เตือนภัย Nefilim แรนซัมแวร์ เก่งรีดไถ เป้าหมายโจมตีเหยื่อองค์กรระดับหมื่นล้าน

เตือนภัย Nefilim แรนซัมแวร์ ที่จะลุยเป้าหมายโจมตีเหยื่อองค์กรระดับหมื่นล้าน  โดย Trend Micro Incorporated บริษัทด้านการรักษาความปลอดภัยไซเบอร์ เปิดเผยรายงานการศึกษาเกี่ยวกับแรนซัมแวร์ในตระกูล Nefilim โดยให้ข้อมูลเชิงลึกเกี่ยวกับรูปแบบการโจมตีของแรนซัมแวร์ยุคใหม่ ซึ่งเป็นข้อมูลที่เจาะลึกถึงพัฒนาการในการโจมตีของแรนซัมแวร์กลุ่มนี้ว่าหลุดรอดการตรวจจับไปได้อย่างไร อีกทั้งยังอธิบายว่าแพลตฟอร์มในการตรวจจับและตอบสนองภัยคุกคามอัจฉริยะนั้นจะช่วยหยุดการคุกคามนี้ได้อย่างไร

แนวทางของแรนซัมแวร์ยุคใหม่ในตระกูลนี้ ทำให้ตรวจจับและตอบโต้ได้ยากมากขึ้นสำหรับทีมศูนย์รักษาความปลอดภัยและทีมดูแลความปลอดภัยระบบไอทีที่มีงานล้นมืออยู่แล้ว ซึ่งเรื่องนี้นอกจากจะกระทบถึงรายได้และชื่อเสียงขององค์กรแล้ว ยังรวมถึงสวัสดิภาพของทีมงานที่ดูแลเรื่องรักษาความปลอดภัยด้วยเช่นกัน

ปิยธิดา ตันตระกูล ผู้จัดการประจำประเทศไทย บริษัท เทรนด์ไมโคร (ประเทศไทย) จำกัด เปิดเผยว่า “แรนซัมแวร์ยุคใหม่จะโจมตีแบบพุ่งเป้าเจาะจงมากขึ้น สามารถปรับเปลี่ยนรูปแบบและซ่อนอำพรางได้เก่งขึ้น โดยใช้แนวทางการโจมตีที่สมบรูณ์แบบด้วยเทคนิคขั้นสูงอย่างการโจมตีของกลุ่ม APT (Advance Persistent Threat) ที่ประสบความสำเร็จมาแล้วในอดีต ด้วยการขโมยข้อมูลและปิดล็อคการทำงานของระบบสำคัญๆ อย่าง การโจมตีของกลุ่มอย่าง Nefilim ซึ่งพุ่งเป้าไปที่องค์กรระดับโลกที่มีผลกำไรสูง” 

เตือนภัย Nefilim แรนซัมแวร์ เก่งรีดไถโจมตีองค์กรระดับหมื่นล้าน

จากการศึกษาแรนซัมแวร์ 16 กลุ่มที่เกิดขึ้นในช่วงเวลาตั้งแต่เดือนมีนาคม 2563 – มกราคม 2564 เช่น Conti, Doppelpaymer, Egregor และ REvil ที่ประเดิมให้เห็นในแง่ของจำนวนเหยื่อที่เปิดเผยว่าโดนโจมตี และกลุ่มของ Clop ที่โจมตีด้วยการขโมยข้อมูลบนออนไลน์ขนาดใหญ่ที่สุดถึง 5 เทราไบต์

อย่างไรก็ตาม หากประเมินแบบคร่าวๆ โดยพิจารณาองค์กรธุรกิจที่มีรายรับมากกว่า 1 พันล้านเหรียญ หรือในราวสามหมื่นล้านบาท พบว่า Nefilim เป็นแรนซัมแวร์ที่สามารถเรียกค่าไถ่ไปได้เป็นจำนวนเงินสูงสุด

ในรายงานเผยให้เห็นว่า การโจมตีของ Nefilim โดยทั่วไปจะมีรูปแบบและขั้นตอนการโจมตีดังต่อไปนี้

• เริ่มจากการเจาะเข้าไปยังช่องโหว่ที่เป็นจุดอ่อนในบริการ RDP หรือบริการ HTTP อื่นๆ
• เมื่อเจาะเข้าไปได้แล้ว ก็จะใช้เครื่องมือในการจัดการที่ใช้งานอย่างถูกต้อง เข้าไปค้นหาระบบสำคัญเพื่อขโมยข้อมูล จากนั้นก็จะทำการเข้ารหัสไฟล์ข้อมูลทำให้ไม่สามารถใช้งานได้
• ระบบจะถูกตั้งการทำงานให้ “แจ้งเตือน” กลับไปยังระบบควบคุม ด้วย Cobalt Strike และรูปแบบการเชื่อมต่ออื่นๆ ที่สามารถทะลุผ่านไฟร์วอลล์ได้ทันที เช่น HTTP, HTTPS และ DNS
• ใช้บริการ bulletproof โฮสต์ติ้ง สำหรับการสั่งงานและควบคุมการโจมตี
• มีการถ่ายเทข้อมูลและนำไปโพสต์บนเว็บไซต์เพื่อการเรียกค่าไถ่จากเหยื่อที่เป็นองค์กรธุรกิจ โดย Nefilim ได้ทำการโพสต์ข้อมูลที่ขโมยมาได้บนเว็บไซต์มีขนาดถึง 2 เทราไบต์เมื่อปีที่แล้ว
• หลังจากที่ได้ข้อมูลไปมากพอแล้ว ransomware payload ก็จะถูกติดตั้งเพื่อดำเนินการต่อไปด้วยตัวเอง