Ransomware โดนได้อย่างไร รุนแรงแค่ไหน แก้ไขอย่างไร

ตั้งแต่ต้นปี 2020 จนถึงปัจจุบันพบการโจมตี Ransomware ไม่หยุดและมีแนวโน้มที่จะพบการโจมตีมากขึ้นเรื่อย ๆ อย่างช่วงต้นปีที่มีการ Work from home ก็มีข่าวเกี่ยวกับ Ransomware อ้างอิงสถานการณ์ไวรัสระบาด COVID-19 หลังจากหมดการ Work from home ก็พบข่าวการโจมตี ransomware ในรูปแบบอื่น ๆ เช่น ข่าวการโจมตีบริษัทใหญ่ในประเทศไทย และ Garmin ยอมรับโดนโจมตีจาก WastedLocker ransomware เป็นต้น ซึ่ง Rasnsomware อย่างที่ทราบกันดี ก็คือมัลแวร์ชนิดหนึ่งที่มีพฤติกรรม Lock file หรือ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้ หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้

สำหรับการป้องกันนั้นเป็นไปได้ค่อนข้างยาก ไม่ว่าอย่างไรก็อาจเสี่ยงถูกโจมตีได้อยู่ดี ซึ่งเราในฐานะผู้ใช้งานและเป็นส่วนหนึ่งขององค์กร ก็ควรมีการป้องกันระบบไอทีด้วยตัวเอง เพราะถึงแม้ว่าจะเกิดเหตุไม่คาดคิดโดน Ransomware หรือโดนภัยคุกคามรูปแบบอื่น เราก็จะยังมีข้อมูล ณ ปัจจุบันอยู่และเกิดผลเสียหายแก่องค์กรน้อยที่สุด

ช่องทางในการโจมตีของ Ransomware มี 3 ช่องทางด้วยกัน

Email phishing

ช่องทางนี้มักจะโดนโจมตีกันเป็นส่วนใหญ่ โดยกว่า 67 % (ข้อมูลจาก www.statista.com) เกิดจากกดดาวน์โหลดไฟล์แนบมัลแวร์ หรือ ลิงก์แนบในอีเมล โดยคิดว่าเป็นไฟล์เอกสารสำคัญ แต่ความเป็นจริงเป็นไฟล์ Ransomware เมื่อดาวน์โหลดเสร็จจะแอบแฝงตัวอยู่ในระบบเพื่อเก็บข้อมูล รอจนกว่าจะส่งอีเมลเพื่อบอกว่า คอมพิวเตอร์เครื่องนี้ถูก Lock ไฟล์เรียบร้อยแล้ว

Pop-Up โฆษณา

ช่องทางนี้ก็เป็นช่องทางยอดฮิตที่แฮกเกอร์ใช้ในการแพร่กระจายมัลแวร์ เพราะมันจะแฝงตัวอยู่ตามเว็บไซต์ในอินเทอร์เน็ตทั่วไป เมื่อเรากดเข้าเว็บไซต์ใด ๆ ก็ตาม จะมี Pop-Up เด้งขึ้นมาในรูปแบบที่เรียกว่า Malvertising ตามเว็บไซต์ ตัว Pop-Up นี้เป็นการสร้างความรำคาญแก่ผู้ใช้งาน ซึ่งหลายๆ คนคงกดยอมรับ เพื่อให้ Pop-Up นั้นปิดการแสดงผลไป แต่ความเป็นจริงได้ดาวน์โหลด Ransomware ลงเครื่องไปแล้วแบบไม่รู้ตัว

Redirect ไปหน้าเว็บไซต์อันตราย

ช่องทางนี้มักจะเกิดจาก เว็บไซต์ที่ไม่น่าเชื่อถือ เช่น เว็บไซต์ดูหนังออนไลน์ เว็บไซต์ดาวน์โหลดเพลงออนไลน์ หรือ เว็บไซต์ที่ปล่อยให้ดาวน์โหลดซอฟต์แวร์โปรแกรมฟรี เป็นต้น ซึ่งเว็บไซต์พวกนี้เมื่อผู้ใช้งานกดดาวน์โหลดจะบังคับให้เปิดหน้าเว็บไซต์อันตรายแล้วดาวน์โหลด Ransomware หรือไวรัสแบบอัตโนมัติทันที

Ransomware รุนแรงขึ้นอย่างไรและฉลาดขึ้นอย่างไร

จากข่าวภัยคุกคามทางไซเบอร์ในปัจจุบันจะพบว่า โดยส่วนใหญ่แฮกเกอร์ที่ทำการปล่อย Ransomware จะประกาศลงใน Dark web ว่าตนได้เข้ารหัสไฟล์เอกสารของบริษัทเป็นที่เรียบร้อยแล้ว หากต้องการจะเอาไฟล์คืน ต้องจ่ายค่าไถ่เป็นเงิน Bitcoin พร้อมกับข่มขู่ว่า หากไม่จ่ายจะปล่อยไฟล์ทั้งหมดลง Dark web ทันที

ซึ่งแฮกเกอร์มีการเรียนรู้จากการโจมตีในอดีตว่า การโจมตีและเรียกค่าไถ่เพียงอย่างเดียว มักจะไม่ได้เงินค่าไถ่จากเหยื่อ แต่หากมีการข่มขู่ด้วยนอกจากจะมีโอกาสได้เงินค่าไถ่แล้ว ในคราวหลังก็ยังจะสามารถเรียกเงินค่าไถ่ได้อีก เพราะการข่มขู่ปล่อยข้อมูล เป็นการทำลายภาพลักษณ์ขององค์กรเหยื่อ ซึ่งองค์กรขนาดใหญ่คงยอมไม่ได้หากข้อมูลลับหลุดสู่สาธารณะ อาจเสียทั้งภาพลักษณ์และเป็นประโยชน์ต่อคู่แข่งได้

วิธีป้องกันเบื้องต้นทำอย่างไร (ก่อนโดนโจมตี)

Back Up ข้อมูลทั้ง Online / Offline

ในเบื้องต้นขอแนะนำให้ใช้กฏ 3-2-1 ในการ Backup โดยสามารถนำกฏนี้ไปใช้ในการ Back Up ข้อมูลแบบ Online และ Offline

การ Backup แบบ Online คือการสำรองข้อมูลลงในระบบ Cloud เช่น One drive หรือ Google drive

การ Backup แบบ Offline คือ การสำรองข้อมูลไว้บน Local โดยใช้โปรแกรมช่วย Back Up ซึ่งสามารถดาวน์โหลดได้ฟรีตามเว็บไซต์โปรแกรมลิขสิทธิ์ทั่วไป และควรสำรองข้อมูลใส่ Harddisk หรือ แฟลชไดร์ฟ ด้วย

1. อัปเดตซอฟต์แวร์/โปรแกรม Antivirus สม่ำเสมอ

ในการใช้งานคอมพิวเตอร์ เมื่อโปรแกรมใดมีการอัปเดตจากผู้ผลิต ก็มักจะมีข้อความแจ้งเตือนขึ้นมาให้อัปเดต อย่าละเลย มองข้าม ให้รีบอัปเดตเวอร์ชันให้ใหม่เสมอตามที่มีการแจ้งเตือนทันที เพื่อป้องกันรูรั่วของระบบ/โปรแกรม ไม่ให้เป็นช่องทางในการเข้าถึงจากแฮกเกอร์

2. สร้าง Awareness แก่พนักงานและตนเอง

การสร้างความรู้เกี่ยวกับภัยคุกคามทั้งตัวเองและพนักงานในองค์กร สิ่งแรกที่จะนำภัยคุกคามต่าง ๆ รวมถึง Ransomware คือ การคลิกลิงก์ปลอม ดาวน์โหลดไฟล์แปลกปลอม และเชื่อข้อความเชิญชวนบนออนไลน์ 3 สิ่งนี้คือการนำภัยคุกคามเข้าสู่องค์กรแบบที่เราไม่รู้ตัว ถ้าเราไม่ทำก็จะลดความเสี่ยงที่จะถูกโจมตีไปได้มาก

3. ตั้งค่า Group Policy

ตั้งค่า Group Policy เพื่อควบคุมสิทธิ์ในการใช้งานของผู้ใช้ให้เหมาะสม เพื่อลดความเสียหายเวลาที่เกิดการโจมตีขึ้น เช่น ไม่ให้สิทธิในการเข้าถึงถ้าไม่จำเป็น รหัสผ่านต้องตรงตามข้อกำหนดขององค์กร และ ไม่อนุญาตให้ติดตั้งซอฟท์แวร์เอง เป็นต้น

แนวทางการแก้ไขเมื่อถูก Ransomware โจมตี

1. ยกเลิกทุกการเชื่อมต่อกับคอมพิวเตอร์ หรือ Server

หากพบการโจมตีของ Ransomware สิ่งแรกที่ต้องทำคือตัดการเชื่อมต่อจากเครือข่ายและอินเทอร์เน็ตใด เพราะเมื่อทำการยกเลิกการเชื่อมต่อแล้วแฮกเกอร์ก็จะหลุดออกจากการเชื่อมต่อด้วย และจะช่วยลดผลกระทบที่จะส่งผ่านไปยังระบบ Network ขององค์กรโดยการแพร่แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ ได้

2. ให้เจ้าหน้าที่ IT ใช้เครื่องมือถอดรหัส Ransomware

สำหรับขั้นตอนนี้ให้ทำใจไว้เลยว่าไม่สามารถแก้ไขได้ โดยขั้นตอนนี้ต้องให้เจ้าหน้าที่ IT ที่มีความเชี่ยวชาญประเมินเพื่อดูว่าสามารถแก้ไขได้หรือไม่เพราะ Ransomware บางตัวมีการปล่อยคีย์ลงสู่อินเทอร์เน็ต ก็จะสามารถนำมาเพื่อใช้ถอดรหัสแล้วนำไฟล์กลับมาใช้งานได้ แต่สำหรับ Ransomware บางตัวไม่สามารถถอดรหัสได้ ฉะนั้นการ Back up ข้อมูลสม่ำเสมอจะช่วยลดความเสียหายได้

แม้ภัยคุกคามไซเบอร์จะสามารถเกิดขึ้นได้ง่ายและก่อให้เกิดผลกระทบที่รุนแรงกับองค์กร แต่หากเราป้องกันก่อนตกเป็นเหยื่อได้โดยเฉพาะ Ransomware อีกหนึ่งภัยคุกคามไซเบอร์ที่มีความรุนแรงและก่อให้เกิดความเสียหายอย่างสูง ทางเลือกในการป้องกันควรทำเป็นอันดับแรก อันดับต่อมา

ก็จะช่วยลดความเสียหายทั้งตัวเองและองค์กร ดังนั้นควรหมั่นดูแลระบบอย่างสม่ำเสมอ หากมีข้อสงสัยเพิ่มเติมและต้องการข้อมูลด้าน Network Security สามารถติดต่อทีมงาน NT cyfence โดยตรงเพื่อรับคำปรึกษา/ข้อแนะนำ โดยติดต่อเราได้ผ่านทาง www.cyfence.com/contact-us หรือโทร 1322

อ้างอิงข้อมูลจาก :
https://www.kaspersky.com/resource-center/threats/how-to-prevent-ransomware
https://www.zdnet.com/article/ransomware-11-steps-you-should-take-to-protect-against-disaster