การเพิ่มขึ้นของ ransomware กรรโชกสองครั้ง
เผยแพร่แล้ว: 2022-01-11
หลายปีที่ผ่านมาองค์กรต้องเผชิญกับภัยคุกคามจากการโจมตีของแรนซัมแวร์ การแฮ็กที่ทำกำไรได้ก่อให้เกิดความหายนะต่อการทำงานในแต่ละวันขององค์กร การปิดอุปกรณ์ และการขโมยข้อมูลส่วนตัวและข้อมูลเฉพาะ เพื่อเป็นการตอบโต้ ความรู้ทางเทคโนโลยีและระบบการป้องกันจึงก้าวหน้า แต่วิธีที่อาชญากรนำไปใช้ประโยชน์ก็เช่นกัน ในช่วงสิบสองเดือนที่ผ่านมาพบว่าการเลือกการโจมตีเหล่านี้เพิ่มขึ้นอย่างน่าทึ่ง เนื่องจากผู้โจมตีฉวยโอกาสสวมบทบาทในสภาพแวดล้อมที่มีเสถียรภาพที่อ่อนแอลงของการทำงานแบบไฮบริด 30-7 เปอร์เซ็นต์ของบริษัทเกาะอังกฤษรายงานเหตุการณ์การละเมิดข้อเท็จจริงต่อสำนักงานคณะกรรมาธิการข้อมูล (ICO) ในปีนี้
การปรับปรุงวิธีการรักษาความปลอดภัยในโลกไซเบอร์และการจดจำได้บังคับให้ผู้โจมตีต้องพัฒนาขั้นตอนของตน เติบโตไปสู่ดินแดนใหม่ขององค์กรที่ดำเนินการตามขั้นตอนที่เข้มงวดยิ่งขึ้นในการควบคุม แรงจูงใจของอาชญากรไซเบอร์ก็เปลี่ยนไปเช่นกัน ตั้งแต่การถือครองธุรกิจไปจนถึงการเรียกค่าไถ่เพื่อเงิน ไปจนถึงการหยุดชะงักอย่างมีนัยสำคัญตามความน่าจะเป็น สำหรับปัจจัยทางการเมือง เช่น การปิดบริการจากผู้เชี่ยวชาญที่สำคัญในชีวิตประจำวันจำนวนมาก
ก่อนหน้านี้ในปีปฏิทินนี้ เราเห็นการหยุดนิ่งในผลิตภัณฑ์และบริการสำหรับ Colonial Pipeline ในสหรัฐอเมริกา เนื่องจากการโจมตีของแรนซัมแวร์ที่กดดันให้บริษัทที่ไม่ใช่บริษัทมหาชนต้องถอนเงินจำนวน 5 ล้านดอลลาร์ที่เชื่อใน Bitcoin เพื่อควบคุมและรักษาโซลูชันต่อไป ในเดือนเดียวกันนั้น รัฐบาลบริการเพื่อความเป็นอยู่ที่ดีของไอร์แลนด์ต้องตกอยู่ภายใต้ความกดดันเพื่อจ่ายค่าไถ่ 20 ล้านดอลลาร์ในการซื้อเพื่อช่วยรักษาข้อมูลของผู้ป่วยที่มีแนวโน้มว่าจะเปิดเผยต่อสาธารณะ แม้จะมีการออกแบบตามข้อตกลง แต่ข้อมูล 520 รายการก็ยังปรากฏบนอินเทอร์เน็ตที่มืดมิด ตอกย้ำให้เห็นถึงความคาดเดาไม่ได้ของอาชญากร
วิวัฒนาการของการโจมตี ransomware เกิดขึ้นอย่างมากในช่วงไม่กี่ปีที่ผ่านมา แทนที่การเข้ารหัสข้อมูลและจับเจ้าของเพื่อเรียกค่าไถ่ แรนซัมแวร์กรรโชกสองครั้งเกี่ยวข้องกับผู้โจมตีที่กรองข้อมูลก่อนและแสดงข้อมูลสำรองที่เป็นมาตรฐานและการออกแบบการกู้คืนข้อมูลที่ล้าสมัยในการซื้อเพื่อบังคับผู้ประกอบการ อาชญากรได้ระบุช่องทางอื่นสำหรับการกรรโชก และบริษัทต่าง ๆ ต้องการเตรียมพร้อมที่จะเอาชนะอันตรายใหม่นี้
แรนซัมแวร์ double-extortion คืออะไรและมีความเสี่ยงจริงแค่ไหน?
แรนซัมแวร์การกรรโชกสองครั้งทำให้เป็นไปได้สำหรับอาชญากรที่ไม่เพียงแต่เรียกค่าไถ่จากลูกค้าสำหรับข้อมูลที่ถูกขโมย แต่ยังใช้เป็นคำมั่นสัญญาปลอมเพื่อป้องกันไม่ให้ถูกเปิดเผยต่อสาธารณะ หากไม่มีการจ่ายค่าไถ่ภายในระยะเวลาที่กำหนด อาชญากรจะเผยแพร่ให้ทุกคนได้เห็น พร้อมๆ กับคู่แข่งที่น่าจะเป็นไปได้
พวกเขาคุกคามชุมชนและ/หรือลูกค้าแคมเปญการตลาดที่ "อับอายขายหน้า" หากคุณไม่เคยจ่ายเงินและตามการวิจัยของ Emisoft กลุ่มอาชญากรไซเบอร์ที่ใช้กลยุทธ์ "ชื่อและความอัปยศ" กำลังขยายตัว การสำรวจพบว่าจาก 100,101 แห่งได้รับรายงานการโจมตีของแรนซัมแวร์ในแต่ละธุรกิจและหน่วยงานภาคชุมชน ร้อยละ 11.6 ของคนเหล่านั้นมาจากทีมที่ขโมยและเผยแพร่ข้อมูลในรูปแบบการโจมตีแบบ
นอกจากนี้ยังมีการพัฒนาในบริการ Crimeware-as-a-Service โดยผู้มีบทบาทระดับประเทศ ซึ่งกำลังก่อให้เกิดความตึงเครียดทางภูมิรัฐศาสตร์มากขึ้นเรื่อยๆ ประเทศต่างๆ กำลังซื้ออุปกรณ์และบริการจากผู้เชี่ยวชาญจาก Dark Web ในขณะที่เครื่องมือที่พัฒนาโดยรัฐในประเทศต่างๆ ก็กำลังเข้าสู่อุตสาหกรรมคนผิวสีเช่นกัน
แล้วองค์กรต่างๆ จะเอาชนะความเสี่ยงที่เพิ่มขึ้นนี้ได้อย่างไร?
เพิ่มอันตรายเป็นสองเท่า ต้องการการเตรียมการฟื้นฟูเป็นสองเท่า
เพื่อให้ผู้โจมตีมีกำไรในการรีดไถค่าไถ่ พวกเขาควรเริ่มต้นด้วยการทำให้แน่ใจว่าการกู้คืนรายละเอียดที่มีประโยชน์นั้นเป็นไปไม่ได้ ในกรณีอื่น ๆ พวกเขามีโอกาสที่ผู้กำหนดไม่สามารถแยกออกได้ ดังนั้นพวกเขาจึงปิดการใช้งานหรือทำลายข้อมูลสำรอง ทำให้ยากต่อการกู้คืนรายละเอียดที่เป็นประโยชน์ใดๆ จากนั้นพวกเขาก็แปลงอาวุธเป็นรายละเอียดการผลิต
ด้วยการกำหนดกลยุทธ์การจัดการความเป็นไปได้ของข้อมูลที่ถูกบุกรุกที่มุ่งเน้น บริษัทต่างๆ พร้อมที่จะเพิ่มโอกาสและทำให้การกู้คืนรายละเอียดที่ถูกบุกรุกทางไซเบอร์เป็นไปได้มากขึ้น เมื่อเทียบกับหากพวกเขากำลังใช้วิธีการกู้คืนรายละเอียดที่เป็นมาตรฐาน ความต้องการของแรนซัมแวร์ไม่ได้ยิ่งใหญ่ไปกว่านี้แล้ว และการเตรียมกลุ่มจำเป็นต้องคิดทบทวนแผนการกู้คืนข้อมูลที่มีอยู่
เพื่อจัดการกับปัญหาที่เกิดซ้ำเหล่านี้ บริษัทต่างๆ จะต้องวางกลยุทธ์สำหรับห้าวิธีที่สำคัญที่สุดในการกู้คืนข้อมูลที่เสียหาย:
- รับทราบ ― การค้นหาและให้เหตุผลกับ Vital Info Belongings (VDA) ขององค์กร นี่คือข้อมูลที่ต้องการความปลอดภัยในระดับพิเศษ ที่องค์กรควรมีรายละเอียด
- ปลอดภัย — ความสามารถในการเพิ่มโอกาสที่คุณจะมีรายละเอียดที่ชัดเจนล่าสุดเพื่อกู้คืน เช่น สำเนาสำรองที่ไม่ปลอดภัยซึ่งได้รับการปกป้องจากการโจมตีทางไซเบอร์
- ตรวจจับ ― การหาจุดอ่อนในการควบคุมของคุณที่สามารถเพิ่มอันตรายสูงสุดขององค์กรต่อ VDA
- ตอบโต้ — แผน ขั้นตอน กลยุทธ์ที่ต้องปฏิบัติตามภายหลังการประนีประนอมรายละเอียดที่ทำกำไรได้
- ดีขึ้น ―การซ้อม การประเมิน และกิจวัตรที่เตรียมทีมให้พร้อมสำหรับเหตุการณ์นี้
การจัดทำแผนที่มีประสิทธิภาพ
บริษัททั้งหมดตกอยู่ในอันตรายจากการโจมตีของแรนซัมแวร์ ภูมิทัศน์อันตรายที่เปลี่ยนแปลงอย่างรวดเร็วได้กำหนดเครื่องมือตรวจจับปัจจุบันเป็นปัญหา สิ่งเหล่านี้ไม่ใช่เครื่องมือที่ประสบความสำเร็จในการต่อสู้กับการจู่โจมทั้งหมดและป้องกันไม่ให้ข้อเท็จจริงจำนวนมากตกต่ำอีกต่อไป ทุกองค์กรต่างก็แข่งขันกับความเป็นไปได้ของภัยคุกคามภายในเช่นกัน โดยที่บุคลากรที่ไม่พอใจอาจได้รับสิทธิพิเศษเข้าถึงภายในชุมชนและข้อมูลและข้อเท็จจริง การศึกษาเรื่องความปลอดภัยทางไซเบอร์เกิดขึ้นอย่างก้าวกระโดดในช่วงหลายปีที่ผ่านมา แต่ความผิดพลาดของมนุษย์ยังคงเป็นความเสี่ยงอย่างใหญ่หลวงต่อบริษัทต่างๆ โดยเฉพาะบุคคลที่ทำงานในสภาพแวดล้อมแบบไฮบริด
ในท้ายที่สุด มันขึ้นอยู่กับแต่ละบริษัทที่จะปรากฏในภาพรวม และโดยส่วนใหญ่ขึ้นอยู่กับปัจจัยในมุมมองของพวกเขา กำหนดระบบการกู้คืนข้อมูลให้ตรงจุด ความสำคัญของการโจมตี ransomware แบบคลาสสิกนั้นไม่สามารถมองข้ามได้ แต่หลุมพรางที่เกี่ยวข้องกับกลวิธีใหม่นั้นมีความสำคัญมากกว่าธุรกิจขนาดเล็กอย่างปฏิเสธไม่ได้ ชื่อเสียงของแบรนด์ที่ถูกทำลายและความเชื่อมั่นของผู้ซื้อที่เสียหายมักจะไม่สามารถแก้ไขได้ ก่อนอนุญาตให้อาชญากรฉวยโอกาสเลือกบริษัท ผู้นำธุรกิจขนาดเล็กจำเป็นต้องเร่งองค์กรที่สมบูรณ์เกี่ยวกับโปรโตคอลและทำงานอย่างระมัดระวังด้วยการบริหารของรัฐบาลซึ่งข้อมูลจะต้องมีความสำคัญเหนือกว่าตลอดภารกิจการฟื้นฟู ในขั้นตอนนี้ องค์กรต่างๆ สามารถเริ่มรู้สึกว่าได้รับการปกป้องว่ารายละเอียด ทรัพย์สิน และโครงสร้างพื้นฐานของพวกเขาจะยังคงไม่เสียหายแม้ในการจัดการกับความทุกข์ยาก
Chris Huggett, SVP ของ EMEA, Sungard Availability Providers