ในปีที่ผ่านมาเหล่าบรรดาแฮกเกอร์ต่างสรรหาวิธีการโจมตีทางไซเบอร์แบบใหม่ๆ หรือมีการต่อยอดจากวิธีการเดิมเพื่อให้ได้ผลลัพธ์ที่รุนแรงมากยิ่งขึ้น โดยเฉพาะอย่างยิ่งมีการขโมยข้อมูลที่ละเอียดอ่อนของผู้ใช้งานผ่านการหลอกลวงแบบอีเมลฟิชชิงที่สร้างจาก AI และมัลแวร์ประเภท infostealer เพื่อเพิ่มประสิทธิภาพในการโจมตี
รายงาน IBM X-Force Threat Intelligence Index 2025 ได้รวบรวมเคสต่างๆ ในการรับมือเหตุการณ์คุกคาม รวมถึงข้อมูลข่าวกรองภัยคุกคามจากดาร์กเว็บและแหล่งที่มาอื่นๆ โดยพบว่า 30% ของการบุกรุกทั้งหมดในปีที่แล้วเป็นการโจมตีที่เกี่ยวข้องกับตัวตน บวกกับการเพิ่มขึ้นถึง 84% ต่อปีของอีเมลที่ส่งมัลแวร์ infostealer ออกไปปฏิบัติการ นอกจากนี้ยังมีการเลือกใช้ AI เพื่อนำมาสร้างอีเมลฟิชชิงที่น่าเชื่อถือเป็นจำนวนมากและยังใช้ในการเขียนโค้ดที่เป็นอันตรายอีกด้วย
ปัจจุบัน เหล่าบรรดาแฮกเกอร์ส่วนใหญ่มักจะเจาะระบบแต่ไม่ทำลายระบบ ผ่านการอาศัยช่องโหว่เกี่ยวกับการยืนยันตัวตนที่เกิดจากระบบคลาวด์แบบไฮบริดที่ซับซ้อน ซึ่งเปิดทางให้แฮกเกอร์สามารถเข้าถึงระบบได้หลากหลายทาง ส่งผลให้องค์กรต่างๆ ต้องเปลี่ยนแนวคิดในด้านการป้องกันจากแบบฉุกเฉินมาเป็นเชิงรุกให้มากยิ่งขึ้น เช่น การปรับปรุงระบบจัดการยืนยันตัวตนให้มีความทันสมัย ปิดช่องโหว่ของระบบยืนยันตัวตน MFA และการติดตามภัยคุกคามแบบเรียลไทม์เพื่อค้นหาภัยคุกคามที่แฝงตัวอยู่ในระบบก่อนที่ข้อมูลสำคัญจะถูกขโมยและเปิดเผยต่อไป
หากพิจารณาในส่วนของช่องทางการเข้าถึงระบบ (Initial Access Vector) ที่ได้รับความนิยมสูงสุดแล้ว อันดับหนึ่งคือการใช้ข้อมูลล็อกอินของบัญชีจริงที่ถูกขโมยมา และอีกช่องทางที่มีความนิยมพอๆ กันก็คือ การใช้ช่องโหว่จากแอปพลิเคชันสาธารณะ
นอกจากนี้ รายงานยังระบุอีกว่า 25% ของการโจมตีไปยังผู้ให้บริการโครงสร้างพื้นฐานสำคัญ (CNI) ใช้เทคนิคดังกล่าว โดยการพึ่งพาระบบแบบเก่าและการอัพเดทแพตช์ที่ล่าช้าทำให้องค์กรจำนวนมากตกเป็นเหยื่อได้ง่าย
หลังจากที่เข้าระบบได้แล้ว แฮกเกอร์จะใช้เทคนิคการสแกนแบบแอคทีฟเพื่อตรวจหาช่องโหว่เพิ่มเติม ขยายการเข้าถึงและเคลื่อนย้ายภายในระบบที่ถูกบุกรุก และสิ่งสำคัญที่สุดคือ แฮกเกอร์พยายามยกระดับสิทธิ์เพื่อให้สามารถเข้าถึงบริการหลักที่เป็นหัวใจสำคัญของระบบ ยิ่งการบุกรุกยังไม่ถูกตรวจพบนานเท่าไหร่ ความเสี่ยงขององค์กรก็จะยิ่งสูงขึ้นตามไปด้วย
สิ่งที่น่าสนใจอีกเรื่องจากรายงานฉบับนี้คือ เส้นแบ่งเริ่มเลือนลางแล้วในดาร์กเว็บเพราะมีการแบ่งปันข้อมูลช่องโหว่กันมากขึ้นระหว่างรัฐและแฮกเกอร์บนดาร์กเว็บ โดย 40% ของช่องโหว่ CVE ที่ถูกพูดถึงมากที่สุดในฟอรั่มใต้ดินนั้น เชื่อมโยงกับแฮกเกอร์แก๊งใหญ่ๆ
สุดท้ายแล้วแนวโน้มของ Ransomware กำลังเปลี่ยนแปลงไปเห็นได้จาก แม้ว่าแรนซัมแวร์จะยังเป็นมัลแวร์ที่พบมากที่สุดในปี 2024 คิดเป็น 28% ของเหตุการณ์การโจมตีมัลแวร์ทั้งหมด แต่จำนวนเหตุการณ์คุกคามในภาพรวมกลับลดลงเมื่อเทียบกับปีก่อน บวกกับมีความพยายามในการปราบปรามระดับโลกทำให้กลุ่มแรนซัมแวร์บางกลุ่มต้องเลิกใช้มัลแวร์ที่เป็นที่รู้จักกันดี เช่น Trickbot และ Quakbot และหันไปใช้มัลแวร์รูปแบบใหม่ที่มีอายุสั้นกว่าและยากต่อการติดตาม
หากวิเคราะห์ในภาคส่วนที่ตกเป็นเป้าหมายหลักในการโจมตีจากแรนซัมแวร์จะพบว่า ภาคการผลิตยังคงเป็นอันดับหนึ่งเช่นเคย โดยถูกโจมตีแบบเรียกค่าไถ่คิดเป็น 29% และโจมตีเพื่อขโมยข้อมูล 24%
แหล่งข้อมูล
