Google เตือนแรนซัมแวร์ยุคใหม่มุ่งโจมตีระบบแบ็กอัปโดยตรง

ในรายงาน Cloud Threat Horizons ฉบับครึ่งหลังของปี 2025 ที่เผยแพร่โดย Google Cloud มีข้อมูลที่น่ากังวลอย่างยิ่งสำหรับผู้ดูแลระบบและฝ่ายไอทีขององค์กรทั่วโลก โดยรายงานฉบับนี้ได้ชี้ให้เห็นถึงแนวโน้มใหม่ของกลุ่มผู้โจมตีที่ใช้งานแรนซัมแวร์ ซึ่งกำลังเปลี่ยนเป้าหมายจากการโจมตีข้อมูลหลัก ไปสู่การโจมตีระบบสำรองข้อมูลหรือแบ็กอัปโดยตรง

ในอดีต แรนซัมแวร์มักเข้ารหัสข้อมูลหลักขององค์กรแล้วเรียกค่าไถ่เพื่อปลดล็อกข้อมูล แต่ในยุคใหม่นี้ กลุ่มภัยคุกคามขั้นสูง (APT) เช่น UNC3944, UNC2165 และ UNC4393 ได้พัฒนาเทคนิคที่ล้ำลึกขึ้น ด้วยการพุ่งเป้าไปยังระบบแบ็กอัปขององค์กร พวกเขาใช้วิธีการที่ซับซ้อนขึ้น เช่น การลบบทบาทสำรองข้อมูล เปลี่ยนแปลงสิทธิ์ผู้ใช้ และทำให้ไฟล์แบ็กอัปเสียหาย เพื่อป้องกันไม่ให้องค์กรสามารถกู้คืนระบบได้ และเพิ่มแรงกดดันให้ต้องจ่ายค่าไถ่โดยเร็วที่สุด

วิธีการเข้าถึงระบบที่กลุ่มแฮ็กเกอร์นิยมใช้ยังคงเหมือนเดิม กล่าวคือเริ่มจากการขโมยข้อมูลประจำตัวของผู้ใช้ (credential compromise) หรืออาศัยการตั้งค่าที่ผิดพลาดในระบบคลาวด์ โดยสถิติจากรายงานระบุว่ากว่า 47% ของการเจาะระบบมีต้นตอมาจากบัญชีผู้ใช้ที่ถูกเจาะ และอีกประมาณ 29% เกิดจากการกำหนดค่าผิดพลาดที่เปิดช่องให้แฮกเกอร์สามารถเข้าถึงได้อย่างง่ายดาย

อีกหนึ่งเทคนิคที่กำลังเป็นที่นิยมในกลุ่มผู้โจมตี คือการใช้ไฟล์หลอกลวง (decoy) เช่น ไฟล์ PDF ปลอมที่แนบลิงก์มัลแวร์แฝงอยู่ภายใน แล้วนำไปโฮสต์ไว้ในบริการคลาวด์ยอดนิยม เช่น Google Drive, Dropbox, GitHub หรือ SharePoint ไฟล์เหล่านี้จะถูกส่งต่อผ่านอีเมลหรือแพลตฟอร์มแชต พร้อมกับข้อความที่จูงใจให้เหยื่อดาวน์โหลดและเปิดใช้งาน เมื่อเหยื่อหลงกล ไฟล์จะทำหน้าที่รันคำสั่งที่ซ่อนอยู่ เช่น PowerShell เพื่อติดตั้งมัลแวร์ในระบบเบื้องหลังแบบไม่ให้รู้ตัว

สิ่งที่น่าสนใจอีกประการคือ กลุ่มผู้ไม่หวังดีเริ่มใช้เทคนิค social engineering และการขโมย session cookie เพื่อเลี่ยงการตรวจสอบยืนยันตัวตนแบบหลายขั้นตอน (MFA bypass) กรณีศึกษาหนึ่งที่รายงานระบุ คือกลุ่ม UNC4899 ซึ่งมีความเชื่อมโยงกับเกาหลีเหนือ ใช้ LinkedIn และ Telegram เป็นช่องทางเริ่มต้นในการติดต่อเหยื่อในอุตสาหกรรมคริปโต ก่อนขโมย session cookie และเข้าถึงระบบภายในได้สำเร็จ

เพื่อตอบสนองต่อแนวโน้มภัยคุกคามที่ซับซ้อนมากขึ้น Google Cloud ได้แนะนำให้องค์กรให้ความสำคัญกับความมั่นคงพื้นฐานเป็นอันดับแรก โดยเฉพาะการบริหารสิทธิ์ผู้ใช้งาน (IAM), การจัดการช่องโหว่, การตรวจสอบ credential ที่รั่วไหล และการตรวจสอบพฤติกรรมของไฟล์ที่น่าสงสัยในระบบ เช่น ไฟล์ PDF ที่พยายามเรียกใช้งานคำสั่ง PowerShell หรือเชื่อมต่อไปยังตำแหน่งที่ไม่ปลอดภัย

ในด้านของการจัดการแบ็กอัป Google Cloud และบริษัทด้านความมั่นคง Mandiant ได้เสนอแนวทางการแยกระบบแบ็กอัปออกจากระบบ production อย่างสิ้นเชิง ทั้งในระดับเครือข่ายและภูมิภาค รวมถึงการสร้าง “สภาพแวดล้อมการกู้คืนที่แยกตัว (Isolated Recovery Environment – IRE)” ซึ่งเปรียบเสมือนห้องนิรภัยดิจิทัลสำหรับเก็บข้อมูลสำรองในพื้นที่ที่ไม่สามารถเข้าถึงได้จากระบบหลัก โดยหากมีการโจมตีเกิดขึ้น ระบบ IRE นี้จะยังสามารถนำมาใช้เพื่อกู้คืนข้อมูลได้อย่างปลอดภัย

ท้ายที่สุด รายงานยังชี้ว่า แม้องค์กรหลายแห่งจะลงทุนกับเทคโนโลยีความปลอดภัยขั้นสูง แต่ถ้าไม่มีรากฐานของระบบความมั่นคงที่แข็งแรง เช่น การจัดการสิทธิ์ผู้ใช้ การตรวจสอบการตั้งค่า และการสำรองข้อมูลที่ปลอดภัย องค์กรก็ยังคงตกเป็นเป้าหมายของแรนซัมแวร์ได้อย่างง่ายดาย

ที่มา