April 23, 2018

ไซแมนเทคเตือน Cryptojacking เพิ่มขึ้น

April 11, 2018 44

ความนิยมใน Cryptocurrency ในช่วงปีที่ผ่านมาส่งผลให้ผู้ร้ายบนโลกไซเบอร์หาหนทางเข้ามาขอมีส่วนแบ่งแบบผิดๆ โดยบริษัทไซแมนเทค  ออกรายงานภัยคุกคามประจำปีฉบับล่าสุด (Internet Security Threat Report หรือ ISTR) ฉบับที่ 23  ซึ่งพบว่าเหล่าอาชญากรไซเบอร์ ได้พยายามผนวกความสามารถในการโจมตีแบบใหม่ที่เรียกว่า cryptojacking เข้ากับชุดการโจมตีของตน เพื่อเพิ่มประสิทธิภาพในการหารายได้อย่างรวดเร็ว และเพื่อชดเชยกระแสการโจมตีแบบเรียกค่าไถ่ ที่ตลาดมีความผันผวนสูงและมีคู่แข่งมากจนเกินไป

การเพิ่มมูลค่าขึ้นอย่างรวดเร็วของสกุลเงินดิจิทัล ทำให้เหล่าอาชญากรพยายามสร้างรายได้โดยใช้เครื่องมือ cryptojacking ในการแย่งชิงทรัพยากรของคนอื่นมาใช้ในการขุดหาเหรียญดิจิทัล เพื่อตอบสนองต่อตลาดเงินดิจิทัลที่ร้อนแรง จากสถิติพบว่ามีการโจมตีโดยพยายามฝังตัวขุดเหรียญดิจิทัลในเครื่องคอมพิวเตอร์ปลายทางเพิ่มขึ้นกว่า 8,500 เปอร์เซ็นต์ในปี 2560 ซึ่งประเทศไทยจัดอยู่ในอันดับ 4 ของภูมิภาคเอเซียแฟซิฟิกและญี่ปุ่น (APJ) หรือคิดเป็นอันดับที่ 18  ของการโจมตีประเภทดังกล่าวทั่วโลก

วิธีการโจมตีที่เริ่มต้นได้แสนง่ายดาย เพียงแค่โค้ดไม่กี่บรรทัด อาชญากรไซเบอร์ก็พร้อมสำหรับการโจมตีแย่งชิงทรัพยากรในการประมวลผล เพื่อขุดเหรียญดิจิทัล ทั้งบนเครื่องทั่วไป กระทั่งบนระบบคลาวน์ (Cloud) ของผู้ใช้ตามบ้านทั่วไป จนถึงระดับองค์กรขนาดใหญ่ โดยการโจมตีดังกล่าว จะทำให้เครื่องคอมพิวเตอร์ประมวลผลได้ช้าลงเป็นอย่างมาก เพราะมีการเรียกใช้หน่วยประมวลผลกลาง หรือ การ์ดประมวลผลกราฟฟิคเป็นจำนวนมาก และต่อเนื่อง ทำให้ระบบแบตเตอร์รี่มีความร้อนสูง รวมไปถึงอาจทำให้อุปกรณ์เสียหาย จากการใช้งานอย่างหนักหน่วงตลอดเวลา และผลกระทบสำหรับองค์กรขนาดใหญ่ คือทำให้เครือข่ายองค์กรตกอยู่ในความเสี่ยงที่จะต้องปิดการทำงานลง รวมถึงการเรียกใช้ทรัพยากรบนระบบคลาวน์ก็จะทำให้ค่าใช้จ่ายขององค์กรพุ่งสูงขึ้นอย่างรวดเร็ว

รายงานของไซแมนเทคยังระบุภัยคุกคามออนไลน์อื่นที่ต้องติดตามประกอบด้วย การโจมตีอุปกรณ์IOT ที่เพิ่มขึ้นกว่า 600 เปอร์เซ็นต์ในปีที่ผ่านมา และไซแมนเทคตรวจพบการโจมตีของคนร้ายที่มุ่งเน้นฝังตัวในระบบของบริษัทผู้ผลิตโปรแกรม ที่อยู่ในห่วงโซ่อุปทานของเป้าหมายที่ต้องการโจมตี เพิ่มขึ้นสองเท่าในปีที่ผ่านมา และภัยคุกคามบนโลกของอุปกรณ์มือถือยังมียอดเติบโตขึ้นในทุกๆ ปี รวมไปถึงไวรัสสายพันธุ์ใหม่ๆ ที่เพิ่มขึ้นกว่า 54 เปอร์เซ็นต์

อีกด้านหนึ่งการที่เทคโนโลยี IoT มีการใช้งานเพิ่มขึ้น ก็กลายเป็นเป้าหมายของอาชญากรไซเบอร์เช่นกัน  ไซแมนเทคพบว่ามีการโจมตีอุปกรณ์ IoT เพิ่มขึ้นกว่า 600 เปอร์เซ็นต์ในช่วงปีที่ผ่านมา สาเหตุอาจเป็นเพราะว่าอุปกรณ์เหล่านี้มักมีพฤติกรรมเชื่อมต่ออินเตอร์เน็ตอยู่ตลอดเวลา ทำให้ตกเป็นเป้าโจมตีได้ง่าย และเหมาะสมกับการใช้เป็นฐานในการฟาร์มเพื่อขุดเหรียญดิจิทัลเป็นจำนวนมาก แม้แต่เครื่องคอมพิวเตอร์ Apple Macs ที่หลายๆ คนมองว่ามีความปลอดภัยสูงก็หนีไม่พ้น ตกเป็นเป้าหมายในการโจมตีเช่นเดียวกัน ทางไซแมนเทคตรวจพบการโจมตีประเภทดังกล่าวเพิ่มขึ้นกว่า 80 เปอร์เซ็นต์บนเครื่องตระกูล Mac OS ที่สำคัญคือด้วยเทคนิคที่ใช้การโจมตีด้วยการขุดเหรียญดิจิทัลผ่านเว็บบราวเซอร์ โดยการฝังโค้ดในหน้าเว็บไซต์ ที่คนมีความจำเป็นต้องเข้าบ่อยๆ หรืออยู่นานๆ เช่นเว็บสำหรับดูภาพยนตร์ เป็นต้น คนร้ายไม่จำเป็นต้องเขียนไวรัสให้ซับซ้อนเพื่อไปติดตั้งบนเครื่องเป้าหมายอีกต่อไป ไม่จำเป็นต้องรู้ว่าเป็นเครื่องวินโดว์, Mac หรือ Linux ด้วยซ้ำ เพื่อให้บรรลุเป้าหมายดังกล่าว

การโจมตีแบบเจาะจงเป้าหมายส่วนใหญ่ใช้เพียงวิธีเดียวในการแพร่เชื้อเข้าสู่ระบบ

การโจมตีจากกลุ่มทีมงานมืออาขีพแบบเจาะจงเป้าหมายได้เพิ่มขึ้นอย่างรวดเร็ว โดยทางไซแมนเทคได้ตรวจพบกลุ่มเหล่านี้มากกว่า 140 กลุ่มแล้วในตอนนี้และกำลังเพิ่มขึ้นเรื่อยๆ โดยในปีที่ผ่านมาเทคนิคหลักในการโจมตีของกลุ่มคนร้ายเหล่านี้ มักเริ่มต้นจากเทคนิค spear phishing ซึ่งเป็นเทคนิคที่เก่าแก่แต่ยังได้ผล เพื่อแพร่เชื้อเข้าสู่ระบบเป้าหมาย  และจากการที่กลุ่มคนร้ายนิยมใช้เทคนิคโจมตี ที่ผ่านการทดสอบมาแล้วเชื่อถือได้ ในการแทรกซึมเข้าสู่เป้าหมาย ทำให้การโจมตีที่ใช้งานช่องโหว่ประเภท zero-day ไม่เป็นที่นิยมอีกต่อไป โดยมีกลุ่มคนร้ายเพียง 27 เปอร์เซนต์เท่านั้น ที่ยังคงใช้งานการโจมตีแบบนี้อยู่

วงการอุตสาหกรรมความปลอดภัยได้เคยพูดคุยกันมานานแล้วว่า มีความเป็นไปได้ที่จะมีการโจมตีทางไซเบอร์ที่มุ่งเน้นทำลายล้างระบบ แต่ปัจจุบันได้ปรากฏการโจมตีจริงที่ได้ก้าวข้ามทฤษฎีดังกล่าวไปแล้ว โดยมีกลุ่มคนร้ายมากถึง 1 ใน 10 ที่เลือกสร้างไวรัสที่มุ่งเน้นทำลายล้างดังกล่าว

ไวรัสฝังตัวเพิ่มขึ้น 2 เท่า เน้นโจมตีบริษัทที่อยู่ในห่วงโซ่อุปทาน

ไซแมนเทคตรวจพบการโจมตีของคนร้าย ที่มุ่งเน้นฝังตัวในระบบของบริษัทผู้ผลิตโปรแกรม ที่อยู่ในห่วงโซ่อุปทานของเป้าหมายที่ต้องการโจมตี เพิ่มขึ้นสองเท่าในปีที่ผ่านมา  ซึ่งนั่นเทียบเท่ากับมีการโจมตีอย่างน้อย 1 ครั้งในทุกๆ เดือน เปรียบเทียบกับปีก่อนๆ ที่มีการโจมตีเพียง 4 ครั้งตลอดทั้งปี ดังตัวอย่างการโจมตีที่เป็นข่าวโด่งดังของไวรัส Petya  ซึ่งคนร้ายได้เริ่มจากการโจมตี ไปยังเครื่องแม่ข่ายที่ทำหน้าที่ในการอัพเดตระบบโปรแกรมบัญชี ของบริษัทผู้ผลิตโปรแกรมบัญชีในประเทศ Ukrain  ทำให้คนร้ายสามารถทะลุเข้าไปยังระบบเครือข่ายที่ถูกปกป้องไว้เป็นอย่างดีได้ โดยไวรัส Petya ได้ใช้เทคนิคที่หลากหลายในการแพร่กระจายตัวเอง ภายในเครือข่ายของเป้าหมาย เพื่อติดตั้ง payload ที่ใช้ในการโจมตีระบบ

 

ไวรัสบนอุปกรณ์มือถือ ยังคงเพิ่มจำนวนขึ้น

ภัยคุกคามบนโลกของอุปกรณ์มือถือยังมียอดเติบโตขึ้นในทุกๆ ปี รวมไปถึงไวรัสสายพันธุ์ใหม่ๆ ที่เพิ่มขึ้นกว่า 54 เปอร์เซ็นต์ โดยในช่วงปีที่ผ่านมา ไซแมนเทคได้บล็อกไวรัสเฉลี่ยมากถึง 24,000 โปรแกรมในแต่ละวัน และเนื่องจากยังคงมีผู้ใช้งานระบบปฏิบัติการเก่าอยู่เป็นจำนวนมาก ปัญหาต่างๆ ก็ยิ่งเลวร้ายลง ตัวอย่างเช่น บนระบบปฏิบัติการแอนดรอยด์ มีผู้ใช้งานเวอร์ชั่นหลักล่าสุดเพียง 20 เปอร์เซ็นต์ และมีเพียง 2.3 เปอร์เซ็นต์เท่านั้นที่มีการอัพเดตแพทช์ความปลอดภัยล่าสุด

ผู้ใช้งานอุปกรณ์มือถือยังมีความเสี่ยงด้านความเป็นส่วนตัวจากโปรแกรมประเภท Grayware โดยโปรแกรมประเภทนี้ไม่ได้เป็นไวรัสอย่างแท้จริงแต่ก็อาจทำให้เกิดปัญหาบางอย่าง หรือทำให้เกิดความน่ารำคาญ โดยทางไซแมนเทคพบว่ามีโปรแกรม Grayware มากถึง 63 เปอร์เซ็นที่แอบเก็บข้อมูลหมายเลขโทรศัพท์ของผู้ใช้งาน ซึ่งเมื่อดูจากสถิติแล้วพบว่า โปรแกรมประเภท Grayware เพิ่มมากถึงขึ้น 20 เปอร์เซ็นต์ในปีที่ผ่านมา  

อาชญากรไซเบอร์ มองไวรัสเรียกค่าไถ่เป็นสินค้าทำเงินระยะยาว

ก่อนหน้านี้ในปี 2559 ไวรัสเรียกค่าไถ่ทำกำไรให้เหล่าคนร้ายเป็นอย่างสูง ทำให้ตลาดไวรัสเรียกค่าไถ่นี้เริ่มมีคู่แข่งเข้ามาป็นจำนวนมาก ทำให้ในปีต่อมาพบว่าตลาดเริ่มมีการปรับตัว โดยค่าเฉลี่ยของค่าไถ่ได้ลดลงอยู่ที่ระดับ 522 ดอลล่าร์สหรัฐ นั่นเป็นสัญญาณได้อย่างหนึ่งว่า เหล่าอาชญากรได้มองไวรัสเรียกค่าไถ่เป็นสินค้าที่สามารถเป็นแหล่งทำเงินได้ในระยะยาว  ซึ่งในปี 2560 ที่ผ่านมา ประเทศไทยจัดอยู่ในอันดับที่ 9 ของอันดับเหยื่อไวรัสเรียกค่าไถ่ในภูมิภาคเอเซียแฟซิฟิกและญี่ปุ่น  เทียบกับอันดับที่ 12 ในปี 2559

ในปัจจุบันเหล่าอาชญากรไซเบอร์ส่วนใหญ่ เริ่มหันมาให้ความสนใจทางเลือกใหม่ในการขุดหาเหรียญดิจิทัล เนื่องจากมูลค่าของตลาดเหรียญดิจิทัลได้เพิ่มสูงขึ้นเป็นอย่างมาก  นอกจากนั้นในขณะที่จำนวนตระกูลสายพันธุ์หลักของไวรัสเรียกค่าไถ่เริ่มลดจำนวนลง แต่จำนวนไวรัสของสายพันธุ์ย่อยกลับเพิ่มจำนวนขึ้นถึง 46 เปอร์เซ็นต์ นั่นหมายความว่ากลุ่มอาชญากรไซเบอร์ที่ยังชื่นชอบไวรัสเรียกค่าไถ่ เริ่มมีการสร้างสรรค์ไวรัสใหม่ๆ น้อยลง แต่ยังคงมีการทำงานอยู่อย่างขยันขันแข็ง

 

แนวทางปฏิบัติเพื่อความปลอดภัยจากผู้เชี่ยวชาญ

เนื่องจากเหล่าคนร้ายมีการพัฒนาเทคนิคการโจมตีต่างๆ เพิ่มขึ้นเป็นจำนวนมาก ดังนั้นเราจึงต้องมีการปรับตัวเพื่อตอบสนองต่อภัยคุกคามใหม่ๆ เพื่อเป็นการป้องกันตัวเองและธุรกิจให้ปลอดภัย ทางไซแมนเทคแนะนำให้ทำสิ่งต่างๆ เหล่านี้

 คำแนะนำสำหรับภาคธุรกิจ:

  • เตรียมพร้อมข้อมูลอยู่ตลอดเวลา: ควรใช้งานระบบฐานข้อมูลภัยคุกคามอัจฉริยะ (advanced threat intelligence) เพื่อช่วยในการค้นหาตัวบ่งชี้การโจมตี (indicators of compromise) ที่อาจหลบซ่อนอยู่ในองค์กรของคุณ และสามารถตอบสนองต่อเหตุการณ์ที่เกิดขึ้นได้อย่างรวดเร็ว
  • เตรียมแผนรับมือในภาวะวิกฤต: มีระบบสำหรับจัดการเหตุการณ์ที่เกิดขึ้น โดยต้องมีกรอบการทำงานที่สั้นกระชับ, สามารถวัดผล และลงมือทำซ้ำได้, และสามารถนำบทเรียนที่เกิดขึ้นมาใช้ปรับใช้เพื่อเพิ่มประสิทธิภาพในการป้องกันในอนาคตได้ และควรสมัครใช้บริการตอบสนองภัยคุกคาม (incident response) ของบริษัทผู้เชี่ยวชาญด้านความปลอดภัยไว้ล่วงหน้า เพื่อช่วยจัดการในกรณีที่เหตุการณ์ที่เกิดขึ้นมีปัญหาในระดับวิกฤต
  • สร้างแนวป้องกันแบบหลายชั้น: แนวทางการสร้างแนวป้องกันแบบหลายชั้น สามารถช่วยลดปัญหาการโจมตีได้ตั้งแต่ระดับเครือข่ายและเกตเวย์, เครื่องแม่ข่ายจดหมายอิเล็คทรอนิค และเครื่องคอมพิวเตอร์ปลายทาง ตัวอย่างเช่น การเปิดใช้งานระบบยืนยันตัวตนแบบสองชั้น (two-factor authentication), ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย (intrusion detection หรือ intrusion prevention systems ),ระบบป้องกันช่องโหว่และไวรัสที่มาทางเว็บไซต์, และระบบรักษาความปลอดภัยทางเว็บ และเครือข่าย (web security gateway)
  • จัดอบรมความรู้เกี่ยวกับอันตรายจากจดหมายอิเล็กทรอนิกส์: ให้ความรู้กับพนักงานทุกคนเกี่ยวกับอันตรายต่างๆ เกี่ยวกับจดหมายอิเล็กทรอนิกส์ เช่น เทคนิคการโจมตีแบบ spear-phishing และการโจมตีทางจดหมายอิเล็กทรอนิกส์ในรูปแบบอื่นๆ รวมไปถึงขั้นตอนวิธีการแจ้งเหตุให้ทีมผู้ดูแลระบบรับทราบ เมื่อเกิดการโจมตีขึ้น
  • ตรวจสอบทรัพยากรระบบของคุณ: ตรวจสอบให้มั่นใจว่าทรัพยากร และเครือข่ายของคุณ อยู่ในสภาวะปกติ รวมไปถึงการสังเกตพฤติกรรมที่ผิดปกติในระบบต่างๆ และเทียบเคียงข้อมูลที่เกิดขึ้นกับฐานข้อมูลภัยคุกคามอัจฉริยะจากบรรดาผู้เชี่ยวชาญความปลอดภัย

สำหรับผู้ใช้ทั่วไป:

  • เปลี่ยนรหัสผ่านเริ่มต้นที่ตั้งมาโดยผู้ผลิตบนอุปกรณ์และบริการต่างๆ: ใช้รหัสผ่านที่แข็งแรงและไม่ซ้ำกัน สำหรับเครื่องคอมพิวเตอร์แต่ละเครื่อง, อุปกรณ์ IoT และรหัสเครือข่าย Wi-Fi อย่าใช้รหัสผ่านที่เป็นที่รู้จัก หรือที่คาดเดาได้ง่าย เช่น “123456” หรือ “password”
  • หมั่นอัพเดตระบบปฏิบัติการและโปรแกรมต่างๆ เป็นประจำ: โดยทั่วไปการอัพเดตโปรแกรม จะรวมไปถึงการแพทช์เพื่อแก้ไขช่องโหว่ต่างๆ ที่ทางผู้ผลิตได้รับรายงานเข้ามา ซึ่งช่องโหว่เหล่านี้อาจถูกใช้ในการโจมตีจากผู้ไม่ประสงค์ดี
  • ระมัดระวังจดหมายอิเล็กทรอนิกส์เป็นพิเศษ: เนื่องจากจดหมายอิเล็กทรอนิกส์เป็นหนึ่งในช่องทางการแพร่เชื้อที่สำคัญที่สุดช่องทางหนึ่ง ดังนั้นหากพบจดหมายที่ดูน่าสงสัยให้ลบทิ้งโดยทันที โดยเฉพาะอย่างยิ่งเมื่อจดหมายดังกล่าว มีไฟล์แนบ หรือมีลิงค์อยู่ภายใน และยิ่งต้องระวังเป็นพิเศษ หากไฟล์แนบดังกล่าวเป็นไฟล์ประเภท Microsoft Office ที่เขียนคำแนะนำให้เปิดใช้งาน Macro เพื่อดูเนื้อหาภายใน
  • ทำสำรองงานของคุณ: การทำสำรองข้อมูลเป็นประจำ เป็นวิธีที่มีประสิทธิภาพดีที่สุด เมื่อต้องเจอกับไวรัสเรียกค่าไถ่ คนร้ายสามารถเข้ารหัสไฟล์งานเพื่อเรียกค่าไถ่ ทำให้ไม่สามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสไว้จนกว่าจะยอมเสียเงินเพื่อปลดล็อค แต่ถ้ามีชุดข้อมูลที่ทำสำรองไว้ ก็จะสามารถกู้คืนไฟล์ไปในจุดก่อนที่จะเกิดปัญหาได้ หลังจากทำการลบไวรัสออกไปแล้ว