FBI ออกโรงเตือน Dual Ransomware ส่อเค้าระบาดหนัก !

Ransomware

Ransomware (แรมซัมแวร์) เป็นปัญหาที่สร้างความกังวลใจให้กับทีมไอทีของหลาย ๆ องค์กร เพราะการถูกโจมตี ด้วยมัลแวร์ชนิดนี้ส่งผลกระทบไปถึงทุกภาคส่วน รวมไปถึงความเชื่อมั่นขององค์กร ด้วยเหตุนี้องค์กรจึงต้องมีระบบป้องกันการโจมตีทางไซเบอร์ที่มีประสิทธิภาพ แต่จากการประกาศล่าสุดของ FBI อาจทำให้ทุกองค์กรต้องกลับมาตรวจสอบกันใหม่อีกครั้งว่า ระบบการป้องกันภัยทางไซเบอร์ขององค์กรแข็งแกร่งมากพอแล้วหรือยัง ?

เมื่อวันที่ 27 กันยายน 2023 ที่ผ่านมา สำนักงานสอบสวนกลางของสหรัฐ หรือ FBI ได้ออกแจ้งเตือนผ่าน FBI Private Industry Notification ว่า เทรนด์การโจมตีองค์กรด้วยมัลแวร์ มากกว่า 1 ตัว ในระยะเวลาที่ใกล้กันมาก ๆ หรือที่เรียกว่า Dual Ransomware กำลังเป็นที่นิยมในกลุ่มอาชญากรทางไซเบอร์มากขึ้น โดยจากรายงาน เอฟบีไอ เปิดเผยว่า นับตั้งแต่เดือน July 2023 ที่ผ่านมา ได้มีการตรวจพบรูปแบบการโจมตีทางไซเบอร์ด้วย Ransomware ที่มุ่งไปที่การโจมตีซ้ำ ๆ หลายครั้งในช่วงระยะเวลาเดียวกัน หรือใกล้เคียงกัน เพิ่มสูงขึ้นอย่างมีนัยยะสำคัญ โดยผู้คุกคามจะใช้วิธีการนำเอา Ransomware ที่แตกต่างกัน อาทิ AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum และ Royal ซึ่งมีรูปแบบการเข้ารหัส การโจมตี และรูปแบบการเรียกค่าไถ่แตกต่างกันมาโจมตีองค์กร ผลที่ตามมาคือ องค์กรที่โดนโจมตีจะเกิดความเสียหายที่ร้ายแรงมากกว่า ทั้งในแง่ของความเสียหายของข้อมูล หรือจำนวนเงินที่เสียไปเพื่อจ่ายค่าไถ่ โดยเฉพาะการโจมตีซ้ำด้วย Ransomware แบบอื่นจะยิ่งทำให้องค์กรไม่สามารถตั้งหลักเพื่อรับมือ กระทั่งทำให้เกิดความเสียหายร้ายแรงได้

ทั้งนี้เหตุการณ์การโจมตีด้วยรูปแบบดังกล่าว มีตัวอย่างให้เห็นแล้ว โดย Sophos บริษัทเทคโนโลยีของอังกฤษได้ออกมาเปิดเผยว่า ในช่วงปลายเดือนเมษายน – พฤษภาคม 2022 บริษัทผู้จัดจำหน่ายรถยนต์แห่งหนึ่งถูกโจมตีทางไซเบอร์ด้วย Ransomware  Lockbit, Hive และ BlackCat ติดต่อกัน 3 ครั้ง ภายในระยะเวลาเพียง 2 สัปดาห์เท่านั้น ซึ่งสอดคล้องกับข้อมูลของ FBI ที่ว่า การโจมตีซ้ำจะเกิดขึ้นในช่วงตั้งแต่หลัง 48 ชั่วโมงแรก หลังการโจมตีครั้งก่อน 

อย่างไรก็ตาม นี่ไม่ใช่ครั้งแรกที่ผู้คุกคามได้นำเอาเทคนิคต่าง ๆ มาใช้ในการโจมตีทางไซเบอร์ เพราะเมื่อต้นปี 2022 เทรนด์ในการโจมตีทางไซเบอร์ของเหล่าผู้คุกคาม คือการใส่เครื่องมืออื่น ๆ เช่น การฝังโค้ดไว้ในอุปกรณ์ที่ใช้ในการขโมยข้อมูลเพื่อป้องกันการถูกตรวจสอบ หรือการเข้ารหัสที่ซับซ้อน เพื่อไม่ให้องค์กรสามารถถอดรหัสได้ และนำมัลแวร์ลบข้อมูลมาใช้เพื่อกดดันให้องค์กรที่ถูกโจมตียอมเข้าสู่กระบวนการการเจรจา และก่อนหน้านี้ในช่วงเดือนพฤษภาคมปี 2021 ก็ได้มีการตรวจพบการโจมตี Dual Ransomware ก่อนแล้ว แต่ผู้คุกคามเพิ่งจะมาเริ่มใช้รูปแบบนี้ในการโจมตีมากขึ้นในช่วงไม่กี่เดือนที่ผ่านมา

นอกเหนือจากข้อมูลข้างต้นแล้ว FBI ยังได้แนะนำวิธีการรับมือ และลดความเสียหายที่อาจเกิดขึ้นจากการถูกโจมตีทางไซเบอร์แบบด้วยวิธีดังกล่าว รวมไปถึงภัยทางไซเบอร์อื่น ๆ ดังนี้

  • หมั่นแบ็กอัปข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อป้องกันความเสียหายจากการสูญเสียข้อมูลในกรณีที่ถูกโจมตีทางไซเบอร์
  • เข้ารหัสข้อมูลที่แบ็กอัปไว้ และหมั่นตรวจสอบว่าข้อมูลดังกล่าวมีการเข้ารหัสไว้อย่างถูกต้อง และข้อมูลมีความครอบคลุมทั้งองค์กร และมีความเป็นปัจจุบันมากที่สุด อีกทั้งยังควรหมั่นสแกนไวรัสอย่างสม่ำเสมอ 
  • ตรวจสอบมาตรการรักษาความปลอดภัยของบุคคลที่สาม และผู้ที่เกี่ยวข้องกับองค์กร ในกรณีที่องค์กรมีการทำงานร่วมกับบุคคลที่สาม ควรตรวจสอบระบบความปลอดภัยทางไซเบอร์ของอีกฝ่าย และรีบแจ้งให้แก้ไขหากพบช่องโหว่ที่อาจส่งผลกระทบในแง่ลบกับข้อมูลในองค์กร 
  • บังคับใช้นโยบายเกี่ยวกับการใช้แอปพลิเคชัน และการเข้าถึงระยะไกลจากอุปกรณ์อื่น ๆ โดยควรให้บุคลากรภายในปฏิบัติตามอย่างเคร่งครัด เพื่อป้องกันการติดมัลแวร์ หรือเกิดช่องโหว่อันตรายจากแอปฯ หรืออุปกรณ์ภายนอก
  • จัดทำบันทึก และตรวจสอบการเชื่อมต่อระยะไกลจากอุปกรณ์ภายนอก โดยองค์กรควรหมั่นตรวจสอบอย่างสม่ำเสมอเพื่อไม่ให้มีการติดตั้งแอป หรือมีการฝังโค้ดที่อันตรายไว้กับอุปกรณ์ภายในองค์กร 
  • วางมาตรการการรักษาข้อมูล และความปลอดภัยของเซิร์ฟเวอร์ โดยคัดลอกสำเนาข้อมูลเก็บไว้ในที่ปลอดภัยแยกจากกันหลาย ๆ แห่ง เช่น Harddrive หรือบนระบบคลาวด์ เป็นต้น
  • อัปเดตระบบปฏิบัติการ หรือเฟิร์มแวร์อย่างสม่ำเสมอ เพื่อป้องกันการเกิดช่องโหว่ด้านความปลอดภัยจากระบบปฏิบัติการ หรือเฟิร์มแวร์ที่ล้าสมัย
  • หากมีการตรวจพบช่องโหว่ในระบบ ควรจัดเรียงลำดับความสำคัญในการแก้ไขให้ชัดเจน ซึ่งสามารถอ้างอิงได้จาก Known Exploited Vulnerabilities Catalog ของ CISA
  • ปิดพอร์ตบนอุปกรณ์ที่ไม่ได้ใช้งาน เพื่อป้องกันผู้ไม่หวังดีนำอุปกรณ์อันตรายต่อเข้ากับเครื่อง
  • เพิ่มการระบุว่าเป็นอีเมลที่มาจากภายนอก ในกรณีที่เป็นอีเมลที่ส่งเข้ามาจากบุคคลภายนอกองค์กร
  • ปิดการใช้งานไฮเปอร์ลิงก์ในอีเมลที่ได้รับ เพื่อป้องกันการเผลอคลิกลิงก์ที่ไม่น่าไว้วางใจ
  • จำกัดสิทธิผู้ใช้งานที่สามารถสร้างคำสั่งหรือสร้างโค้ดในระบบ ให้เฉพาะผู้ที่มีความรับผิดชอบโดยตรงเท่านั้น
  • ตรวจสอบการตั้งค่าอุปกรณ์ว่ามีความปลอดภัย และเปิดใช้ได้ตามความเหมาะสม 
  • จำกัดการใช้งานโปรโตคอล Server Message Block (SMB) ให้อยู่ในขอบเขตที่เหมาะสม หรือจำเป็น นอกจากนี้ควรลบหรือปิดใช้งาน SMB เวอร์ชันล้าสมัย เพื่อป้องกันการเข้าถึงของผู้ไม่หวังดีและทำการโจมตีผ่านช่องทางดังกล่าว

แม้ว่าจะมีวิธีมากมายที่สามารถช่วยลดช่องโหว่ด้านความปลอดภัยทางไซเบอร์ได้ แต่ก็ไม่ใช่เรื่องง่ายที่จะสามารถทำได้อย่างเป็นรูปธรรม เนื่องด้วยขีดจำกัดต่าง ๆ ไม่ว่าจะเป็นเรื่องงบประมาณที่อาจมีจำกัด หรือตัวบุคลากรในองค์กรที่อาจมีความเข้าใจไม่เพียงพอ ดังนั้นองค์กรเองจึงควรมีระบบการป้องกันความเสี่ยงที่สามารถตรวจจับ ประเมินความเสี่ยง และแจ้งเตือนได้อย่างมีประสิทธิภาพ

Security Pitch เรามีโซลูชัน Cybersecurity หรือระบบบริหารจัดการความเสี่ยงทางไซเบอร์ จากแพลตฟอร์ม OneFence มาช่วยแก้ปัญหา โดยออกแบบเพื่อช่วยให้องค์กรสามารถจัดเก็บข้อมูล แจ้งเตือน และประเมินความเสี่ยงที่อาจเกิดขึ้นกับระบบไซเบอร์ในองค์กรได้อย่างมีประสิทธิภาพ ได้แก่

  • Log Management – รวบรวม จัดเก็บไฟล์ Log และข้อมูลด้านความปลอดภัย พร้อมหาความสัมพันธ์เกี่ยวกับเหตุภัยคุกคาม
  • Security Information & Event Management (SIEM) – วิเคราะห์หาความสัมพันธ์ แจ้งเตือนเพื่อป้องกัน และตรวจจับภัยคุกคามทางไซเบอร์
  • Assessment Automation – ประเมินความพร้อมสถานภาพการดำเนินงานด้านความมั่นคงปลอดภัยไซเบอร์ตามกฎหมาย

สอบถามข้อมูลผลิตภัณฑ์ “OneFence”

Tel. : 081-972-2500

Line : @securitypitch

Email : [email protected]

บทความที่น่าสนใจ