ระวังแฮกเกอร์อาจยังอยู่ แม้จะใช้ Ransomware โจมตีเหยื่อแล้ว

การโจมตีของ ransomware ที่บุคคลทั่วไปหรือผู้ที่ตกเป็นเหยื่อส่วนใหญ่มักจะเข้าใจผิดว่า เมื่อแฮกแกอร์ใช้ ransomware โจมตีและเข้าระบบของเหยื่อได้แล้วก็จะออกจากระบบไป แต่ความเป็นจริงคือแฮกเกอร์ไม่ได้ไปไหน แต่ยังคงอยู่จนกว่าจะสามารถเข้าระบบเครือข่าย ล็อครหัสไฟล์ของเหยื่อ ไปจนกว่าเหยื่อจะยอมจ่ายเงินค่าไถ่ เนื่องจากการโจมตีด้วย ransomware ใช้เวลานานกว่าจะเข้าถึงระบบเครือข่ายของเหยื่อ บางครั้งอาจใช้เวลาเป็นวัน หรือเป็นเดือน จุดประสงค์ของแฮกเกอร์ส่วนใหญ่ ต้องการเจาะเข้าระบบเครือข่ายหรือช่องโหว่ต่าง ๆ เช่น remote desktop services, ช่องโหว่ใน VPN software ผ่าน remote access หรือผ่าน malware เช่น TrickBot, Dridex, และ QakBot เป็นต้น หลังจากที่สามารถเข้าถึงเครือข่ายได้ จะใช้ Mimikatz, PowerShell Empire, PSExec และเครื่องมือที่ใช้ในการรวบรวมข้อมูล login credentials จากนั้นเมื่อสามารถเข้าถึงเครื่อง Server หรือ Computer ในระบบเครือข่ายได้ จึงใช้ข้อมูล credentials เพื่อทำการขโมยข้อมูลไฟล์ต่าง ๆ จากระบบ Backup และจาก Server ก่อนจะเข้ารหัสไฟล์ด้วย ransomware

ภาพ : ตัวอย่างวิธีการโจมตีของ กลุ่มแฮกเกอร์ Doppelpaymer ที่ใช้ Ransonware โจมตีเหยื่อ

ผู้เชี่ยวชาญแนะนำว่า หากตรวจพบการโจมตีด้วย Ransomware แล้ว ขั้นตอนแรกควรปิดระบบ Network และเครื่อง Computer ทันที เพื่อป้องกันการเข้ารหัสข้อมูลและไม่ให้แฮกเกอร์เข้าถึงได้ จากนั้นให้บริษัทที่ให้บริการด้าน cyber security มาทำการ investigation และ Audit ระบบทั้งหมด และสุดท้ายการกู้คืนระบบ ให้นึกเสมอว่าแฮกเกอร์ได้ขโมย credentials ต่าง ๆ ไปแล้ว ฉะนั้นควรจะเปลี่ยนรหัสผ่านทั้งหมด เพื่อป้องกันแฮกเกอร์กลับมายึดระบบอีกครั้ง

ที่มา: https://www.bleepingcomputer.com/news/security/ransomware-operators-lurk-on-your-network-after-their-attack/