รู้จัก Ransomware เหตุใดจึงเป็นภัยไซเบอร์อันดับ 1
ด้วยรูปแบบการโจมตีทางไซเบอร์ในปัจจุบันที่หลากหลาย เต็มไปกลเม็ดและวิธีการมากมาย ไม่เพียงโจมตีไปที่ตัวบุคคล หากบ่อยครั้งการโจมตีดังกล่าวยังกระทบไปถึงหน่วยงาน หรือองค์กร และหนึ่งในภัยร้ายไซเบอร์ที่สร้างความเสียหายไม่น้อยก็คือ แรนซัมแวร์ โดยเฉพาะ “โรงพยาบาล และ องค์กรธุรกิจขนาดใหญ่”
แรนซัมแวร์คืออะไร?
แรนซัมแวร์ (Ransomware) คือมัลแวร์ประเภทหนึ่ง ที่ใช้โจมตีคอมพิวเตอร์ หรือเครือข่ายคอมพิวเตอร์ หลังจากนั้นก็จะทำการเข้ารหัสข้อมูล ทำให้ผู้ใช้งานไม่สามารถเข้าถึงข้อมูลของตนเองหรือองค์กรได้ และเมื่ออุปกรณ์ไอทีหรือคอมพิวเตอร์โดนโจมตีสำเร็จ แฮ็กเกอร์จะทำการเรียกค่าไถ่กับเหยื่อที่ถูกโจมตี ซึ่งแรนซัมแวร์บางตัวยังสามารถขโมยข้อมูลของเหยื่อออกมาได้ด้วย
รูปแบบการโจมตีด้วยแรนซัมแวร์
รูปแบบการโจมตีแรนซัมแวร์นั้นมีหลายรูปแบบแตกต่างกัน สามารถสรุปได้ดังนี้
- Crypto Ransomware เป็นรูปแบบที่พบมากที่สุด โดย แรนซัมแวร์ ประเภทนี้จะเข้ารหัสไฟล์ของเหยื่อ ทำให้ไม่สามารถเข้าถึงข้อมูลได้ จนกว่าจะจ่ายค่าไถ่เพื่อรับคีย์ถอดรหัส ซึ่งก็ไม่ได้รับประกันว่าแฮ็กเกอร์จะส่งคีย์ถอดรหัสมาให้
- Locker Ransomware รูปแบบนี้จะล็อกหน้าจอคอมพิวเตอร์หรืออุปกรณ์ของเหยื่อ ทำให้ไม่สามารถใช้งานได้ โดยทั่วไปจะไม่เข้ารหัสไฟล์ แต่จะป้องกันไม่ให้เหยื่อเข้าถึงระบบ หรือข้อมูลใดๆ จนกว่าจะจ่ายค่าไถ่
- Scareware เป็นมัลแวร์ที่แสร้งทำตัวเป็นซอฟต์แวร์รักษาความปลอดภัยหรือ แจ้งเตือนปลอม ว่าคอมพิวเตอร์ติดไวรัสหรือมีปัญหาอื่นๆ และขู่เหยื่อให้จ่ายเงินเพื่อแก้ไขปัญหา ซึ่งอาจไม่มีการเข้ารหัสข้อมูลหรือการล็อกหน้าจอใดๆทั้งสิ้น
- Doxware หรือ Leakware ผู้โจมตีจะทำการขู่ว่าจะเปิดเผยข้อมูลสำคัญ หรือข้อมูลส่วนบุคคล ของเหยื่อไปสู่สาธารณะ หรือบุคคลที่สาม หากไม่จ่ายค่าไถ่
- Ransomware-as-a-Service (RaaS) เป็นรูปแบบที่เปิดให้บุคคลทั่วไปสามารถใช้แพลตฟอร์ม หรือบริการในการสร้างและเผยแพร่ แรนซัมแวร์โดยผู้พัฒนาจะได้รับส่วนแบ่งจาก ค่าไถ่ที่เรียกเก็บได้
- Hybrid Ransomware เป็นการนำคุณสมบัติของ แรนซัมแวร์หลายรูปแบบมารวมเข้าด้วยกัน เช่น การเข้ารหัสไฟล์พร้อมกับการล็อกหน้าจอ หรือการขู่เปิดเผยข้อมูลสู่สาธารณะ
การโจมตีด้วยแรนซัมแวร์ มีขั้นตอนการโจมตี 2 ขั้นตอน คือ
1. Infection and Distribution Vectors หรือ การแพร่กระจายไปตามช่องทางต่าง ๆ
ขั้นตอนแรกของการโจมตีด้วยแรนซัมแวร์นี้ คือการแพร่กระจายมัลแวร์ไปยังอุปกรณ์ต่าง ๆ ขององค์กรเป้าหมาย ซึ่งรูปแบบการโจมตีที่นิยมมากที่สุดมีดังนี้
- อีเมลฟิชชิ่ง วิธีการนี้จะเป็นการส่งอีเมลปลอมไปยังบุคคลในบริษัทหรือองค์กรเป้าหมาย โดยในอีเมลจะประกอบด้วยลิงก์หรือไฟล์แนบ ที่มาพร้อมมัลแวร์สำหรับยึดเครื่องคอมพิวเตอร์และเครือข่าย
- Remote Desktop Protocol (RDP) เป็นการเข้าถึงข้อมูลจากระยะไกล โดยแฮ็กเกอร์อาจนำข้อมูลที่ขโมยมาจากช่องทางอื่น เช่น Dark Web หรือ จากการคาดเดาข้อมูล Log in เข้าระบบบนคอมพิวเตอร์
- Malicious Websites ใช้เว็บไซต์ที่ฝังมัลแวร์ที่จะถูกดาวน์โหลดและติดตั้ง ก็ต่อเมื่อมีคนกดเข้าเยี่ยมชมเว็บไซต์
- Exploit Kits ใช้ช่องโหว่ในซอฟต์แวร์หรือระบบปฏิบัติการเพื่อทำการฝังแรนซัมแวร์
- Software Vulnerabilities ใช้ช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการอัปเดตหรือแพตช์
2. Data Encryption หรือ การเข้ารหัสข้อมูล
เมื่อฝังมัลแวร์ลงไปและยึดคอมพิวเตอร์ได้สำเร็จ สิ่งที่แฮ็กเกอร์จะทำต่อ คือการเข้ารหัสข้อมูล หรือ Data Encryption ซึ่งเป็นระบบรักษาความปลอดภัยของข้อมูลที่จะมีการถอดรหัสเฉพาะผู้ใช้งานที่เกี่ยวข้อง เปรียบคล้าย “กุญแจ หรือรหัส” สำหรับไขเข้า-ออกประตูนั่นเอง
นอกจากนี้ยังพบว่า เมื่อแฮ็กเกอร์เข้าถึงไฟล์ ทำการเปลี่ยนรหัสด้วยคีย์เพื่อควบคุมและแทนที่ไฟล์ต้นฉบับด้วยไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์แล้ว มัลแวร์บางตัวจะลบข้อมูลสำรองเพื่อให้เหยื่อกู้คืนไฟล์ได้ยากขึ้น
และเมื่อทำการโจมตีสำเร็จ จากนั้นก็จะทำการ “เรียกค่าไถ่” ด้วยรูปแบบ คริปโตเคอร์เรนซี, DeFi ส่งไปที่ Crypto Wallet เนื่องจากเป็นรูปแบบกระจายศูนย์ที่ไม่สามารถสั่งปิดบัญชี หรือระงับบัญชีเหมือนกับบัญชีธนาคารของสถาบันการเงินได้
การโจมตียังคงเพิ่มขึ้นละหนักขึ้นทุกปี
การโจมตีในรูปแบบแรนซัมแวร์ถือเป็นรูปแบบการโจมตีที่ได้รับความนิยมและทวีความรุนแรงขึ้นทุกปี โดยข้อมูลจากงานวิจัย 2024 Global Threat Intelligence Report ของ NTT Security Holdings ระบุว่า การโจมตีด้วยแรนซัมแวร์เพิ่มสูงถึง 67% จากปี 2023 โดยภาคอุตสาหกรรมการผลิตถูกโจมตีมากที่สุดถึง 25.66% ขณะที่พบเหยื่อแรนซัมแวร์บนช่องทางโซเชียลมากที่สุดถึง 27.75%
นอกจากนี้ รายงาน The State of Data Security: Measuring Your Data’s Risk ของ Rubrik ยังระบุว่า องค์กรภาคธุรกิจประมาณ 93% ที่ถูกโจมตีด้วยแรนซัมแวร์ ตัดสินใจจ่ายค่าไถ่ ในจำนวนนี้ 58% ตัดสินใจจ่ายเงินค่าไถ่เพราะกลัวว่าจะถูกนำข้อมูลขององค์กรไปเผยแพร่สู่สาธารณะ ทั้งนี้จำนวนเงินค่าไถ่ที่แฮ็กเกอร์ส่วนใหญ่มักเรียก สูงถึง 1 ล้านดอลลาร์ หรือราว 36.6 ล้านบาท บางรายสูงถึง 5 ล้านดอลลาร์ หรือราว 183 ล้านบาท เลยทีเดียว
เมื่อมีปัญหาก็ย่อมมีทางแก้ จากปัญหาที่เกิดขึ้น หลายองค์กรมักเลือกที่จะสร้างมาตรการความปลอดภัยของตัวเองขึ้น และมองหาเครื่องมือที่มีโซลูชันป้องกันภัยไซเบอร์ เมื่อเจอปัญหาแรนซัมแวร์ การแก้ไขต้องเป็นไปอย่างรอบคอบและรวดเร็ว เพื่อจำกัดความเสียหายและป้องกันการโจมตีเพิ่มเติม
โดยวิธีการเบื้องต้นมีดังนี้
1. แยกคอมพิวเตอร์หรืออุปกรณ์ที่ติดมัลแวร์ออกจากเครือข่ายทันทีเพื่อป้องกันการแพร่กระจายของ แรนซัมแวร์ ปิดการเชื่อมต่ออินเทอร์เน็ต เพื่อป้องกันการสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตี
2. สำรวจและประเมินสถานการณ์ ระบุประเภทของ แรนซัมแวร์ ใช้เครื่องมือวิเคราะห์ หรือค้นหาข้อมูลเกี่ยวกับแรนซัมแวร์ที่ติดอยู่ในคอมพิวเตอร์ ตรวจสอบการเข้ารหัส ประเมินว่าไฟล์ใดบ้างที่ถูกเข้ารหัส และมีข้อมูลใดบ้างที่หายไป
3. สำรองข้อมูลสำคัญที่ไม่ติดมัลแวร์ สำรองข้อมูลที่ยังสามารถเข้าถึงได้ เพื่อป้องกันการสูญหายเพิ่มเติมและ ตรวจสอบการสำรองข้อมูลก่อนหน้า ดูว่ามีการสำรองข้อมูลก่อนหน้าที่จะมีการโจมตีหรือไม่
4. ใช้เครื่องมือถอดรหัส ค้นหาเครื่องมือถอดรหัส ซึ่งแน่นอนว่ามีเครื่องมือถอดรหัสฟรีสำหรับ เมื่อถูกโจมตีจากแรนซัมแวร์ เช่น เครื่องมือ No More Ransom Project ทั้งนี้ก็ควรระวังเครื่องมือปลอมจากมิจฉาชีพ และควรใช้เฉพาะเครื่องมือที่น่าเชื่อถือเท่านั้น
5.ใช้ซอฟต์แวร์ป้องกันไวรัสที่มีการอัพเดตเพื่อกำจัดแรนซัมแวร์จากนั้นก็ตรวจสอบคอมพิวเตอร์และ เครือข่ายทั้งหมดเพื่อมั่นใจว่าไม่มีแรนซัมแวร์หลงเหลืออยู่ในเครือข่าย
6. รีบูตและฟื้นฟูระบบ หากคอมพิวเตอร์เป็นระบบ Windows ควรมีการรีบูตใน Safe Mode (โหมดการทำงานรูปแบบหนึ่ง ของระบบปฏิบัติการ Windows ซึ่งเป็นโหมดที่จะทำให้เครื่องคอมพิวเตอร์ อยู่ในสภาวะที่ถูกจำกัดการทำงาน) เพื่อดำเนินการกำจัดมัลแวร์ออกจากเครื่องคอมพิวเตอร์ หรือ กู้คืนไฟล์จากที่สำรองไว้ก่อนหน้า
7. สร้างมาตรการความปลอดภัย รายงานเหตุการณ์ รายงานการโจมตีไปยังหน่วยงานที่เกี่ยวข้อง เช่น ตำรวจไซเบอร์ นอกจากนี้องค์กรควรมีการอัปเดตระบบและซอฟต์แวร์ทั้งหมดเพื่อป้องกันช่องโหว่และฝึกอบรมให้ความรู้พนักงานเกี่ยวกับความปลอดภัยทางไซเบอร์
สรุปแล้วการป้องกันการโจมตีจากแรนซัมแวร์นั้น บริษัทหรือองค์กรควรมีการสำรองข้อมูลไว้เสมอ ใช้ซอฟต์แวร์ป้องกันไวรัสที่ทันสมัย, ฝึกอบรมพนักงานเรื่องความปลอดภัยทางไซเบอร์ และอัปเดตระบบและซอฟต์แวร์อย่างต่อเนื่อง
และหากคุณยังไม่มีแนวทางป้องกัน Security Pitch ขอเสนอโซลูชันด้าน Cybersecurity ที่จะช่วยให้คุณรู้เท่าทันก่อนถูกโจมตี ด้วยแพลตฟอร์ม OneFence
เรามีโมดูล Log Management กระบวนการรวบรวม จัดเก็บ และวิเคราะห์ Log จากเซิร์ฟเวอร์ ฐานข้อมูล และแอปพลิเคชันต่างๆ เพื่อความปลอดภัยและประสิทธิภาพของระบบ ข้อมูลเหล่านี้ช่วยในการตรวจสอบและป้องกันภัยคุกคาม นอกจากนี้ยังรองรับการปฏิบัติตาม พ.ร.บ. คอมพิวเตอร์ พ.ศ. 2560 และ SIEM (Security Information and Event Management) ทำหน้าที่รวบรวมและวิเคราะห์ข้อมูลความปลอดภัยจากอุปกรณ์ต่าง ๆ เช่น Firewall, Active Directory, และ Endpoint Security ผ่าน Log files เพื่อตรวจหาภัยคุกคามแบบ Real-Time
โดย SIEM จะนำข้อมูล Logs หรือข้อมูลการจราจรบนคอมพิวเตอร์ มาวิเคราะห์ภาพรวมของเหตุการณ์ ซึ่งหากพบเจอพฤติกรรมที่ผิดปกติที่อาจบ่งบอกว่าเป็นการโจมตี ไม่ว่าจะเป็นการพยายามเข้าสู่ระบบจำนวนมาก หรือการส่งออกข้อมูลขององค์กรจำนวนมาก ก็จะมีการแจ้งเตือนขึ้นทันที นอกจากนี้ระบบยังรองรับการส่งเอกสารรายงาน ที่จะระบุถึงข้อมูลผู้โจมตี และ เทคนิคที่ใช้ในการโจมตี ทำให้องค์กรสามารถตั้งรับและสร้างมาตรการป้องกันได้ทันที
ปกป้องข้อมูลขององค์กรให้ปลอดภัย ตั้งรับภัยไซเบอร์ เลือก OneFence
สอบถามข้อมูลผลิตภัณฑ์
—————
OneFence | 𝙎𝙚𝙘𝙪𝙧𝙞𝙩𝙮 & 𝙋𝙧𝙞𝙫𝙖𝙘𝙮 𝘾𝙤𝙢𝙗𝙞𝙣𝙚𝙙
Website : www.onefence.co
Facebook Page : OneFence
Line ID : @onefence-platform (มี@นำหน้า)
Email : [email protected]
สอบถามรายละเอียดเพิ่มเติมโทร. 061-462-6414, 080-456-9333