การโจมตีทางไซเบอร์อัตโนมัติกำลังเพิ่มขึ้น

“รายงาน Global Threat Landscape ฉบับล่าสุดของเราแสดงให้เห็นอย่างชัดเจนว่าอาชญากรไซเบอร์กำลังใช้ประโยชน์จาก AI และระบบอัตโนมัติเพื่อเร่งการโจมตีด้วยความเร็วและขนาดที่ไม่เคยมีมาก่อน” เดเร็ก แมนกี รองประธานฝ่ายวิจัยภัยคุกคามระดับโลกและกลยุทธ์ความมั่นคงปลอดภัยไซเบอร์ของ FortiGuard Labs กล่าว “กลยุทธ์ด้านความปลอดภัยแบบเดิมนั้นไม่เพียงพออีกต่อไป องค์กรต่างๆ จะต้องเปลี่ยนมาใช้กลยุทธ์การป้องกันเชิงรุกที่ผสมผสาน AI, Zero Trust และการจัดการภัยคุกคามอย่างต่อเนื่องอย่างรวดเร็ว เพื่อให้ก้าวล้ำหน้าผู้โจมตีในภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงอย่างรวดเร็วในปัจจุบัน”

ที่น่าสังเกตคือ การสแกนอัตโนมัติกำลังอยู่ในระดับสูงสุดเป็นประวัติการณ์ เนื่องจากผู้โจมตีพยายามระบุเป้าหมายที่เปิดเผยตั้งแต่เนิ่นๆ เพื่อใช้ประโยชน์จากช่องโหว่ที่เพิ่งค้นพบ อาชญากรไซเบอร์จึงกำลังนำการสแกนอัตโนมัติไปใช้ทั่วโลก FortiGuard Labs ได้สังเกตการณ์และบันทึกการสแกนหลายพันล้านครั้งต่อเดือน ซึ่งเทียบเท่ากับการสแกน 36,000 ครั้งต่อวินาที นี่แสดงให้เห็นถึงการที่ผู้โจมตีให้ความสำคัญอย่างมากในการแมปบริการที่เปิดเผย เช่น SIP และ RDP และโปรโตคอล OT/IoT เช่น Modbus TCP

การเพิ่มขึ้นของ Darknet ทำให้การเข้าถึงชุดโจมตีสำเร็จรูปง่ายขึ้น ในปี 2024 ฟอรัมอาชญากรรมไซเบอร์เริ่มทำหน้าที่เป็นตลาดสำหรับชุดโจมตีมากขึ้น โดยมีช่องโหว่ใหม่กว่า 40,000 รายการถูกเพิ่มเข้าไปในฐานข้อมูลช่องโหว่แห่งชาติ ซึ่งเพิ่มขึ้น 39% จากปี 2023

นอกจากช่องโหว่แบบ Zero-day ที่แพร่กระจายบนดาร์กเน็ตแล้ว โบรกเกอร์ยังเสนอข้อมูลประจำตัวขององค์กร (20%), การเข้าถึงระยะไกล RDP (19%), คอนโซลผู้ดูแลระบบ (13%) และเว็บเชลล์ (12%) เพิ่มมากขึ้นเรื่อยๆ ที่น่าสังเกตคือ FortiGuard Labs พบว่ามีบันทึกจากระบบที่ถูกมัลแวร์ขโมยข้อมูลประจำตัวเพิ่มขึ้นถึง 500% ในปีที่ผ่านมา โดยมีข้อมูลประจำตัวที่ถูกขโมยไป 1.7 พันล้านรายการที่ถูกแชร์ในฟอรัมใต้ดินเหล่านี้

อาชญากรรมไซเบอร์ที่ขับเคลื่อนด้วย AI กำลังขยายตัวอย่างรวดเร็ว ภัยคุกคามทางไซเบอร์กำลังใช้ประโยชน์จาก AI เพื่อเพิ่มความน่าเชื่อถือของการฉ้อโกงและหลีกเลี่ยงการควบคุมความปลอดภัยแบบเดิม ทำให้การโจมตีทางไซเบอร์มีประสิทธิภาพมากขึ้นและตรวจจับได้ยากขึ้น เครื่องมืออย่าง FraudGPT, BlackmailerV3 และ ElevenLabs กำลังทำให้แคมเปญการโจมตีสามารถปรับขนาดได้ เชื่อถือได้ และมีประสิทธิภาพมากขึ้น โดยหลีกเลี่ยงข้อจำกัดของเครื่องมือ AI ที่มีอยู่

การโจมตีแบบเจาะจงเป้าหมายในภาคส่วนสำคัญกำลังเพิ่มสูงขึ้น อุตสาหกรรมต่างๆ เช่น การผลิต การดูแลสุขภาพ และบริการทางการเงิน ยังคงพบเห็นการโจมตีทางไซเบอร์แบบเฉพาะเจาะจงเพิ่มขึ้นอย่างต่อเนื่อง โดยมีการวางแผนและใช้งานช่องโหว่เฉพาะสำหรับแต่ละภาคส่วนโดยเฉพาะ

ในปี 2567 ภาคส่วนที่ตกเป็นเป้าหมายมากที่สุดคือภาคการผลิต (17%) ภาคบริการธุรกิจ (11%) ภาคก่อสร้าง (9%) และภาคค้าปลีก (9%) ผู้ที่มีบทบาทเป็นรัฐชาติและกลุ่มอาชญากร Ransomware-as-a-Service (RaaS) จะมุ่งเน้นความพยายามไปที่ภาคส่วนเหล่านี้ สหรัฐอเมริกาเป็นประเทศที่ได้รับผลกระทบหนักที่สุดจากการโจมตีเหล่านี้ (61%) รองลงมาคือสหราชอาณาจักร (6%) และแคนาดา (5%)

ความเสี่ยงด้านความปลอดภัยของระบบคลาวด์และ IoT กำลังเพิ่มสูงขึ้น สภาพแวดล้อมการประมวลผลแบบคลาวด์ยังคงเป็นเป้าหมายหลัก โดยผู้โจมตีมักใช้ประโยชน์จากจุดอ่อนต่างๆ เช่น บริการจัดเก็บข้อมูลแบบเปิด การระบุตัวตนที่มากเกินไป และการกำหนดค่าบริการที่ไม่ถูกต้อง ใน 70% ของเหตุการณ์ที่ตรวจพบ ผู้โจมตีสามารถเข้าถึงข้อมูลผ่านข้อมูลประจำตัวจากพื้นที่ที่ไม่คุ้นเคย ซึ่งแสดงให้เห็นถึงความสำคัญของการตรวจสอบตัวตนในการป้องกันระบบคลาวด์

ข้อมูลประจำตัวคือสกุลเงินของอาชญากรไซเบอร์ ในปี 2024 อาชญากรไซเบอร์ได้แบ่งปันข้อมูลที่ถูกบุกรุกมากกว่า 1 แสนล้านรายการบนฟอรัมใต้ดิน ซึ่งเพิ่มขึ้น 42% เมื่อเทียบกับปีก่อนหน้า ส่วนใหญ่เป็นผลมาจากการเพิ่มขึ้นของ "รายการรวม" ที่ประกอบด้วยชื่อผู้ใช้ รหัสผ่าน และที่อยู่อีเมลที่ถูกขโมย โพสต์ในดาร์กเน็ตมากกว่าครึ่งหนึ่งเกี่ยวข้องกับฐานข้อมูลที่รั่วไหล ทำให้ผู้โจมตีสามารถโจมตีแบบ Credential Stuffing ได้โดยอัตโนมัติ

กลุ่มที่มีชื่อเสียง เช่น BestCombo, BloddyMery และ ValidMail เป็นกลุ่มอาชญากรทางไซเบอร์ที่มีการเคลื่อนไหวมากที่สุดในช่วงเวลาดังกล่าว โดยลดอุปสรรคในการเข้าถึงให้เหลือน้อยที่สุดด้วยการเสนอแพ็คเกจตามข้อมูลประจำตัว ส่งผลให้เกิดการยึดบัญชี การฉ้อโกงทางการเงิน และการจารกรรมขององค์กรเพิ่มสูงขึ้น

เมื่อเผชิญกับสถานการณ์ดังกล่าว รายงานนี้ให้คำแนะนำเกี่ยวกับการป้องกันความปลอดภัยสำหรับ CISO โดยเน้นย้ำถึงพื้นที่เชิงกลยุทธ์จำนวนหนึ่งที่จำเป็นต้องมุ่งเน้น เช่น:

การเปลี่ยนจากการตรวจจับภัยคุกคามแบบเดิมไปเป็น "การจัดการการเปิดเผยภัยคุกคามอย่างต่อเนื่อง" แนวทางเชิงรุกนี้มุ่งเน้นไปที่การจัดการพื้นผิวการโจมตีอย่างต่อเนื่อง การจำลองพฤติกรรมของศัตรูใน โลก แห่งความเป็นจริง การจัดลำดับความสำคัญของการแก้ไขตามความเสี่ยง และการตรวจจับและการตอบสนองการป้องกันแบบอัตโนมัติ

จำลองการโจมตีในโลกแห่งความเป็นจริง – ดำเนินการฝึกซ้อมจำลองศัตรู รวมทีม Red & Purple และใช้ประโยชน์จาก MITRE ATT&CK เพื่อทดสอบการป้องกันภัยคุกคาม เช่น แรนซัมแวร์และการจารกรรม

ลดพื้นผิวการโจมตี – นำเครื่องมือการจัดการพื้นผิวการโจมตี (ASM) มาใช้เพื่อตรวจจับทรัพย์สินที่เปิดเผย ข้อมูลประจำตัวที่รั่วไหล และช่องโหว่ที่สามารถใช้ประโยชน์ได้ พร้อมทั้งตรวจสอบฟอรัมดาร์กเน็ตอย่างต่อเนื่องเพื่อหาภัยคุกคามที่เกิดขึ้นใหม่

ให้ความสำคัญกับช่องโหว่ที่มีความเสี่ยงสูง – มุ่งเน้นความพยายามในการแก้ไขไปที่ช่องโหว่ที่กลุ่มอาชญากรทางไซเบอร์หารืออย่างจริงจัง และใช้ประโยชน์จากข้อมูลการกำหนดลำดับความสำคัญตามความเสี่ยง เช่น EPSS และ CVSS เพื่อจัดการแพตช์อย่างมีประสิทธิภาพ

ใช้ประโยชน์จาก Dark Web Intelligence – ตรวจสอบตลาด darknet เพื่อค้นหาบริการ ransomware ที่เกิดขึ้นใหม่ และติดตามความพยายามของแฮ็กเกอร์ที่ร่วมมือกันเพื่อลดภัยคุกคาม เช่น DDoS และการโจมตีทำลายเว็บไซต์

ที่มา: https://doanhnghiepvn.vn/chuyen-doi-so/an-ninh-mang/cac-cuoc-tan-cong-mang-tu-dong-tang-manh/20250508031351243