ทดลองใช้ฟรี 7 วันในทุกแพลน · จำเป็นต้องใช้อีเมลบริษัท · ไม่มีค่าใช้จ่ายในช่วง 7 วันแรกเริ่มทดลองใช้งาน →
Global Rail
ทดลอง
บทความทั้งหมด
ข่าวกรองภัยคุกคาม24 มิถุนายน 2569 6 นาทีในการอ่าน

การแพร่กระจายที่ไม่หยุดยั้ง: การวิเคราะห์การพุ่งขึ้นของเว็บไซต์รั่วไหลของแรนซัมแวร์ล่าสุด และภูมิทัศน์ภัยคุกคามที่แตกแยก

กิจกรรมเว็บไซต์รั่วไหลของแรนซัมแวร์ที่เพิ่มขึ้นเมื่อเร็วๆ นี้ ซึ่งแสดงให้เห็นถึงคลื่นลูกใหม่ของการเปิดเผยข้อมูลเหยื่อที่มุ่งเป้าไปที่ภาคส่วนที่สำคัญของสหรัฐฯ ตอกย้ำการเปลี่ยนแปลงเชิงโครงสร้างที่สำคัญในภูมิทัศน์ภัยคุกคาม การวิเคราะห์เชิงลึกสำหรับ CISO และวิศวกรความปลอดภัยนี้จะเจาะลึกรูปแบบ ระเบียบวิธีของผู้โจมตี และช่องว่างในการป้องกันที่เน้นโดยเหตุการณ์เหล่านี้

แชร์XLinkedIn
การแพร่กระจายที่ไม่หยุดยั้ง: การวิเคราะห์การพุ่งขึ้นของเว็บไซต์รั่วไหลของแรนซัมแวร์ล่าสุด และภูมิทัศน์ภัยคุกคามที่แตกแยก

ระบบนิเวศของแรนซัมแวร์กำลังประสบกับกิจกรรมที่เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งสะท้อนถึงการแตกแยกอย่างลึกซึ้งของภูมิทัศน์ภัยคุกคาม การปรากฏตัวล่าสุดของรายการเว็บไซต์รั่วไหลใหม่ ซึ่งส่งผลกระทบต่อองค์กรในสหรัฐฯ หลายแห่งในภาคส่วนที่สำคัญ เป็นภาพประกอบที่ชัดเจนของภัยคุกคามที่กำลังพัฒนาและซับซ้อนมากขึ้นนี้

เกิดอะไรขึ้น

เมื่อเร็วๆ นี้ กลุ่มแรนซัมแวร์ได้เผยแพร่รายชื่อเหยื่อใหม่ ซึ่งส่งผลกระทบอย่างมีนัยสำคัญต่อองค์กรต่างๆ ในภาคส่วนการดูแลสุขภาพ การศึกษา การประกันภัย พลังงาน และเทคโนโลยี เป้าหมายที่น่าสังเกต ได้แก่ หน่วยงานที่มีชื่อเสียงหลายแห่งในอุตสาหกรรมต่างๆ การเปิดเผยเหล่านี้มักจะตามมาด้วยการเจรจาที่ล้มเหลว โดยข้อมูลจะถูกเปิดเผยหรือถูกขู่ว่าจะเผยแพร่

ผู้คุกคามอ้างว่าครอบครองชุดข้อมูลที่กว้างขวางและมีความละเอียดอ่อนสูง ตัวอย่างเช่น รวมถึงบันทึกสำคัญที่ถูกกล่าวหาจากบริษัทใหญ่ ข้อมูลที่ถูกบุกรุกจำนวนมากจากผู้ให้บริการทางการแพทย์ และข้อมูลภาคส่วนการประกันภัยจำนวนมากจากสมาคมระดับประเทศ ตัวเลขเหล่านี้เน้นย้ำถึงขนาดของการขโมยข้อมูลที่อาจเกิดขึ้น และผลกระทบร้ายแรงต่อองค์กรที่เป็นเหยื่อ โดยเฉพาะอย่างยิ่ง การศึกษาและการดูแลสุขภาพยังคงเป็นเป้าหมายหลักเนื่องจากมีข้อมูลส่วนบุคคล ข้อมูลทางการเงิน และข้อมูลการดำเนินงานจำนวนมากที่พวกเขาจัดการ

ทำไมรูปแบบนี้จึงเกิดขึ้นซ้ำๆ

เศรษฐศาสตร์พื้นฐานและความยืดหยุ่นในการดำเนินงานของปฏิบัติการแรนซัมแวร์เป็นบริการ (RaaS) ขับเคลื่อนรูปแบบที่คงอยู่นี้ การแพร่กระจายของกลุ่มและจำนวนเหยื่อทั่วโลกจำนวนมากแสดงให้เห็นถึงผลกำไรและอุปสรรคที่ค่อนข้างต่ำในการเข้าสู่ธุรกิจอาชญากรรมเหล่านี้ ระบบนิเวศได้แตกแยกออกไป โดยเปลี่ยนจากผู้เล่นหลักไม่กี่รายไปสู่การปฏิบัติการที่เล็กลง คล่องตัวมากขึ้น และระบุแหล่งที่มาได้ยากขึ้นจำนวนมาก

การแตกแยกนี้ช่วยให้สามารถปรับตัวได้อย่างรวดเร็วและมีความยืดหยุ่นต่อความพยายามในการบังคับใช้กฎหมาย เมื่อกลุ่มหนึ่งถูกขัดขวาง กลุ่มใหม่ๆ ก็จะเกิดขึ้น ซึ่งมักจะใช้โครงสร้างพื้นฐานร่วมกัน หรือรับสมัครพันธมิตรจากการปฏิบัติการที่ล้มเหลว โมเดล RaaS ซึ่งผู้พัฒนาจัดหาเครื่องมือและโครงสร้างพื้นฐานให้กับพันธมิตรเพื่อแลกกับการแบ่งส่วนของค่าไถ่ ยังช่วยให้การเข้าถึงความสามารถในการโจมตีที่ซับซ้อนเป็นประชาธิปไตยมากขึ้น

การแพร่กระจายของเว็บไซต์รั่วไหลของแรนซัมแวร์เป็นผลโดยตรงจากระบบนิเวศ RaaS ที่แตกแยกและยืดหยุ่น ซึ่งการแสวงหาผลกำไรแซงหน้าการป้องกันเชิงรับอย่างต่อเนื่อง

แผนการเล่นของผู้โจมตีทีละขั้นตอน

ปฏิบัติการแรนซัมแวร์มักจะปฏิบัติตามระเบียบวิธีโจมตีหลายขั้นตอน โดยมักจะเริ่มต้นด้วยตัวกลางในการเข้าถึง ผู้กระทำความผิดเหล่านี้เข้าถึงได้ด้วยวิธีการต่างๆ รวมถึงการใช้ช่องโหว่ที่ทราบ การฟิชชิ่ง หรือการยัดเยียดข้อมูลประจำตัว ตัวอย่างเช่น การวิจัยด้านความปลอดภัยระบุช่องโหว่ทั่วไปจำนวนมากที่เกี่ยวข้องกับกลุ่มต่างๆ ซึ่งบ่งชี้ถึงการพึ่งพาการใช้ประโยชน์จากจุดอ่อนทั่วไป

เมื่อมีการเข้าถึงเริ่มต้นแล้ว ผู้โจมตีจะทำการสอดแนมและเคลื่อนที่ตามแนวนอนภายในเครือข่ายของเหยื่อ ขั้นตอนนี้เกี่ยวข้องกับการทำแผนที่โทโพโลยีเครือข่าย การยกระดับสิทธิพิเศษ และการระบุเป้าหมายที่มีมูลค่าสูงสำหรับการขโมยข้อมูลและการเข้ารหัส ผู้คุกคามเป็นที่ทราบกันดีว่าใช้เครื่องเข้ารหัสที่หลากหลายเพื่อกำหนดเป้าหมายระบบปฏิบัติการและสภาพแวดล้อมต่างๆ ซึ่งแสดงให้เห็นถึงความหลากหลายของเครื่องมือโจมตีของพวกเขา

การขโมยข้อมูลเป็นขั้นตอนที่สำคัญ ซึ่งมักจะมาก่อนการเข้ารหัส เพื่อเพิ่มเลเวอเรจสำหรับการกรรโชก จากนั้นผู้คุกคามจะปรับใช้แรนซัมแวร์เพื่อเข้ารหัสระบบ ทำให้ไม่สามารถใช้งานได้ และทิ้งข้อความเรียกค่าไถ่ หากการเจรจาล้มเหลว ดังที่ระบุโดยกิจกรรมเว็บไซต์รั่วไหลล่าสุด ข้อมูลที่ถูกขโมยจะถูกเผยแพร่บนเว็บไซต์รั่วไหลสาธารณะ ซึ่งเพิ่มแรงกดดันและความเสียหายต่อชื่อเสียง

สิ่งที่ผู้ป้องกันพลาด

การปรากฏตัวซ้ำๆ ของเว็บไซต์รั่วไหลใหม่และการเปิดเผยข้อมูลเหยื่อชี้ให้เห็นถึงช่องว่างที่สำคัญในกลยุทธ์การป้องกัน องค์กรจำนวนมากยังคงดำเนินงานด้วยข้อมูลภัยคุกคามย้อนหลัง โดยมุ่งเน้นไปที่ตัวบ่งชี้การบุกรุก (IOCs) และ TTP ที่บันทึกไว้หลังจากเกิดเหตุการณ์หลักแล้ว ท่าทางเชิงรับนี้ทำให้พวกเขาอ่อนแอต่อกลุ่มที่เกิดขึ้นใหม่และเทคนิคการโจมตีที่กำลังพัฒนา

นอกจากนี้ การขาดการทดสอบความปลอดภัยเชิงรุกและเชิงรุกหมายความว่าช่องโหว่ที่สามารถใช้ประโยชน์ได้มักจะไม่ถูกค้นพบจนกว่าผู้โจมตีจะใช้ประโยชน์จากมัน ซึ่งรวมถึงจุดอ่อนในระบบที่หันหน้าออกภายนอก การกำหนดค่าที่ไม่ถูกต้อง และเส้นทางการยกระดับสิทธิพิเศษที่สามารถระบุได้ผ่านการทดสอบเชิงรุกแบบอัตโนมัติ ปริมาณข้อมูลจำนวนมหาศาลที่ผู้โจมตีอ้างจากเหยื่อบางรายบ่งชี้ว่าการแบ่งส่วนข้อมูลที่แข็งแกร่ง การควบคุมการเข้าถึง และกลไกการตรวจจับการขโมยข้อมูลอาจไม่เพียงพอ

การมุ่งเน้นไปที่ระบบภายในมักจะบดบังความเสี่ยงที่สำคัญที่เกิดจากผู้จำหน่ายบุคคลที่สาม แรนซัมแวร์สามารถแพร่กระจายผ่านระบบนิเวศของผู้จำหน่าย ซึ่งส่งผลกระทบต่อองค์กรผ่านผู้จำหน่ายที่ถูกบุกรุก หากไม่มีความเข้าใจที่ชัดเจนเกี่ยวกับความอ่อนไหวของผู้จำหน่าย องค์กรยังคงเผชิญกับความเสี่ยงที่ต่อเนื่อง

รายการตรวจสอบการป้องกันเชิงปฏิบัติ

เพื่อตอบโต้ภัยคุกคามแรนซัมแวร์ที่เพิ่มขึ้น CISO และวิศวกรความปลอดภัยต้องใช้ท่าทางป้องกันเชิงรุกและครอบคลุม:

  • จัดลำดับความสำคัญของการบริหารจัดการช่องโหว่: ระบุและแก้ไขช่องโหว่ที่สำคัญอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งช่องโหว่ที่กลุ่มแรนซัมแวร์ใช้ประโยชน์บ่อยครั้ง
  • ใช้การควบคุมการเข้าถึงที่แข็งแกร่ง: บังคับใช้หลักการสิทธิพิเศษน้อยที่สุด การรับรองความถูกต้องหลายปัจจัย (MFA) ในระบบที่สำคัญทั้งหมด และการตรวจสอบการเข้าถึงของผู้ดูแลระบบเป็นประจำ
  • เสริมสร้างการแบ่งส่วนเครือข่าย: แยกสินทรัพย์ที่สำคัญและข้อมูลที่ละเอียดอ่อนเพื่อจำกัดการเคลื่อนที่ตามแนวนอนในกรณีที่มีการละเมิด
  • เสริมสร้างการตรวจจับและตอบสนองที่ปลายทาง (EDR): ปรับใช้และปรับแต่งโซลูชัน EDR เพื่อตรวจจับและตอบสนองต่อกิจกรรมที่น่าสงสัย รวมถึงการสอดแนมและความพยายามในการขโมยข้อมูล
  • พัฒนาและทดสอบแผนตอบสนองต่อเหตุการณ์: ฝึกซ้อมสถานการณ์ตอบสนองต่อเหตุการณ์เป็นประจำ รวมถึงการโจมตีของแรนซัมแวร์ เพื่อให้แน่ใจว่าการควบคุมและการกู้คืนทำได้อย่างรวดเร็วและมีประสิทธิภาพ
  • ดำเนินการทดสอบเชิงรุกและเชิงรุก: ใช้การทดสอบเชิงรุกแบบอัตโนมัติเพื่อระบุช่องโหว่ที่สามารถใช้ประโยชน์ได้และการกำหนดค่าที่ไม่ถูกต้องอย่างต่อเนื่องก่อนที่ผู้โจมตีจะทำ
  • ประเมินความเสี่ยงของบุคคลที่สาม: รวมข้อมูลความอ่อนไหวของแรนซัมแวร์เข้ากับโปรแกรมการบริหารจัดการความเสี่ยงของบุคคลที่สาม เพื่อทำความเข้าใจและบรรเทาช่องโหว่ของซัพพลายเชน

การทดสอบเชิงรุกสมัยใหม่จะจับสิ่งนี้ได้อย่างไร

การสแกนช่องโหว่แบบดั้งเดิมและการทดสอบการเจาะระบบมักจะให้การประเมิน ณ จุดเวลา ซึ่งจะล้าสมัยอย่างรวดเร็วในภูมิทัศน์ภัยคุกคามแบบไดนามิก การทดสอบเชิงรุกสมัยใหม่ โดยเฉพาะอย่างยิ่งการทดสอบเชิงรุกแบบอัตโนมัติ นำเสนอแนวทางที่ต่อเนื่องและปรับตัวได้ แพลตฟอร์มของเรา ด้วยความสามารถในการทดสอบเชิงรุกแบบอัตโนมัติและ Proof-of-Concepts (PoCs) ที่สามารถดำเนินการได้ มอบข้อได้เปรียบที่สำคัญ

แนวทางนี้จำลองเทคนิคผู้โจมตีในโลกแห่งความเป็นจริงอย่างต่อเนื่อง โดยระบุเส้นทางที่สามารถใช้ประโยชน์ได้ซึ่งนำไปสู่สินทรัพย์ที่สำคัญหรือการขโมยข้อมูล ด้วยการสร้าง PoCs ที่สามารถดำเนินการได้ ทีมรักษาความปลอดภัยจะได้รับหลักฐานที่เป็นรูปธรรมของช่องโหว่และขั้นตอนที่ผู้โจมตีจะดำเนินการ สิ่งนี้ช่วยให้สามารถแก้ไขข้อบกพร่องที่อาจนำไปสู่การเข้าถึงเริ่มต้น การเคลื่อนที่ตามแนวนอน หรือการขโมยข้อมูลได้อย่างเชิงรุก ซึ่งสะท้อนถึงขั้นตอนแรกของการโจมตีของแรนซัมแวร์โดยตรง

ตัวอย่างเช่น หากผู้คุกคามใช้ช่องโหว่ที่ทราบ (เช่นที่นักวิจัยด้านความปลอดภัยระบุ) การทดสอบเชิงรุกแบบอัตโนมัติจะระบุช่องโหว่นั้น แสดงให้เห็นถึงความสามารถในการใช้ประโยชน์ด้วย PoC และอนุญาตให้แก้ไขก่อนที่จะสามารถนำไปใช้ในการโจมตีของแรนซัมแวร์ได้ สิ่งนี้เปลี่ยนการป้องกันจากการตอบสนองต่อเหตุการณ์เชิงรับไปสู่การบรรเทาภัยคุกคามเชิงรุก

สิ่งที่ต้องจับตาดูต่อไป

ภูมิทัศน์ของแรนซัมแวร์จะยังคงพัฒนาอย่างรวดเร็ว การแตกแยกออกเป็นปฏิบัติการที่เล็กลงและเร็วขึ้นจะยังคงดำเนินต่อไป ทำให้การระบุแหล่งที่มาและการขัดขวางทำได้ยากขึ้น คาดว่าจะมีการใช้ประโยชน์จากซัพพลายเชนและผู้จำหน่ายบุคคลที่สามอย่างต่อเนื่อง เนื่องจากผู้โจมตีแสวงหาเส้นทางที่มีความต้านทานน้อยที่สุดในการเข้าสู่องค์กรขนาดใหญ่

กฎที่ไม่ได้เขียนไว้ในระบบนิเวศของแรนซัมแวร์ ซึ่งบางภูมิภาคส่วนใหญ่ถูกจำกัดเพื่อหลีกเลี่ยงการแทรกแซงของหน่วยงานบังคับใช้กฎหมายในท้องถิ่น ยังคงเป็นพลวัตที่สำคัญ เหตุการณ์ในอดีตที่เกี่ยวข้องกับพันธมิตรของกลุ่มที่มีชื่อเสียง ซึ่งขอโทษและแบนพันธมิตรที่บังเอิญกำหนดเป้าหมายบริษัทที่มีสำนักงานในภูมิภาคที่ละเอียดอ่อน ตอกย้ำข้อจำกัดทางภูมิรัฐศาสตร์นี้ การเปลี่ยนแปลงใดๆ ในพลวัตนี้อาจเปลี่ยนแปลงภูมิทัศน์ภัยคุกคามทั่วโลกได้อย่างมีนัยสำคัญ

นอกจากนี้ การอ้างสิทธิ์ที่เพิ่มขึ้นของปริมาณการขโมยข้อมูลจำนวนมากบ่งชี้ถึงการมุ่งเน้นที่การสร้างรายได้จากข้อมูลที่เพิ่มขึ้นนอกเหนือจากการเข้ารหัสเพียงอย่างเดียว องค์กรต้องเตรียมพร้อมสำหรับแผนการกรรโชกแบบสองและสามที่ซับซ้อนมากขึ้น ซึ่งการรั่วไหลของข้อมูล การปฏิเสธบริการ และการสื่อสารโดยตรงกับลูกค้าถูกนำมาใช้ ข้อมูลภัยคุกคามอย่างต่อเนื่องและมาตรการรักษาความปลอดภัยเชิงรุกจะมีความสำคัญอย่างยิ่งต่อการอยู่รอดในสภาพแวดล้อมที่เพิ่มขึ้นนี้

แชร์XLinkedIn

บทความที่เกี่ยวข้อง

ข่าวกรองภัยคุกคาม

กลุ่มแรนซัมแวร์เปลี่ยนชื่อ: ชื่อใหม่ แต่การละเมิดข้อมูลยังคงเดิม

กลุ่มแรนซัมแวร์ที่เพิ่งเปลี่ยนชื่อได้เริ่มปฏิบัติการอย่างรวดเร็ว โดยโจมตีบริษัท Fortune 500 สามแห่งภายในสัปดาห์แรก และเผยแพร่ข้อมูลสัญญาที่ละเอียดอ่อนต่อสาธารณะ เหตุการณ์นี้เน้นย้ำถึงภูมิทัศน์ภัยคุกคามที่คงอยู่และมีการพัฒนา ซึ่งต้องการการป้องกันเชิงรุกที่ขับเคลื่อนด้วยข้อมูลเชิงลึกจาก CISO และวิศวกรความปลอดภัย

15 ก.ย. 25687 นาทีในการอ่าน