กลุ่มแรนซัมแวร์เปลี่ยนชื่อ: ชื่อใหม่ แต่การละเมิดข้อมูลยังคงเดิม

เกิดอะไรขึ้น

ในการแสดงให้เห็นถึงความคล่องตัวในการปฏิบัติงานที่น่าเป็นห่วง กลุ่มอาชญากรแรนซัมแวร์ ซึ่งก่อนหน้านี้รู้จักกันในชื่ออื่น ได้เปิดตัวการเปลี่ยนชื่อพร้อมกับผลกระทบที่เกิดขึ้นทันที ภายในเจ็ดวันแรกของการปฏิบัติงานภายใต้ชื่อใหม่ กลุ่มนี้ได้จัดตั้งเว็บไซต์รั่วไหลข้อมูลบน Darknet โดยเฉพาะ แพลตฟอร์มนี้ได้นำเสนอข้อมูลขององค์กร Fortune 500 ที่แตกต่างกันสามแห่งอย่างรวดเร็ว โดยแสดงข้อมูลที่ถูกขโมยออกมาเป็นหลักฐานของการถูกบุกรุก

การเปิดเผยข้อมูลชุดแรก ซึ่งมุ่งเป้าไปที่ QSR รายใหญ่ ซัพพลายเออร์ยานยนต์ชั้นนำ และบริษัทโลจิสติกส์ระดับโลก โดยหลักแล้วประกอบด้วยเอกสารสัญญาที่ละเอียดอ่อน ซึ่งรวมถึงข้อตกลงกับผู้ขาย รายชื่อลูกค้าพร้อมเงื่อนไขที่เกี่ยวข้อง และการคาดการณ์ทางการเงินภายใน การเปิดเผยต่อสาธารณะอย่างรวดเร็วเน้นย้ำถึงความมั่นใจและความสามารถของกลุ่มทั้งในการแทรกซึมและการขโมยข้อมูล

การโจมตีที่มีชื่อเสียงอย่างรวดเร็วเหล่านี้ ซึ่งดำเนินการโดยหน่วยงานที่เปลี่ยนชื่อ แสดงให้เห็นถึงการเปลี่ยนแปลงเชิงกลยุทธ์ บ่งชี้ถึงความพยายามโดยเจตนาที่จะละทิ้งภาระในอดีต อาจหลีกเลี่ยงการตรวจสอบของหน่วยงานบังคับใช้กฎหมาย และสร้างการมีอยู่ของตลาดขึ้นใหม่ภายในระบบนิเวศอาชญากรรมไซเบอร์ การกำหนดเป้าหมายองค์กรขนาดใหญ่หลายแห่งทันทีบ่งชี้ถึงการเข้าถึงที่มีอยู่แล้วหรือเครือข่ายโบรกเกอร์การเข้าถึงเริ่มต้น (IAB) ที่มีประสิทธิภาพสูง

ทำไมรูปแบบนี้ถึงเกิดขึ้นซ้ำแล้วซ้ำอีก

ความสำเร็จอย่างต่อเนื่องของการปฏิบัติงานแรนซัมแวร์ดังกล่าวเกิดจากปัจจัยหลายประการ โดยหลักแล้วคือการใช้ประโยชน์จากจุดอ่อนด้านความปลอดภัยทั่วไปอย่างต่อเนื่อง และความสามารถในการปรับตัวของผู้ก่อภัยคุกคาม องค์กรมักประสบปัญหาเกี่ยวกับการมองเห็นสินทรัพย์ที่ครอบคลุม การจัดการแพตช์อย่างมีวินัย และการควบคุมการเข้าถึงและตัวตนที่แข็งแกร่ง ช่องว่างพื้นฐานเหล่านี้เป็นพื้นที่ที่อุดมสมบูรณ์สำหรับการบุกรุกเริ่มต้น

ผู้ก่อภัยคุกคาม รวมถึงผู้ที่อยู่เบื้องหลังกลุ่มที่เปลี่ยนชื่อ มีความเชี่ยวชาญในการใช้ประโยชน์จากช่องโหว่และการกำหนดค่าที่ไม่ถูกต้องที่ทราบกันดี พวกเขาปรับปรุง TTPs ของตนอย่างต่อเนื่อง โดยก้าวข้ามการเข้ารหัสแบบง่ายๆ ไปสู่การรีดไถสองเท่า ซึ่งเพิ่มแรงกดดันอย่างมากต่อเหยื่อ แรงจูงใจทางการเงินยังคงมหาศาล ซึ่งกระตุ้นการลงทุนอย่างต่อเนื่องในเครื่องมือและวิธีการโจมตีใหม่ๆ

ปรากฏการณ์การเปลี่ยนชื่อเองเป็นกลยุทธ์ทางยุทธวิธี ช่วยให้กลุ่มสามารถแยกตัวออกจากมาตรการคว่ำบาตรก่อนหน้านี้ การระบุตัวตนต่อสาธารณะ หรือโครงสร้างพื้นฐานที่ถูกบุกรุก ตัวตนใหม่เสนอโอกาสใหม่สำหรับการสรรหาบุคลากร การเจรจา และการประชาสัมพันธ์ภายในโลกอาชญากรรมใต้ดิน ซึ่งมักจะมาพร้อมกับสายพันธุ์มัลแวร์ที่อัปเดตหรือแนวทางปฏิบัติในการรักษาความปลอดภัยในการปฏิบัติงานที่ได้รับการปรับปรุง

แผนการเล่นของผู้โจมตีทีละขั้นตอน

การเข้าถึงเริ่มต้น

กลุ่มนี้อาจได้รับการเข้าถึงเริ่มต้นผ่านวิธีการหลายวิธี การโจมตีแบบฟิชชิ่ง ซึ่งมักจะเป็น spear-phishing ที่กำหนดเป้าหมายอย่างแม่นยำ ยังคงเป็นช่องทางหลักในการส่งมัลแวร์หรือลิงก์เก็บข้อมูลประจำตัว การใช้ประโยชน์จากแอปพลิเคชันที่เปิดเผยต่อสาธารณะที่ยังไม่ได้รับการแก้ไข โดยเฉพาะอย่างยิ่งแอปพลิเคชันที่มี CVE ที่รู้จัก เช่นที่พบในโซลูชัน VPN ยอดนิยมหรือเว็บเซิร์ฟเวอร์ (เช่น Fortinet, Apache Struts) เป็นจุดเข้าที่พบบ่อยอีกจุดหนึ่ง การใช้ข้อมูลประจำตัว RDP ที่ถูกบุกรุก ซึ่งมักจะซื้อจาก IABs ยังช่วยให้เข้าถึงได้อย่างรวดเร็ว

การสร้างฐานและค้นหา

เมื่อเข้าสู่ระบบได้แล้ว ผู้โจมตีจะสร้างการคงอยู่ โดยทั่วไปผ่านงานที่กำหนดเวลาไว้ รายการเริ่มต้นที่แก้ไข หรือเครื่องมือเข้าถึงระยะไกลที่ถูกต้องตามกฎหมาย เช่น TeamViewer หรือ AnyDesk จากนั้นพวกเขาจะทำการสำรวจภายในอย่างละเอียด ทำแผนที่โครงสร้างเครือข่าย ระบุสินทรัพย์ที่สำคัญ และค้นหาแหล่งเก็บข้อมูลที่ละเอียดอ่อน เครื่องมือเช่น BloodHound หรือ AdFind มักใช้สำหรับการแจงนับ Active Directory

การเคลื่อนที่ในแนวนอนและการยกระดับสิทธิ์

โดยใช้ข้อมูลประจำตัวที่ถูกค้นพบ การกำหนดค่าที่ไม่ถูกต้อง หรือระบบที่ยังไม่ได้รับการแก้ไข ผู้โจมตีจะเคลื่อนที่ในแนวนอนข้ามเครือข่าย เทคนิคต่างๆ ได้แก่ Pass-the-Hash, Pass-the-Ticket และการใช้ประโยชน์จากบริการ Windows การยกระดับสิทธิ์เป็นขั้นตอนที่สำคัญ ซึ่งมักจะกำหนดเป้าหมายบัญชีผู้ดูแลระบบโดเมนผ่านเทคนิคต่างๆ เช่น Kerberoasting หรือการใช้ประโยชน์จากช่องโหว่ในส่วนประกอบของ Windows OS

การขโมยข้อมูล

ก่อนที่จะปรับใช้แรนซัมแวร์ กลุ่มนี้จะมุ่งเน้นไปที่การขโมยข้อมูล พวกเขาระบุทรัพย์สินทางปัญญาที่มีมูลค่าสูง บันทึกทางการเงิน ข้อมูล HR และข้อมูลลูกค้า ข้อมูลมักจะถูกจัดเตรียมบนเซิร์ฟเวอร์ภายใน บีบอัด และจากนั้นถูกขโมยผ่านช่องทางที่เข้ารหัสไปยังคลาวด์สตอเรจหรือโครงสร้างพื้นฐานที่ควบคุมโดยผู้โจมตี ซึ่งมักจะหลีกเลี่ยงการกรองขาออกแบบเดิมผ่านพอร์ตทั่วไปหรือบริการเว็บที่ถูกต้องตามกฎหมาย

การเข้ารหัสและการรีดไถ

ในที่สุด เพย์โหลดแรนซัมแวร์จะถูกปรับใช้บนระบบที่สำคัญ เข้ารหัสไฟล์และทำให้ไม่สามารถเข้าถึงได้ ในขณะเดียวกัน เว็บไซต์รั่วไหลข้อมูลจะได้รับการอัปเดตพร้อมหลักฐานการขโมยข้อมูลและการประกาศการละเมิดต่อสาธารณะ กลไกการรีดไถสองเท่า—การขู่ว่าจะเผยแพร่ข้อมูลควบคู่ไปกับการเข้ารหัส—เพิ่มแรงกดดันสูงสุดต่อเหยื่อให้จ่ายค่าไถ่

สิ่งที่ผู้ป้องกันพลาดไป

ในเหตุการณ์เฉพาะเหล่านี้ ข้อบกพร่องในการป้องกันทั่วไปหลายประการปรากฏชัด การบุกรุกเริ่มต้นอย่างรวดเร็วบ่งชี้ถึงความล้มเหลวในการรักษาสุขอนามัยความปลอดภัยขั้นพื้นฐาน เช่น การแพตช์ระบบที่เชื่อมต่ออินเทอร์เน็ตอย่างทันท่วงที หรือการป้องกันที่แข็งแกร่งจากการโจมตีแบบฟิชชิ่งที่ซับซ้อน แม้จะมีโซลูชัน EDR ที่ทันสมัย การขาดการล่าภัยคุกคามเชิงรุกหรือกฎการตรวจจับที่กำหนดค่าไม่ถูกต้องก็สามารถทำให้ผู้โจมตีปฏิบัติการโดยไม่ถูกตรวจจับเป็นระยะเวลานาน

"การเปลี่ยนชื่อเป็นเพียงการตกแต่งภายนอก ช่องโหว่หลักยังคงเหมือนเดิม และศัตรูของเราคือผู้เชี่ยวชาญในการใช้ประโยชน์จากจุดบอดของมนุษย์และเทคโนโลยี"

ความสามารถในการขโมยข้อมูลสัญญาจำนวนมากบ่งบอกถึงการไม่มีการควบคุมการป้องกันการสูญหายของข้อมูล (DLP) ที่มีประสิทธิภาพ หรือความล้มเหลวในการตรวจสอบทราฟฟิกเครือข่ายขาออกที่ผิดปกติอย่างเพียงพอ ยิ่งไปกว่านั้น การที่เว็บไซต์รั่วไหลข้อมูลเผยแพร่ต่อสาธารณะโดยที่องค์กรไม่ได้รับรู้ล่วงหน้า ชี้ให้เห็นถึงช่องว่างในการตรวจสอบข้อมูลภัยคุกคามภายนอก โดยเฉพาะอย่างยิ่งเกี่ยวกับกิจกรรมบน Dark Web และการติดตามเว็บไซต์รั่วไหลข้อมูล

องค์กรจำนวนมากยังคงดำเนินงานด้วยแนวคิด 'ถ้าไม่เสียก็ไม่ต้องซ่อม' เกี่ยวกับระบบเดิมหรือส่วนเครือข่ายที่ซับซ้อน สิ่งนี้สร้างจุดบอดและพื้นผิวการโจมตีที่ไม่ได้จัดการ ซึ่งผู้ก่อภัยคุกคามระบุและใช้ประโยชน์อย่างเชี่ยวชาญ ซึ่งมักจะหลีกเลี่ยงการป้องกันที่ออกแบบมาสำหรับโครงสร้างพื้นฐานที่ทันสมัยกว่า ปริมาณข้อมูลที่ถูกขโมยบ่งชี้ถึงเวลาที่ใช้ในการบุกรุกที่อาจยาวนาน ซึ่งชี้ให้เห็นถึงความล้มเหลวในการตรวจจับในระหว่างขั้นตอนการสำรวจและการเคลื่อนที่ในแนวนอน

รายการตรวจสอบการป้องกันที่ใช้งานได้จริง

• จัดลำดับความสำคัญของการจัดการแพตช์: ใช้ตารางการแพตช์ที่เข้มข้นสำหรับแอปพลิเคชัน ระบบปฏิบัติการ และอุปกรณ์เครือข่ายที่เชื่อมต่ออินเทอร์เน็ตทั้งหมด เน้นที่ CVEs ที่สำคัญและมีความรุนแรงสูงทันที
• ปรับปรุงการจัดการตัวตนและการเข้าถึง: บังคับใช้ Multi-Factor Authentication (MFA) สำหรับการเข้าถึงระยะไกล บัญชีผู้ดูแลระบบ และแอปพลิเคชันธุรกิจที่สำคัญทั้งหมด ใช้หลักการสิทธิ์ขั้นต่ำอย่างเคร่งครัด
• เสริมสร้าง Endpoint Detection and Response (EDR): ตรวจสอบให้แน่ใจว่าโซลูชัน EDR ได้รับการปรับใช้ กำหนดค่าสำหรับการมองเห็นสูงสุด และตรวจสอบอย่างต่อเนื่อง รวบรวมการแจ้งเตือน EDR เข้ากับ SIEM แบบรวมศูนย์สำหรับการเชื่อมโยงและการตอบสนองอย่างรวดเร็ว
• แบ่งส่วนเครือข่ายและใช้ Zero Trust: แยกสินทรัพย์ที่สำคัญและแหล่งเก็บข้อมูลที่ละเอียดอ่อนผ่านการแบ่งส่วนย่อย ใช้สถาปัตยกรรม Zero Trust ตรวจสอบผู้ใช้และอุปกรณ์ทุกรายก่อนให้สิทธิ์เข้าถึง โดยไม่คำนึงถึงตำแหน่งที่ตั้ง
• ใช้ Data Loss Prevention (DLP) ที่แข็งแกร่ง: ปรับใช้โซลูชัน DLP เพื่อตรวจสอบและป้องกันการขโมยข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต กำหนดค่าการแจ้งเตือนสำหรับการถ่ายโอนข้อมูลที่ผิดปกติไปยังปลายทางภายนอก
• ดำเนินการทดสอบการเจาะระบบและการทำ Red Teaming เป็นประจำ: จ้างบุคคลภายนอกเพื่อจำลองภัยคุกคามขั้นสูงที่ต่อเนื่องอย่างสมจริง เน้นที่การระบุเส้นทางที่สามารถใช้ประโยชน์ได้ไปยังข้อมูลที่สำคัญ ไม่ใช่แค่ช่องโหว่ระดับพื้นผิว
• ลงทุนในข้อมูลภัยคุกคามภายนอก: ตรวจสอบฟอรัม Dark Web เว็บไซต์รั่วไหลข้อมูล และกิจกรรมกลุ่มแรนซัมแวร์อย่างต่อเนื่อง เพื่อหาการกล่าวถึงองค์กร บริษัทในเครือ หรือบุคลากรสำคัญของคุณ ข้อมูลเชิงลึกเชิงรุกนี้สามารถให้คำเตือนล่วงหน้าเกี่ยวกับการโจมตีที่กำลังจะเกิดขึ้นหรือการขโมยข้อมูล

การทดสอบเชิงรุกที่ทันสมัยจะจับสิ่งนี้ได้อย่างไร

การทดสอบความปลอดภัยเชิงรุกที่ทันสมัย โดยเฉพาะในรูปแบบของการทำ purple teaming อย่างต่อเนื่องและการทำ red team ขั้นสูง ให้ข้อได้เปรียบที่สำคัญ แทนที่จะพึ่งพาการสแกนช่องโหว่เป็นระยะเพียงอย่างเดียว แนวทางเหล่านี้จำลอง TTPs ของผู้โจมตีในโลกแห่งความเป็นจริงตลอดทั้ง kill chain ซึ่งรวมถึงการพยายามเข้าถึงเริ่มต้นผ่านฟิชชิ่งที่ซับซ้อน การใช้ประโยชน์จากช่องโหว่ zero-day หรือ N-day การเคลื่อนที่ในแนวนอนด้วยข้อมูลประจำตัวที่ถูกขโมย และการพยายามขโมยข้อมูล

การทดสอบดังกล่าวจะระบุเวกเตอร์และข้อผิดพลาดในการกำหนดค่าที่เฉพาะเจาะจงที่ทำให้เกิดการละเมิดเริ่มต้น ตรวจจับเส้นทางการเคลื่อนที่ในแนวนอน และยืนยันช่องทางการขโมยข้อมูล โปรแกรมที่แข็งแกร่งยังรวมถึงการตรวจสอบพื้นผิวการโจมตีภายนอกอย่างต่อเนื่อง การสนทนาบน Dark Web ที่กล่าวถึงสินทรัพย์สำคัญขององค์กร และ TTPs ที่กำลังพัฒนาของกลุ่มภัยคุกคามที่รู้จัก สิ่งนี้ให้ข้อมูลเชิงลึกที่ช่วยให้ผู้ป้องกันสามารถเสริมสร้างท่าทางของตนเองเชิงรุกเพื่อรับมือกับภัยคุกคามที่เกี่ยวข้องและเป็นปัจจุบันที่สุด

สิ่งที่ต้องจับตาดูต่อไป

แนวโน้มของกลุ่มแรนซัมแวร์ที่เปลี่ยนชื่อและกลับมาดำเนินการโจมตีอย่างรวดเร็วมีแนวโน้มที่จะดำเนินต่อไป CISO ควรคาดการณ์ถึงการมุ่งเน้นที่เพิ่มขึ้นในการโจมตีห่วงโซ่อุปทาน โดยใช้ประโยชน์จากความสัมพันธ์กับผู้ขายที่เชื่อถือได้เพื่อเข้าถึงเป้าหมายที่ใหญ่ขึ้นในเบื้องต้น เราจะได้เห็นการปรับปรุงเทคนิคการขโมยข้อมูลต่อไป โดยอาจใช้ช่องทางที่หลบเลี่ยงได้มากขึ้นและบริการคลาวด์ที่ถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงการป้องกันแบบเดิม

คาดว่าจะมีการรณรงค์วิศวกรรมสังคมที่ซับซ้อนมากขึ้น โดยกำหนดเป้าหมายบุคคลที่มีสิทธิ์สูง โดยใช้เนื้อหาที่สร้างโดย AI เพื่อเพิ่มความสมจริง ยิ่งไปกว่านั้น การบรรจบกันของแรนซัมแวร์กับกิจกรรมอาชญากรรมไซเบอร์อื่นๆ เช่น cryptojacking หรือการจารกรรมที่ได้รับการสนับสนุนจากรัฐ อาจทำให้การระบุตัวตนสับสนและทำให้การตอบสนองต่อเหตุการณ์ซับซ้อนขึ้น การป้องกันเชิงรุกที่ขับเคลื่อนด้วยข้อมูลเชิงลึก โดยเน้นที่ความยืดหยุ่นและการกู้คืนอย่างรวดเร็ว จะมีความสำคัญสูงสุดในการบรรเทาภัยคุกคามที่กำลังพัฒนาเหล่านี้