โจรไซเบอร์ ไม่มีวันหยุด!! ปลุก "สปายแวร์" โจมตีอุตสาหกรรม ล่าข้อมูลองค์กร

รายงาน Kaspersky ICS CERT Report ฉบับล่าสุดของแคสเปอร์สกี้ได้เปิดข้อมูลแคมเปญสปายแวร์ชุดใหม่ที่พัฒนาอย่างรวดเร็ว โดยโจมตีองค์กรอุตสาหกรรมมากกว่า 2,000 แห่งทั่วโลก การโจมตีนี้มีลักษณะโดดเด่นต่างจากแคมเปญสปายแวร์ทั่วไป เนื่องจากจำกัดจำนวนเป้าหมายในการโจมตีแต่ละครั้ง และตัวอย่างมัลแวร์อันตรายมีอายุการใช้งานสั้นมาก รายงานระบุว่ามีการขายข้อมูลที่ถูกขโมยในตลาดมากกว่า 25 แห่ง 

ในช่วงครึ่งแรกของปี 2564 ผู้เชี่ยวชาญ ICS CERT ของแคสเปอร์สกี้สังเกตเห็นความผิดปกติที่น่าสงสัยในสถิติเกี่ยวกับภัยคุกคามสปายแวร์ที่ถูกบล็อกบนคอมพิวเตอร์อุตสาหกรรมหรือ ICS แม้ว่ามัลแวร์ที่ใช้ในการโจมตีจะอยู่ในตระกูลสปายแวร์ที่รู้จักกันดีอย่าง Agent Tesla/Origin Logger, HawkEye และอื่นๆ แต่การโจมตีเหล่านี้กลับโดดเด่นกว่า เนื่องจากจำนวนเป้าหมายที่จำกัดในการโจมตีแต่ละครั้ง และตัวอย่างมัลแวร์ที่เป็นอันตรายแต่ละรายการมีอายุการใช้งานสั้นมาก

การวิเคราะห์ตัวอย่างสปายแวร์ 58,586 ตัวอย่างที่ถูกบล็อกบนคอมพิวเตอร์ ICS อย่างใกล้ชิดในครึ่งปีแรกของปี 2564 เปิดเผยว่า ตัวอย่างประมาณ 21.2% เป็นส่วนหนึ่งของชุดการโจมตีแบบจำกัดขอบเขต และอายุการใช้งานสั้น โดยวงจรชีวิตถูกจำกัดไว้ที่ประมาณ 25 วัน ซึ่งน้อยกว่าอายุการใช้งานของแคมเปญสปายแวร์แบบ “ดั้งเดิม”

แม้ว่าตัวอย่างสปายแวร์ “ที่ผิดปกติ” เหล่านี้แต่ละรายการจะมีอายุสั้นและไม่ได้มีการแพร่กระจายอย่างกว้างขวาง แต่ก็มีส่วนสำคัญในการโจมตีสปายแวร์ทั้งหมด ตัวอย่างเช่น ในเอเชีย ในคอมพิวเตอร์จำนวน 6 เครื่องถูกโจมตีด้วยสปายแวร์ จะมี 1 เครื่องที่ถูกโจมตีด้วยตัวอย่างสปายแวร์ที่ “ผิดปกติ” นี้ (2.1% จาก 11.9%)

โดยเฉพาะอย่างยิ่ง แคมเปญลักษณะนี้ส่วนมากแพร่กระจายจากองค์กรอุตสาหกรรมหนึ่งไปยังอีกองค์กรหนึ่งผ่านอีเมลฟิชชิ่งที่ออกแบบมาอย่างดี เมื่อเจาะเข้าไปในระบบของเหยื่อแล้ว ผู้โจมตีจะใช้อุปกรณ์ดังกล่าวเป็นเซิร์ฟเวอร์โจมตี C2 (คำสั่งและการควบคุม) ครั้งต่อไป อาชญากรไซเบอร์สามารถใช้อีเมลของบริษัทในทางที่ผิด และแพร่กระจายสปายแวร์มากขึ้นไปอีกด้วยการเข้าถึงรายชื่อผู้รับจดหมายของเหยื่อ

 จากข้อมูลเทเลมิทรีของ Kaspersky ICS CERT พบว่า องค์กรอุตสาหกรรมมากกว่า 2,000 แห่งทั่วโลกถูกโยงเข้ากับโครงสร้างพื้นฐานที่เป็นอันตราย และถูกใช้โดยกลุ่มอาชญากรไซเบอร์เพื่อกระจายการโจมตีไปยังองค์กรที่ติดต่องานและพันธมิตรทางธุรกิจ แคสเปอร์สกี้ประเมินว่า ผลมาจากการโจมตีเหล่านี้ มีจำนวนบัญชีบริษัทที่ถูกบุกรุกหรือถูกขโมยทั้งหมดมีมากกว่า 7,000 บัญชี

ข้อมูลที่ละเอียดอ่อนที่ได้ขโมยจากคอมพิวเตอร์ ICS นั้นมักจะจบลงที่ตลาดต่างๆ ผู้เชี่ยวชาญของแคสเปอร์สกี้ระบุว่ามีตลาดมากกว่า 25 แห่งที่มีการขายข้อมูลประจำตัวที่ขโมยมาจากแคมเปญอุตสาหกรรมลักษณะนี้

การวิเคราะห์ตลาดดังกล่าวแสดงให้เห็นว่ามีความต้องการข้อมูลรับรองบัญชีองค์กรสูง โดยเฉพาะอย่างยิ่งสำหรับบัญชีเดสก์ท็อประยะไกล (Remote Desktop Accounts - RDP) บัญชี RDP กว่า 46% ที่ขายในตลาดที่ทำการวิเคราะห์นั้นเป็นของบริษัทในสหรัฐอเมริกา ส่วนที่เหลือมาจากเอเชีย ยุโรป และละตินอเมริกา และพบว่าบัญชี RDP เกือบ 4% (เกือบ 2,000 บัญชี) ที่ขายเป็นของเอ็นเทอร์ไพรซ์อุตสาหกรรม

ตลาดที่กำลังเติบโตอีกแห่งคือ Spyware-as-a-Service เนื่องจากซอร์สโค้ดของโปรแกรมสปายแวร์ยอดนิยมบางโปรแกรมได้รับการเผยแพร่สู่สาธารณะ จึงพร้อมใช้งานสูงในร้านค้าออนไลน์ในรูปแบบของบริการ – นักพัฒนาไม่เพียงขายมัลแวร์เป็นผลิตภัณฑ์เท่านั้น แต่ยังรวมใบอนุญาตสำหรับตัวสร้างมัลแวร์และการเข้าถึงโครงสร้างพื้นฐานที่กำหนดค่าไว้ล่วงหน้าเพื่อสร้างมัลแวร์

นายคิริล ครูกลอฟ ผู้เชี่ยวชาญด้านความปลอดภัย Kaspersky ICS CERT ของแคสเปอร์สกี้ กล่าวว่า “ตลอดปี 2564 อาชญากรไซเบอร์ใช้สปายแวร์เพื่อโจมตีคอมพิวเตอร์อุตสาหกรรมอย่างกว้างขวาง วันนี้เราได้เห็นแนวโน้มใหม่ที่เปลี่ยนแปลงอย่างรวดเร็วในแนวทางภัยคุกคามต่อภาคอุตสาหกรรม อาชญากรจะย่อขนาดของการโจมตีแต่ละครั้งและจำกัดการใช้ตัวอย่างมัลแวร์แต่ละรายการเพื่อหลีกเลี่ยงการตรวจจับ โดยบังคับให้แทนที่ด้วยมัลแวร์ที่สร้างขึ้นใหม่อย่างรวดเร็ว กลวิธีอื่นๆ ได้แก่ การใช้โครงสร้างพื้นฐานอีเมลของบริษัทในทางที่ผิดเพื่อแพร่กระจายมัลแวร์ ซึ่งแตกต่างจากสปายแวร์ที่เราเคยพบเห็นมา และเราคาดว่าการโจมตีดังกล่าวจะรุนแรงในปีหน้า”