12 วิธีรับมือ มัลแวร์เรียกค่าไถ่

08 มิ.ย. 2564 | 10:40 น.
อัปเดตล่าสุด :08 มิ.ย. 2564 | 18:24 น.
869

พฤติกรรมยุค New Normal มีการนำเทตโนโลยีมาใช้มากขึ้นในชีวิตประจำวัน แม้สะดวก รวดเร็ว แต่ก็อาจเป็นภัยทางไซเบอร์ได้ TB-CERT มีข้อเสนอแนะ 12 วีธีรับมือ มัลแวร์เรียกค่าไถ่

การใช้ชีวิตในยุค New Normal  เพื่อลดการแพร่ระบาดของโควิด-19 ทั้งการทำงานที่บ้านหรือ Work From  Home การซื้อขายจับจ่ายสินค้าหรือแม้แต่การชำระเงิน ที่หันมาใช้ช่องทางออนไลน์มากขึ้น อาจทำให้มิจฉาชีพทางอิเล็กทรอนิกส์ เห็นช่องทางในการโจมตีข้อมูลได้ สัปดาห์ก่อน เราเห็นข่าวกลุ่ม AXA ถูกกลุ่มแฮกเกอร์ Avaddon ใช้ Ransomware  หรือ มัลแวร์เรียกค่าไถ่ โจมตีและเข้ารหัสข้อมูลของบริษัทกลุ่ม AXA ในเอเชีย โดยระบุว่า ถ้าไม่ยอมให้ความร่วมมือหรือติดต่อกลับ จะเปิดเผยข้อมูลของบริษัทต่างๆอย่าง ข้อมูลประวัติการรักษาของผู้เคลมประกัน การจ่ายเงิน การทำธุรกรรมการเงินของลูกค้า และจะถูกโจมตีด้วย DDoS

 

ฟากตะวันตกเองก็พบว่า บริษัท โคโลเนียล ไปป์ไลน์ ถูกโจมตีด้วย มัลแวร์เรียกค่าไถ่ ทำให้การลำเลียงน้ำมันผ่านท่อส่งน้ำมันความยาว 5,500 ไมล์ไปยังภาคตะวันออกเฉียงใต้ของสหรัฐต้องหยุดชะงักลง โดย DarkSide ซึ่งเป็นแฮกเกอร์จากยุโรปตะวันออกเป็นผู้โจมตีในครั้งนี้ ที่สุดบริษัทต้องยอมจ่ายเงินค่าไถ่ 90 ล้านดอลลาร์ หรือราว 2,900 ล้านบาท เพื่อแลกกับการเปิดท่อส่งน้ำมัน

 

ขณะที่รอบปี 2563 พบว่า ทั่วโลกมีการส่งอีเมลหลอกลวงเพิ่มขึ้นกว่า 600% โดยภาคการเงินมีภัยคุกคามที่บริการคลาวด์โตขึ้นกว่า 571% การขนส่งมีภัยคุกคามสูงสุด 1,350% รองลงมาคือ ภาคการศึกษา 1,114% และยังพบว่า วัตถุประสงค์ของ กลุ่มมัลแวร์เรียกค่าไถ่ มีแนวโน้มโพสต์ข้อมูลของผู้เสียหายมากขึ้น ทำให้ผู้เสียหายถูกข่มขู่ที่จะเปิดเผยข้อมูลด้วย

 

ศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคธนาคาร หรือ TB-CERT ได้ทำงานร่วมกับธนาคารสมาชิกอย่างใกล้ชิด เพื่อรับมือกับภัยคุกคามทางไซเบอร์ในระดับภาคการธนาคาร เพราะภัยไซเบอร์ยังมีแนวโน้มที่จะตามมาหลอกหลอนในปี 2564 ด้วย  โดยได้แนะนำวิธีการป้องกัน มัลแวร์เรียกค่าไถ่ คือ 


12 วิธีรับมือ มัลแวร์เรียกค่าไถ่

 

1.สร้างความตระหนักด้านความมั่นคงปลอดภัยให้กับผู้ใช้งานในองค์กร เรื่องความเสี่ยงที่อาจเกิดขึ้นจากมัลแวร์เรียกค่าไถ่

 

2. หากประสบปัญหาภัยคุกคามมัลแวร์เรียกค่าไถ่ในองค์กร ไม่ควรจ่ายเงินค่าไถ่ เพราะจากการจ่ายเงินเป็นการกระตุ้นให้ Threat Actor กลับ มาโจมตีองค์กรได้อีก และอาจจะไม่สามารถแก้ไขได้

 

3. ตรวจสอบการสำรองข้อมูล (Backup) โดยเฉพาะระบบที่มีข้อมูลสำคัญว่า ยังคงทำงานอย่างปกติ เพื่อให้สามารถกู้คืนระบบได้ หากถูกมัลแวร์เรียกค่าไถ่คุกคาม

 

4. ตรวจสอบและติดตั้งโปรแกรมป้องกันมัลแวร์ให้กับเครื่องคอมพิวเตอร์ทุกเครื่องภายในองค์กร ทั้งเครื่องเซิร์ฟเวอร์และคอมพิวเตอร์ของพนักงาน รวมถึงการอัปเดตล่าสุดด้วย

 

5. เฝ้าระวัง และปิดกั้นอีเมลที่น่าสงสัย โดยเพิ่มข้อมูลอีเมลที่น่าสงสัยให้กับระบบกรองอีเมลขององค์กร หรือการใช้โปรแกรมป้องกันมัลแวร์ที่ระบบ E-mail gateway เช่น ลักษณะของไฟล์แนบ หรือลิงก์ที่อยู่ในเนื้อความของอีเมล  เพื่อป้องกันอีเมลที่แนบมัลแวร์เรียกค่าไถ่ถูกส่งเข้ามายังองค์กร

 

6. ตรวจสอบประวัติการเรียกญ โพรเซส หรือประวัติการเรียกใช้งานสคริปต์ (เช่น PowerShell ) หากมีการเก็บล็อกเหล่านี้ไว้ว่า พบสคริปต์ในการเชื่อมต่อหรืออัพโหลดไปยังเซิร์ฟเวอร์ FTP เพื่อให้แน่ใจว่า ไม่มีข้อมูลรั่วไหลจากองค์กร

 

7. พิจารณาปิดกั้นการใช้งาน Remote Desktop Protocol และ Critix Web Portal จากภายนอก หากจำเป็นต้องใช้งานควรจะมีมาตรการควบคุมเพิ่มเติม เช่น Whitelist หรือ ระบบการยืนยันตัวตนด้วยหลายปัจจัย (Multi Factor Authentication)

8. เฝ้าระวังการเชื่อมต่อไปยังเครื่อง C2 และพิจารณาปิดกั้นหากพบว่า มีเครือข่ายภายในองค์กรพยายามติดต่อออกไปยังเครื่อง C2 โดยตรวจสอบที่ไฟร์วอลล์ (Firewall) และพร็อกซี่ (Proxy) ขององค์กร 

 

9. อัปเดตแพทช์ (Patch) ของซอฟต์แวร์และระบบปฏิบัติการที่ใช้ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ โดยเฉพาะช่องโหว่บน Citrix Application Delivery Controller (CVE-2019-19781) และช่องโหว่บน Pulse Secure VPN (CVE-2019-11510) รวมถึงระบบต่างๆ ภายในองค์กร ทั้งเครื่องคอมพิวเตอร์และอุปกรณ์เครือข่าย

 

10. กำหนดให้มีการเปลี่ยนรหัสผ่านของบัญชีผู้ใช้งานและผู้ดูแลระบบให้ยากต่อการคาดเดาอยู่สมํ่าเสมอ รวมถึงพิจารณาการใช้ระบบการยืนยันตัวตนด้วยหลายปัจจัย (Multi factor authentication)

 

11. ตรวจสอบบัญชีผู้ใช้งานที่มีพฤติกรรมการล็อกอินที่ผิดปกติ เช่น ล็อกอินนอกเวลางาน หรือล็อกอินจากต่างประเทศ (หากผู้ใช้ไม่ได้เดินทางไปต่างประเทศ) ซึ่งเหตุการณ์เหล่านี้อาจเกิดจาก Threat Actor สามารถเข้าควบคุมบัญชีได้

 

12. ตรวจสอบและยกเลิกบัญชีผู้ใช้งานที่เป็น Default ของระบบ บัญชีผู้ใช้งานที่น่าสงสัย และบัญชีผู้ใช้งานที่ไม่ได้ใช้งานแล้ว เพื่อลดความเสี่ยงที่Threat Actorจะอาศยับญั ชีเหล่าน้ันในการล็อกอินเพื่อโจมตีระบบ 

หน้า 18 หนังสือพิมพ์ฐานเศรษฐกิจ ฉบับที่ 3,682 วันที่ 27 - 29 พฤษภาคม พ.ศ. 2564

 

ข่าวที่เกี่ยวข้อง: