ภาพตัวอย่าง: ขั้นตอนการเรียกค่าไถ่ของ Ransomware

คำนิยามของ Ransomware
Ransomeware จัดอยู่ในประเภทมัลแวร์ (Malware) รูปแบบหนึ่ง ที่อาชญากรไซเบอร์ หรือเหล่าแฮคเกอร์ใช้โจมตีข้อมูลไม่ไฟล์ต่างๆ หรือว่าจะเป็นหน้าจอคอมพิวเตอร์ของผู้ใช้งานทั่วไปหรือภายในองค์กร โดยพฤติกรรมของ Ransomware มักจะทำการ Lock file, desktop หรือทำ encryption file เพื่อไม่ให้เหยื่อเข้าใช้งานไฟล์ที่ถูก Lock ไว้ได้ จากนั้นจะมีข้อความเพื่อทำการเรียกค่าไถ่ข้อมูลที่ได้ Lock ไว้หากเหยื่อยินยอมจ่ายค่าไถ่แฮกเกอร์ก็จะปลดล็อคให้ หากไม่จ่ายเงินข้อมูลดังกล่าวก็อาจจะหายไปตลอดการ!

โดยส่วนใหญ่การที่จะตกเหยื่อของ Ransomware นั้นจะมีสาเหตุมาจากการที่ผู้ใช้งานดาวน์โหลดไฟล์ผ่านทางเว็บไซต์ที่ไม่น่าเชื่อถือและเป็นอันตราย เมื่อดาวน์โหลดมาแล้วกลับได้ Ransomware มาแทน ซึ่ง โดยหลักแล้ว Ransomware มักจะมุ่งเน้นโจมตีผ่านระบบปฏิบัติการ Microsoft Windows แต่ผลของการเข้า Lock ไฟล์นั้น สามารถกระจายไปยังที่เก็บข้อมูลต่างๆ ไม่ว่าจะเป็นใน PC, Servers, หรือ Cloud ก็โดนด้วย
แม้ว่าจะมีรายงานว่าผู้ใช้งานคอมพิวเตอร์ทั่วไปโดนโจมตี ในระยะหลังๆ Ransomware ได้ทำการเน้นโจมตีระดับ องค์กรมากขึ้นเนื่องด้วยความสามารถกำลังเงินในการจ่ายแหละ

ภาพตัวอย่าง: Ransomware ใน MS Word ที่โดนโจมตี

ตัวอย่าง Ransomware

  • WannaCry= เป็น Ransomware ที่ติดกันทั่วโลกกว่า 250,000 ราย โดยผู้สร้าง Ransomware ได้ใช้ช่องโหว่ของ Microsoft กว่าจะเจอวิธีแก้ก็กระอักกระอ่วมกันไป
  • CryptoLocker= เป็นหนึ่งในแรนซัมแวร์รุ่นแรกในยุคปัจจุบันที่ต้องใช้สกุลเงินดิจิทัลในการชำระเงิน (Bitcoin) และเข้ารหัสฮาร์ดไดรฟ์ของผู้ใช้และไดรฟ์เครือข่ายที่เชื่อมต่อ โดยแพร่กระจายผ่านทางอีเมลพร้อมไฟล์แนบที่อ้างว่าเป็นการแจ้งเตือนการติดตามของ FedEx และ UPS โดยเปิดตัว ณ 2014 มีรายงานว่าเรียกค่าไถ่กว่า 27 ดอลลาร์สหรัฐฯ
  • NotPetya= จะทำการแพร่กระจายและ encrypt ผ่าน master boot record ของ Microsoft Windows โดยช่องโหว่นั้นเป็นเดียวกันกับ WannaCry ซึ่ง NotPetya สร้างความเสียหายอย่างมาก โดยเรียกร้องให้เหยื่อจ่ายเป็น bitcoin และมีบางคนได้แจ้งว่า NotPetya ไม่สามารถกู้คืนได้เพราะติดที่ master boot record นั่นเอง
  • Bad Rabbit= ถือว่าเป็นลูกพี่ลูกน้องของ NotPetya และใช้โค้ดที่คล้ายกัน
  • REvil= ถูกเขียนขึ้นโดยกลุ่มผู้โจมตีที่มีแรงจูงใจทางการเงิน มีการเลือกเหยื่อที่รวยๆ หรือพอจะมีเงิน โดยจะทำให้ข้อมูลรั่วไหลออกมาก่อนเพื่อแบล็คเมล์เหยื่อ การแพร่กระจายผ่านช่องโหว่ของ management software อย่าง Kaseya ที่พวกเขาเองก็ออกมายอมรับ
  • Ryuk= โจมตีผ่านการ spear-phishing เหยื่อที่ได้ทำการดูลาดเลาและการคัดเลือกไว้แล้ว เมื่อเหยื่อเปิดไฟล์แนบ email ดังกล่าว ไฟล์ต่างๆจะถูกเข้ารหัสในทันที
 

ใครที่สามารถนำ Ransomware มาโจมตีเราได้บ้าง
ผู้โจมตีอาจจะสร้าง Ransomware เวอร์ชันของตนเอง โดยตัวแปรใช้ codebase จากเวอร์ชัน ransomware ที่มีอยู่ และปรับเปลี่ยนฟังก์ชันให้เพียงพอเพื่อเปลี่ยน payload และวิธีการโจมตี  จะเห็นได้ว่าผู้โจมตีสามารถปรับแต่ง ransomware เพื่อดำเนินการใด ๆ และใช้รหัสการเข้ารหัสที่ต้องการได้ ผู้โจมตีไม่ใช่ผู้ สร้าง ransomware เสมอไป เพราะ คนสร้าง ransomware บางคนขายซอฟต์แวร์ของตนให้กับผู้อื่นหรือให้เช่าเพื่อใช้งาน Ransomware สามารถเช่าเป็น malware-as-a-service (MaaS) ดังนั้นผู้โจมตีจึงไม่ใช่ผู้เข้ารหัสและผู้เชี่ยวชาญด้านมัลแวร์เสมอไป พวกเขายังเป็นบุคคลที่จ่ายเงินให้คนสร้าง Ransomware เพื่อซื้อหรือเช่านั่นเอง

ใครบ้างที่มีความเสี่ยง?
อุปกรณ์ใดๆ ที่เชื่อมต่อกับอินเทอร์เน็ตมีความเสี่ยงที่จะกลายเป็นเหยื่อของ เนื่องจากมันจะทำการ scan อุปกรณ์พื้นที่เก็บข้อมูล (storage) และอุปรกร์ที่เชื่อมต่อกับเครือข่าย network ซึ่งหมายความว่าอุปกรณ์ที่มีช่องโหว่จะทำให้ network ต่างๆ เช่น PC, Server, NAS และอื่นๆ  อาจจะไม่ปลอดภัยและสามารถโดน Ransomware โจมตี

ผลกระทบทางธุรกิจจาก Ransomware
ไฟล์ข้อมูลต่างๆ ความเสียหายมูลค่าไม่อาจนับได้ ขึ้นอยู่กับข้อมูลเพราะหากถูกเอาข้อมูลไปเปิดเผย ไม่ว่าจะเป็นข้อมูล, ผลิตภัณฑ์, ภาพลักษณ์, และ ความน่าเชื่อถือ ล้วนแล้วแต่เป็นสิ่งสำคัญในการขับเคลื่อนองค์กรทั้งสิ้น และเป็นเรื่องยากที่จะกู้ข้อมูลกลับมา

วิธีการป้องกันในแง่เทคนิค

  1. การสำรองข้อมูล (backup)= เหลือจะเชื่อ วิธีที่ดีที่สุดในการป้องกัน Ransomware ก็คือการ Backup ข้อมูล หากใครทำ Windows system restore points และ shadow copies นั่นอาจจะยังไม่เพียงพอเพราะกู้ข้อมูลได้แค่บางส่วน แนะนำให้ทำการ Backup ระบบแยกไว้ที่อื่นเช่นใส่ไว้ใน Cloud, ใน Tape, หรือ Storage ที่ไม่ได้มีการเชื่อมต่อกับระบบตลอดเวลา จะมีประสิทธิภาพสูงสุดและควรทำตามความเหมาะสมเช่น รายวัน, รายอาทิตย์, และ รายเดือน
  2. ให้ความรู้แก่พนักงาน= เช่นเดียวกับมัลแวร์อื่น ๆ แรนซัมแวร์มักจะแพร่กระจายผ่านไฟล์แนบในอีเมล์ การดาวน์โหลดไฟล์ต่างๆ และการท่องเว็บ องค์กรควรดำเนินการฝึกอบรมอย่างสม่ำเสมอเพื่อช่วยให้พนักงานหลีกเลี่ยงความเสี่ยงดังกล่าว
  3. ทำ access control เพื่อจำกัดการใช้งาน= Ransomware จะทำการโจมตีได้ก็เมื่อมีสิทธิเข้าถึง folder นั้นๆ เช่นเราสิทธิ์ไฟล์แชร์กับ user เฉพาะแค่อ่านเท่านั้น(Read Only) เจ้า Ransomware ก็ทำได้แค่พยามโจมตีแต่สิทธิ์ไม่เพียงพอ ดังนั้นไฟล์แชร์ดังกล่าวก็ไม่ถูกโจมตีนั่นเอง
  4. Update software= เมื่อมี Patch หรือมีการแจ้งเตือนต่างๆ จาก Window System, Antivirus หรือระบบต่างๆ เราควร update อย่างสม่ำเสมอเนื่องด้วยว่า การ update นั้นอาจจะเป็นการเพิ่ม Security หรือการปิดช่องโหว่ต่างๆที่ทางผู้ให้บริการได้ปล่อยออกมา ทำให้เราลดความเสี่ยงที่จะถูกโจมตีได้
  5. ลง Anti-Malware หรือ Security Product ต่างๆ= ในการตรวจจับ Ransomware นักพัฒนาได้ทำการสร้างเทคโนโลยีต่างๆ ในการป้องกันก่อนที่จะเข้ามาในระบบเนื่องด้วยว่า ไฟล์ที่เรา download จาก email หรือจาก internet จะถูก Scan แล้วทำการ Quarantine หรือ delete ทำให้เราหลุดจากวิถีพันนาการของ ransomware อย่างมีนัยยะ
    • การ filter ip จากผู้ส่ง email ที่ไม่น่าเชื่อถือทำให้ user ไม่ได้รับอีเมล์ของพวกอาชญากรเหล่านั้น
    • การ block file ที่เป็น zip จาก Email Security
  1. Network Security= เช่น Firewall ควรเปิดให้บุคคลเข้าใช้งานระบบเท่าที่จำเป็นในส่วนของ port เช่น RDP Port ไม่ควรเปิดให้ทำการ Remote เข้ามาได้ ทำการ Whitelist-Blacklist หรือ Web Filter Addon ช่วยในการลดความเสี่ยงได้อย่างมาก
 

ขั้นตอนในการตอบสนองเมื่อถูก Ransomware โจมตี

  • กำหนดว่าระบบใดได้รับผลกระทบ คุณต้องแยกระบบออกเพื่อไม่ให้กระทบต่อระบบอื่นที่เหลือ ขั้นตอนนี้เป็นส่วนหนึ่งของการกักกันที่จะลดการลุกลามของความเสียหาย
  • ตัดการเชื่อมต่อระบบ และปิดระบบหากจำเป็น เพราะเจ้า Ransomware แพร่กระจายอย่างรวดเร็วบนเครือข่าย ดังนั้นระบบใดๆ จะต้องถูกตัดการเชื่อมต่อโดยการปิดการเข้าถึงเครือข่าย network หรือปิดระบบ

(อย่าลืมทำ Snapshot ก่อนปิดระบบจะช่วยให้เรานำไปวิเคราะห์ในการหาว่าตำแหน่งที่ติดอยู่ตรงไหนและอาจนำไปถอดรหัส ransomware ได้อีกด้วย)

  • จัดลำดับความสำคัญของการกู้คืนระบบเพื่อให้สามารถกลับคืนสู่สภาวะปกติได้เร็วขึ้น โดยปกติ ลำดับความสำคัญจะขึ้นอยู่กับผลผลิตและผลกระทบต่อรายได้
  • กำจัดภัยคุกคามและช่องโหว่จากเครือข่าย ผู้โจมตีอาจใช้แบ็คดอร์ ดังนั้นการกำจัดต้องทำโดยผู้เชี่ยวชาญที่เชื่อถือได้ ผู้เชี่ยวชาญจำเป็นต้องเข้าถึงระบบต่างๆเพื่อให้การวิเคราะห์หาสาเหตุหลักและระบุช่องโหว่ รวมถึงระบบทั้งหมดที่ได้รับผลกระทบ เช่นว่า email ที่ส่ง Ransomware ก็ให้เราทำการ Delete หรือ Recall ไปให้หมด
  • ให้ผู้เชี่ยวชาญตรวจสอบระบบต่างๆ เพื่อการอัปเกรดความปลอดภัย เพราะเป็นเรื่องปกติที่เหยื่อเรียกค่าไถ่จะตกเป็นเป้าหมายในการโจมตีครั้งที่สอง หากไม่พบต้นตอหรือช่องโหว่

ที่มา:
https://us-cert.cisa.gov/ncas/tips/ST19-001

https://proofpoint.com/us/threat-reference/ransomware

https://insights.sei.cmu.edu/blog/ransomware-best-practices-for-prevention-and-response/

https://www.researchgate.net/figure/Schematic-diagram-of-attack-processes-of-ransomware_fig1_336268729

Leave a Reply

Your email address will not be published.