04 Feb 3 ข้อเข้าใจผิดเกี่ยวกับ Ransomware
ผู้เชี่ยวชาญด้านความปลอดภัยให้นิยามไว้ว่า Ransomware คือ มัลแวร์ประเภทหนึ่งที่มีลักษณะการทำงานแตกต่างกับมัลแวร์ประเภทอื่น ๆ กล่าวคือ ถูกออกแบบมาเพื่อทำการเข้ารหัสหรือล็อกไฟล์และป้องกันไม่ให้ผู้ใช้งานสามารถเปิดไฟล์ใดๆได้ ทำให้ผู้ใช้งานหรือเหยี่อจะต้องยินยอมจ่ายเงินเป็นค่าไถ่ เพื่อถอดรหัสให้สามารถใช้งานได้ดังเดิม จึงได้ชื่อว่าเป็น “มัลแวร์เรียกค่าไถ่” และด้วยการที่เป็นมัลแวร์โจมตีในรูปแบบที่แตกต่างจากทั่วไป จึงทำให้ผู้ใช้งานส่วนใหญ่ยังเข้าใจผิดกันอีกเล็กน้อย ได้แก่
1. แฮกเกอร์จะเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่อย่างเดียว
ปัจจุบันพฤติกรรมการโจมตีนั้นเปลี่ยนไป ในระยะหลังพบว่ามีรายงานการโจมตี และขโมยข้อมูลของเหยื่อก่อน จากนั้นจึงเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ โดยใช้ข้อมูลที่ขโมยแนบมาพร้อมกับคำขู่ว่าจะโพสข้อมูลลงบนโลกออนไลน์หากไม่ได้รับการชำระเงินภายในเวลาที่กำหนด ซึ่งพบว่าได้ผลดีมากเพราะโอกาสที่เหยื่อจะยินยอมจ่ายค่าไถ่สูงกว่าการเข้ารหัสในรูปแบบเดิม
2. แฮกเกอร์เข้าโจมตีระบบภายในเวลาไม่กี่วัน
ในปัจจุบันมักจะมีข่าวเกี่ยวกับการถูกโจมตีด้วย ransomware นั้นเกิดขึ้นอย่างรวดเร็ว และมักจะแพร่กระจายออก ทำให้เหยื่อ หรือผู้ใช้งานทั่วไปที่ตามข่าวสาร เข้าใจว่าการถูกโจมตีด้วย ransomware ใช้เวลาไม่กี่วัน แต่ในความเป็นจริงการโจมตีแต่ละครั้งแฮกเกอร์จะใช้ระยะเวลาเป็นสัปดาห์หรือมากกว่า 1 เดือน เพื่อแฝงตัวเข้ามาในระบบ เก็บข้อมูลก่อนลงมือปล่อย ransomware ซึ่งมักมีขั้นตอนดังนี้
Gain Access หรือ ความพยามยามเจาะเข้าสู่ระบบ โดยแฮกเกอร์มักเริ่มต้นด้วยการทำ brute force บน remote desktop services ต่างๆ หรือโจมตีโดยใช้ช่องโหว่บน VPN software หรือใช้ malware จำพวก TrickBot Dridex และ QakBot
เมื่อเข้าสู่ระบบได้แล้ว ก็จะทำการสำรวจระบบและทำ Credential theft ซึ่งก็คือ การขโมย username/password ที่จำเป็นในการเข้าสู่ระบบปลายทางที่แฮกเกอร์สนใจ โดยมักใช้เครืองมือจำพวก Mimikatz PowerShell Empirec และ PSExec เป็นต้น
เมื่อเข้าสู่ระบบปลายทางได้แล้ว จะขโมยข้อมูลต่าง ๆ และส่งออกไปยัง C&C server ก่อนจึงจะปล่อย ransomware เพื่อเข้ารหัสข้อมูล จากนั้นจะทิ้ง ransomnote หรือข้อความเรียกค่าไถ่เอาไว้
ขั้นตอนข้างต้นจะต้องอาศัยเวลาในการดำเนินการ ยิ่งถ้าหากระบบเครือข่ายมีความซับซ้อน แฮกเกอร์อาจจะต้องใช้เวลามากกว่า 1 เดือน ดังนั้น หากองค์กรมีระบบเฝ้าระวังภัยคุกคาม และสามารถจับสัญญาณได้ก่อน ก็จะช่วยลดผลกระทบได้
3. แฮกเกอร์ออกจากระบบไปทันทีหลังจากปล่อย ransomware
เหยื่อส่วนมากเชื่อว่าแฮกเกอร์ออกจากระบบไปแล้วหลังจากเกิดการโจมตี อย่างไรก็ตามจากหลักฐานและการโจมตีของ Maze ransomware พบข้อมูลที่ถูกปล่อยออกมาที่ data leak site หรือ web site ที่ผู้พัฒนา ransomware มักจะนำข้อมูลของเหยื่ออกมาเปิดเผยหากไม่มีการจ่ายเงินค่าไถ่ในช่วงเวลาที่กำหนดนั้น ประกอบด้วย รายงานการถูกโจมตีด้วย ransomware ของฝ่ายไอทีซึ่งส่งถึงพนักงานและผู้บริหาร หลังจากเกิดการโจมตี จึงแสดงให้เห็นว่าหลังจากโจมตีแล้วแฮกเกอร์ ยังคงอยู่ในระบบและยังคงขโมยข้อมูล ตลอดจนเฝ้าระวังการตรวจสอบ เพื่อหลีกเลี่ยงและนำไปสู่การโจมตีอีกในภายหลัง
ควรทำอย่างไรเมื่อถูกโจมตี?
เมื่อตรวจพบการโจมตี อันดับแรกควร shutdown เครื่องที่ถูกโจมตีเพื่อหยุดการเข้ารหัส และตัดการเชื่อมต่อออกจากระบบเครือข่ายทั้งหมด เพื่อปิดการเข้าถึงของแฮกเกอร์และป้องกันการแพร่กระจายไปยังเครื่องอื่นในระบบเครือข่าย หลังจากนั้นติดต่อผู้เชี่ยวชาญด้าน cyber security หรือ Incident Response (IR) team ให้ตรวจสอบ พร้อมกับทำ internal audit ทั้งหมด ซึ่งควรครอบคลุมถึง การวิเคราะห์ช่องโหว่, ความเสี่ยงต่างๆ, รุ่น/ซอฟแวร์อุปกรณ์ที่ใช้, Policy พาสเวิร์ดที่คาดเดาง่าย และ malicious tools ต่างๆ ที่อาจจะยังคงเหลืออยู่ในระบบ
ในช่วงที่อยู่ระหว่างการสืบสวน ผู้ดูแลระบบควรอยู่บนสมุติฐานว่าแฮกเกอร์ยังคงอยู่ในระบบ ดังนั้นควรทบทวนสิทธิและบัญชีผู้ใช้งานทั้งหมด บังคับให้ทำการเปลี่ยนเปลี่ยนพาสเวิร์ด โดยให้โฟกัสไปที่ high privileged accounts ก่อน และตามด้วยในส่วนของผู้ใช้งาน โดยแต่ละองค์กรควรมี Business Continuity Plan (BCP) เพื่อให้ธุรกิจขององค์กรไม่หยุดชะงัก
ที่มา : catcyfence.com
- เสริมประสิทธิภาพงานฝ่ายทรัพยากรบุคคลด้วยพลังของ Microsoft Copilot - April 2, 2024
- ยกระดับการศึกษาไปอีกขั้นด้วย Microsoft 365 Copilot - March 28, 2024
- Microsoft Copilot ผู้ช่วยคนใหม่สำหรับฝ่ายทรัพยากรบุคคล - March 26, 2024
- ประโยชน์ทางธุรกิจของ Copilot สำหรับสายงาน Marketing - March 6, 2024
- ประโยชน์หลักของ Microsoft Copilot เพื่อการใช้งานทางธุรกิจ - February 23, 2024
- 8 Questions You May Have About Microsoft Copilot - February 8, 2024
- 9 คำถามที่คนสงสัยกันมากที่สุดเกี่ยวกับ Microsoft Copilot - February 8, 2024
- SAP Business One ระบบ ERP ที่เป็นมากกว่าแค่ระบบบัญชี - December 6, 2023
- สิ่งสำคัญที่ควรรู้ก่อนตัดสินใจใช้ ERP ควรพิจารณาอย่างไร? - December 6, 2023
- การเดินทางของ Web 3.0 ในปัจจุบันเป็นอย่างไร - March 9, 2023