แคสเปอร์สกี้เผยยอดการโจมตีเดสก์ท็อประยะไกลในอาเซียนลดลงหลังโควิด

i & Tech

แคสเปอร์สกี้เผยหลังโควิดยอดการโจมตีเดสก์ท็อประยะไกลในอาเซียนลดลง – แต่ RDP ยังเป็นช่องทางยอดนิยมของกลุ่มแรนซัมแวร์

แคสเปอร์สกี้ (Kaspersky) บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก เผยข้อมูลการลดลงของการ bruteforce โจมตีพนักงานที่ทำงานระยะไกลในภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งแม้จะเป็นเรื่องดีแต่ที่ไม่ถือเป็นสัญญาณที่น่าวางใจ

Remote Desktop Protocol (RDP) เป็นโปรโตคอลที่เป็นกรรมสิทธิ์ของ Microsoft ซึ่งมีอินเทอร์เฟซแบบกราฟิกให้ผู้ใช้เชื่อมต่อกับคอมพิวเตอร์เครื่องอื่นผ่านเครือข่าย RDP ถูกใช้อย่างแพร่หลายโดยทั้งผู้ดูแลระบบและผู้ใช้ที่มีความรู้ด้านเทคนิคน้อยเพื่อควบคุมเซิร์ฟเวอร์และพีซีอื่นๆ จากระยะไกล

การโจมตี Bruteforce.Generic.RDP ใช้วิธีพยายามค้นหาคู่การล็อกอิน / พาสเวิร์ด ในการเข้าสู่ระบบ RDP ที่ถูกต้องโดยการตรวจสอบพาสเวิร์ดที่เป็นไปได้ทั้งหมดอย่างเป็นระบบ จนกว่าจะพบพาสเวิร์ดที่ถูกต้อง การโจมตีที่ประสบความสำเร็จจะทำให้ผู้โจมตีสามารถเข้าถึงคอมพิวเตอร์โฮสต์ที่เป็นเป้าหมายจากระยะไกลได้

เมื่อปี 2022 ข้อมูลของแคสเปอร์สกี้แสดงให้เห็นว่าโซลูชัน B2B ของแคสเปอร์สกี้ได้บล็อก Bruteforce.Generic.RDP ทั้งหมด 75,855,129 รายการ ที่พยายามโจมตีบริษัทในเอเชียตะวันออกเฉียงใต้

การโจมตี Bruteforce จำนวนรวมของปี 2022 ลดลง 49% จาก 149,003,835 รายการในปีก่อนหน้า ซึ่งพบการลดลงของจำนวนการโจมตีทั่วทั้งหกประเทศในเอเชียตะวันออกเฉียงใต้ โดยบริษัทในเวียดนาม อินโดนีเซีย และไทยตกเป็นเป้าหมายมากที่สุด

นายเซียง เทียง โยว ผู้จัดการทั่วไปประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “จากการโจมตีบริษัทต่างๆ ในปี 2021 ด้วย Bruteforce เกือบ 150 ล้านรายการ แต่ในปีที่แล้วมีจำนวนเหลือเพียงครึ่งหนึ่งเท่านั้น เมื่อมองแวบแรกนับเป็นสัญญาณที่ดี ส่วนหนึ่งได้รับอิทธิพลจากการเปลี่ยนกลับไปทำงานในสภาพแวดล้อมแบบเผชิญหน้ากันและการทำงานทางไกลแบบไฮบริด ซึ่งหมายความว่ามีพนักงานในภูมิภาคนี้ทำงานจากระยะไกลน้อยลง เมื่อเทียบกับช่วงที่มีการระบาดสูงสุด”

“อย่างไรก็ตาม ยังเร็วเกินไปที่จะบอกว่าองค์กรธุรกิจนั้นปลอดภัยจากการโจมตีด้วย Bruteforce ทั้งหมด เมื่อพิจารณาภาพรวมของภัยคุกคามที่ขยายกว้างขึ้น ผู้เชี่ยวชาญของเราเห็นว่ากลุ่มแรนซัมแวร์สมัยใหม่ใช้ประโยชน์จาก RDP เพื่อเข้าถึงองค์กรที่เป็นเป้าหมายในเบื้องต้น นี่เป็นสัญญาณระดับธงแดงที่ทีมรักษาความปลอดภัยควรให้ความสำคัญ” นายโยวกล่าวเสริม

รายงานล่าสุดของแคสเปอร์สกี้เผยเทคนิคยอดนิยมที่กลุ่มแรนซัมแวร์ใช้เข้าถึงเบื้องต้น พบว่าการใช้ประโยชน์จากบริการระยะไกลภายนอกเกิดขึ้นบ่อยที่สุด

ในความเป็นจริง กลุ่มแรนซัมแวร์ทั้งแปดกลุ่มที่กล่าวถึงในรายงานซึ่งส่วนใหญ่ทำงานเป็น RaaS (Ransomware as a Service) ได้แก่ Conti, PysaClop (TA505), Hive, Ragnar Locker, Lockbit, BlackByte และ BlackCat ใช้แอ็คเค้าท์ที่ถูกต้อง ข้อมูลประจำตัวที่ถูกขโมยหรือใช้การ bruteforcing เพื่อเข้าสู่เครือข่ายของเหยื่อ

รายงานยังระบุด้วยว่ากลุ่มแรนซัมแวร์ทั้งหมดใช้ RDP แบบเปิดเพื่อเข้าถึงระบบเบื้องต้น เนื่องจากเป็นเว็กเตอร์ที่ง่ายที่สุดสำหรับการเข้าถึงในครั้งแรก

แนวทางปฏิบัติที่ดีที่สุดในการป้องกันการโจมตีที่เกี่ยวข้องกับ RDP คือการ ‘ซ่อน’ ไว้หลัง VPN และกำหนดค่าอย่างเหมาะสม สิ่งสำคัญคือต้องใช้พาสเวิร์ดที่รัดกุม

เพื่อลดความเสี่ยงและผลกระทบของการโจมตีแรนซัมแวร์ที่เกิดจาก RDP Bruteforce ผู้เชี่ยวชาญของแคสเปอร์สกี้แนะนำให้ปรับใช้แนวคิดการป้องกันที่ครอบคลุมซึ่งจัดเตรียม ให้ข้อมูล และแนะนำทีมผู้ดูแลในการต่อสู้กับการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายและซับซ้อนมากที่สุด อย่างเช่น แพลตฟอร์ม Kaspersky Extended Detection and Response (XDR)

องค์กรต่างๆ ที่สนใจ สามารถอ่านข้อมูลเพิ่มเติมเกี่ยวกับแพลตฟอร์มนี้ได้ที่ go.kaspersky.com/expert