้งข้อมูลเจาะลึกของการโจมตีในระดับโลก, แนวโน้มวิธีการโจมตีล่าสุดของเหล่าอาชญากรไซเบอร์ และข้อมูลแรงจูงใจของเหล่าผู้ไม่ประสงค์ดี โดยทางไซแมนเทคได้ข้อมูลเหล่านี้มาจากเครือข่ายข้อมูลอัจฉริยะ (Global Intelligence Network™) ซึ่งเป็นเครือข่ายข้อมูลไซเบอร์ภาคเอกชนที่ใหญ่ที่สุดในโลก โดยมีแหล่งข้อมูลมาจากเซ็นเซอร์ที่กระจายอยู่ทั่วโลกกว่า 126.5 ล้านเซ็นเซอร์ ครอบคลุมพื้นที่กว่า 157 ประเทศในทุกทวีป ซึ่งสามารถสรุปหัวข้อสำคัญได้ดังนี้

การโจมตีแบบ Cryptojacking เพิ่มขึ้นแบบก้าวกระโดดกว่า 8,500 เปอร์เซ็นต์

ในช่วงระหว่างปีที่ผ่านมาทางไซแมนเทคพบว่า การเพิ่มมูลค่าขึ้นอย่างรวดเร็วของสกุลเงินดิจิทัล ได้ก่อให้เกิดมรสุมตื่นทองของเหล่าอาชญากร ในการพยายามสร้างรายได้ โดยใช้เครื่องมือ cryptojacking ในการแย่งชิงทรัพยากรของคนอื่นมาใช้ในการขุดหาเหรียญดิจิทัล เพื่อตอบสนองต่อตลาดเงินดิจิทัลที่ร้อนแรงดังกล่าว จากสถิติพบว่ามีการโจมตีโดยพยายามฝังตัวขุดเหรียญดิจิทัลในเครื่องคอมพิวเตอร์ปลายทางเพิ่มขึ้นกว่า 8,500 เปอร์เซ็นต์ในปี 2560 ซึ่งประเทศไทยจัดอยู่ในอันดับ 4 ของภูมิภาคเอเซียแฟซิฟิกและญี่ปุ่น (APJ) หรือคิดเป็นอันดับที่ 18 ของการโจมตีประเภทดังกล่าวทั่วโลก

ด้วยวิธีการโจมตีที่เริ่มต้นได้แสนง่ายดาย เพียงแค่โค้ดไม่กี่บรรทัด เหล่าอาชญากรไซเบอร์ก็พร้อมแล้ว สำหรับการโจมตี เพื่อแย่งชิงทรัพยากรในการประมวลผล เพื่อขุดเหรียญดิจิทัล ทั้งบนเครื่องทั่วไป กระทั่งบนระบบคลาวน์ (Cloud) ของผู้ใช้ตามบ้านทั่วไป จนถึงระดับองค์กรขนาดใหญ่ โดยการโจมตีดังกล่าว จะทำให้เครื่องคอมพิวเตอร์ประมวลผลได้ช้าลงเป็นอย่างมาก เพราะมีการเรียกใช้หน่วยประมวลผลกลาง หรือ การ์ดประมวลผลกราฟฟิค เป็นจำนวนมาก และต่อเนื่อง ทำให้ระบบแบตเตอร์รี่มีความร้อนสูง รวมไปถึงอาจทำให้อุปกรณ์เสียหาย จากการใช้งานอย่างหนักหน่วงตลอดเวลา และผลกระทบสำหรับองค์กรขนาดใหญ่ คือทำให้เครือข่ายองค์กรตกอยู่ในความเสี่ยงที่จะต้องปิดการทำงานลง รวมถึงการเรียกใช้ทรัพยากรบนระบบคลาวน์ก็จะทำให้ค่าใช้จ่ายขององค์กรพุ่งสูงขึ้นอย่างรวดเร็ว

ดร.รัฐิติ์พงษ์ พุทธเจริญ หัวหน้าทีมวิศวกรระบบ ประจำประเทศไทยและ CLM ได้กล่าวไว้อย่างน่าสนใจว่า “ถึงเวลาหรือยังที่คุณจะตอบโต้กลับเพื่อรักษาทรัพย์สินของตัวคุณเองทั้งโทรศัพท์มือถือ, อุปกรณ์ IoT และเครื่องคอมพิวเตอร์ หรือจะปล่อยให้คนร้ายใช้เครื่องของคุณเพื่อทำกำไร” “คุณต้องตัดสินใจแล้วว่า คุณเลือกที่จะเพิ่มการป้องกัน เพื่อปกป้องสิทธิ์ของคุณ หรือจะยอมเสียเงินซื้ออุปกรณ์ราคาแพง แล้วปล่อยให้คนร้ายใช้เครื่องของคุณเพื่อประโยชน์ของตัวเขาเอง”

ตัวอุปกรณ์ IoT เองก็ถือเป็นเป้าหมายหลักในการโจมตีของเหล่าอาชญากรเช่นกัน ทางไซแมนเทคพบว่ามีการโจมตีอุปกรณ์ IoT เพิ่มขึ้นกว่า 600 เปอร์เซ็นต์ในช่วงปีที่ผ่านมา สาเหตุอาจเป็นเพราะว่าอุปกรณ์เหล่านี้มักมีพฤติกรรมเชื่อมต่ออินเตอร์เน็ตอยู่ตลอดเวลา ทำให้ตกเป็นเป้าโจมตีได้ง่าย และเหมาะสมกับการใช้เป็นฐานในการฟาร์มเพื่อขุดเหรียญดิจิทัลเป็นจำนวนมาก แม้แต่เครื่องคอมพิวเตอร์ Apple Macs ที่หลายๆ คนมองว่ามีความปลอดภัยสูงก็หนีไม่พ้น ตกเป็นเป้าหมายในการโจมตีเช่นเดียวกัน ทางไซแมนเทคตรวจพบการโจมตีประเภทดังกล่าวเพิ่มขึ้นกว่า 80 เปอร์เซ็นต์บนเครื่องตระกูล Mac OS ที่สำคัญคือด้วยเทคนิคที่ใช้การโจมตีด้วยการขุดเหรียญดิจิทัลผ่านเว็บบราวเซอร์ โดยการฝังโค้ดในหน้าเว็บไซต์ ที่คนมีความจำเป็นต้องเข้าบ่อยๆ หรืออยู่นานๆ เช่นเว็บสำหรับดูภาพยนตร์ เป็นต้น คนร้ายไม่จำเป็นต้องเขียนไวรัสให้ซับซ้อนเพื่อไปติดตั้งบนเครื่องเป้าหมายอีกต่อไป ไม่จำเป็นต้องรู้ว่าเป็นเครื่องวินโดว์, Mac หรือ Linux ด้วยซ้ำ เพื่อให้บรรลุเป้าหมายดังกล่าว

การโจมตีแบบเจาะจงเป้าหมายส่วนใหญ่ใช้เพียงวิธีเดียวในการแพร่เชื้อเข้าสู่ระบบเป้าหมาย

การโจมตีจากกลุ่มทีมงานมืออาขีพแบบเจาะจงเป้าหมายได้เพิ่มขึ้นอย่างรวดเร็ว โดยทางไซแมนเทคได้ตรวจพบกลุ่มเหล่านี้มากกว่า 140 กลุ่มแล้วในตอนนี้และกำลังเพิ่มขึ้นเรื่อยๆ โดยในปีที่ผ่านมาเทคนิคหลักในการโจมตีของกลุ่มคนร้ายเหล่านี้ มักเริ่มต้นจากเทคนิค spear phishing ซึ่งเป็นเทคนิคที่เก่าแก่แต่ยังได้ผล เพื่อแพร่เชื้อเข้าสู่ระบบเป้าหมาย และจากการที่กลุ่มคนร้ายนิยมใช้เทคนิคโจมตี ที่ผ่านการทดสอบมาแล้วเชื่อถือได้ ในการแทรกซึมเข้าสู่เป้าหมาย ทำให้การโจมตีที่ใช้งานช่องโหว่ประเภท zero-day ไม่เป็นที่นิยมอีกต่อไป โดยมีกลุ่มคนร้ายเพียง 27 เปอร์เซนต์เท่านั้น ที่ยังคงใช้งานการโจมตีแบบนี้อยู่

วงการอุตสาหกรรมความปลอดภัยได้เคยพูดคุยกันมานานแล้วว่า มีความเป็นไปได้ที่จะมีการโจมตีทางไซเบอร์ที่มุ่งเน้นทำลายล้างระบบ แต่ปัจจุบันได้ปรากฏการโจมตีจริงที่ได้ก้าวข้ามทฤษฎีดังกล่าวไปแล้ว โดยมีกลุ่มคนร้ายมากถึง 1 ใน 10 ที่เลือกสร้างไวรัสที่มุ่งเน้นทำลายล้างดังกล่าว

ไวรัสประเภทฝังตัวเพิ่มขึ้น 2 เท่า เน้นโจมตีบริษัทที่อยู่ในห่วงโซ่อุปทาน

ไซแมนเทคตรวจพบการโจมตีของคนร้าย ที่มุ่งเน้นฝังตัวในระบบของบริษัทผู้ผลิตโปรแกรม ที่อยู่ในห่วงโซ่อุปทานของเป้าหมายที่ต้องการโจมตี เพิ่มขึ้นสองเท่าในปีที่ผ่านมา ซึ่งนั่นเทียบเท่ากับมีการโจมตีอย่างน้อย 1 ครั้งในทุกๆ เดือน เปรียบเทียบกับปีก่อนๆ ที่มีการโจมตีเพียง 4 ครั้งตลอดทั้งปี ดังตัวอย่างการโจมตีที่เป็นข่าวโด่งดังของไวรัส Petya ซึ่งคนร้ายได้เริ่มจากการโจมตี ไปยังเครื่องแม่ข่ายที่ทำหน้าที่ในการอัพเดตระบบโปรแกรมบัญชี ของบริษัทผู้ผลิตโปรแกรมบัญชีในประเทศ Ukrain ทำให้คนร้ายสามารถทะลุเข้าไปยังระบบเครือข่ายที่ถูกปกป้องไว้เป็นอย่างดีได้ โดยไวรัส Petya ได้ใช้เทคนิคที่หลากหลายในการแพร่กระจายตัวเอง ภายในเครือข่ายของเป้าหมาย เพื่อติดตั้ง payload ที่ใช้ในการโจมตีระบบ

ไวรัสบนอุปกรณ์มือถือ ยังคงเพิ่มจำนวนขึ้นอย่างน่าตกใจ

ภัยคุกคามบนโลกของอุปกรณ์มือถือยังมียอดเติบโตขึ้นในทุกๆ ปี รวมไปถึงไวรัสสายพันธุ์ใหม่ๆ ที่เพิ่มขึ้นกว่า 54 เปอร์เซ็นต์ โดยทางไซแมนเทคได้ทำการบล็อกจำนวนไวรัสเฉลี่ยมากถึง 24,000 โปรแกรมในแต่ละวันในช่วงปีที่ผ่านมา และเนื่องจากยังคงมีผู้ใช้งานระบบปฏิบัติการเก่าอยู่เป็นจำนวนมาก ปัญหาต่างๆ ก็ยิ่งเลวร้ายลง ตัวอย่างเช่น บนระบบปฏิบัติการแอนดรอยด์ มีผู้ใช้งานเวอร์ชั่นหลักล่าสุดเพียง 20 เปอร์เซ็นต์ และมีเพียง 2.3 เปอร์เซ็นต์เท่านั้นที่มีการอัพเดตแพทช์ความปลอดภัยล่าสุด

ผู้ใช้งานอุปกรณ์มือถือยังมีความเสี่ยงด้านความเป็นส่วนตัวจากโปรแกรมประเภท Grayware โดยโปรแกรมประเภทนี้ไม่ได้เป็นไวรัสอย่างแท้จริงแต่ก็อาจทำให้เกิดปัญหาบางอย่าง หรือทำให้เกิดความน่ารำคาญ โดยทางไซแมนเทคพบว่ามีโปรแกรม Grayware มากถึง 63 เปอร์เซ็นที่แอบเก็บข้อมูลหมายเลขโทรศัพท์ของผู้ใช้งาน ซึ่งเมื่อเราดูจากสถิติแล้วพบว่า โปรแกรมประเภท Grayware เพิ่มมากถึงขึ้น 20 เปอร์เซ็นต์ในปีที่ผ่านมา นี่จึงไม่ใช่ปัญหาเล็กๆ เลย

กลุ่มอาชญากรไซเบอร์ มองไวรัสเรียกค่าไถ่เป็นสินค้าทำเงินระยะยาว

ก่อนหน้านี้ในปี 2559 ไวรัสเรียกค่าไถ่ทำกำไรให้เหล่าคนร้ายเป็นอย่างสูง ทำให้ตลาดไวรัสเรียกค่าไถ่นี้เริ่มมีคู่แข่งเข้ามาป็นจำนวนมาก ทำให้ในปีต่อมาพบว่าตลาดเริ่มมีการปรับตัว โดยค่าเฉลี่ยของค่าไถ่ได้ลดลงอยู่ที่ระดับ 522 ดอลล่าร์สหรัฐ นั่นเป็นสัญญาณได้อย่างหนึ่งว่า เหล่าอาชญากรได้มองไวรัสเรียกค่าไถ่เป็นสินค้าที่สามารถเป็นแหล่งทำเงินได้ในระยะยาว ซึ่งในปี 2560 ที่ผ่านมา ประเทศไทยจัดอยู่ในอันดับที่ 9 ของอันดับเหยื่อไวรัสเรียกค่าไถ่ในภูมิภาคเอเซียแฟซิฟิกและญี่ปุ่น เทียบกับอันดับที่ 12 ในปี 2559

ในปัจจุบันเหล่าอาชญากรไซเบอร์ส่วนใหญ่ เริ่มหันมาให้ความสนใจทางเลือกใหม่ในการขุดหาเหรียญดิจิทัล เนื่องจากมูลค่าของตลาดเหรียญดิจิทัลได้เพิ่มสูงขึ้นเป็นอย่างมาก นอกจากนั้นในขณะที่จำนวนตระกูลสายพันธุ์หลักของไวรัสเรียกค่าไถ่เริ่มลดจำนวนลง แต่จำนวนไวรัสของสายพันธุ์ย่อยกลับเพิ่มจำนวนขึ้นถึง 46 เปอร์เซ็นต์ นั่นหมายความว่ากลุ่มอาชญากรไซเบอร์ที่ยังชื่นชอบไวรัสเรียกค่าไถ่ เริ่มมีการสร้างสรรค์ไวรัสใหม่ๆ น้อยลง แต่ยังคงมีการทำงานอยู่อย่างขยันขันแข็ง

แนวทางปฏิบัติเพื่อความปลอดภัยจากผู้เชี่ยวชาญ

เนื่องจากเหล่าคนร้ายมีการพัฒนาเทคนิคการโจมตีต่างๆ เพิ่มขึ้นเป็นจำนวนมาก ดังนั้นเราจึงต้องมีการปรับตัวเพื่อตอบสนองต่อภัยคุกคามใหม่ๆ เพื่อเป็นการป้องกันตัวเองและธุรกิจของเราให้ปลอดภัย ทางไซแมนเทคขอแนะนำให้ทำสิ่งต่างๆ เหล่านี้

คำแนะนำสำหรับภาคธุรกิจ:

· เตรียมพร้อมข้อมูลอยู่ตลอดเวลา: คุณควรใช้งานระบบฐานข้อมูลภัยคุกคามอัจฉริยะ (advanced threat intelligence) เพื่อช่วยในการค้นหาตัวบ่งชี้การโจมตี (indicators of compromise) ที่อาจหลบซ่อนอยู่ในองค์กรของคุณ และสามารถตอบสนองต่อเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว

· เตรียมแผนรับมือในภาวะวิกฤต: มีระบบสำหรับจัดการเหตุการณ์ที่เกิดขึ้น โดยต้องมีกรอบการทำงานที่สั้นกระชับ, สามารถวัดผล และลงมือทำซ้ำได้, และสามารถนำบทเรียนที่เกิดขึ้นมาใช้ปรับใช้เพื่อเพิ่มประสิทธิภาพในการป้องกันในอนาคตได้ และควรสมัครใช้บริการตอบสนองภัยคุกคาม (incident response) ของบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไว้ล่วงหน้า เพื่อช่วยจัดการในกรณีที่เหตุการณ์ที่เกิดขึ้นมีปัญหาในระดับวิกฤต

· สร้างแนวป้องกันแบบหลายชั้น: แนวทางการสร้างแนวป้องกันแบบหลายชั้น สามารถช่วยลดปัญหาการโจมตีได้ตั้งแต่ระดับเครือข่ายและเกตเวย์, เครื่องแม่ข่ายจดหมายอิเล็คทรอนิค และเครื่องคอมพิวเตอร์ปลายทาง ตัวอย่างเช่น การเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (two-factor authentication), ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย (intrusion detection หรือ intrusion prevention systems ),ระบบป้องกันช่องโหว่และไวรัสที่มาทางเว็บไซต์, และระบบรักษาความปลอดภัยทางเว็บ และเครือข่าย (web security gateway)

· จัดอบรมความรู้เกี่ยวกับอันตรายจากจดหมายอิเล็คทรอนิค: ให้ความรู้กับพนักงานทุกคนเกี่ยวกับอันตรายต่างๆ เกี่ยวกับจดหมายอิเล็คทรอนิค เช่น เทคนิคการโจมตีแบบ spear-phishing และการโจมตีทางจดหมายอิเล็คทรอนิคในรูปแบบอื่นๆ รวมไปถึงขั้นตอนวิธีการแจ้งเหตุให้ทีมผู้ดูแลระบบรับทราบ เมื่อเกิดการโจมตีขึ้น

· ตรวจสอบทรัพยากรระบบของคุณ: ตรวจสอบให้มั่นใจว่าทรัพยากร และเครือข่ายของคุณ อยู่ในสภาวะปกติ รวมไปถึงการสังเกตพฤติกรรมที่ผิดปกติในระบบต่างๆ และเทียบเคียงข้อมูลที่เกิดขึ้นกับฐานข้อมูลภัยคุกคามอัจฉริยะจากบรรดาผู้เชี่ยวชาญความปลอดภัย

สำหรับผู้ใช้ทั่วไป:

· เปลี่ยนรหัสผ่านเริ่มต้นที่ตั้งมาโดยผู้ผลิตบนอุปกรณ์และบริการต่างๆ: ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกัน สำหรับเครื่องคอมพิวเตอร์แต่ละเครื่อง, อุปกรณ์ IoT และรหัสเครือข่าย Wi-Fi อย่าใช้รหัสผ่านที่เป็นที่รู้จัก หรือที่คาดเดาได้ง่าย เช่น “123456” หรือ “password”

· หมั่นอัพเดตระบบปฏิบัติการและโปรแกรมต่างๆ เป็นประจำ: โดยทั่วไปการอัพเดตโปรแกรม จะรวมไปถึงการแพทช์เพื่อแก้ไขช่องโหว่ต่างๆ ที่ทางผู้ผลิตได้รับรายงานเข้ามา ซึ่งช่องโหว่เหล่านี้อาจถูกใช้ในการโจมตีจากผู้ไม่ประสงค์ดี

· ระมัดระวังจดหมายอิเล็คทรอนิคเป็นพิเศษ: เนื่องจากจดหมายอิเล็คทรอนิคเป็นหนึ่งในช่องทางการแพร่เชื้อที่สำคัญที่สุดช่องทางหนึ่ง ดังนั้นหากพบจดหมายที่ดูน่าสงสัยให้ลบทิ้งโดยทันที โดยเฉพาะอย่างยิ่งเมื่อจดหมายดังกล่าว มีไฟล์แนบ หรือมีลิงค์อยู่ภายใน และยิ่งต้องระวังเป็นพิเศษ หากไฟล์แนบดังกล่าวเป็นไฟล์ประเภท Microsoft Office ที่เขียนคำแนะนำให้เปิดใช้งาน Macro เพื่อดูเนื้อหาภายใน

· ทำสำรองงานของคุณ: การทำสำรองข้อมูลเป็นประจำ เป็นวิธีที่มีประสิทธิภาพดีที่สุด เมื่อต้องเจอกับไวรัสเรียกค่าไถ่ คนร้ายสามารถเข้ารหัสไฟล์งานของคุณเพื่อเรียกค่าไถ่ ทำให้คุณไม่สามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสไว้จนกว่าจะยอมเสียเงินเพื่อปลดล็อค แต่ถ้าคุณมีชุดข้อมูลที่ทำสำรองไว้ คุณก็จะสามารถกู้คืนไฟล์ของคุณไปในจุดก่อนที่จะเกิดปัญหาได้ หลังจากทำการลบไวรัสออกไปแล้ว

###

เกี่ยวกับรายงาน Internet Security Threat Report

รายงาน Internet Security Threat Report ได้นำเสนอข้อมูลภาพรวมและข้อมูลที่ได้รับการวิเคราะห์เป็นอย่างดี จากข้อมูลภัยคุกคามทั่วโลกตลอดทั้งปี รายงานนี้ได้รับการสนับสนุนข้อมูลจากเครือข่ายข้อมูลอัจฉริยะของไซแมนเทค (Global Intelligence Network) , ซึ่งทางผู้เชี่ยวชาญของไซแมนเทคได้ทำการตรวจสอบ, วินิจฉัย และวิเคราะห์ข้อมูล และให้ความเห็นเพิ่มเติมเกี่ยวกับแนวโน้มภัยคุกคามใหม่ๆ, พฤติกรรมของไฟล์ที่น่าสงสัย, การโจมตีแบบ phishing และจดหมายขยะ

คุณสามารถเข้าเยี่ยมชม Threat Intelligence blog ของไซแมนเทค และทำการ register เพื่อรับฟังข้อมูลเพิ่มเติมได้ทาง

ISTR webinar ในวันที่ 12 เมษายน เวลา 12.00 น. (เวลาประเทศไทย) สำหรับสื่อมวลชนสามารถเข้าเยี่ยมชม digital press kit สำหรับข้อมูลและเอกสารอื่นๆ ที่เกี่ยวข้อง

บทความที่เกี่ยวข้อง

กลับไป ด้านบน

Thaiza update: