กรุงเทพมหานคร – 2 เมษายน 2561 – ทางบริษัทไซแมนเทค (Nasdaq: SYMC) ได้ออกรายงานภัยคุกคามประจำปีฉบับล่าสุด (Internet Security Threat Report หรือ ISTR) ฉบับที่ 23 ซึ่งมีข้อมูลที่น่าสนใจ โดยพบว่าเหล่าอาชญากรไซเบอร์ ได้พยายามผนวกความสามารถในการโจมตีแบบใหม่ที่เรียกว่า cryptojacking เข้ากับชุดการโจมตีของตน เพื่อเพิ่มประสิทธิภาพในการหารายได้อย่างรวดเร็ว และเพื่อชดเชยกระแสการโจมตีแบบเรียกค่าไถ่ ที่ตลาดมีความผันผวนสูงและมีคู่แข่งมากจนเกินไป
มร.เชรีฟ เอล-นาบาวี ผู้อำนวยการอาวุโสฝ่ายวิศวกรรมระบบประจำภูมิภาคเอเชีย-แปซิฟิก ของไซแมนเทค ได้ให้คำนิยามว่า “Cryptojacking เป็นภัยคุกคามประเภทใหม่ที่มีผลกระทบต่อทั้งโลกไซเบอร์และบุคคลทั่วไป” “ผลกำไรมหาศาลที่เกิดขึ้นจากการโจมตีแบบใหม่นี้ ได้ทำให้บุคคล, อุปกรณ์, รวมทั้งองค์กรต่างๆ ตกอยู่ในความเสี่ยง ต่อการโจมตี เพื่อลักลอบใช้งานทรัพยากรระบบ ในการขุดเหรียญดิจิทัล(coinminers) โดยไม่ได้รับอนุญาต ซึ่งเป้าหมายในการโจมตีได้แผ่ขยายไปทุกพื้นที่ตั้งแต่เครื่องคอมพิวเตอร์ตามบ้าน ไปจนถึงศูนย์ข้อมูลขนาดยักษ์”
ในรายงานประจำปีของทางไซแทนเทค ยังได้บรรจุข้อมูลสรุปแนวโน้มภัยคุกคาม รวมทั้งข้อมูลเจาะลึกของการโจมตีในระดับโลก, แนวโน้มวิธีการโจมตีล่าสุดของเหล่าอาชญากรไซเบอร์ และข้อมูลแรงจูงใจของเหล่าผู้ไม่ประสงค์ดี โดยทางไซแมนเทคได้ข้อมูลเหล่านี้มาจากเครือข่ายข้อมูลอัจฉริยะ (Global Intelligence Network™) ซึ่งเป็นเครือข่ายข้อมูลไซเบอร์ภาคเอกชนที่ใหญ่ที่สุดในโลก โดยมีแหล่งข้อมูลมาจากเซ็นเซอร์ที่กระจายอยู่ทั่วโลกกว่า 126.5 ล้านเซ็นเซอร์ ครอบคลุมพื้นที่กว่า 157 ประเทศในทุกทวีป ซึ่งสามารถสรุปหัวข้อสำคัญได้ดังนี้
การโจมตีแบบ Cryptojacking เพิ่มขึ้นแบบก้าวกระโดดกว่า 8,500 เปอร์เซ็นต์
ในช่วงระหว่างปีที่ผ่านมาทางไซแมนเทคพบว่า การเพิ่มมูลค่าขึ้นอย่างรวดเร็วของสกุลเงินดิจิทัล ได้ก่อให้เกิดมรสุมตื่นทองของเหล่าอาชญากร ในการพยายามสร้างรายได้ โดยใช้เครื่องมือ cryptojacking ในการแย่งชิงทรัพยากรของคนอื่นมาใช้ในการขุดหาเหรียญดิจิทัล เพื่อตอบสนองต่อตลาดเงินดิจิทัลที่ร้อนแรงดังกล่าว จากสถิติพบว่ามีการโจมตีโดยพยายามฝังตัวขุดเหรียญดิจิทัลในเครื่องคอมพิวเตอร์ปลายทางเพิ่มขึ้นกว่า 8,500 เปอร์เซ็นต์ในปี 2560 ซึ่งประเทศไทยจัดอยู่ในอันดับ 4 ของภูมิภาคเอเซียแฟซิฟิกและญี่ปุ่น (APJ) หรือคิดเป็นอันดับที่ 18 ของการโจมตีประเภทดังกล่าวทั่วโลก
ด้วยวิธีการโจมตีที่เริ่มต้นได้แสนง่ายดาย เพียงแค่โค้ดไม่กี่บรรทัด เหล่าอาชญากรไซเบอร์ก็พร้อมแล้ว สำหรับการโจมตี เพื่อแย่งชิงทรัพยากรในการประมวลผล เพื่อขุดเหรียญดิจิทัล ทั้งบนเครื่องทั่วไป กระทั่งบนระบบคลาวน์ (Cloud) ของผู้ใช้ตามบ้านทั่วไป จนถึงระดับองค์กรขนาดใหญ่ โดยการโจมตีดังกล่าว จะทำให้เครื่องคอมพิวเตอร์ประมวลผลได้ช้าลงเป็นอย่างมาก เพราะมีการเรียกใช้หน่วยประมวลผลกลาง หรือ การ์ดประมวลผลกราฟฟิค เป็นจำนวนมาก และต่อเนื่อง ทำให้ระบบแบตเตอร์รี่มีความร้อนสูง รวมไปถึงอาจทำให้อุปกรณ์เสียหาย จากการใช้งานอย่างหนักหน่วงตลอดเวลา และผลกระทบสำหรับองค์กรขนาดใหญ่ คือทำให้เครือข่ายองค์กรตกอยู่ในความเสี่ยงที่จะต้องปิดการทำงานลง รวมถึงการเรียกใช้ทรัพยากรบนระบบคลาวน์ก็จะทำให้ค่าใช้จ่ายขององค์กรพุ่งสูงขึ้นอย่างรวดเร็ว
ดร.รัฐิติ์พงษ์ พุทธเจริญ หัวหน้าทีมวิศวกรระบบ ประจำประเทศไทยและ CLM ได้กล่าวไว้อย่างน่าสนใจว่า “ถึงเวลาหรือยังที่คุณจะตอบโต้กลับเพื่อรักษาทรัพย์สินของตัวคุณเองทั้งโทรศัพท์มือถือ, อุปกรณ์ IoTและเครื่องคอมพิวเตอร์ หรือจะปล่อยให้คนร้ายใช้เครื่องของคุณเพื่อทำกำไร” “คุณต้องตัดสินใจแล้วว่า คุณเลือกที่จะเพิ่มการป้องกัน เพื่อปกป้องสิทธิ์ของคุณ หรือจะยอมเสียเงินซื้ออุปกรณ์ราคาแพง แล้วปล่อยให้คนร้ายใช้เครื่องของคุณเพื่อประโยชน์ของตัวเขาเอง”
ตัวอุปกรณ์ IoT เองก็ถือเป็นเป้าหมายหลักในการโจมตีของเหล่าอาชญากรเช่นกัน ทางไซแมนเทคพบว่ามีการโจมตีอุปกรณ์ IoT เพิ่มขึ้นกว่า 600 เปอร์เซ็นต์ในช่วงปีที่ผ่านมา สาเหตุอาจเป็นเพราะว่าอุปกรณ์เหล่านี้มักมีพฤติกรรมเชื่อมต่ออินเตอร์เน็ตอยู่ตลอดเวลา ทำให้ตกเป็นเป้าโจมตีได้ง่าย และเหมาะสมกับการใช้เป็นฐานในการฟาร์มเพื่อขุดเหรียญดิจิทัลเป็นจำนวนมาก แม้แต่เครื่องคอมพิวเตอร์ Apple Macs ที่หลายๆ คนมองว่ามีความปลอดภัยสูงก็หนีไม่พ้น ตกเป็นเป้าหมายในการโจมตีเช่นเดียวกัน ทางไซแมนเทคตรวจพบการโจมตีประเภทดังกล่าวเพิ่มขึ้นกว่า 80 เปอร์เซ็นต์บนเครื่องตระกูล Mac OS ที่สำคัญคือด้วยเทคนิคที่ใช้การโจมตีด้วยการขุดเหรียญดิจิทัลผ่านเว็บบราวเซอร์ โดยการฝังโค้ดในหน้าเว็บไซต์ ที่คนมีความจำเป็นต้องเข้าบ่อยๆ หรืออยู่นานๆ เช่นเว็บสำหรับดูภาพยนตร์ เป็นต้น คนร้ายไม่จำเป็นต้องเขียนไวรัสให้ซับซ้อนเพื่อไปติดตั้งบนเครื่องเป้าหมายอีกต่อไป ไม่จำเป็นต้องรู้ว่าเป็นเครื่องวินโดว์, Mac หรือ Linux ด้วยซ้ำ เพื่อให้บรรลุเป้าหมายดังกล่าว
การโจมตีแบบเจาะจงเป้าหมายส่วนใหญ่ใช้เพียงวิธีเดียวในการแพร่เชื้อเข้าสู่ระบบเป้าหมาย
การโจมตีจากกลุ่มทีมงานมืออาขีพแบบเจาะจงเป้าหมายได้เพิ่มขึ้นอย่างรวดเร็ว โดยทางไซแมนเทคได้ตรวจพบกลุ่มเหล่านี้มากกว่า 140 กลุ่มแล้วในตอนนี้และกำลังเพิ่มขึ้นเรื่อยๆ โดยในปีที่ผ่านมาเทคนิคหลักในการโจมตีของกลุ่มคนร้ายเหล่านี้ มักเริ่มต้นจากเทคนิค spear phishing ซึ่งเป็นเทคนิคที่เก่าแก่แต่ยังได้ผล เพื่อแพร่เชื้อเข้าสู่ระบบเป้าหมาย และจากการที่กลุ่มคนร้ายนิยมใช้เทคนิคโจมตี ที่ผ่านการทดสอบมาแล้วเชื่อถือได้ ในการแทรกซึมเข้าสู่เป้าหมาย ทำให้การโจมตีที่ใช้งานช่องโหว่ประเภท zero-day ไม่เป็นที่นิยมอีกต่อไป โดยมีกลุ่มคนร้ายเพียง 27 เปอร์เซนต์เท่านั้น ที่ยังคงใช้งานการโจมตีแบบนี้อยู่
วงการอุตสาหกรรมความปลอดภัยได้เคยพูดคุยกันมานานแล้วว่า มีความเป็นไปได้ที่จะมีการโจมตีทางไซเบอร์ที่มุ่งเน้นทำลายล้างระบบ แต่ปัจจุบันได้ปรากฏการโจมตีจริงที่ได้ก้าวข้ามทฤษฎีดังกล่าวไปแล้ว โดยมีกลุ่มคนร้ายมากถึง 1 ใน 10 ที่เลือกสร้างไวรัสที่มุ่งเน้นทำลายล้างดังกล่าว
ไวรัสประเภทฝังตัวเพิ่มขึ้น 2 เท่า เน้นโจมตีบริษัทที่อยู่ในห่วงโซ่อุปทาน
ไซแมนเทคตรวจพบการโจมตีของคนร้าย ที่มุ่งเน้นฝังตัวในระบบของบริษัทผู้ผลิตโปรแกรม ที่อยู่ในห่วงโซ่อุปทานของเป้าหมายที่ต้องการโจมตี เพิ่มขึ้นสองเท่าในปีที่ผ่านมา ซึ่งนั่นเทียบเท่ากับมีการโจมตีอย่างน้อย 1 ครั้งในทุกๆ เดือน เปรียบเทียบกับปีก่อนๆ ที่มีการโจมตีเพียง 4 ครั้งตลอดทั้งปี ดังตัวอย่างการโจมตีที่เป็นข่าวโด่งดังของไวรัส Petya ซึ่งคนร้ายได้เริ่มจากการโจมตี ไปยังเครื่องแม่ข่ายที่ทำหน้าที่ในการอัพเดตระบบโปรแกรมบัญชี ของบริษัทผู้ผลิตโปรแกรมบัญชีในประเทศ Ukrain ทำให้คนร้ายสามารถทะลุเข้าไปยังระบบเครือข่ายที่ถูกปกป้องไว้เป็นอย่างดีได้ โดยไวรัส Petya ได้ใช้เทคนิคที่หลากหลายในการแพร่กระจายตัวเอง ภายในเครือข่ายของเป้าหมาย เพื่อติดตั้ง payload ที่ใช้ในการโจมตีระบบ
ไวรัสบนอุปกรณ์มือถือ ยังคงเพิ่มจำนวนขึ้นอย่างน่าตกใจ
ภัยคุกคามบนโลกของอุปกรณ์มือถือยังมียอดเติบโตขึ้นในทุกๆ ปี รวมไปถึงไวรัสสายพันธุ์ใหม่ๆ ที่เพิ่มขึ้นกว่า 54 เปอร์เซ็นต์ โดยทางไซแมนเทคได้ทำการบล็อกจำนวนไวรัสเฉลี่ยมากถึง 24,000 โปรแกรมในแต่ละวันในช่วงปีที่ผ่านมา และเนื่องจากยังคงมีผู้ใช้งานระบบปฏิบัติการเก่าอยู่เป็นจำนวนมาก ปัญหาต่างๆ ก็ยิ่งเลวร้ายลง ตัวอย่างเช่น บนระบบปฏิบัติการแอนดรอยด์ มีผู้ใช้งานเวอร์ชั่นหลักล่าสุดเพียง 20เปอร์เซ็นต์ และมีเพียง 2.3 เปอร์เซ็นต์เท่านั้นที่มีการอัพเดตแพทช์ความปลอดภัยล่าสุด
ผู้ใช้งานอุปกรณ์มือถือยังมีความเสี่ยงด้านความเป็นส่วนตัวจากโปรแกรมประเภท Grayware โดยโปรแกรมประเภทนี้ไม่ได้เป็นไวรัสอย่างแท้จริงแต่ก็อาจทำให้เกิดปัญหาบางอย่าง หรือทำให้เกิดความน่ารำคาญ โดยทางไซแมนเทคพบว่ามีโปรแกรม Grayware มากถึง 63 เปอร์เซ็นที่แอบเก็บข้อมูลหมายเลขโทรศัพท์ของผู้ใช้งาน ซึ่งเมื่อเราดูจากสถิติแล้วพบว่า โปรแกรมประเภท Grayware เพิ่มมากถึงขึ้น 20เปอร์เซ็นต์ในปีที่ผ่านมา นี่จึงไม่ใช่ปัญหาเล็กๆ เลย
กลุ่มอาชญากรไซเบอร์ มองไวรัสเรียกค่าไถ่เป็นสินค้าทำเงินระยะยาว
ก่อนหน้านี้ในปี 2559 ไวรัสเรียกค่าไถ่ทำกำไรให้เหล่าคนร้ายเป็นอย่างสูง ทำให้ตลาดไวรัสเรียกค่าไถ่นี้เริ่มมีคู่แข่งเข้ามาป็นจำนวนมาก ทำให้ในปีต่อมาพบว่าตลาดเริ่มมีการปรับตัว โดยค่าเฉลี่ยของค่าไถ่ได้ลดลงอยู่ที่ระดับ 522 ดอลล่าร์สหรัฐ นั่นเป็นสัญญาณได้อย่างหนึ่งว่า เหล่าอาชญากรได้มองไวรัสเรียกค่าไถ่เป็นสินค้าที่สามารถเป็นแหล่งทำเงินได้ในระยะยาว ซึ่งในปี 2560 ที่ผ่านมา ประเทศไทยจัดอยู่ในอันดับที่ 9 ของอันดับเหยื่อไวรัสเรียกค่าไถ่ในภูมิภาคเอเซียแฟซิฟิกและญี่ปุ่น เทียบกับอันดับที่ 12 ในปี 2559
ในปัจจุบันเหล่าอาชญากรไซเบอร์ส่วนใหญ่ เริ่มหันมาให้ความสนใจทางเลือกใหม่ในการขุดหาเหรียญดิจิทัล เนื่องจากมูลค่าของตลาดเหรียญดิจิทัลได้เพิ่มสูงขึ้นเป็นอย่างมาก นอกจากนั้นในขณะที่จำนวนตระกูลสายพันธุ์หลักของไวรัสเรียกค่าไถ่เริ่มลดจำนวนลง แต่จำนวนไวรัสของสายพันธุ์ย่อยกลับเพิ่มจำนวนขึ้นถึง 46 เปอร์เซ็นต์ นั่นหมายความว่ากลุ่มอาชญากรไซเบอร์ที่ยังชื่นชอบไวรัสเรียกค่าไถ่ เริ่มมีการสร้างสรรค์ไวรัสใหม่ๆ น้อยลง แต่ยังคงมีการทำงานอยู่อย่างขยันขันแข็ง
แนวทางปฏิบัติเพื่อความปลอดภัยจากผู้เชี่ยวชาญ
เนื่องจากเหล่าคนร้ายมีการพัฒนาเทคนิคการโจมตีต่างๆ เพิ่มขึ้นเป็นจำนวนมาก ดังนั้นเราจึงต้องมีการปรับตัวเพื่อตอบสนองต่อภัยคุกคามใหม่ๆ เพื่อเป็นการป้องกันตัวเองและธุรกิจของเราให้ปลอดภัย ทางไซแมนเทคขอแนะนำให้ทำสิ่งต่างๆ เหล่านี้
คำแนะนำสำหรับภาคธุรกิจ:
- เตรียมพร้อมข้อมูลอยู่ตลอดเวลา: คุณควรใช้งานระบบฐานข้อมูลภัยคุกคามอัจฉริยะ (advanced threat intelligence) เพื่อช่วยในการค้นหาตัวบ่งชี้การโจมตี (indicators of compromise) ที่อาจหลบซ่อนอยู่ในองค์กรของคุณ และสามารถตอบสนองต่อเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว
- เตรียมแผนรับมือในภาวะวิกฤต: มีระบบสำหรับจัดการเหตุการณ์ที่เกิดขึ้น โดยต้องมีกรอบการทำงานที่สั้นกระชับ, สามารถวัดผล และลงมือทำซ้ำได้, และสามารถนำบทเรียนที่เกิดขึ้นมาใช้ปรับใช้เพื่อเพิ่มประสิทธิภาพในการป้องกันในอนาคตได้ และควรสมัครใช้บริการตอบสนองภัยคุกคาม (incident response) ของบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไว้ล่วงหน้า เพื่อช่วยจัดการในกรณีที่เหตุการณ์ที่เกิดขึ้นมีปัญหาในระดับวิกฤต
- สร้างแนวป้องกันแบบหลายชั้น: แนวทางการสร้างแนวป้องกันแบบหลายชั้น สามารถช่วยลดปัญหาการโจมตีได้ตั้งแต่ระดับเครือข่ายและเกตเวย์, เครื่องแม่ข่ายจดหมายอิเล็คทรอนิค และเครื่องคอมพิวเตอร์ปลายทาง ตัวอย่างเช่น การเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (two-factor authentication), ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย (intrusion detection หรือintrusion prevention systems ),ระบบป้องกันช่องโหว่และไวรัสที่มาทางเว็บไซต์, และระบบรักษาความปลอดภัยทางเว็บ และเครือข่าย (web security gateway)
- จัดอบรมความรู้เกี่ยวกับอันตรายจากจดหมายอิเล็คทรอนิค: ให้ความรู้กับพนักงานทุกคนเกี่ยวกับอันตรายต่างๆ เกี่ยวกับจดหมายอิเล็คทรอนิค เช่น เทคนิคการโจมตีแบบ spear-phishing และการโจมตีทางจดหมายอิเล็คทรอนิคในรูปแบบอื่นๆ รวมไปถึงขั้นตอนวิธีการแจ้งเหตุให้ทีมผู้ดูแลระบบรับทราบ เมื่อเกิดการโจมตีขึ้น
- ตรวจสอบทรัพยากรระบบของคุณ: ตรวจสอบให้มั่นใจว่าทรัพยากร และเครือข่ายของคุณ อยู่ในสภาวะปกติ รวมไปถึงการสังเกตพฤติกรรมที่ผิดปกติในระบบต่างๆ และเทียบเคียงข้อมูลที่เกิดขึ้นกับฐานข้อมูลภัยคุกคามอัจฉริยะจากบรรดาผู้เชี่ยวชาญความปลอดภัย
สำหรับผู้ใช้ทั่วไป:
- เปลี่ยนรหัสผ่านเริ่มต้นที่ตั้งมาโดยผู้ผลิตบนอุปกรณ์และบริการต่างๆ: ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกัน สำหรับเครื่องคอมพิวเตอร์แต่ละเครื่อง, อุปกรณ์ IoT และรหัสเครือข่าย Wi-Fi อย่าใช้รหัสผ่านที่เป็นที่รู้จัก หรือที่คาดเดาได้ง่าย เช่น “123456” หรือ “password”
- หมั่นอัพเดตระบบปฏิบัติการและโปรแกรมต่างๆ เป็นประจำ: โดยทั่วไปการอัพเดตโปรแกรม จะรวมไปถึงการแพทช์เพื่อแก้ไขช่องโหว่ต่างๆ ที่ทางผู้ผลิตได้รับรายงานเข้ามา ซึ่งช่องโหว่เหล่านี้อาจถูกใช้ในการโจมตีจากผู้ไม่ประสงค์ดี
- ระมัดระวังจดหมายอิเล็คทรอนิคเป็นพิเศษ: เนื่องจากจดหมายอิเล็คทรอนิคเป็นหนึ่งในช่องทางการแพร่เชื้อที่สำคัญที่สุดช่องทางหนึ่ง ดังนั้นหากพบจดหมายที่ดูน่าสงสัยให้ลบทิ้งโดยทันที โดยเฉพาะอย่างยิ่งเมื่อจดหมายดังกล่าว มีไฟล์แนบ หรือมีลิงค์อยู่ภายใน และยิ่งต้องระวังเป็นพิเศษ หากไฟล์แนบดังกล่าวเป็นไฟล์ประเภท Microsoft Office ที่เขียนคำแนะนำให้เปิดใช้งาน Macro เพื่อดูเนื้อหาภายใน
- ทำสำรองงานของคุณ: การทำสำรองข้อมูลเป็นประจำ เป็นวิธีที่มีประสิทธิภาพดีที่สุด เมื่อต้องเจอกับไวรัสเรียกค่าไถ่ คนร้ายสามารถเข้ารหัสไฟล์งานของคุณเพื่อเรียกค่าไถ่ ทำให้คุณไม่สามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสไว้จนกว่าจะยอมเสียเงินเพื่อปลดล็อค แต่ถ้าคุณมีชุดข้อมูลที่ทำสำรองไว้ คุณก็จะสามารถกู้คืนไฟล์ของคุณไปในจุดก่อนที่จะเกิดปัญหาได้ หลังจากทำการลบไวรัสออกไปแล้ว