แคสเปอร์สกี้ แลป สุดปลื้ม หลังผู้นำกลุ่มโจรไซเบอร์ด้านการเงิน “Carbanak” ถูกจับ

เร็วๆ นี้ หน่วยงานบังคับใช้กฎหมายได้ร่วมมือกันจนสามารถจับกุมหัวหน้ากลุ่ม Carbanak ซึ่งใช้มัลแวร์ถอนเงินออกจากตู้เอทีเอ็ม ทำให้เกิดความเสียหายหลายพันล้านมาแล้วทั่วโลก

“ความสำเร็จล่าสุดในการต่อสู้กับกลุ่มอาชญากรไซเบอร์ Carbanak นับเป็นข่าวที่ดีมากของวงการ และชี้ให้เห็นว่า การแลกเปลี่ยนข้อมูลระหว่างประเทศเป็นเรื่องสำคัญมากที่จะช่วยให้ต่อกรกับภัยไซเบอร์ได้” เซอร์เจย์ โกโลวานอฟ นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัย แคสเปอร์สกี้ แลป กล่าว

Carbanak เป็นภัยคุกคามที่โจมตีแบบ APT (Advanced Persistent Threat) ใช้ทูลเล็งเป้าโจมตีเหยื่อที่เป็นสถาบันการเงินทั่วโลกโดยเฉพาะ โดยมีจุดประสงค์เพื่อการขโมยเงิน

 

Carbanak ถูกเปิดโปงขึ้นในปี 2015 โดยแคสเปอร์สกี้ แลป ร่วมกับตำรวจสากล (INTERPOL) ตำรวจยุโรป (Europol) และหน่วยงานบังคับกฎหมายอื่นๆ ที่สืบสวนเหตุการณ์ในปี 2013 ร่วมกัน ในครั้งนั้น กลุ่มอาชญากรไซเบอร์ใช้ทูลหลายอย่าง รวมถึงโปรแกรมที่ชื่อ Carbanak ในปี 2015 หลังจากที่แคสเปอร์สกี้ แลป ประกาศเรื่องการค้นพบนี้ กลุ่มอาชญากรไซเบอร์ก็ได้ปรับเปลี่ยนทูลและใช้มัลแวร์ Cobalt-strike รวมถึงเปลี่ยนชื่อเซิร์ฟเวอร์และปรับปรุงโครงสร้างไอทีอีกด้วย

 

กลุ่มนี้ใช้เทคนิคโซเชียลเอ็นจิเนียริ่ง เช่น การส่งอีเมลฟิชชิ่งที่มีไฟล์แนบอันตรายไปยังพนักงานสถาบันการเงิน เมื่อคอมพิวเตอร์เหยื่อติดมัลแวร์แล้ว ผู้โจมตีจึงติดตั้งแบ็กดอร์ที่ออกแบบสำหรับการจารกรรม การขโมยข้อมูล และการจัดการระบบระยะไกล เพื่อสอดส่องดูธุรกรรมการเงิน

 

ในตอนที่ค้นพบกลุ่มนี้ นักวิจัยของแคสเปอร์สกี้ แลป ประเมินไว้ว่า กลุ่ม Carbanak น่าจะขโมยเงินไปแล้วมากถึง 1 พันล้านเหรียญสหรัฐ โดยกลุ่มนี้ได้โจมตีธนาคาร ระบบการจ่ายเงินออนไลน์ และสถาบันการเงินต่างๆ ไปมากกว่า 100 แห่ง ใน 30 ประเทศในทวีปยุโรป เอเชีย อเมริกาเหนือและใต้ และภูมิภาคอื่นๆ

 

ในปี 2016 แคสเปอร์สกี้ แลป พบว่า มีกลุ่มอาชญากรไซเบอร์อีก 2 กลุ่ม ที่ทำงานคล้ายกับ Carbanak นั่นคือ Metel และ GCMAN ซึ่งโจมตีสถาบันการเงินโดยใช้มัลแวร์และแผนการร้ายสุดล้ำเพื่อขโมยเงินออกมา นอกจากนี้ ยังมีกลุ่มที่ใช้เทคนิคคล้ายกัน นั่นคือ Lazarus และ Silence

แคสเปอร์สกี้ แลป เผย โจรไซเบอร์ล่อผู้ใช้ติดตั้งซอฟต์แวร์ผิดกฎหมาย เพื่อใช้เป็นแหล่งขุดเงินคริปโต

นักวิจัยของแคสเปอร์สกี้ แลป ได้เปิดเผยกลโกงโดยการแพร่กระจายไมน์นิ่งซอฟต์แวร์และติดตั้งในเครื่องพีซีของผู้ใช้ผ่านซอฟต์แวร์ผิดกฎหมายที่ใช้กันทั่วไปในการทำงานและเพื่อความบันเทิง เช่น ซอฟต์แวร์ตกแต่งภาพและข้อความ เป็นต้น เครื่องพีซีจะถูกใช้เป็นตัวสร้างเงินดิจิทัล หรือ คริปโตเคอเรนซี่ (cryptocurrency) เพื่อสร้างกำไรให้กับโจรไซเบอร์

 

ปัจจุบัน ตลาดเงินดิจิทัลได้ขยายตัวอย่างรวดเร็วทั้งจำนวนและมูลค่าการลงทุน โจรไซเบอร์ก็ได้จับตามองการเติบโตนี้อย่างใกล้ชิด ความตื่นตัวต่อเงินดิจิทัลทำให้ผู้ใช้จำนวนมากเริ่มเล่นรวมถึงผู้ใช้ที่ขาดความรู้ความชำนาญด้านไอที จึงกลายเป็นเหยื่อกลโกงได้ง่าย ยกตัวอย่างเช่น เทรนด์นักขุดเงินดิจิทัล (cryptocurrency miner) ซึ่งเป็นหนึ่งในเทรนด์สำคัญของปี 2017 จากข้อมูลในรายงาน Kaspersky Security Bulletin นักวิจัยของแคสเปอร์สกี้ แลป ได้ทำนายเทรนด์นี้ไว้เมื่อปี 2016 ตอนที่พบการกลับมาของไมน์นิ่งซอฟต์แวร์ขณะที่เงินดิจิทัล Zcash กำลังเป็นที่นิยม หนึ่งปีหลังจากนั้น ก็พบไมเนอร์หรือนักขุดเงินเกิดขึ้นจำนวนมาก โจรไซเบอร์เองก็ใช้เครื่องมือและเทคนิคต่างๆ เช่น แคมเปญโซเชียลเอ็นจิเนียริ่ง และการแพร่กระจายซอฟต์แวร์ที่แคร็กไว้เพื่อเพิ่มจำนวนเครื่องพีซีติดเชื้อให้มากที่สุด

 

เร็วๆ นี้ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ได้ค้นพบเว็บไซต์จำนวนหนึ่งที่มีความคล้ายคลึงกัน คือ เสนอช่องทางให้ผู้ใช้อินเทอร์เน็ตสามารถดาวน์โหลดซอฟต์แวร์ผิดกฎหมายมาใช้โดยไม่เสียค่าใช้จ่าย โจรไซเบอร์ได้เลือกใช้โดเมนเนมที่คล้ายกับเว็บไซต์ของจริง หลังจากที่ผู้ใช้ดาวน์โหลดซอฟต์แวร์แล้ว ก็จะได้รับ archive ที่บรรจุโปรแกรมขุดมาด้วย

ตัว archive การติดตั้งจะประกอบด้วยไฟล์ข้อความที่มีข้อมูลการติดตั้ง คือแอดเดรสของวอลเล็ต (wallet) และไมนิ่งพูล (mining pool) ไมนิ่งพูลคือเซิร์ฟเวอร์ที่รวมผู้เข้าร่วม (participant) ทั้งหลายไว้ที่เดียวกันและแบ่งงานขุดในคอมพิวเตอร์หลายเครื่อง ผู้เข้าร่วมจะได้รับส่วนแบ่งเป็นเงินดิจิทัลซึ่งจะไวกว่าการขุดผ่านคอมพิวเตอร์ของตัวเองเพียงเครื่องเดียว การขุดเงินบิตคอยน์และเงินดิจิทัลอื่นๆ เป็นกระบวนการที่ใช้เวลาและทรัพยากรมาก ดังนั้น การขุดผ่านพูลจึงเพิ่มผลผลิตและความรวดเร็วการในผลิตเงินดิจิทัล

 

หลังจากติดตั้งโปรแกรมแล้ว นักขุดเงินก็เริ่มงานผลิตเงินดิจิทัลให้โจรไซเบอร์ที่เครื่องของเหยื่ออย่างเงียบๆ จากรายงานของแคสเปอร์สกี้ แลป เคสที่พบทุกเคสใช้ซอฟต์แวร์โปรเจ็ก NiceHash ซึ่งเพิ่งถูกเจาะความปลอดภัยครั้งใหญ่เมื่อเร็วๆ นี้ เป็นการโจรกรรมเงินดิจิทัลมูลค่าหลายล้านดอลล่าร์ เหยื่อบางรายก็เกี่ยวข้องกับไมนิ่งพูลเดียวกันด้วย

 

นอกจากนี้ ผู้เชี่ยวชาญยังพบว่านักขุดบางรายมีฟีเจอร์พิเศษที่ให้ผู้ใช้เปลี่ยนเลขวอลเล็ตหรือเปลี่ยนพูลได้จากระยะไกล ซึ่งหมายความว่า โจรไซเบอร์จะสามารถตั้งจุดหมายการขุดเงินดิจิทัลใหม่ได้ตามต้องการ และสามารถบริหารจัดการรายได้ด้วยการกระจายการขุดระหว่างวอลเล็ต หรือตั้งค่าให้เครื่องคอมพิวเตอร์ของเหยื่อเป็นพูลอีกแห่งก็ยังได้

 

อเล็กซานเดอร์ โคเลสนิคอฟ นักวิเคราะห์มัลแวร์ของแคสเปอร์สกี้ แลป กล่าวว่า “ถึงจะไม่นับเป็นโปรแกรมมุ่งร้าย แต่ไมนิ่งซอฟต์แวร์ก็ลดประสิทธิภาพการทำงานของระบบคอมพิวเตอร์ ซึ่งส่งผลกระทบต่อผู้ใช้แน่นอน รวมถึงค่าไฟฟ้าที่สูงขึ้นด้วย ซึ่งถึงแม้จะไม่ใช่ประเด็นหลักของการตกเป็นเหยื่อ แต่ก็ยังเป็นเรื่องที่ไม่น่าพิสมัย ผู้ใช้บางรายอาจจะรู้สึกดีที่เห็นคนอื่นรวยขึ้น แต่เราขอแนะนำให้ผู้ใช้ต่อต้านกลโกงนี้ เพราะถึงแม้จะไม่ได้เกิดจากมัลแวร์ แต่ก็นับเป็นการโกงอยู่ดี”

 

แคสเปอร์สกี้ แลป ขอแนะนำวิธีป้องกันเครื่องคอมพิวเตอร์ไม่ให้ตกอยู่ในเครือข่ายการขุดเงินดิจิทัล ดังนี้

  • ดาวน์โหลดซอฟต์แวร์ถูกกฎหมายจากแหล่งที่เชื่อถือได้เท่านั้น
  • ติดตั้งโซลูชั่นเพื่อความปลอดภัย เช่น Kaspersky Internet Securityหรือ Kaspersky Free ที่จะช่วยปกป้องจากภัยคุกคามต่างๆ รวมถึงไมนิ่งซอฟต์แวร์ด้วย

 

ข้อมูลเพิ่มเติม

  • ข้อมูลโครงการนักขุดที่เพิ่งค้นพบ

https://securelist.com/nhash-petty-pranks-with-big-finances/83506/

  • ข้อมูลการพัฒนาเงินดิจิทัลในแง่ความปลอดภัยไซเบอร์

https://securelist.com/ksb-threat-predictions-for-cryptocurrencies-in-2018/83188/

https://www.brighttalk.com/webcast/15591/289993

แคสเปอร์สกี้ แลป เตือนภัยช่วงเทศกาล โจรไซเบอร์อาศัยช่องโหว่ DDoS และ POS ฉกเงินร้านค้า

จากรายงานของแคสเปอร์สกี้ แลป เรื่อง IT Security Economics Report พบว่า บริษัทมากกว่า 77% ได้รับความเสียหายจากการโจมตีทางไซเบอร์ในช่วง 12 เดือนที่ผ่านมา การโจมตีระบบ DDoS และ POS ที่เพิ่มสูงขึ้นทำให้ยิ่งเสียหายหนักขึ้นไปอีก โดยเฉพาะในช่วงสินค้าลดราคาสำหรับเทศกาลคริสต์มาสและปีใหม่ที่มีผู้คนออกมาเลือกซื้อสินค้าในร้านค้าปลีกมากกว่าปกติ และยอดขายร้านที่สูงขึ้น ทำให้ตกเป็นเป้าล่อตาล่อใจของโจรไซเบอร์เลยทีเดียว

 

การค้นคว้าวิจัยแสดงผลว่าในปีที่ผ่านมามีการโจมตี DDoS และช่องโหว่ของระบบขายหน้าร้าน (POS system) ที่ระบาดหนักเพิ่มสูงถึง 16% ตัวเลขนี้ชี้ให้เห็นว่าโจรไซเบอร์วางแผนรอช่วงเทศกาลนี้โดยเฉพาะ

 

ในปี 2017 นี้ มีการรายงานการรุกล้ำระบบความปลอดภัยไซเบอร์ระดับสูงในระบบการจ่ายเงินของแบรนด์ใหญ่ๆ มากมาย ได้แก่ Chipotle, Hyatt Hotels และ Forever 21 และจากรายงานล่าสุดของแคสเปอร์สกี้ แลป เรื่อง DDoS Intelligence Report ก็พบการโจมตี Botnet DDoS ที่เพิ่มจำนวนมากขึ้นและแพร่ระบาดในช่วงไตรมาสที่ 3 ของปีนี้ ซึ่งมีเป้าหมายการโจมตีประเทศต่างๆ ทั่วโลกจำนวนมากถึง 98 ประเทศ (เปรียบเทียบกับไตรมาสที่ 2 มี 82 ประเทศ)

 

รูปการณ์นี้มีความเกี่ยวโยงกับร้านค้าปลีกและบริษัทอีคอมเมิร์ซอย่างมากในช่วงเทศกาลลดราคาสินค้าคริสต์มาสและปีใหม่ โดยร้านค้าจะมียอดขายเพิ่มสูงขึ้นเพราะนักช้อปออกมาเลือกซื้อของมากนั่นเอง สิ่งที่โจรไซเบอร์ทำได้จากการโจมตี DDos อาจเป็นการเรียกค่าไถ่ การใช้ระบบขายหน้าร้านเพื่อเลือกเหยื่อโจมตี รวมถึงการขโมยเงินและข้อมูลส่วนตัวของลูกค้าด้วย

 

อาเลซซิโอ เอซติ หัวหน้าฝ่ายธุรกิจเอ็นเตอร์ไพรซ์ แคสเปอร์สกี้ แลป กล่าวว่า “แคสเปอร์สกี้ แลป พบจำนวนการโจมตีลักษณะนี้เพิ่มขึ้นสูงมาก เราขอแนะนำให้ธุรกิจและร้านค้าปลีกตื่นตัวอยู่เสมอในช่วงเทศกาล เพราะมีความเสี่ยงสูงมากที่โจรไซเบอร์จะขโมยเงินผ่านการเอ็กพลอต์ในระบบจ่ายเงินหรือจากการโจมตีโดยใช้ DDoS นอกจากนี้อาจเรียกค่าไถ่หรือขัดขวางการซื้อขาย ทำให้บริษัทสูญเสียรายได้และเสียลูกค้าได้ นอกจากเหตุผลเพื่อป้องกันภัยที่กำลังระบาดนี้ การปรับปรุงระบบความปลอดภัยไซเบอร์ก็เป็นเรื่องสำคัญที่บริษัทต้องลงทุนอย่างสม่ำเสมอ”

 

ร้านค้าปลีกและบริษัทอีคอมเมิร์ซสามารถป้องกันตัวเองได้โดยใช้โซลูชั่นที่ออกแบบมาโดยเฉพาะ เพื่อหลีกเลี่ยงการสูญเสียรายได้ในช่วงเทศกาล แคสเปอร์สกี้ แลป ขอแนะนำร้านค้าปลีกเพิ่มเติมดังนี้

  • อัพเดทแพลตฟอร์มอีคอมเมิร์ซอย่างสม่ำเสมอ เพราะในการอัพเดทแต่ละครั้งอาจมีแพทช์ที่สำคัญเพื่ออุดช่องโหว่ของระบบให้ปลอดภัยจากโจรไซเบอร์
  • เครื่อง POS ควรใช้งานซอฟต์แวร์เวอร์ชั่นล่าสุด และไม่ใช้พาสเวิร์ดที่ตั้งค่ามาตั้งแต่เริ่มต้น
  • ใช้โซลูชั่นเพื่อความปลอดภัยที่ออกแบบมาโดยเฉพาะ อย่างเช่น Kaspersky Embedded Systems Security เพื่อปกป้องเครื่อง POS จากมัลแวร์
  • เตรียมรับมือต่อการโจมตี DDoS โดยเลือกเซอร์วิสโพรไวเดอร์ที่น่าเชื่อถือ มีความเชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ การป้องกันทางไซเบอร์ไม่สามารถใช้แค่ทรัพยากรภายในองค์กรหรือบริการของอินเทอร์เน็ตโพรไวเดอร์ได้ทุกครั้ง
  • ให้ข้อมูลความรู้แก่ลูกค้าเรื่องภัยคุกคามไซเบอร์ที่อาจพบได้เมื่อช้อปปิ้งหน้าร้านและออนไลน์ รวมถึงแนะนำขั้นตอนการลดความเสี่ยงต่างๆ

 

ท่านสามารถอ่านข้อมูลเพิ่มเติมได้ที่

  • รายงานของแคสเปอร์สกี้ แลป เรื่อง IT Security Economics Report

https://calculator.kaspersky.com/en/?utm_medium=pr_press

  • ข้อมูล Kaspersky DDoS Protection สำหรับธุรกิจ SMBs และเอ็นเทอร์ไพรซ์

https://retail.kaspersky.com/?utm_medium=pr_press