จากการวิจัยของ Sophos พบว่าธุรกิจกว่า 56% ถูกโจมตีด้วยมัลแวร์ชนิดนี้ และข้อมูล 70% ถูกเข้ารหัส และเรียกร้องค่าไถ่ที่เพิ่มขึ้น 5 เท่าเมื่อเทียบกับปี 2023

Ransomware มีเป้าหมายเป็นธุรกิจ

รายงานพิเศษ State of Ransomware 2024 เกี่ยวกับสถานะปัจจุบันของมัลแวร์ที่เข้ารหัสข้อมูลและเรียกค่าไถ่ (Ransomware) จาก Sophos แสดงให้เห็นว่าปี 2024 ยังคงเป็นปี "หายนะ" สำหรับธุรกิจต่างๆ ที่ต้องเผชิญกับการโจมตี Ransomware อย่างต่อเนื่อง

การโจมตีทางไซเบอร์ที่มุ่งเป้าไปที่องค์กรและวิสาหกิจขนาดกลางและขนาดย่อม (SMEs) ยังคงเพิ่มขึ้นตามข้อมูลของ Sophos โดยเฉพาะอย่างยิ่ง Ransomware ถือเป็นภัยคุกคามครั้งใหญ่ต่อธุรกิจไม่ว่าจะมีขนาดใดก็ตาม เหตุการณ์เหล่านี้ยังคงเกิดขึ้นอย่างเงียบๆ บ่อยครั้งขึ้น และรุนแรงมากขึ้น โดยมูลค่าค่าไถ่สูงถึงหลายสิบล้านดอลลาร์สหรัฐ หรือความเสียหายเทียบเท่ากันเนื่องจากการหยุดชะงักของการดำเนินงาน นอกจากนี้การโจมตีแบบกำหนดเป้าหมาย (APT - Advanced Persistent Threat) ยังคงเป็นภัยคุกคามหลักต่อองค์กรและธุรกิจต่างๆ

Ransomware คือคำศัพท์ที่ใช้เรียกโค้ดที่เป็นอันตรายซึ่งเข้ารหัสข้อมูลของเหยื่อ เก็บรักษาไว้ และกรรโชกทรัพย์ แฮกเกอร์ขอให้เหยื่อซึ่งเป็นธุรกิจจ่ายค่าไถ่เป็นสกุลเงินดิจิทัล เช่น Bitcoin เพื่อ "กอบกู้" ข้อมูล

จากข้อมูลของ Sophos ธุรกิจขนาดกลางและขนาดใหญ่มากกว่าครึ่งหนึ่งจาก 14 ประเทศได้เปิดเผยว่าตนเองถูกโจมตีโดย Ransomware ในปี 2024 โดยช่องโหว่ที่ Ransomware ใช้ประโยชน์ได้รุนแรงที่สุด ได้แก่ ช่องโหว่ด้านความปลอดภัยของซอฟต์แวร์หรือระบบ (32%) การโจมตีจุดอ่อน (29%) อีเมลที่เป็นอันตราย (23%) และการฉ้อโกงแบบเจาะจง (11%)... โดยเฉลี่ยแล้ว ธุรกิจ 35% ใช้เวลาหนึ่งสัปดาห์ในการกู้คืนการดำเนินงานที่ถูกระงับหลังจากการโจมตีด้วย Ransomware ส่วนธุรกิจ 34% ใช้เวลาหนึ่งเดือน

ขาดการแก้ปัญหาแบบรวมศูนย์

ตามที่ Sophos ระบุ เหตุผลที่ระบบขององค์กรถูกแทรกซึมเข้าไปนั้น เกิดจากการทับซ้อนกันของซอฟต์แวร์ โดยเฉพาะอย่างยิ่งในยุคที่ AI (ปัญญาประดิษฐ์) เฟื่องฟู

การพัฒนาเทคโนโลยีใหม่ที่นำมาใช้ในการดำเนินการขององค์กรและธุรกิจทุกแห่งทำให้พื้นผิวของการโจมตีทางไซเบอร์เพิ่มมากขึ้น มีการประกาศเปิดเผยช่องโหว่ด้านความปลอดภัยจากแอปพลิเคชันและระบบปฏิบัติการอยู่เป็นประจำ ในขณะที่เจ้าหน้าที่ฝ่ายบริหารไอทีไม่ได้ดำเนินการตามให้ทัน ทำให้เกิดเงื่อนไขให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถดำเนินการโจมตีได้

ตัวแทนของ Sophos กล่าวว่า เนื่องจากระบบเทคโนโลยีสารสนเทศมีความซับซ้อน องค์กรและธุรกิจส่วนใหญ่จึงต้องเผชิญกับปัญหาต่างๆ มากมายเกี่ยวกับความปลอดภัยของข้อมูล ประเด็นหลักสามประการได้แก่: มี “จุดบอด” จำนวนมากเมื่อนำโซลูชันรักษาความปลอดภัยไปใช้ ขาดเครื่องมือตรวจสอบที่ช่วยให้ผู้ดูแลระบบสามารถเชื่อมโยงระบบทั้งหมดเข้าด้วยกัน ขาดทรัพยากรบุคคลที่มีความเชี่ยวชาญเฉพาะทางสูงในการดำเนินการและจัดการเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัยของข้อมูล

Sophos เชื่อว่าธุรกิจขนาดเล็กและขนาดกลางที่ไม่มีทีมงานมืออาชีพสามารถใช้โซลูชันระดับมืออาชีพเพื่อเอาชนะจุดอ่อนเหล่านี้ได้

Sophos นำเสนอโซลูชัน Sophos EDR และ XDR (Rapid Detection and Response) ซึ่งมีข้อดีหลัก ได้แก่ ช่วยตรวจจับการโจมตีที่ 'ซ่อนอยู่' และไม่มีการสังเกตเห็นได้ในระยะเริ่มต้น รายงานที่เชื่อถือได้เกี่ยวกับสถานการณ์ด้านความปลอดภัยในทุกช่วงเวลาที่กำหนด ช่วยตอบสนองอย่างรวดเร็วและแก้ไขปัญหาได้อย่างเหมาะสมที่สุด ผู้ปฏิบัติการได้รับความเข้าใจที่ดีขึ้นเกี่ยวกับการโจมตีที่เกิดขึ้นและวิธีป้องกันการโจมตีเหล่านั้น ด้วยเหตุนี้ ธุรกิจต่างๆ จึงมีผู้เชี่ยวชาญด้านความปลอดภัยเพิ่มเติมเพื่อคอยให้การสนับสนุนตลอด 24 ชั่วโมงทุกวัน

ตามที่ผู้เชี่ยวชาญจาก Sophos กล่าวไว้ โซลูชันการปกป้องเวิร์กสเตชัน EPP (Endpoint Protection Platform) ที่แข็งแกร่งไม่เพียงพอที่จะป้องกันการโจมตีของมัลแวร์ที่ซับซ้อนมากขึ้นเรื่อยๆ จึงนำเทคโนโลยีขั้นสูงมาใช้เพื่อช่วยให้ EPP ตรวจจับและตอบสนองต่อเหตุการณ์ดังกล่าวได้อย่างมีประสิทธิภาพ เรียกว่า EDR (Endpoint Detection & Response) XDR เป็นส่วนขยายของ EDR

Sophos XDR ช่วยตรวจจับและตอบสนองต่อเหตุการณ์ใดๆ จากเวิร์กสเตชัน เซิร์ฟเวอร์ ไฟร์วอลล์ อุปกรณ์เคลื่อนที่ คลาวด์…

สามคุณสมบัติที่ทำให้ Sophos EDR และ XDR โดดเด่นกว่าใคร ได้แก่:

การค้นพบแบบสด: ช่วยให้ผู้ดูแลระบบสามารถค้นหาและสอบถามข้อมูลทั้งหมดเกี่ยวกับสถานะ มัลแวร์ การโจมตี ฯลฯ ของระบบทั้งหมดพร้อมข้อมูลประวัติที่เก็บไว้ใน Data Lake สนับสนุนฝ่าย IT ในการตามล่าหามัลแวร์เชิงรุก (Threat Hunting) โดยอิงจากสัญญาณการโจมตี (IoA – Indicators of Attack) และสัญญาณการบุกรุก (IoC – Indicators of Compromise)

การตอบสนองแบบสด: แนะนำผู้ดูแลระบบในการตอบสนองต่อเหตุการณ์อย่างมีประสิทธิภาพ รวมถึงการดำเนินการต่างๆ เช่น การแยก การกักกัน การสแกน การสุ่มตัวอย่าง หรือการวิเคราะห์วัตถุอันตรายในเชิงลึก (รับไฟล์ สร้างกรณีภัยคุกคาม) ... ผู้ดูแลระบบจะมีสิทธิ์เข้าถึงเทอร์มินัลจากระยะไกลบนอินเทอร์เฟซการดูแลระบบเพื่อการจัดการอย่างรวดเร็ว

Threat Intelligence: จัดทำแผนที่ลำดับชั้นของการวิเคราะห์สาเหตุหลักของเหตุการณ์และเหตุการณ์ที่เกิดขึ้น บูรณาการเทคโนโลยีขั้นสูง เช่น AI, ML/DL (การเรียนรู้ของเครื่องจักร), Cloud Sandboxing, … เพื่อวิเคราะห์ไฟล์ที่น่าสงสัยและจัดทำรายงานโดยละเอียดเกี่ยวกับวัตถุเหล่านั้น