การตอบสนองต่อเหตุการณ์ (Incident response หรือ IR) คือการที่บริษัทต่างๆ ขอให้ทีมเจ้าหน้าที่ดำเนินการเมื่อเกิดการละเมิด เพื่อจำกัดความเสียหายและป้องกันไม่ให้การโจมตีแพร่กระจาย
สำหรับแคสเปอร์สกี้ IR จะจัดการโดยทีม Global Response Emergency Team (GERT) ซึ่งเป็นทีมเฉพาะสำหรับองค์กรขนาดกลางถึงขนาดใหญ่ ข้อมูลตั้งแต่เดือนมกราคมถึงพฤศจิกายน 2021 เหตุการณ์ด้านความปลอดภัยที่จัดการโดย GERT นั้นเชื่อมโยงกับแรนซัมแวร์มากถึงเกือบ 50% ของคำขอ IR ทั้งหมด ซึ่งเพิ่มขึ้นเกือบ 12% เมื่อเทียบกับปี 2020
นี่เป็นหนึ่งในการค้นพบที่สำคัญที่สุดจากรายงานของแคสเปอร์สกี้ เรื่อง “Story of the Year: Ransomware in the Headlines” ซึ่งเป็นส่วนหนึ่งของชุดรายงาน Security Bulletin ประจำปีของแคสเปอร์สกี้ ซึ่งตรวจสอบแนวโน้มความปลอดภัยที่สำคัญในปีที่ผ่านมา Story of the Year 2021 จะเจาะลึกถึงแนวทางแรนซัมแวร์ในปัจจุบันและสิ่งที่คาดการณ์ในปี 2022
แรนซัมแวร์กลายเป็นเรื่องเด่นแห่งปีด้านการรักษาความปลอดภัยในโลกไซเบอร์อย่างไม่อาจโต้แย้งได้ ทั้งการทำลายท่อส่งก๊าซและบริการด้านสุขภาพของรัฐบาล ผู้โจมตีแรนซัมแวร์ได้ปรับปรุงคลังอาวุธของตน เน้นโจมตีองค์กรขนาดใหญ่น้อยลง และมีระบบนิเวศใต้ดินที่สนับสนุนความพยายามโจมตีของแก๊งแรนซัมแวร์
ในช่วง 11 เดือนแรกของปี 2021 เปอร์เซ็นต์ของคำขอเรื่องการตอบสนองต่อเหตุการณ์ หรือคำขอ IR ที่ดำเนินการโดยทีม GERT ของแคสเปอร์สกี้อยู่ที่ 46.7% (37.9% ในปี 2020 และ 34% ในปี 2019)
โดยกลุ่มเป้าหมายส่วนใหญ่อยู่ในภาครัฐและภาคอุตสาหกรรม เมื่อรวมกันแล้วการโจมตีทั้งสองอุตสาหกรรมมีสัดส่วนเกือบ 50% ของคำขอ IR ที่เกี่ยวข้องกับแรนซัมแวร์ทั้งหมดในปี 2021 เป้าหมายยอดนิยมอื่นๆ ได้แก่ ไอทีและสถาบันการเงิน
อย่างไรก็ตาม เนื่องจากผู้โจมตีแรนซัมแวร์ได้เปลี่ยนเป็นการเรียกค่าไถ่ที่ใหญ่กว่าและเป้าหมายที่มีรายละเอียดสูง อีกทั้งเผชิญกับแรงกดดันที่เพิ่มขึ้นจากนักการเมืองและหน่วยงานบังคับใช้กฎหมาย ซึ่งทำให้การเพิ่มประสิทธิภาพของการโจมตีมีความสำคัญอย่างยิ่ง
ด้วยเหตุนี้ ผู้เชี่ยวชาญของแคสเปอร์สกี้จึงสังเกตเห็นแนวโน้มสำคัญสองประการที่จะได้รับความนิยมในปี 2022 ประการแรก กลุ่มแรนซัมแวร์มักจะสร้างแรนซัมแวร์ Linux builds เพื่อเพิ่มพื้นที่การโจมตี นี่คือสิ่งที่เคยเห็นในกลุ่ม RansomExx และ DarkSide ประการที่สอง ผู้โจมตีแรนซัมแวร์จะเริ่มให้ความสำคัญกับ “แบล็กเมล์ทางการเงิน” มากขึ้น คือการข่มขู่ว่าจะเปิดเผยข้อมูลเกี่ยวกับบริษัทต่างๆ ที่กำลังประสบกับเหตุการณ์ทางการเงินที่สำคัญ (เช่น การควบรวมกิจการหรือการเข้าซื้อกิจการ) เพื่อประเมินราคาหุ้นต่ำ เมื่อบริษัทต่างๆ อยู่ในสถานะทางการเงินที่เปราะบาง จึงมักจะจ่ายค่าไถ่
