admin
เหตุการณ์ ransomware ที่มีชื่อเสียงระดับสูงที่ส่งผลกระทบต่อผู้ค้าปลีกชั้นนำในสหราชอาณาจักรยังคงก่อให้เกิดหัวข้อข่าว แต่ในพื้นหลังปริมาณการโจมตีแบบ ransomware ทั้งหมดดูเหมือนจะลดลงในช่วงสองสามสัปดาห์ที่ผ่านมาตามรายงานการคุกคามการคุกคามรายเดือนล่าสุดของ NCC
telemetry ที่กว้างขวางของ NCC พบการโจมตี ransomware 416 ครั้งในเดือนเมษายน 2568 หนึ่งเดือนลดลง 31%, 78%เกิดขึ้นในยุโรปและอเมริกาเหนือหมวดหมู่ บริษัท อุตสาหกรรมยังคงเป็นภาคที่โดดเด่นที่สุดในขณะที่ลูกเรืออาชญากรรม Akira เป็นกลุ่มที่มีความกระตือรือร้นมากที่สุดในที่เกิดเหตุ
แต่แม้จะมีสถิติที่บอกเล่าเรื่องราวผลกระทบของ ransomware โดยทั่วไปจะคมชัดกว่าและเหตุการณ์ที่เกิดขึ้นส่งผลกระทบต่อหมวดหมู่ที่ได้รับอนุมัติตามดุลยพินิจของผู้บริโภค (นั่นคือค้าปลีก) โดยเฉพาะอย่างยิ่งการโจมตีอย่างต่อเนื่องเกี่ยวกับ Marks และ Spencer (M&S), Co-op และ Harrods
เหตุการณ์เหล่านี้รวมถึงการโจมตีครั้งที่สี่ของ Peter Green Chille ผู้ให้บริการโซ่เย็นและบริการการจัดการสต็อกในอุตสาหกรรมซูเปอร์มาร์เก็ตได้จุดประกายภัยคุกคามต่อการค้าปลีกซึ่งดึงดูดความสนใจจากอาชญากรไซเบอร์เช่นด้วยเหตุผลหลายประการ
“ แม้ว่าจำนวนผู้ที่ตกเป็นเหยื่อการรายงาน ransomware จะลดลงอีกในเดือนเมษายน แต่ก็เป็นความผิดพลาดที่จะสมมติว่านี่เป็นสัญญาณว่าภัยคุกคามกำลังหายไป” ฮัลล์กล่าว
เขากล่าวเสริมว่า: “การโจมตีเมื่อเร็ว ๆ นี้ในอุตสาหกรรมค้าปลีกในสหราชอาณาจักรได้เปิดเผยผลกระทบที่ทำลายล้างและกว้างขวางของเหตุการณ์เหล่านี้ความจริงก็คือนี่เป็นเพียงเหลือบของภูมิทัศน์การคุกคามที่กว้างขึ้นทั่วโลกกรณีแรนซัมแวร์จำนวนมากยังคงบินอยู่ใต้เรดาร์ไม่เพียงพอหรือเงียบสงบ
การโจมตีล่าสุดในอุตสาหกรรมค้าปลีกในสหราชอาณาจักรเปิดเผยการโจมตีเหล่านี้ [ransomware] อาจเป็นเหตุการณ์
กลุ่ม NCC Matt Hull
“ ความไม่แน่นอนทางการเมืองและเศรษฐกิจยังเพิ่มเชื้อเพลิงให้กับไฟทำให้ผู้โจมตีมีเป้าหมายและโอกาสที่มีกำไรมากขึ้น”
Active Akira, Clumsy Babuk
เดือนเมษายนเห็นอนิเมะอ้างถึงเกียรติอย่างน่าสงสัยของแก๊งอากิระแรนซัมแวร์สำหรับการโจมตีที่ยิ่งใหญ่ที่สุดซึ่งเป็น 65 ที่บันทึกโดยระบบ NCC ถัดไปคือ Qilin’s 49 เล่น 42, Lynx และ 27
ในขณะเดียวกัน Babuk 2.0 ตั้งคำถามเมื่อต้นปีที่ผ่านมาไม่ว่าจะเป็นการโจมตีใหม่หรือดึงข้อมูลจากข้อมูลเก่าเท่านั้นที่ตั้งชื่อตาม 16 ครั้ง
NCC กล่าวว่ามีการค้นพบว่า Babuk 2.0 มีแนวโน้มที่จะปลอมแปลงข้อมูลซึ่งไม่ใช่กลยุทธ์ใหม่ในตัวเอง แก๊งคนอื่น ๆ ได้ลองทำสิ่งนี้ในอดีตและโดยปกติแล้วผู้ที่ต้องการพูดเกินจริงน่าอับอายนี่อาจเป็นกรณีที่นี่
นักวิจัยอธิบายว่า Ransomware ของ Babuk 2.0 อ้างว่าโจมตีหน่วยงานของรัฐที่มีชื่อเสียงแม้กระทั่งคนอย่าง Amazon และแพลตฟอร์มช้อปปิ้งจีน Taobao นั้นกล้าหาญ แต่อาจไม่มีใครได้รับผลกระทบ “ยืนยันการละเมิด” ที่ได้รับผลกระทบ “และมีทรัพยากรความปลอดภัยจำนวนมาก นอกจากนี้ยังเป็นเรื่องยากสำหรับแก๊งแรนซัมแวร์ใด ๆ ที่จะละเมิดองค์กรขนาดใหญ่หลายแห่งในลักษณะที่สั้นเช่นนี้
“การขาดความน่าเชื่อถือของ Babuk 2.0 ทำให้การโจมตีดังกล่าวน่าสงสัยหลังจากการสอบสวนเพิ่มเติมโดย NCC, 119 ของการเรียกร้องของ Babuk 2.0 145 ในไตรมาสที่ 1 ปี 2025 เกี่ยวข้องกับกลุ่ม ransomware อื่นหรืออาจเกี่ยวข้องกับการละเมิดครั้งใหญ่ครั้งก่อน” นักวิจัยกล่าว
การกระทำเช่นนี้แสดงให้เห็นว่าแก๊งค์แรนซัมแวร์เปลี่ยนกลยุทธ์ของพวกเขาอย่างไรเพื่อให้ได้ค่าใช้จ่ายใช้เทคโนโลยีการประชาสัมพันธ์เพื่อดึงดูดความสนใจของสื่อทำให้ผู้ประสบภัยที่เรียกว่าในสปอตไลท์และสร้างความเสียหายต่อภาพลักษณ์สาธารณะของพวกเขา เมื่อกลยุทธ์เหล่านี้ทำงานบ่อยครั้งก็เป็นเพราะผู้ที่ตกเป็นเหยื่อจะส่งเงินให้กับการแก้ปัญหาอย่างน่าอายนักวิจัยของ NCC กล่าว
PDF อาวุธ
รายงานของเดือนนี้ยังเน้นถึงอันตรายที่เกิดขึ้นในห่วงโซ่การติดเชื้อ ransomware – ไฟล์ PDF โดยใช้อาวุธที่เริ่มใช้ในขนาดใหญ่เพื่อใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ผู้ใช้โง่และมัลแวร์ ตามสถิติจุดตรวจสอบ 22% ของไฟล์แนบที่เป็นอันตรายได้มาถึงในรูปแบบ PDF แล้ว
มันสำคัญกว่าที่เคยสำหรับองค์กรในการรักษาวัฒนธรรมความปลอดภัยที่แข็งแกร่งตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่อย่างรวดเร็วและปรับให้เข้ากับกลยุทธ์ที่เปลี่ยนแปลง – การรักษาคู่ต่อสู้ที่จะไม่หยุดพัฒนาเสมอ
กลุ่ม NCC Matt Hull
ด้วยปัญญาประดิษฐ์กำเนิด (GENAI) ไฟล์ดังกล่าวได้กลายเป็นเรื่องหลอกลวงและมีความก้าวหน้าทางเทคโนโลยีมากขึ้น NCC กล่าว ขณะนี้นักแสดงภัยคุกคามหลายคนกำลังฝัง PDF ที่เป็นอันตรายของผู้รับแต่ละคนที่ปรับแต่งในแคมเปญฟิชชิ่งของพวกเขา
น่าเสียดายที่แนวโน้มนี้ดูเหมือนจะเป็นกระแสหลักเนื่องจากผู้ใช้ดูเหมือนจะเต็มใจที่จะไว้วางใจ PDF มากกว่าเอกสารอื่น ๆ เช่นไฟล์ Microsoft Office NCC กล่าว
ทีมรักษาความปลอดภัยควรพิจารณาปรับนโยบายและให้ความรู้แก่ผู้ใช้เกี่ยวกับอันตรายที่อาจเกิดขึ้นจากไฟล์ PDF และพิจารณาการปรับใช้เครื่องมือเช่นเกตเวย์อีเมลที่มีคุณสมบัติการวิเคราะห์แบบ sandboxing และพฤติกรรมโดยใช้การตรวจจับจุดสิ้นสุดและการตอบสนอง (EDR) เพื่อตรวจสอบผู้อ่าน PDF
“ มันยากขึ้นสำหรับบุคคลและองค์กรที่ต้องตื่นตัวตลอดไป” ฮัลล์กล่าว “ ในสภาพภูมิอากาศนี้วัฒนธรรมความปลอดภัยที่แข็งแกร่งและฝังตัวไม่ได้เป็นทางเลือกอีกต่อไปมันเป็นสิ่งสำคัญที่สำคัญของความยืดหยุ่นขององค์กรมันสำคัญกว่าที่เคยรักษาวัฒนธรรมความปลอดภัยที่แข็งแกร่งตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่และปรับให้เข้ากับกลยุทธ์การถ่ายโอน
