รายงาน SophosLabs ปี 2018 ระบุว่า แรนซั่มแวร์รุนแรงกว่าเดิม และมุ่งเน้นเจาะระบบ

รายงาน SophosLabs ปี 2018 ระบุว่า แรนซั่มแวร์รุนแรงกว่าเดิม และมุ่งเน้นเจาะระบบในทุกๆ แพลตฟอร์ม

•   หลังจากรุมโจมตีวินโดวส์จนย่อยยับแล้ว แรนซั่มแวร์ก็ได้เบนเข็มเป้าโจมตีไปยังแอนดรอยด์, ลีนุกส์, และแม้แต่ MacOS เพิ่มมากขึ้นในปี 2560 ที่ผ่านมา

•   มีแรนซั่มแวร์สองสายพันธุ์ที่ถูกใช้ในการโจมตีกว่า 89.5 เปอร์เซ็นต์ จากทั้งหมดที่พบจากการช่วยเหลือลูกค้าของ Sophos ทั่วโลกในการรับมือและป้องกัน

อ๊อกซ์ฟอร์ด,  สหราชอาณาจักร, 17 พฤศจิกายน 2560–Sophos (LSE:SOPH) ผู้นำระดับโลกด้านความปลอดภัยบนเครือข่ายและเอนด์พอยต์ ได้เผยแพร่รายงานทำนายสถานการณ์มัลแวร์ในปี 2561 ที่จะถึงนี้จาก SophosLabs(SophosLabs 2018 Malware Forecast) ซึ่งมีรายละเอียดเกี่ยวกับเทรนด์ด้านความปลอดภัยทางไซเบอร์โดยเฉพาะเรื่องที่เกี่ยวกับแรนซั่มแวร์ โดยวิเคราะห์ข้อมูลที่รวบรวมจากเครื่องคอมพิวเตอร์ของลูกค้า Sophos ทั่วโลกในช่วงวันที่ 1 เมษายน จนถึง 3 ตุลาคม 2560พบข้อเท็จจริงที่สำคัญมากคือ ขณะที่พบการโจมตีด้วยแรนซั่มแวร์อย่างหนักหน่วงบนระบบวินโดวส์ในช่วง 6 เดือนล่าสุด และยังพบด้วยว่าแพลตฟอร์มอื่นทั้งแอนดรอยด์, ลีนุกส์, และMacOS ก็ไม่สามารถรับมือกับภัยแรนซั่มแวร์นี้ได้เช่นกัน

“แรนซั่มแวร์เริ่มแพร่กระจายแบบไม่เจาะจงแค่วินโดวส์แพลตฟอร์มอีกต่อไป แม้จะเคยพุ่งเป้าไปที่คอมพิวเตอร์ที่ใช้วินโดวส์เป็นหลัก แต่ปีนี้ SophosLabsได้มองเห็นความถี่ที่เพิ่มขึ้นของการโจมตีแบบเข้ารหัสข้อมูลบนอุปกรณ์และระบบปฏิบัติการประเภทอื่นของลูกค้า Sophos ทั่วโลก” DorkaPalotayนักวิจัยด้านความปลอดภัยของ SophosLabsและอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecast กล่าว

รายงานฉบับนี้ยังได้ติดตามรูปแบบการเติบโตของแรนซั่มแวร์ โดยพบว่า WannaCryที่มีการแพร่กระจายอย่างรุนแรงเมื่อพฤษภาคมที่ผ่านมานั้น ถือเป็นแรนซั่มแวร์ที่มีจำนวนมากที่สุดเป็นอันดับหนึ่งที่ Sophos ช่วยเหลือลูกค้าของตนในการป้องกัน ถือว่าล้มอดีตแชมป์แรนซั่มแวร์เดิมอย่าง Cerberที่เคยระบาดหนักเมื่อต้นปี 2559 โดย WannaCryเป็นแรนซั่มแวร์ที่พบจากการตรวจติดตามของ SophosLabsคิดเป็น 45.3 เปอร์เซ็นต์ของทั้งหมด ขณะที่ Cerberคิดเป็น 44.2 เปอร์เซ็นต์

“ถือเป็นครั้งแรกที่เราพบแรนซั่มแวร์ที่มีพฤติกรรมเหมือนเวิร์ม ซึ่งช่วยให้แพร่กระจาย WannaCryได้รวดเร็วมาก แรนซั่มแวร์ตัวนี้ใช้ประโยชน์จากช่องโหว่บนวินโดวส์ที่เคยมีแพ็ตช์ออกมาก่อนหน้าแล้วในการติดเชื้อและกระจายตัวเองบนเครือข่ายคอมพิวเตอร์ ทำให้ควบคุมได้ยากมาก” Palotayกล่าวเสริม “แม้ว่าลูกค้าของเราจะได้รับการปกป้องจาก WannaCryอย่างสมบูรณ์แล้ว แต่เราก็ยังต้องเฝ้าติดตามอันตรายนี้ต่อไปเพื่อศึกษาธรรมชาติการสแกนหาและเข้าโจมตีคอมพิวเตอร์เครื่องอื่น เราคาดกันไว้ว่าในอนาคตจะมีอาชญากรไซเบอร์ที่นำความสามารถของในการกระจายตัวเองดังที่เห็นใน WannaCryและ NotPetyaนี้ไปใช้สร้างแรนซั่มแวร์ตัวใหม่ในอนาคต ซึ่งก็ได้เห็นแล้วจากกรณีของแรนซั่มแวร์Bad Rabbit ที่มีลักษณะหลายอย่างที่คล้ายกับ NotPetyaด้วย”

ในรายงาน SophosLabs2018 Malware Forecastนี้ยังได้กล่าวถึงการเริ่มต้นระบาดและจุดสิ้นสุดของแรนซั่มแวร์NotPetyaที่สร้างความเสียหายอย่างหนักในเดือนมิถุนายนที่ผ่านมา ซึ่ง NotPetyaนี้เริ่มต้นจากการระบาดผ่านตัวติดตั้งซอฟต์แวร์ทางบัญชีสัญชาติยูเครน ทำให้เป็นการจำกัดตำแหน่งทางภูมิศาสตร์ที่มีการโจมตี นอกจากนี้ยังสามารถแพร่ตัวเองผ่านช่องโหว่ EternalBlueได้เหมือน WannaCryแต่เมื่อมองเหตุการณ์ครั้ง WannaCryที่ได้เข้าไปติดเชื้อคอมพิวเตอร์ที่ไม่ได้แพ็ตช์วินโดวส์ทันท่วงทีเกือบทั้งหมดทั่วโลกแล้ว จึงไม่สามารถมองเห็นเป้าหมายที่แท้จริงของคนปล่อยNotPetyaได้ ทั้งนี้เนื่องจากการโจมตีมีข้อผิดพลาดและการข้ามขั้นตอนมากมาย ยกตัวอย่างเช่น บัญชีอีเมล์ที่เหยื่อจะต้องใช้ติดต่อผู้โจมตีนั้นไม่สามารถใช้งานได้ จนทำให้เหยื่อไม่สามารถถอดรหัสและกู้ข้อมูลที่โดนเล่นงานไปแล้วได้ เป็นต้น

“NotPetyaได้โจมตีอย่างหนักหน่วงและรวดเร็วมากสร้างความเสียหายแก่ธุรกิจปริมาณมหาศาลเนื่องจากเป็นการทำลายข้อมูลบนคอมพิวเตอร์โดยตรงแบบกู่ไม่กลับ นอกจากนี้ NotPetyaยังหยุดการโจมตีอย่างกระทันหันให้หลังจากเริ่มต้นระบาดเพียงไม่นานนัก” Palotayอธิบาย “เราสงสัยว่า ครั้งนั้นอาชญากรไซเบอร์คงเพียงแค่อยากทดลองอะไรบางอย่าง หรือวัตถุประสงค์จริงไม่ใช่การเรียกค่าไถ่ แต่เป็นการจงใจสร้างความเสียหายกับข้อมูลอย่างถาวร แต่ไม่ว่าจะด้วยเหตุใดก็ตามSophos แนะนำอย่างจริงจังว่าอย่าจ่ายค่าไถ่ให้เจ้าของแรนซั่มแวร์ แล้วปฏิบัติตามแนวทางการป้องกันที่ดีที่สุดแทน เช่น การสำรองข้อมูล และอัพเดตแพ็ตช์ให้เป็นรุ่นล่าสุดอยู่เสมอ”

เมื่อกลับมามองที่ดาวรุ่งในอดีตอย่าง Cerberที่มีการขายชุดโค้ดของตัวเองในเว็บตลาดมืด ถือว่าเป็นภัยร้ายที่อันตรายอย่างมาก ทั้งนี้เพราะผู้สร้าง Cerberยังคงบริการอัพเดตโค้ดตัวเองให้อย่างต่อเนื่อง รวมทั้งจูงใจให้แฮ็กเกอร์วันนาบีนำไปใช้ฟรีโดยเก็บเปอร์เซ็นต์ค่าหัวคิวจากค่าไถ่ที่ได้รับเมื่อพิจารณาจากฟีเจอร์ล่าสุดของ Cerberแล้ว ทำให้ไม่ใช่แค่เป็นเครื่องมือในการโจมตีอย่างเดียว แต่เป็นการแจกอาวุธร้ายให้แก่อาชญากรไซเบอร์ทั่วโลก“โมเดลธุรกิจของเว็บตลาดมืดนี้มีลักษณะคล้ายกับการทำธุรกิจของคนรุ่นใหม่ที่เปิดให้สาธารณะชนระดมทุนเพื่อพัฒนาสินค้า ซึ่งแน่นอนว่าเจ้าของโค้ดได้รับกำไรงามอย่างต่อเนื่องจนเป็นแรงจูงใจให้ขยันอัพเดตโค้ดจนถึงทุกวันนี้” Palotayสรุป

อาชญากรด้านแรนซั่มแวร์ยังคงให้ความสนใจแพลตฟอร์มแอนดรอยด์อย่างต่อเนื่อง จากการวิเคราะห์ของ SophosLabsแล้ว ปริมาณการโจมตีลูกค้าของ Sophos ที่ใช้อุปกรณ์แอนดรอยด์นั้นมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องในปี 2560

“แค่ในกันยายนเดือนเดียวนั้น พบว่ามัลแวร์บนแอนดรอยด์ที่ SophosLabsตรวจพบกว่า 30.4 เปอร์เซ็นต์ล้วนเป็นแรนซั่มแวร์ทั้งสิ้น ซึ่งเราคาดว่าตัวเลขนี้จะพุ่งขึ้นเป็นประมาณ 45 เปอร์เซ็นต์ในเดือนตุลาคม” Rowland Yu นักวิจัยด้านความปลอดภัยของ SophosLabsและอีกหนึ่งอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecastกล่าวเสริม “สาเหตุประการหนึ่งที่ทำให้แรนซั่มแวร์บนแอนดรอยด์ระบาดหนักขึ้นเรื่อยๆ นั้นเชื่อว่าเป็นเพราะสามารถรีดไถเงินจากเหยื่อได้มากกว่าการขโมยข้อมูลผู้ติดต่อ หรือ SMS ไปขาย, การบังคับแสดงโฆษณา, หรือแม้แต่การแฮ็คแอพอีแบงกิ้งแบบแต่ก่อนที่ต้องใช้เทคนิคและความรู้ที่ซับซ้อนกว่า อีกหนึ่งข้อเท็จจริงสำคัญที่พบก็คือ เรามักพบแรนซั่มแวร์บนแอนดรอยด์ในตลาดแอพที่อยู่นอก Google Play ซึ่งทำให้เราพยายามย้ำให้ผู้ใช้เฝ้าระวังเกี่ยวกับที่มา และตัวตนของแอพที่แท้จริงที่ตัวเองกำลังกดดาวน์โหลดอยู่เสมอ”

ในรายงานของ SophosLabs ฉบับนี้ ยังได้อธิบายถึงการโจมตีแอนดรอยด์สองประเภทที่กำลังแพร่หลายขึ้นเรื่อยๆ อันได้แก่ การล็อกหน้าจอโทรศัพท์โดยไม่ได้เข้ารหัสข้อมูลภายใน กับการล็อกหน้าจอพร้อมทั้งเข้ารหัสล็อกข้อมูลบนเครื่องพร้อมกันด้วย ซึ่งแรนซั่มแวร์บนแอนดรอยด์ส่วนใหญ่ไม่ได้เข้ารหาข้อมูลของผู้ใช้ แต่จะใช้วิธีง่ายๆ ด้วยการล็อกหน้าจอพร้อมข้อความขู่ที่ดูน่าเชื่อถือให้คนสิ้นหวังและยอมโอนเงินค่าไถ่ให้แทน ยิ่งมองที่ความถี่ของการใช้งานสมาร์ทโฟนต่อวันของผู้ใช้ปัจจุบันแล้วยิ่งเพิ่มโอกาสในการทำเงินเป็นอย่างมาก “Sophos แนะนำให้สำรองข้อมูลบนโทรศัพท์เป็นประจำ ลักษณะเหมือนที่ทำกับบนคอมพิวเตอร์ปกติทั้งนี้เพื่อรักษาข้อมูลให้ปลอดภัยอยู่เสมอ โดยไม่ต้องยอมจ่ายค่าไถ่เพื่อให้เข้าถึงข้อมูลได้อีกครั้ง เรามองเห็นการเพิ่มขึ้นอย่างต่อเนื่องของแรนซั่มแวร์บนแอนดรอยด์ และจะขึ้นเป็นกลุ่มมัลแวร์บนแพลตฟอร์มอุปกรณ์พกพาที่พบมากที่สุดในปีหน้า” Yu กล่าว

สำหรับรายงานฉบับเต็มพร้อมแผนภาพอธิบายประกอบอย่างละเอียดนั้น สามารถเข้าชมได้ที่ https://www.sophos.com/en-us/en-us/medialibrary/PDFs/technical-papers/malware-forecast-2018.pdf?la=en

ท่านสามารถเยี่ยมชมสำนักข่าว Sophos News สำหรับรายละเอียดเพิ่มเติมที่เกี่ยวข้องได้ เช่น การคาดการณ์การระบาดของแรนซั่มแวร์ในปี 2561 ที่จะกระจายครบทุกแพลตฟอร์ม หรือคำถามและคำตอบที่พบบ่อยเกี่ยวกับรายงาน 2018 Malware Forecast เป็นต้น

Sophos เปิดตัวคู่มือออนไลน์ใหม่ “Machine Learning Guide” ที่รวบรวมบทความเกี่ยวกับเทคโนโลยีที่น่าสนใจแบบเจาะลึกรวมไว้ในฉบับเดียว สามารถติดตามได้ที่
https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/MachineLearningforCybersecurityDemystifiedbySophos.pdf?la=en

ปกป้องแมคและพีซีทุกเครื่องภายในบ้านของคุณ ด้วยซอฟต์แวร์ความปลอดภัยบนอินเทอร์เน็ตแบบไม่มีค่าใช้จ่าย ที่สามารถจัดการได้จากศูนย์กลางแบบ Next-Gen ด้วย Sophos Home https://www.sophos.com/lp/sophos-home.aspx

อัพเดตข่าวสารล่าสุดกับ Sophos ได้จากทุกที่ทุกเวลา ผ่านทาง Twitter, LinkedIn, Facebook, Spiceworks, YouTube, และ Google+

เกี่ยวกับ Sophos
Sophos เป็นผู้นำด้านระบบความปลอดภัยบนเครือข่ายและเอนด์พอยต์แบบ Next-Gen รวมทั้งเป็นผู้บุกเบิกระบบความปลอดภัยแบบซิงโครไนซ์ที่ยกระดับการประสานงานของโซลูชั่นความปลอดภัยทั้งบนเอนด์พอยต์, เน็ตเวิร์ก, การเข้ารหัส, เว็บ, อีเมล์, และโมบายล์ให้ทำงานร่วมกันได้ดียิ่งขึ้น มีผู้ใช้มากกว่า 100 ล้านรายในกว่า 150 ประเทศที่เลือกโซลูชั่นของ Sophos เป็นระบบป้องกันที่ดีที่สุดเพื่อปกป้องจากอันตรายที่ซับซ้อน และการรั่วไหลของข้อมูล ผลิตภัณฑ์ของ Sophos มีจัดจำหน่ายผ่านช่องทางและตัวแทนต่างๆ ทั่วโลก ผ่านพาร์ทเนอร์ที่ลงทะเบียนไว้กว่า 26,000 ราย Sophos มีสำนักงานใหญ่อยู่ที่เมืองอ๊อกฟอร์ด สหราชอาณาจักร และเปิดให้ลงทุนจากสาธารณะผ่านตลาดหลักทรัพย์ London Stock Exchange ภายใต้เครื่องหมาย “SOPH” สามารถศึกษารายละเอียดเพิ่มเติมได้จาก www.sophos.com

No Platform Immune from Ransomware,According to SophosLabs2018Malware Forecast

•   Ransomware ravaged Windows, but attacks on Android, Linux and MacOS systems also increased in 2017

•   Just two strains of ransomware were responsible for 89.5 percent of all attacks intercepted on Sophos customer computers worldwide

OXFORD, U.K. – November 17, 2017 – Sophos (LSE: SOPH), a global leader in network and endpoint security, today announced its SophosLabs 2018 Malware Forecast, a reportthat recapsransomwareand other cybersecurity trends based on data collected fromSophos customer computersworldwide during April 1 to Oct. 3, 2017. One key finding showsthat while ransomware predominately attacked Windows systemsin the last six months, Android, Linux and MacOS platforms were not immune.

“Ransomware has become platform-agnostic. Ransomware mostly targets Windows computers, but this year, SophosLabs saw anincreased amount ofcrypto-attacks on different devices and operating systems used by our customers worldwide,” said Dorka Palotay, SophosLabs security researcher and contributor to the ransomware analysis in the SophosLabs 2018 Malware Forecast.

The report also tracksransomware growth patterns, indicating that WannaCry, unleashed in May 2017,was the number one ransomware intercepted from customer computers, dethroning longtime ransomware leader Cerber, which first appeared in early 2016. WannaCry accounted for 45.3 percent of all ransomware tracked through SophosLabs with Cerber accounting for 44.2 percent.

“For the first time we saw ransomware with worm-like characteristics, which contributed to the rapid expansion of WannaCry. This ransomware took advantage of aknown Windows vulnerability to infect and spread to computers, making it hard to control,” said Palotay. “Even though our customers are protected against it and WannaCry has tapered off,we still see the threatbecause of its inherent nature to keep scanning and attacking computers. We’re expecting cyber criminals to build upon this ability to replicate seen in WannaCry and NotPetya, and this is already evident with Bad Rabbit ransomware, which shows many similarities to NotPetya.” 

The SophosLabs 2018 Malware Forecast reports on theacute rise and fall of NotPetya, ransomware that wreaked havoc in June 2017. NotPetya was initially distributed through a Ukranian accounting software package, limiting its geographic impact. It was able to spread via the EternalBlue exploit, just like WannaCry, but because WannaCry had already infected most exposed machines there were few left unpatched and vulnerable.The motive behind NotPetya is still unclear because there were many missteps, cracks and faults with this attack. For instance, the email account that victims needed to contact attackers didn’t work and victims could not decrypt and recover their data, according to Palotay.

“NotPetya spiked fast and furiously, anddid hurt businesses because it permanently destroyed data on the computers it hit. Luckily, NotPetya stopped almost as fast as it started,” said Palotay. “Wesuspect the cyber criminals were experimentingor their goal was not ransomware, but something more destructive like a data wiper. Regardless of intention, Sophos strongly advises against paying for ransomware and recommends best practices instead, including backing up data and keeping patches up to date.”

Cerber, sold as a ransomware kit on the Dark Web, remainsa dangerous threat. The creators of Cerber continuously update the code and they charge a percentage of the ransom that the “middle-men” attackers receive from victims. Regular new features make Cerber not only an effective attack tool, but perennially available to cyber criminals.“This Dark Web business model is unfortunately working and similar to a legitimate company is likely funding the ongoing development of Cerber. We can assume the profits are motivating the authors to maintain the code,” said Palotay.

Android ransomware is alsoattracting cyber criminals. According to SophosLabs analysis, the number of attacks on Sophos customers using Android devices increased almost every month in 2017.

“In September alone, 30.4 percent of malicious Android malware processed by SophosLabs was ransomware. We’re expecting this to jump to approximately 45 percent in October,” said Rowland Yu, a SophosLabs security researcher and contributor to the SophosLabs 2018 Malware Forecast. “One reason we believe ransomware on Android is taking off is because it’s an easy way for cyber criminals to make money instead of stealing contacts and SMS, popping ups ads orbank phishing which requires sophisticated hacking techniques. It’s important to note that Android ransomware is mainly discovered in non-Google Play markets – another reason for users to be very cautious about where and what kinds of apps they download.”   

The SophosLabs reportfurther indicates two types of Android attack methods emerged: locking the phone without encrypting data, and locking the phone while encrypting the data. Most ransomware on Android doesn’t encrypt user data, but the sheer act of locking a screen in exchange for money is enough to cause people grief, especially considering how many times in a single day information is accessed on apersonal device. “Sophos recommends backing up phones on a regular schedule, similar to a computer, to preserve data and avoid paying ransom just to regain access. We expect ransomware for Android to continue to increase and dominate as the leading type of malware on this mobile platform in the coming year,”said Yu.

For access to the full report and infographic, please go to SophosLabs 2018 Malware Forecast.

Please visit Sophos News for our detailed write-ups,2018 Malware Forecast Ransomware Hits Hard, Crosses Platforms and 2018 Malware Forecast Questions and Answers.

Explore Sophos’ new Machine Learning Guide, including a collection of articles that explain the
technology in depth.

Protect every Mac and PC in your home with the next generation of centrally managed free internet security software, Sophos Home.
Connect with Sophos where you areTwitter, LinkedIn, Facebook, Spiceworks, YouTube, Google+.

About Sophos
Sophos is a leader in next-generation endpoint and network security, and as the pioneer of synchronized security develops its innovative portfolio of endpoint, network, encryption, web, email and mobile security solutions to work better together. More than 100 million users in 150 countries rely on Sophos solutions as the best protection against sophisticated threats and data loss. Sophos products are exclusively available through a global channel of more than 26,000 registered partners. Sophos is headquartered in Oxford, UK and is publicly traded on the London Stock Exchange under the symbol "SOPH." More information is available at www.sophos.com.