Ransomware รับมือและป้องกันอย่างไร ข้อแนะนำจาก Microsoft

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

Microsoft ได้ออกมาเตือน หลังจากตรวจพบว่า Ransomware ที่พบนั้นมุ่งเป้าโจมตีองค์กรและบริษัทที่เกี่ยวข้องด้านสุขภาพและบริการ โดยแฮกเกอร์จะใช้ Ransomware โจมตีเข้าสู่ช่องโหว่บนระบบเครือข่ายอินเทอร์เน็ต หรือ บังคับใช้เซิร์ฟเวอร์ Remote Desktop Protocol (RDP) ในการโจมตี เมื่อเข้าสู่เครื่องเหยื่อแล้วก็ทำการ Reconnaissance เพื่อเก็บข้อมูลว่าควรขโมยข้อมูลใด เข้ารหัสที่ไหน โดยจะ harvest credential ก่อนเสมอ

ดังนั้นเพื่อลดความเสี่ยงจากการถูกโจมตี Microsoft Threat Protection Intelligence Team แนะนำผู้ใช้งานควรทำการเก็บข้อมูล หรือสำรองข้อมูลไปไว้ในที่อื่น เพราะ Microsoft พบว่า แฮกเกอร์มักจะใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยเพื่อเข้าโจมตี ดังนี้

  • Remote Desktop Protocol (RDP) หรือ Virtual Desktop endpoints without multi-factor authentication (MAF)
  • การใช้งานบน Platforms ที่ไม่ได้ update หรือ end of support ยกตัวอย่าง เช่น Windows Server 2003 Windows Server 2008 ยิ่งไปกว่านั้นคือการใช้ password ที่ง่ายต่อการคาดเดา
  • การตั้งค่าที่ผิดพลาดของ Server ต่าง ๆ เช่น web servers (IIS) , electronic health record (HER) software, backup server หรือ systems management servers
  • Citrix Application Delivery Controller (ADC) System ที่ได้รับผลกระทบจาก CVE-2019-19781
  • Pulse Secure VPN ที่ได้รับผลกระทบจาก CVE-2019-115110

โดยทั่วไปผู้ที่จะทำปฏิบัติการ Ransomware นั้นจะทำ Phishing ผ่าน Email แล้วจึงเข้าควบคุมเครื่อง ตลอดจนการเข้ารหัสเครื่องที่ตกเป็นเหยื่อภายในเวลาไม่กี่ชั่วโมง แต่ในระยะหลังกลับพบว่าจะมีพฤติกรรมที่เปลี่ยนไป คือจะทำการสำรวจและเก็บข้อมูลก่อน จากนั้นจะค่อย ๆ แพร่กระจาย Ransomware และฝังตัวอยู่ในระบบเครือข่ายของเหยื่อนานกว่า 1 เดือน หรือรอจนพบช่วงเวลาที่เหมาะสมจึงทำการขโมยข้อมูล เข้ารหัสข้อมูลของเหยื่อ ซึ่งพบว่าพฤติกรรมนี้จะสร้างความเสียหายได้มากกว่า (phishing ผ่าน email) เป็นอย่างมาก

นอกจากนั้น Microsoft ให้ข้อมูลเพิ่มเติมอีกว่า ยังมีช่องโหว่อื่น ๆ ที่ยังไม่เคยถูกนำมาใช้โจมตี แต่ในอนาคตมีความเป็นไปได้สูงที่จะถูกแฮกเกอร์นำมาใช้ เช่น CVE-2019-0604 (Microsoft SharePoint), CVE-2020-0688 (Microsoft Exchange) และ CVE-2020-10189 (Zoho ManageEngine) ดังนั้น การทบทวนความปลอดภัยและออกแพทช์ใหม่เพื่ออุดช่องโหว่ เป็นสิ่งที่ควรทำอย่างยิ่ง โดย Microsoft แนะนำว่าองค์กรควรตรวจหาสัญญาณการบุกรุกจากแฮกเกอร์อยู่ตลอดเวลา โดยอาจจะใช้เครื่องมือ Malicious PowerShell, Cobalt Strike และเครื่องมือทดสอบการเจาะระบบอื่น ๆ เพื่อช่วยตรวจหา Ransomware ซึ่งหากตรวจพบสัญญาณ ทีม Security Operation ต้องทำการแก้ไขในทันทีเพื่อป้องกัน และ ลดผลกระทบที่จะก่อให้เกิดความเสียหายได้ทันท่วงที โดยมี 3 หลักการง่าย ๆ ดังนี้

  1. ตรวจสอบว่าอุปกรณ์ endpoints และ credential ว่ามีที่ใดบ้าง ที่ได้รับผลกระทบ
  2. ถอดอุปกรณ์ endpoints ที่ถูก compromised ออกจากระบบ
  3. Inspect หรือ rebuild อุปกรณ์ที่ได้รับผลทบ

อย่างไรก็ตามการผู้ที่จะทำปฏิบัติการ Ransomware ใช้เวลานานนั้น ถือว่าเป็นข้อดี ที่ให้องค์กรมีโอกาสในการตรวจจับและโต้ตอบการโจมตีได้มากขึ้น เพราะในแต่ละการโจมตีนั้นแฮกเกอร์ต้องทำงานหลายขั้นตอน หากมีการตรวจเจอและแก้ปัญหาตั้งแต่ระยะแรก จะทำให้ประหยัดทรัพยากร และลดความเสียหายหรือผลกระทบที่อาจจะเกิดขึ้นได้มากกว่าการจัดการในระยะหลังอีกด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/microsoft-releases-guidance-on-blocking-ransomware-attacks/

 

บทความที่เกี่ยวข้อง