ทำความรู้จักกับ Threat Actor ผู้ร้ายในโลกดิจิทัล

13 พฤศจิกายน 2024

IT Security

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ภัยคุกคามโลกดิจิทัลในปัจจุบันมีรูปแบบการโจมตีที่หลากหลายแต่เป้าหมายล้วนเพื่อสร้างความเสียหายแก่องค์กร หรืออาจสร้างความเสียหายร้ายแรงถึงระดับประเทศ  ซึ่งการที่จะเกิดภัยไซเบอร์ได้ ต้องอาศัยผู้ก่ออาชญากรรม ที่เรียกว่า Threat Actor (หรือเรียกอีกชื่อหนึ่งว่า แฮกเกอร์) โดยการนำวิธีการและมัลแวร์ต่าง ๆ  เข้ามาโจมตีเหยื่อ ในบทความนี้ NT cyfence จึงขอพาทุกคนมาทำความรู้จักกับ ‘Threat Actor’ ให้มากขึ้น ว่าคืออะไร มีรูปแบบการโจมตีอย่างไร  และ เราจะสามารถป้องกันได้อย่างไรบ้าง

Threat Actor คือใคร

“Threat Actor” หรือ “ผู้คุกคามทางไซเบอร์” ซึ่งหมายถึงบุคคลหรือกลุ่มที่มีจุดมุ่งหมายในการโจมตีระบบคอมพิวเตอร์ เครือข่าย หรือข้อมูลขององค์กรเพื่อประโยชน์ตนเอง โดยมีเป้าหมายหลักในการแทรกแซงความเป็นส่วนตัว การโจรกรรมข้อมูลสำคัญขององค์กร นอกจากนี้อาจสร้างความเสียหายด้านชื่อเสียง ไปจนถึงการใช้ Ransomware ล็อคข้อมูลสำคัญ ซึ่งทำให้เกิดการหยุดชะงักในการดำเนินธุรกิจได้

ประเภทของ Threat Actor

โดยปกติ Threat Actor จะมุ่งเป้าไปยังองค์กรขนาดใหญ่ที่มีข้อมูลสำคัญจำนวนมหาศาล  แต่ในปี 2022 มีข้อมูลจาก CNBC.com ระบุว่า ธุรกิจขนาดเล็กและขนาดกลาง (SMBs) มีแนวโน้มถูกโจมตีเพิ่มขึ้นเนื่องจากระบบความปลอดภัยที่อ่อนแอกว่า โดยองค์กรขนาดเล็กในสหรัฐฯ สูญเสียเงินไปกับการถูกโจมตีทางไซเบอร์ถึง 6.9 พันล้านดอลลาร์ นอกจากนี้ บุคคลทั่วไปก็ยังตกเป็นเป้าหมายด้วยเช่นกัน โดยอาชญากรไซเบอร์จะขโมยข้อมูลส่วนตัวและรหัสผ่าน ทำให้ภาพรวมของภัยคุกคามนี้มีความซับซ้อนมากขึ้น 

Threat Actor เป็นบุคคล หรือกลุ่มคน

Threat Actor อาจหมายถึงบุคคลหรือกลุ่มคนที่มีส่วนเกี่ยวข้องในกิจกรรมที่เป็นภัยคุกคามต่อระบบคอมพิวเตอร์หรือข้อมูล สามารถเป็นได้ทั้งบุคคลคนเดียวหรือเป็นกลุ่มที่มีการจัดการได้ดี ซึ่งอาจประกอบด้วย:

  1. บุคคลเดียว (Individual): เช่น แฮกเกอร์ (Hacker) ที่ทำการโจมตีเพื่อตนเอง หรือเป้าหมายอื่น ๆ
  2. กลุ่ม (Group): เช่น กลุ่มอาชญากรรมทางไซเบอร์ (Cybercriminal Group) ที่มีการจัดตั้งเพื่อโจมตีระบบต่าง ๆ อย่างเป็นระบบ ตามเป้าหมาย
  3. องค์กรหรือรัฐ (Organization or State): เช่น หน่วยงานที่มีการสนับสนุนจากรัฐบาลเพื่อทำกิจกรรมด้านภัยคุกคามทางไซเบอร์

ตัวอย่างของกลุ่ม Threat Actor

  • RansomHub: กลุ่มนี้เป็น Ransomware-as-a-Service (RaaS) ที่ปรากฏในต้นปี 2024 โดยเน้นการเรียกค่าไถ่และเป้าหมายเน้นกลุ่มเป้าหมายที่มีชื่อเสียง
  • Qilin Ransomware: กลุ่มนี้เริ่มดำเนินการก่อนปี 2024 และได้รับความสนใจจากการโจมตี Synnovis ในสหราชอาณาจักร
  • Dark Angels (Dunghill Leak): กลุ่มนี้เป็นที่รู้จักจากการเปิดเผยข้อมูลขององค์กรใหญ่และรัฐบาล โดยมีการเรียกค่าไถ่ที่สูงถึง 75 ล้านดอลลาร์สหรัฐ
  • APT29 (The Dukes): กลุ่มนี้มักจะมาจากประเทศรัสเซีย และมีการโจมตีทางอิเล็กทรอนิกส์ที่เน้นการเข้าระบบและการเก็บข้อมูลทางการเงิน
  • TA542 (Emotet): กลุ่มนี้เป็น cybercriminal ที่มีการโจมตีทางอินเทอร์เน็ตที่เน้นการแพร่กระจายไวรัสและการเก็บข้อมูลทางการเงิน
  • LockBit: เป็นกลุ่ม ransomware ที่มีชื่อเสียงมาก และเป็นที่รู้จักในฐานะ Ransomware-as-a-Service (RaaS) ที่มีการใช้งานอย่างกว้างขวาง

ประเภทของ Threat Actor  6  กลุ่มหลัก

  1. ผู้โจมตีที่มีจุดประสงค์ทางการเมือง (Hacktivists) : กลุ่มนี้มักจะมีเป้าหมายที่เกี่ยวข้องกับการแสดงออกทางการเมืองหรือสังคม โดยจะโจมตีเพื่อเผยแพร่ประเด็นทางการเมืองหรือสังคม
  2. อาชญากรไซเบอร์ (Cybercriminals) : กลุ่มที่โจมตีเพื่อผลประโยชน์ทางการเงิน เช่น การโจมตี ransomware และ phishing เพื่อขโมยข้อมูล กลุ่มนี้มุ่งหวังผลประโยชน์ทางการเงินจากการโจมตีโดยเฉพาะ 
  3. รัฐบาลที่สนับสนุนสงครามไซเบอร์ (Nation-state actors) : รัฐบาลมักสนับสนุนผู้กระทำการที่เป็นภัยโดยมีเป้าหมายในการขโมยข้อมูลที่เป็นความลับ รวบรวมข้อมูลที่สำคัญ หรือทำให้โครงสร้างพื้นฐานที่สำคัญของรัฐบาลอื่นหยุดชะงัก กิจกรรมที่เป็นอันตรายเหล่านี้รวมถึงการสอดแนม (espionage) หรือสงครามไซเบอร์ (cyberwarfare) และมีการสนับสนุนทางการเงินสูง ทำให้ภัยคุกคามเหล่านี้มีความซับซ้อนและยากที่จะตรวจจับ
  4. ผู้ที่โจมตีเพื่อความสนุก (Thrill seekers) : กลุ่มคนที่โจมตีระบบคอมพิวเตอร์และข้อมูลเพื่อความสนุกสนาน อยากใช้การแฮกเพื่อเข้าใจวิธีการทำงานของเครือข่ายและระบบคอมพิวเตอร์มากขึ้น หนึ่งในกลุ่มนี้คือ “script kiddies” ซึ่งจะไม่มีทักษะทางเทคนิคสูง แต่ใช้เครื่องมือและเทคนิคที่มีอยู่แล้วเพื่อโจมตีระบบที่อ่อนแอ โดย ทำเพื่อความบันเทิงหรือความพอใจส่วนตัว แต่อาจทำให้เกิดความเสียหายโดยไม่ตั้งใจ เช่น การรบกวนความเสถียรของเครือข่าย จึงอาจเป็นช่องทางให้มีการโจมตีใหม่ในอนาคต
  5. กลุ่มที่มีเป้าหมายทำให้เกิดความรุนแรงทางไซเบอร์เพื่อเหตุผลทางการเมือง (Cyberterrorists) : กลุ่มคนที่โจมตีทางไซเบอร์โดยมีแรงจูงใจหรืออุดมการณ์ทางการเมือง  โดยมีเป้าหมายคือการสร้างความกลัวหรือก่อให้เกิดความรุนแรง บางคนในกลุ่มนี้อาจได้รับการสนับสนุนจากรัฐ 
  6. คนที่ก่อความเสียหายทั้งโดยเจตนาหรือจากความผิดพลาด (Insider threats) : คนที่ก่อความเสียหายจากความผิดพลาด (Human Error) เช่น การติดตั้งมัลแวร์โดยไม่รู้ตัว ซึ่งอาชญากรทางไซเบอร์สามารถนำไปใช้ช่องโหว่ตรงนี้ไปใช้เข้าถึงเครือข่ายได้ อย่างไรก็ตาม ยังรวมไปถึงกลุ่มคนที่มีเจตนาร้าย เช่น พนักงานที่ไม่พอใจและใช้สิทธิ์การเข้าถึงข้อมูลเพื่อขโมยข้อมูลนำไปใช้เพื่อผลประโยชน์ส่วนตัว เช่น ผลประโยชน์ทางการเงิน หรือทำลายข้อมูลภายในระบบ 

วิธีการที่ Threat Actor ใช้ในการโจมตี

Threat Actor ใช้เทคนิคที่หลากหลายในการโจมตี ดังนี้ :

  1. Phishing : การส่งอีเมลหลอกลวงเพื่อขโมยข้อมูลสำคัญ หรือเป็นการโจมตีที่ใช้ช่องทางต่าง ๆ เช่น ข้อความ SMS เสียง หรือเว็บไซต์ปลอม เพื่อลวงให้ผู้ใช้เปิดเผยข้อมูลสำคัญ ดาวน์โหลด Malware หรือเปิดโอกาสให้ตนเองถูกโจมตีทางไซเบอร์ โดย Phishing แบ่งเป็นประเภทต่าง ๆ ได้อีก ดังนี้้: 
    • Spear Phishing : การโจมตีที่เน้นเป้าหมายเฉพาะบุคคลหรือกลุ่มบุคคล โดยส่งข้อความที่ดูเหมือนมาจากผู้ส่งที่น่าเชื่อถือและเกี่ยวข้องกับผู้รับ
    • Business Email Compromise (BEC) : การโจมตีแบบ Spear Phishing ที่ส่งอีเมลปลอมจากบัญชีที่ถูกปลอมแปลงหรือถูกยึดมาจากคนที่รู้จัก
    • Whale Phishing : การโจมตีแบบ Spear Phishing ที่มุ่งเน้นไปที่ผู้บริหารระดับสูงหรือเจ้าหน้าที่องค์กร
  2. Malware : การใช้ซอฟต์แวร์ที่เป็นอันตรายเพื่อเข้าถึงระบบ รวมถึงซอฟต์แวร์อันตรายที่ถูกสร้างขึ้นเพื่อทำลายหรือปิดการทำงานของระบบคอมพิวเตอร์ โดย Malware มักแพร่กระจายผ่านไฟล์แนบในอีเมล เว็บไซต์ที่ติดไวรัส หรือซอฟต์แวร์ที่ถูกแฮกเพื่อใช้ในการโจมตี ซึ่งจะช่วยให้ Threat Actor สามารถขโมยข้อมูล ควบคุมระบบ หรือโจมตีอุปกรณ์อื่น ๆ โดย Malware มีหลายประเภท เช่น ไวรัส (Virus), หนอนคอมพิวเตอร์ (Worms), และโทรจัน (Trojan horse) ซึ่งมักจะปลอมตัวเป็นโปรแกรมที่ดูเหมือนถูกต้องและปลอดภัยเพื่อลวงผู้ใช้ให้ดาวน์โหลด
  3. Ransomware : การเข้ารหัสข้อมูลและเรียกร้องค่าไถ่เพื่อปลดล็อกข้อมูล ปัจจุบันการโจมตีด้วย Ransomware มักใช้กลยุทธ์  “การเรียกค่าไถ่สองทาง” (double-extortion)  ที่นอกจากขู่ว่าจะล็อกข้อมูลแล้ว ยังจะขโมยข้อมูลและขายหรือเผยแพร่ทางออนไลน์ หากเหยื่อไม่จ่ายค่าไถ่ โดยรายงานจาก IBM X-Force® Threat Intelligence Index ยังระบุอีกว่าการโจมตีแบบ Ransomware คิดเป็น 20% ของการโจมตีด้วย Malware ทั้งหมดและ Ransomware มักจะถูกนำมาโจมตีองค์กรขนาดใหญ่ เช่น หน่วยงานรัฐบาล ธุรกิจขนาดใหญ่ และโครงสร้างพื้นฐานสำคัญ ซึ่งมีความเสี่ยงสูงและมีแนวโน้มที่จะจ่ายค่าไถ่เพื่อป้องกันการหยุดชะงักของระบบ
  4. DDoS (Distributed Denial of Service) : การโจมตีที่ทำให้บริการออนไลน์หยุดทำงานโดยการส่งคำขอหรือทราฟฟิก (Traffic) เข้าสู่เครือข่ายหรือเซิร์ฟเวอร์จำนวนมหาศาลจนทำให้ระบบไม่สามารถรองรับและให้บริการแก่ผู้ใช้ตามปกติได้ ส่งผลให้บริการหยุดทำงานหรือไม่สามารถเข้าถึงได้ การโจมตีในรูปแบบนี้มีวัตถุประสงค์เพื่อรบกวนให้บริการของเป้าหมายหยุดการทำงา การโจมตีแบบ DDoS ทำให้เป้าหมายถูกโจมตีจากหลายแหล่งพร้อมกัน จึงยากต่อการตรวจจับและป้องกัน

การป้องกันการโจมตีจากบรรดาเหล่า Threat Actor

หลักการป้องกันการโจมตีจากบรรดาเหล่า Threat Actor เป็นสิ่งสำคัญที่องค์กรต่าง ๆ ควรให้ความสนใจ โดยการใช้เทคโนโลยีและแนวทางที่เหมาะสม เช่น :

    • การฝึกอบรมพนักงาน : เพื่อให้รู้จักการตรวจจับและหลีกเลี่ยงการโจมตี เพราะพนักงานถือเป็นด่านแรกในการป้องกันภัยคุกคาม จึงควรได้รับการฝึกอบรมอย่างสม่ำเสมอเพื่อให้สามารถตรวจจับและหลีกเลี่ยงการโจมตีเบื้องต้น เช่น การสอนวิธีสังเกตอีเมล Phishing และการปฏิบัติที่ปลอดภัยในการใช้งานอินเทอร์เน็ต
    • การใช้ระบบป้องกันและตรวจจับภัยคุกคาม : องค์กรควรติดตั้งระบบ Firewall และระบบตรวจจับการโจมตีแบบ IDS/IPS (Intrusion Detection and Prevention Systems) ซึ่งช่วยกรองข้อมูลที่เข้าสู่ระบบ ตรวจจับพฤติกรรมที่ผิดปกติ และป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
    • การสำรองข้อมูล (Backup) : การสำรองข้อมูลเป็นสิ่งสำคัญเพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลได้ในกรณีที่ถูกโจมตี โดยควรสำรองข้อมูลอย่างสม่ำเสมอและเก็บข้อมูลสำรองในที่ที่ปลอดภัย เช่น ในระบบคลาวด์หรือฮาร์ดดิสก์ที่แยกออกจากเครือข่ายหลัก
    • การอัปเดตซอฟต์แวร์และระบบปฏิบัติการ : การอัปเดตซอฟต์แวร์และระบบปฏิบัติการช่วยปิดช่องโหว่ที่อาจถูก Threat Actor ใช้เจาะระบบได้ โดยองค์กรควรมีนโยบายการอัปเดตซอฟต์แวร์ทุกครั้งที่มีเวอร์ชันใหม่เพื่อให้มั่นใจว่าระบบมีความปลอดภัยที่สุด
    • การตรวจสอบและทดสอบระบบรักษาความปลอดภัยอย่างสม่ำเสมอ : การตรวจสอบและทดสอบระบบ (เช่น การทดสอบการเจาะระบบหรือ Penetration Testing) ช่วยค้นหาช่องโหว่ที่อาจจะเกิดขึ้น และเป็นการยืนยันว่ามาตรการที่ใช้อยู่มีประสิทธิภาพในการป้องกันภัยคุกคาม

เพราะ Threat Actor เป็นกลุ่มที่ใช้ภัยคุกคามที่มีความซับซ้อนและมีหลากหลาย การป้องกันจึงเป็นสิ่งสำคัญที่องค์กรต้องให้ความสำคัญ นั่นคือควรมีนโยบายในการให้ความรู้แก่พนักงานเพื่อลดความเสี่ยงจากการโจมตี หรือปรึกษากับผู้เชี่ยวชาญทางด้านไซเบอร์เพื่อหาแนวทางในการรักษาความปลอดภัย 

NT cyfence ทีมงานผู้เชี่ยวชาญด้าน Cybersecurity พร้อมเป็นที่ปรึกษาด้านความปลอดภัยด้านสารสนเทศอย่างครบวงจรให้กับคุณ ติดต่อได้ที่  https://www.cyfence.com/contact-us/  หรือโทร 1888

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง