โจรไซเบอร์ ไม่มีวันหยุด!! ปลุก "สปายแวร์" โจมตีอุตสาหกรรม ล่าข้อมูลองค์กร

โจรไซเบอร์ ไม่มีวันหยุด!! ปลุก "สปายแวร์" โจมตีอุตสาหกรรม ล่าข้อมูลองค์กร

'แคสเปอร์สกี้' เปิดข้อมูลแคมเปญ 'สปายแวร์' ชุดใหม่ที่พัฒนาอย่างรวดเร็ว โจมตีองค์กรอุตสาหกรรมแล้วมากกว่า 2,000 แห่งทั่วโลก เน้นจำกัดจำนวนเป้าหมายในการโจมตีแต่ละครั้ง หวังดูดข้อมูลองค์กร ระบุ มีการขายข้อมูลที่ถูกขโมยในตลาดแล้วมากกว่า 25 แห่ง

รายงาน Kaspersky ICS CERT Report ฉบับล่าสุดของแคสเปอร์สกี้ได้เปิดข้อมูลแคมเปญสปายแวร์ชุดใหม่ที่พัฒนาอย่างรวดเร็ว โดยโจมตีองค์กรอุตสาหกรรมมากกว่า 2,000 แห่งทั่วโลก การโจมตีนี้มีลักษณะโดดเด่นต่างจากแคมเปญสปายแวร์ทั่วไป เนื่องจากจำกัดจำนวนเป้าหมายในการโจมตีแต่ละครั้ง และตัวอย่างมัลแวร์อันตรายมีอายุการใช้งานสั้นมาก รายงานระบุว่ามีการขายข้อมูลที่ถูกขโมยในตลาดมากกว่า 25 แห่ง 

ในช่วงครึ่งแรกของปี 2564 ผู้เชี่ยวชาญ ICS CERT ของแคสเปอร์สกี้สังเกตเห็นความผิดปกติที่น่าสงสัยในสถิติเกี่ยวกับภัยคุกคามสปายแวร์ที่ถูกบล็อกบนคอมพิวเตอร์อุตสาหกรรมหรือ ICS แม้ว่ามัลแวร์ที่ใช้ในการโจมตีจะอยู่ในตระกูลสปายแวร์ที่รู้จักกันดีอย่าง Agent Tesla/Origin Logger, HawkEye และอื่นๆ แต่การโจมตีเหล่านี้กลับโดดเด่นกว่า เนื่องจากจำนวนเป้าหมายที่จำกัดในการโจมตีแต่ละครั้ง และตัวอย่างมัลแวร์ที่เป็นอันตรายแต่ละรายการมีอายุการใช้งานสั้นมาก

โจรไซเบอร์ ไม่มีวันหยุด!! ปลุก "สปายแวร์" โจมตีอุตสาหกรรม ล่าข้อมูลองค์กร

การวิเคราะห์ตัวอย่างสปายแวร์ 58,586 ตัวอย่างที่ถูกบล็อกบนคอมพิวเตอร์ ICS อย่างใกล้ชิดในครึ่งปีแรกของปี 2564 เปิดเผยว่า ตัวอย่างประมาณ 21.2% เป็นส่วนหนึ่งของชุดการโจมตีแบบจำกัดขอบเขต และอายุการใช้งานสั้น โดยวงจรชีวิตถูกจำกัดไว้ที่ประมาณ 25 วัน ซึ่งน้อยกว่าอายุการใช้งานของแคมเปญสปายแวร์แบบ “ดั้งเดิม”

แม้ว่าตัวอย่างสปายแวร์ “ที่ผิดปกติ” เหล่านี้แต่ละรายการจะมีอายุสั้นและไม่ได้มีการแพร่กระจายอย่างกว้างขวาง แต่ก็มีส่วนสำคัญในการโจมตีสปายแวร์ทั้งหมด ตัวอย่างเช่น ในเอเชีย ในคอมพิวเตอร์จำนวน 6 เครื่องถูกโจมตีด้วยสปายแวร์ จะมี 1 เครื่องที่ถูกโจมตีด้วยตัวอย่างสปายแวร์ที่ “ผิดปกติ” นี้ (2.1% จาก 11.9%)

โจรไซเบอร์ ไม่มีวันหยุด!! ปลุก "สปายแวร์" โจมตีอุตสาหกรรม ล่าข้อมูลองค์กร

โดยเฉพาะอย่างยิ่ง แคมเปญลักษณะนี้ส่วนมากแพร่กระจายจากองค์กรอุตสาหกรรมหนึ่งไปยังอีกองค์กรหนึ่งผ่านอีเมลฟิชชิ่งที่ออกแบบมาอย่างดี เมื่อเจาะเข้าไปในระบบของเหยื่อแล้ว ผู้โจมตีจะใช้อุปกรณ์ดังกล่าวเป็นเซิร์ฟเวอร์โจมตี C2 (คำสั่งและการควบคุม) ครั้งต่อไป อาชญากรไซเบอร์สามารถใช้อีเมลของบริษัทในทางที่ผิด และแพร่กระจายสปายแวร์มากขึ้นไปอีกด้วยการเข้าถึงรายชื่อผู้รับจดหมายของเหยื่อ

 จากข้อมูลเทเลมิทรีของ Kaspersky ICS CERT พบว่า องค์กรอุตสาหกรรมมากกว่า 2,000 แห่งทั่วโลกถูกโยงเข้ากับโครงสร้างพื้นฐานที่เป็นอันตราย และถูกใช้โดยกลุ่มอาชญากรไซเบอร์เพื่อกระจายการโจมตีไปยังองค์กรที่ติดต่องานและพันธมิตรทางธุรกิจ แคสเปอร์สกี้ประเมินว่า ผลมาจากการโจมตีเหล่านี้ มีจำนวนบัญชีบริษัทที่ถูกบุกรุกหรือถูกขโมยทั้งหมดมีมากกว่า 7,000 บัญชี

ข้อมูลที่ละเอียดอ่อนที่ได้ขโมยจากคอมพิวเตอร์ ICS นั้นมักจะจบลงที่ตลาดต่างๆ ผู้เชี่ยวชาญของแคสเปอร์สกี้ระบุว่ามีตลาดมากกว่า 25 แห่งที่มีการขายข้อมูลประจำตัวที่ขโมยมาจากแคมเปญอุตสาหกรรมลักษณะนี้

การวิเคราะห์ตลาดดังกล่าวแสดงให้เห็นว่ามีความต้องการข้อมูลรับรองบัญชีองค์กรสูง โดยเฉพาะอย่างยิ่งสำหรับบัญชีเดสก์ท็อประยะไกล (Remote Desktop Accounts - RDP) บัญชี RDP กว่า 46% ที่ขายในตลาดที่ทำการวิเคราะห์นั้นเป็นของบริษัทในสหรัฐอเมริกา ส่วนที่เหลือมาจากเอเชีย ยุโรป และละตินอเมริกา และพบว่าบัญชี RDP เกือบ 4% (เกือบ 2,000 บัญชี) ที่ขายเป็นของเอ็นเทอร์ไพรซ์อุตสาหกรรม

ตลาดที่กำลังเติบโตอีกแห่งคือ Spyware-as-a-Service เนื่องจากซอร์สโค้ดของโปรแกรมสปายแวร์ยอดนิยมบางโปรแกรมได้รับการเผยแพร่สู่สาธารณะ จึงพร้อมใช้งานสูงในร้านค้าออนไลน์ในรูปแบบของบริการ – นักพัฒนาไม่เพียงขายมัลแวร์เป็นผลิตภัณฑ์เท่านั้น แต่ยังรวมใบอนุญาตสำหรับตัวสร้างมัลแวร์และการเข้าถึงโครงสร้างพื้นฐานที่กำหนดค่าไว้ล่วงหน้าเพื่อสร้างมัลแวร์

นายคิริล ครูกลอฟ ผู้เชี่ยวชาญด้านความปลอดภัย Kaspersky ICS CERT ของแคสเปอร์สกี้ กล่าวว่า “ตลอดปี 2564 อาชญากรไซเบอร์ใช้สปายแวร์เพื่อโจมตีคอมพิวเตอร์อุตสาหกรรมอย่างกว้างขวาง วันนี้เราได้เห็นแนวโน้มใหม่ที่เปลี่ยนแปลงอย่างรวดเร็วในแนวทางภัยคุกคามต่อภาคอุตสาหกรรม อาชญากรจะย่อขนาดของการโจมตีแต่ละครั้งและจำกัดการใช้ตัวอย่างมัลแวร์แต่ละรายการเพื่อหลีกเลี่ยงการตรวจจับ โดยบังคับให้แทนที่ด้วยมัลแวร์ที่สร้างขึ้นใหม่อย่างรวดเร็ว กลวิธีอื่นๆ ได้แก่ การใช้โครงสร้างพื้นฐานอีเมลของบริษัทในทางที่ผิดเพื่อแพร่กระจายมัลแวร์ ซึ่งแตกต่างจากสปายแวร์ที่เราเคยพบเห็นมา และเราคาดว่าการโจมตีดังกล่าวจะรุนแรงในปีหน้า”