Cisco Talos ได้เผยแพร่รายงานความปลอดภัยทางไซเบอร์สำหรับไตรมาสแรกของปี 2023 ซึ่งรวบรวมการโจมตี เป้าหมาย และแนวโน้มที่พบบ่อยที่สุด สคริปต์อันตราย “web shell” ที่ช่วยให้ผู้คุกคามสามารถประนีประนอมเซิร์ฟเวอร์บนเว็บที่เปิดสู่อินเทอร์เน็ต คิดเป็นประมาณ 22 เปอร์เซ็นต์ของการโจมตีทางไซเบอร์
ตามรายงานของ Cisco Talos สคริปต์ที่เป็นอันตรายที่เรียกว่า “เว็บเชลล์” คิดเป็น 2023 เปอร์เซ็นต์ของการโจมตีทางไซเบอร์ในไตรมาสแรกของปี 22 ใน 30 เปอร์เซ็นต์ของการโต้ตอบ การรับรองความถูกต้องด้วยหลายปัจจัย (MFA) ไม่ได้เปิดใช้งานเลยหรือเปิดใช้งานเฉพาะในบริการที่จำกัดเท่านั้น ภาคเป้าหมายสูงสุดในช่วง 4 เดือนแรกคือภาคสุขภาพ ตามมาด้วยธุรกิจค้าปลีก การค้า และอสังหาริมทรัพย์
Fady Younes ผู้อำนวยการ Cisco ผู้ให้บริการ EMEA และความปลอดภัยทางไซเบอร์ของ MEA แสดงความคิดเห็นเกี่ยวกับผลลัพธ์ว่า:
“อาชญากรไซเบอร์ได้รับประสบการณ์มากขึ้นโดยใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยเพื่อขยายขอบเขตการเข้าถึงเครือข่ายขององค์กร เพื่อป้องกันภัยคุกคามที่หลากหลายและอยู่ในฐานะที่จะตอบสนองต่อความเสี่ยงที่เคลื่อนไหว ผู้ปกป้องทางไซเบอร์ต้องปรับขนาดกลยุทธ์การป้องกันของตน ซึ่งหมายถึงการใช้ประโยชน์จากเทคโนโลยีขั้นสูง เช่น ระบบอัตโนมัติ การเรียนรู้ของเครื่อง และระบบอัจฉริยะเชิงคาดการณ์ เพื่อวิเคราะห์ข้อมูลจำนวนมากแบบเรียลไทม์ และระบุภัยคุกคามที่อาจเกิดขึ้นก่อนที่จะสร้างความเสียหายใดๆ”
Fady Younes ยังให้ข้อมูลต่อไปนี้เกี่ยวกับมาตรการที่สามารถดำเนินการได้:
“ในขณะที่ภัยคุกคามทางไซเบอร์เพิ่มมากขึ้น องค์กรต่างๆ ต้องใช้มาตรการเชิงรุกเพื่อป้องกันตนเองจากการละเมิดที่อาจเกิดขึ้น หนึ่งในอุปสรรคสำคัญต่อการรักษาความปลอดภัยขององค์กรคือการขาดการนำสถาปัตยกรรม Zero Trust ไปใช้งานในหลายองค์กร เพื่อป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ธุรกิจต่างๆ ควรใช้ MFA บางรูปแบบ เช่น Cisco Duo โซลูชันการตรวจจับและตอบสนองปลายทางเช่น Cisco Secure Endpoint ยังจำเป็นในการตรวจจับกิจกรรมที่เป็นอันตรายบนเครือข่ายและอุปกรณ์อีกด้วย”
ภัยคุกคามทางไซเบอร์ที่สำคัญ 2023 รายการที่ตรวจพบในไตรมาสแรกของปี 4
Web shell: ในไตรมาสนี้ การใช้ web shell คิดเป็นประมาณหนึ่งในสี่ของภัยคุกคามที่ตอบสนองในไตรมาสแรกของปี 2023 แม้ว่าเว็บเชลล์แต่ละรายการจะมีหน้าที่หลักของตัวเอง แต่ผู้คุกคามมักจะเชื่อมโยงพวกมันเข้าด้วยกันเพื่อจัดหาชุดเครื่องมือที่ยืดหยุ่นสำหรับการแพร่กระจายการเข้าถึงทั่วทั้งเครือข่าย
แรนซัมแวร์: แรนซัมแวร์คิดเป็นสัดส่วนน้อยกว่า 10 เปอร์เซ็นต์ของการโต้ตอบ ซึ่งลดลงอย่างมากเมื่อเทียบกับการโต้ตอบของแรนซัมแวร์ (20 เปอร์เซ็นต์) ในไตรมาสก่อนหน้า ผลรวมของการโจมตีด้วยแรนซัมแวร์และพรีแรนซัมแวร์คิดเป็นประมาณ 22 เปอร์เซ็นต์ของภัยคุกคามที่สังเกตได้
สินค้าโภคภัณฑ์ Qakbot: ผู้อัปโหลดสินค้าโภคภัณฑ์ Qakbot ถูกตรวจพบในไตรมาสนี้ระหว่างการโต้ตอบโดยใช้ไฟล์ ZIP กับเอกสาร OneNote ที่เป็นอันตราย ผู้โจมตีใช้ OneNote เพื่อแพร่กระจายมัลแวร์มากขึ้น หลังจากที่ Microsoft ปิดใช้งานมาโครในเอกสาร Office ตามค่าเริ่มต้นในเดือนกรกฎาคม 2022
การใช้แอปสาธารณะในทางที่ผิด: การใช้แอปสาธารณะในทางที่ผิดเป็นเวกเตอร์การเข้าถึงเริ่มต้นที่สำคัญที่สุดในไตรมาสนี้ ซึ่งมีส่วนทำให้เกิดการโต้ตอบถึง 45 เปอร์เซ็นต์ ในไตรมาสที่แล้ว อัตรานี้อยู่ที่ 15 เปอร์เซ็นต์
ภาคเป้าหมายสูงสุด: การดูแลสุขภาพ การพาณิชย์ และอสังหาริมทรัพย์
รายงานแสดงให้เห็นว่า 30 เปอร์เซ็นต์ของการโต้ตอบขาดการยืนยันตัวตนแบบหลายปัจจัย หรือเปิดใช้เฉพาะในบัญชีและบริการบางอย่างเท่านั้น
ความพยายามของกองกำลังรักษาความปลอดภัยได้ทำลายกิจกรรมของแก๊งแรนซัมแวร์รายใหญ่ เช่น แรนซัมแวร์ Hive แต่สิ่งนี้ยังสร้างพื้นที่สำหรับความร่วมมือใหม่ที่จะก่อตัวขึ้น
การดูแลสุขภาพเป็นภาคเป้าหมายมากที่สุดในไตรมาสนี้ ภาคการค้าปลีก อสังหาริมทรัพย์ บริการอาหาร และที่พักตามมาติดๆ