3 ข้อเข้าใจผิดเกี่ยวกับ Ransomware ที่ผู้ดูแลระบบต้องระวัง

ผู้เชี่ยวชาญด้านความปลอดภัยให้นิยามไว้ว่า Ransomware คือมัลแวร์ประเภทหนึ่งที่มีลักษณะการทำงานแตกต่างกับมัลแวร์ประเภทอื่น ๆ กล่าวคือ ไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งานแต่เพื่อทำการเข้ารหัสหรือล็อกไฟล์และป้องกันไม่ให้ผู้ใช้งานสามารถเปิดไฟล์ใดๆ ได้ ซึ่งผู้ใช้งานหรือเหยี่อจะต้องยินยอมจ่ายเงินเป็นค่าไถ่ เพื่อถอดรหัสให้สามารถใช้งานได้ดังเดิม จึงได้ชื่อว่าเป็น “มัลแวร์เรียกค่าไถ่” และด้วยการที่เป็นมัลแวร์โจมตีในรูปแบบที่แตกต่างจากทั่วไป จึงทำให้ผู้ใช้งานส่วนใหญ่ยังเข้าใจผิด ทีมงาน NT cyfence ได้รวบรวมความเข้าใจผิด 3 ข้อหลัก ๆ ดังนี้

1. แฮกเกอร์จะเข้ารหัสข้อมูล เพื่อเรียกค่าไถ่เท่านั้นจริงหรือ

ในปัจจุบันพฤติกรรมของ Ransomware Attacker นั้นเปลี่ยนไป ในช่วงระยะหลังพบว่ามีรายงานการโจมตี และขโมยข้อมูลของเหยื่อก่อน จากนั้นจึงเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ โดยใช้ข้อมูลที่ขโมยแนบมาพร้อมกับคำขู่ว่าจะโพสข้อมูลลงบนโลกออนไลน์หากไม่ได้รับการชำระเงินภายในเวลาที่กำหนด ซึ่งพบว่าได้ผลดีมากเพราะโอกาสที่เหยื่อจะยินยอมจ่ายค่าไถ่สูงกว่าการเข้ารหัสในรูปแบบเดิม

2. แฮกเกอร์เข้าโจมตีระบบภายในเวลาไม่กี่วัน

ในปัจจุบันมักจะมีข่าวเกี่ยวกับการถูกโจมตีด้วย ransomware นั้นเกิดขึ้นอย่างรวดเร็ว และมักจะแพร่กระจายออก ทำให้เหยื่อ หรือผู้ใช้งานทั่วไปที่ตามข่าวสาร เข้าใจว่าการถูกโจมตีด้วย ransomware ใช้เวลาไม่กี่วัน แต่ในความเป็นจริงการโจมตีแต่ละครั้งแฮกเกอร์จะใช้ระยะเวลาเป็นสัปดาห์หรือมากกว่า 1 เดือน เพื่อแฝงตัวเข้ามาในระบบ เก็บข้อมูลก่อนลงมือปล่อย ransomware ซึ่งมักมีขั้นตอนดังนี้

1. Gain Access หรือ ความพยามยามเจาะเข้าสู่ระบบ โดยแฮกเกอร์มักเริ่มต้นด้วยการทำ brute force บน remote desktop services ต่างๆ หรือโจมตีโดยใช้ช่องโหว่บน VPN software หรือใช้ malware จำพวก TrickBot Dridex และ QakBot
2. เมื่อเข้าสู่ระบบได้แล้ว ก็จะทำการสำรวจระบบและทำ Credential theft ซึ่งก็คือ การขโมย username/password ที่จำเป็นในการเข้าสู่ระบบปลายทางที่แฮกเกอร์สนใจ โดยมักใช้เครืองมือจำพวก Mimikatz PowerShell Empirec และ PSExec เป็นต้น
3. เมื่อเข้าสู่ระบบปลายทางได้แล้ว จะขโมยข้อมูลต่าง ๆ และส่งออกไปยัง C&C server ก่อนจึงจะปล่อย ransomware เพื่อเข้ารหัสข้อมูล จากนั้นจะทิ้ง ransomnote หรือข้อความเรียกค่าไถ่เอาไว้

ขั้นตอนข้างต้นจะต้องอาศัยเวลาในการดำเนินการ ยิ่งถ้าหากระบบเครือข่ายมีความซับซ้อน แฮกเกอร์อาจจะต้องใช้เวลามากกว่า 1 เดือน ดังนั้น หากองค์กรมีระบบเฝ้าระวังภัยคุกคาม และสามารถจับสัญญาณได้ก่อน ก็จะช่วยลดผลกระทบได้

3. แฮกเกอร์ออกจากระบบไปทันที หลังจากปล่อย ransomware

เหยื่อส่วนมากเชื่อว่าแฮกเกอร์ออกจากระบบไปแล้วหลังจากเกิดการโจมตี อย่างไรก็ตามจากหลักฐานและการโจมตีของ Maze ransomware พบข้อมูลที่ถูกปล่อยออกมาที่ data leak site หรือ web site ที่ผู้พัฒนา ransomware มักจะนำข้อมูลของเหยื่ออกมาเปิดเผยหากไม่มีการจ่ายเงินค่าไถ่ในช่วงเวลาที่กำหนดนั้น ประกอบด้วย รายงานการถูกโจมตีด้วย ransomware ของฝ่ายไอทีซึ่งส่งถึงพนักงานและผู้บริหาร หลังจากเกิดการโจมตี จึงแสดงให้เห็นว่าหลังจากโจมตีแล้วแฮกเกอร์ ยังคงอยู่ในระบบและยังคงขโมยข้อมูล ตลอดจนเฝ้าระวังการตรวจสอบ เพื่อหลีกเลี่ยงและนำไปสู่การโจมตีอีกในภายหลัง

ควรทำอย่างไรเมื่อถูกโจมตี?

เมื่อตรวจพบการโจมตี อันดับแรกควร shutdown เครื่องที่ถูกโจมตีเพื่อหยุดการเข้ารหัส และตัดการเชื่อมต่อออกจากระบบเครือข่ายทั้งหมด เพื่อปิดการเข้าถึงของแฮกเกอร์และป้องกันการแพร่กระจายไปยังเครื่องอื่นในระบบเครือข่าย หลังจากนั้นติดต่อผู้เชี่ยวชาญด้าน cyber security หรือ Incident Response (IR) team ให้ตรวจสอบ พร้อมกับทำ internal audit ทั้งหมด ซึ่งควรครอบคลุมถึง การวิเคราะห์ช่องโหว่, ความเสี่ยงต่างๆ, รุ่น/ซอฟแวร์อุปกรณ์ที่ใช้, Policy พาสเวิร์ดที่คาดเดาง่าย และ malicious tools ต่างๆ ที่อาจจะยังคงเหลืออยู่ในระบบ

ในช่วงที่อยู่ระหว่างการสืบสวน ผู้ดูแลระบบควรอยู่บนสมุติฐานว่าแฮกเกอร์ยังคงอยู่ในระบบ ดังนั้นควรทบทวนสิทธิและบัญชีผู้ใช้งานทั้งหมด บังคับให้ทำการเปลี่ยนเปลี่ยนพาสเวิร์ด โดยให้โฟกัสไปที่ high privileged accounts ก่อน และตามด้วยในส่วนของผู้ใช้งาน โดยแต่ละองค์กรควรมี Business Continuity Plan (BCP) เพื่อให้ธุรกิจขององค์กรไม่หยุดชะงัก

ที่มา : https://www.bleepingcomputer.com/news/security/ransomware-operators-lurk-on-your-network-after-their-attack/