รายงาน State of Ransomware 2022 ของ Sophos ระบุ 66% ขององค์กรทั่วโลก ถูกโจมตีโดยแรนซัมแวร์

โซฟอส (Sophos) บริษัทผู้นำด้านความมั่นคงปลอดภัยทางไซเบอร์ยุคใหม่ระดับโลก เปิดรายงานสำรวจภัยคุกคามจากแรนซัมแวร์ที่เกิดขึ้นจริง ในรายงาน State of Ransomware 2022 ซึ่งระบุว่า 66% ขององค์กรที่สำรวจถูกโจมตีโดยแรนซัมแวร์ในปี 2564 เพิ่มขึ้น 37% จากปี 2563

โดยองค์กรต้องจ่ายค่าไถ่ เพื่อเข้าถึงรหัสข้อมูลสำคัญที่ถูกโจมตีโดยแรนซัมแวร์ เป็นจำนวนเพิ่มขึ้นเกือบ 5 เท่า หรือคิดเป็นเงินกว่า 812,360 ล้านดอลลาร์ (30 ล้านบาท) และยังเพิ่มขึ้น 3 เท่าในสัดส่วนขององค์กรที่จ่ายค่าไถ่ตั้งแต่ 1 ล้านดอลลาร์ขึ้นไป นอกจากนี้ รายงานยังพบว่า 46% ขององค์กรที่มีการโจมตีเข้ารหัสข้อมูล ได้จ่ายค่าไถ่เพื่อรับข้อมูลกลับคืน แม้ว่าจะมีวิธีการกู้คืนข้อมูลอื่น เช่น การสำรองข้อมูล (backups) ก็ตามรายงานสรุปผลกระทบของแรนซัมแวร์ที่มีต่อองค์กรขนาดกลาง 5,600 องค์กร ใน 31 ประเทศทั่วทวีปยุโรป อเมริกา เอเชียแปซิฟิกและเอเชียกลาง ตะวันออกกลาง และแอฟริกา โดยมี 965 รายที่แบ่งปันรายละเอียดเกี่ยวกับการจ่ายค่าไถ่ให้กับแรนซัมแวร์

“นอกเหนือจากการจ่ายค่าไถ่ที่ทวีความรุนแรงขึ้นแล้ว ผลสำรวจยังแสดงให้เห็นว่าสัดส่วนของผู้ที่ตกเป็นเหยื่อที่จ่ายค่าไถ่ยังเพิ่มขึ้นอย่างต่อเนื่อง ถึงแม้จะมีวิธีการอื่น ๆ ให้เลือกก็ตาม” Chester Wisniewski นักวิทยาศาสตร์และนักวิจัยด้านความปลอดภัยของ โซฟอส กล่าว “สาเหตุที่เหยื่อทำเช่นนี้อาจมีได้หลายประการ เช่น การสำรองข้อมูลที่ไม่สมบูรณ์ หรือความต้องการที่จะป้องกันไม่ให้ข้อมูลที่ถูกขโมยรั่วไหลสู่พื้นที่สาธารณะ ซึ่งผลที่ตามมาจากการโจมตีของแรนซัมแวร์คือความกดดันจากการที่องค์กรต้องรีบสำรองข้อมูลและกลับมาดำเนินการต่อให้ได้เร็วที่สุด แต่การกู้คืนข้อมูลที่เข้ารหัสโดยใช้ข้อมูลสำรองอาจเป็นประบวนการที่ยากและใช้เวลานาน ดังนั้นการแก้ปัญหาโดยการจ่ายค่าไถ่สำหรับคีย์ถอดรหัสอาจเป็นวิธีที่เร็วกว่า อย่างไรก็ตามวีธีนี้เต็มไปด้วยความเสี่ยง เพราะองค์กรไม่รู้ว่าผู้โจมตีได้ทำอะไรไปบ้าง เช่น การเพิ่มแบคดอร์ การคัดลอกรหัสผ่าน และอื่น ๆ เป็นต้น หากองค์กรไม่ล้างข้อมูลที่กู้คืนกลับมาอย่างทั่วถึง อาจทำให้ข้อมูลที่เหลืออยู่ทั้งเครือข่ายเป็นพิษและอาจถูกโจมตีซ้ำได้อีกในอนาคต”

ผลสำรวจหลักจาก รายงาน State of Ransomware 2022 ครอบคลุมเหตุการณ์เกี่ยวกับแรนซัมแวร์ที่พบทั่วโลก ภายในปี 2564 รวมถึงปัญหาการประกันภัยทางไซเบอร์ที่เกี่ยวข้องอื่น ๆ ดังต่อไปนี้:

 

• จำนวนเงินค่าไถ่เพิ่มสูงขึ้น – ในปี 2564 องค์กรกว่า 11% ระบุว่าพวกเขาจ่ายเงินค่าไถ่ เป็นมูลค่าตั้งแต่ 1 ล้านดอลลาร์ขึ้นไป ซึ่งองค์กรที่เลือกวิธีการดังกล่าวมีจำนวนเพิ่มขึ้นจาก 4% ในปี 2563 ในขณะที่องค์กรที่จ่ายค่าไถ่น้อยกว่า 10,000 ดอลลาร์ มีจำนวนลดลงเหลือ 21% จาก 34% ในปี 2563
• เหยื่อที่จ่ายค่าไถ่มีจำนวนเพิ่มขึ้น – ในปี 2564 46% ขององค์กรที่มีการโจมตีเข้ารหัสข้อมูล ได้จ่ายค่าไถ่เพื่อรับข้อมูลกลับคืน โดย 26% ขององค์กรที่สามารถกู้คืนข้อมูลที่เข้ารหัสโดยใช้ข้อมูลสำรองในปี 2564 ก็จ่ายค่าไถ่เช่นกัน
• ผลกระทบจากการโจมตีของแรนซัมแวร์อาจถึงขั้นวิกฤต – ต้นทุนเฉลี่ยในการกู้คืนขากการโจมตีล่าสุดของแรนซัมแวร์ในปี 2564 อยู่ที่ 1.4 ล้านดอลลาร์ ซึ่งใช้เวลาประมาณ 1 เดือนในการกู้คืนจากความเสียหายและการหยุดชะงักของธุรกิจ โดยองค์กรเกือบ 90% ระบุว่า การโจมจีส่งผลประทบต่อความสามารถในการดำเนินการ และเหยื่อภาคเอกชนกว่า 86% กล่าวว่าพวกเขาสูญเสีบธุรกิจและ/หรือรายได้เพราะถูกโจมตี
• องค์กรจำนวนมากพึ่งพาการประกันภัยทางไซเบอร์เพื่อช่วยเหลือจากการโจมตีของแรนซัมแวร์ – 83% ขององค์กรขนาดกลางมีประกันภัยทางไซเบอร์ที่ครอบคลุมในกรณีที่เกิดการโจมตีจากแรนซัมแวร์ โดยกว่า 98% ของการโจมตี บริษัทประกันจะจ่ายเงินบางส่วนหรือทดแทนค่าใช้จ่ายทั้งหมดที่เกิดขึ้น (ซึ่งกว่า 40% ของการทกแทนครอบคลุมค่าไถ่ที่ต้องชำระ)
• 94% ของผู้ที่มีประกันภัยทางไซเบอร์ ระบุว่าประสบการณ์ในการรับประกันภัยเปลี่ยนไปในช่วง 12 เดือนที่ผ่านมา โดยมีความต้องการมาตรการรักษาความปลอดภัยเพิ่มขึ้น นโยบายที่ซับซ้อนหรือมีราคาสูงขึ้น และองค์กรที่มีการคุ้มครองการประกันภัยลดน้อยลง

 

“ผลสำรวจชึ้ว่าเราอาจจะอยู่ในจุดสูงสุดของการโจมจีด้วยแรนซัมแวร์ที่ผู้โจมตีเรียกร้องค่าไถ่ที่มากขึ้นเรื่อย ๆ ทำให้เกิดการปะทะกับตลาดประกันภัยไซเบอร์ที่ต้องการเสริมสร้างความแข็งแกร่ง เนื่องจากบริษัทประกันพยายามลดความเสี่ยงและการต่อกรกับแรนซัมแวร์” Chester Wisniewski กล่าว “ในช่วงไม่กี่ปีมานี้ อาชญากรทางไซเบอร์ติดต่อแรนซัมแวร์ได้ง่ายขึ้นเรื่อย ๆ จากการที่ทุกอย่างกลายเป็นการให้บริการ (as-a-service) นอกจากนี้ ผู้ให้บริการประกันภัยทางไซเบอร์จำนวนมากได้เหมารวมค่าใช้จ่ายในการกู้คืนแรนซัมแวร์ ที่รวมการจ่ายค่าไถ่เข้าไปเรียบร้อยแล้ว ซึ่งอาจมีส่วนทำให้ความต้องการเรียกค่าไถ่สูงขึ้นตามไปด้วย อย่างไรก็ตาม ผลลัพธ์ที่ได้บ่งชี้ว่าการประกันภัยทางไซเบอร์มีความรุนแรงขึ้น และในอนาคตเหยื่ออาจเต็มใจจ่ายค่าไถ่น้อยลงหรือไม่สามารถจ่ายค่าไถ่ที่สูงเกินจริงได้ ซึ่งเป็นสิ่งที่น่าเสียดายที่แนวโน้มดังกล่าวไม่อาจช่วยลดความเสี่ยงของการโจมตีของแรนซัมแวร์ เพราะการโจมตีของแรนซัมแวร์นั้นไม่ได้เน้นที่ทรัพยากรเหมือนกับการโจมตีทางไซเบอร์อื่น ๆ ดังนั้น แรนซัมแวร์จะยังคงอยู่และอาชญากรทางไซเบอร์จะยังคงโจมตีเหยื่อต่อไป” Chester Wisniewski กล่าวเสริม

 

โซฟอส แนะนำแนวทางปฏิบัติที่ดีที่สุดในการช่วยองค์กรป้องกันแรนซัมแวร์และการโจมตีทางไซเบอร์ อื่น ๆ ดังนี้

 

1. ติดตั้งและบำรุงรักษาระบบป้องกันคุณภาพสูงในทุกจุดแวดล้อมขององค์กร พร้อมตรวจสอบการควบคุมความปลอดภัยอย่างสม่ำเสมอ ตามความต้องการขององค์กร

2. ตรวจสอบและป้องกันภัยคุกคามในเชิงรุก เพื่อระบุและขจัดภัยคุกคามต่าง ๆ – หรือจ้างผู้เชี่ยวชาญด้านการตรวจจับและตอบสนองต่อภัยคุกคาม หากองค์กรมีเวลาหรือทักษะภายในไม่เพียงพอ

3. เสริมความแข็งแกร่งของระบบไอทีโดยการค้นหาและปิดช่องโหว่ความปลอดภัยต่าง ๆ เช่น อุปกรณ์ที่ไม่ผ่านการอัปเดตแก้ไข เครื่องที่ไร้การป้องกัน พอร์ต RPD ที่เปิดทิ้งไว้ และอื่น ๆ ทั้งนี้ โซลูชัน Extended Detection and Response (XDR) เหมาะสมอย่างมากสำหรับจุดประสงค์นี้

4. เตรียมพร้อมสำหรับกรณีที่เลวร้ายที่สุด โดยเตรียมพร้อมต่อการเกิดเหตุคุกคามทางไซเบอร์และอัปเดตแผนอยู่เสมอ

5. สำรองข้อมูลและฝึกกู้คืนข้อมูลจากการคุมคาม เพื่อที่จะได้สำรองข้อมูลและกลับมาดำเนินการต่อให้ได้เร็วที่สุด โดยเกิดการหยุดชะงักน้อยที่สุด

 

อ่านรายงาน The State of Ransomware 2022 เกี่ยวกับผลสำรวจและข้อมูลจากทั่วโลก แยกตามภาคส่วนองค์กร ฉบับเต็ม ได้ที่นี่

 

เกี่ยวกับผลสำรวจ

ผลสำรวจ The State of Ransomware 2022 ครอบคลุมเหตุการณ์และประสบการณ์การโจมตีของแรนซัมแวร์ในช่วงปี 2564 การสำรวจดำเนินการโดย Vanson Bourne ผู้เชี่ยวชาญอิสระด้านการวิจัยตลาด ในระหว่างเดือนมกราคมและกุมภาพันธ์ 2565 โดยได้สัมภาษณ์ผู้มีอำนาจตัดสินใจด้านไอที 5,600 คน จาก 31 ประเทศ ในสหรัฐอเมริกา แคนาดา บราซิล ชิลี โคลอมเบีย เม็กซิโก ออสเตรีย ฝรั่งเศส เยอรมนี ฮังการี สหราชอาณาจักร อิตาลี เนเธอร์แลนด์ เบลเยียม สเปน สวีเดน สวิตเซอร์แลนด์ โปแลนด์ สาธารณรัฐเช็ก ตุรกี อิสราเอล สหรัฐอาหรับเอมิเรตส์ ซาอุดีอาระเบีย อินเดีย ไนจีเรีย แอฟริกาใต้ ออสเตรเลีย ญี่ปุ่น สิงคโปร์ มาเลเซีย และฟิลิปปินส์ ผู้ตอบผลสำรวจทั้งหมดมาจากองค์กรขนาดกลางที่มีพนักงานระหว่าง 100 ถึง 5,000 คน

 

หมายเหตุ: ผลสำรวจทั่วโลกฉบับนี้ คำว่า “ถูกโจมตีด้วยแรนซัมแวร์” กำหนดให้มีอุปกรณ์ตั้งแต่หนึ่งเครื่องขึ้นไปที่ได้รับผลกระทบจากการโจมตีของแรนซัมแวร์ แต่ไม่จำเป็นต้องเข้ารหัส โดนขอให้ผู้ทำผลสำรวจระบุเกี่ยวกับการโจมตีที่สำคัญที่สุดของพวกเขา เว้นแต่จะระบุไว้เป็นอย่างอื่น

 

แหล่งข้อมูลอื่น ๆ

• สามารถอ่านการสำรวจแรนซัมแวร์ของปีที่แล้ว ได้ที่ State of Ransomware 2021
• สำหรับรายละเอียดการวิจัยของ Sophos เกี่ยวกับกลุ่มแรนซัมแวร์แต่ละกลุ่ม โปรดดูที่ Sophos Ransomware Threat Intelligence Center
• ผลิตภัณฑ์ปลายทางของ Sophos เช่น Intercept X ปกป้องผู้ใช้โดยการตรวจจับการกระทำและพฤติกรรมของผู้โจมตี
• รายละเอียดเพิ่มเติมเกี่ยวกับภูมิทัศน์ภัยคุกคามทางอินเทอร์เน็ตที่กำลังเปลี่ยนแปลง โปรดดูในรายงานภัยคุกคามของโซฟอส 2022
• กลยุทธ์ เทคนิค และขั้นตอน (TTP) และอื่นๆ สำหรับภัยคุกคามประเภทต่าง ๆ มีอยู่ใน SophosLabs Uncut ซึ่งให้ข้อมูลภัยคุกคามล่าสุดจาก โซฟอส
• ข้อมูลเกี่ยวกับพฤติกรรมของผู้โจมตี รายงานเหตุการณ์ และคำแนะนำสำหรับผู้เชี่ยวชาญด้านปฏิบัติการด้านความปลอดภัย ดูได้ที่ Sophos News SecOps
• เรียนรู้เพิ่มเติมเกี่ยวกับ บริการการตอบสนองอย่างฉับพลัน ของโซฟอส ที่ประกอบด้วย การคุ้มครอง แก้ไข และตรวจสอบการโจมตีตลอด 24 ชั่วโมง
• เคล็ดลับยอดนิยม 4 ข้อในการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยจากทีม Sophos Rapid Response และทีม Managed Threat Responseอ่านข่าวและมุมมองด้านความปลอดภัยล่าสุดได้จากเว็บไซต์ข่าว Naked Security และ Sophos News ที่ได้รับรางวัลของ โซฟอส