Ransomware เป็นมัลแวร์ประเภทหนึ่ง เป็นตัวอันตรายที่มักจะโจมตีข้อมูลสำคัญองค์กรเพื่อเรียกค่าไถ่ โดยวิธีการจะหลอกล่อเอาข้อมูลสำคัญส่วนตัวของผู้ใช้ (Phishing) ผ่านอีเมล ลิงค์ไฟล์ ลิงค์เว็บ เมื่อผู้ใช้เปิดไฟล์แนบที่เป็นอันตราย แฮกเกอร์ก็สามารถเข้าถึงข้อมูลสำคัญขององค์กรได้ โดยเริ่มจากการแทรกซึมผ่าน Software ที่แฮกเกอร์สร้างขึ้นก่อน แล้วค่อยๆ เข้าไปใน User ของผู้ใช้งานผ่านระบบปฏิบัติการและแอปพลิเคชันบนเครื่องหรือบนเครือข่ายและแพร่กระจายออกไปทั่วทั้งองค์กร
เมื่อไฟล์ถูกเข้ารหัสโดย Ransomware ไฟล์เหล่านั้นจะถูกจับเป็นตัวประกัน ผู้ใช้ต้องจ่ายค่าไถ่ก่อนที่จะสามารถเข้าถึงไฟล์เหล่านั้นได้อีกครั้ง มิฉะนั้นข้อมูลจะสูญหายตลอดไป โดยจะมีการส่งโน๊ตเรียกค่าไถ่ให้สัญญาว่าจะส่งมอบกุญแจถอดรหัสข้อมูลให้เราหลังจากได้รับการชำระเงินค่าไถ่แล้ว แต่ไม่มีการรับประกันใด ๆ ว่าแฮกเกอร์จะให้กุญแจถอดรหัสจริง ๆ หรือเปล่า แต่ภายใต้สถานการณ์เช่นนี้วิธีสุดท้ายในการกู้คืนข้อมูลอาจเป็นการกู้คืนจากสำเนาสำรองก่อนหน้าที่จะถูกโจมตี
ปัจจุบัน Ransomware มีการพัฒนาอย่างต่อเนื่องและความเสี่ยงตอนนี้ก้าวไปไกลกว่าการเข้ารหัสข้อมูล กำลังกลายเป็นภัยคุกคามที่น่ากลัวและยังมี Ransomware บางตัวที่รู้จักกันดีว่าสามารถเข้าไปแก้ไขข้อมูลได้อีกด้วย ทีนี้มาลองดูกันดีกว่ากว่า หากเครื่องเราหรือบริษัทเราโดน Ransomware โจมตี สิ่งใดต้องทำเป็นลำดับต้น ๆ
-
ตัดการเชื่อมต่อทุกอย่าง
ไม่ว่าจะเป็นอินเทอร์เน็ตผ่านสาย Lan , WiFi , Bluetooth , NFC รวมทั้งการเชื่อมต่อแบบอัตโนมัติผ่านอุปกรณ์อื่น ๆ เพื่อลดการแพร่กระจายของ Ransomware ในทันที
- กำหนดขอบเขตของการติดเชื้อ อุปกรณ์ใดเคยเชื่อมต่อบ้าง
การกำหนดขอบเขต จะเป็นการแยกอุปกรณ์ที่ติดมัลแวร์ ออกจากอุปกรณ์ที่ยังปลอดภัย ไม่ว่าจะเป็น อุปกรณ์จัดเก็บข้อมูลเครือข่ายทุกชนิด (NAS) ฮาร์ดไดรฟ์ภายนอก (External Harddrive) อุปกรณ์เก็บข้อมูล USB ทุกชนิด (USB Stick ,Memory Sttick, Smartphone รวมทั้งกล้องต่าง ๆ ที่เคยเชื่อมต่อกับคอมที่ติดเชื้อ) นอกจากนี้ ที่เก็บข้อมูลบนคลาวด์อย่าง DropBox, Google Drive, OneDrive ก็มีโอกาสที่มัลแวร์จะไปซ่อนตัวอยู่ได้เช่นกัน
- เปลี่ยนรหัสผ่านบัญชีต่าง ๆ ทันที
หลายคนอาจเข้าใจ Ransomware ล็อคไฟล์ให้จ่ายเงินเพียงอย่างเดียว แต่จริง ๆ แล้วมันอาจขโมยข้อมูลส่วนตัวหรือข้อมูลสำคัญการล็อกอินบัญชีต่าง ๆ ไม่ว่าจะเป็นอีเมล บัญชีบริษัท หรือบัญชีอื่น ๆ ไปก่อนหน้านี้แล้ว ฉะนั้นหากรู้ว่าโดนโจมตี ให้รีบเปลี่ยนรหัสผ่านทันที
- ติดต่อหน่วยงานบังคับใช้กฎหมายในพื้นที่ของคุณและรายงานการโจมตี
ขั้นตอนนี้เป็นขั้นตอนที่สำคัญที่ต้องให้หน่วยงานงานบังคับใช้กฎหมายในพื้นที่เข้ามาตรวจสอบและสืบสวนหาตัวผู้กระทำความผิดต่อไป
- ตรวจสอบชนิดของ Ransomware เพื่อหาเครื่องมือปลดล็อค
ปัจจุบันมีเครื่องมือปลดล็อคจากหน่วยงานกลางอย่าง EUROPOL ผ่านเว็บไซต์ nomoreransom.org ซึ่งแยกชนิดของ Ransomware ออกมาเกือบ 200 ชนิด ซึ่งเราจำเป็นต้องตรวจสอบชนิดของ Ransomware ก่อนโหลดมาใช้
แนวทางในการป้องกัน Ransomware
ปัญหา Ransomware หรือมัลแวร์เรียกค่าไถ่นั้นเป็นสิ่งที่สร้างความเสียหายต่อการทำงานเป็นอย่างมาก โดยเฉพาะหากเกิดขึ้นกับระบบที่ใช้ในการทำธุรกิจ ที่ผ่านมาทางไทยเซิร์ตได้มีการเผยแพร่ข้อมูลแนวทางการป้องกันและรับมือมัลแวร์เรียกค่าไถ่สำหรับบุคคลทั่วไป เช่น การสำรองข้อมูลอยู่เป็นประจำ การอัปเดตซอฟต์แวร์และแอนติไวรัสอย่างสม่ำเสมอ รวมถึงการสังเกตลิงก์หรือไฟล์แนบอีเมลที่ผิดปกติ เป็นต้น
การป้องกันมัลแวร์เรียกค่าไถ่ภายในองค์กร โดยเบื้องต้นควรมีการพิจารณาระดับความสำคัญและรูปแบบวิธีการปกป้องระบบของแต่ละส่วนงาน เนื่องจากลักษณะการใช้งานคอมพิวเตอร์ของแต่ละส่วนงานมีความแตกต่างกัน ไม่สามารถใช้วิธีการป้องกันหรือนโยบายเดียวให้ครอบคลุมทั้งองค์กรได้ ตัวอย่างเช่น ส่วนงานพัฒนาระบบจำเป็นต้องได้รับสิทธิในการติดตั้งและใช้งานเครื่องมือเฉพาะ ส่วนงาน HR จำเป็นต้องเปิดไฟล์แนบที่มากับอีเมล ส่วนงานการเงินจำเป็นต้องใช้ Macro ใน Microsoft Office ซึ่งหากถูกบล็อกไม่ให้ใช้งานอาจมีผลกระทบต่อการทำงานได้ คอมพิวเตอร์ของผู้บริหารก็จำเป็นต้องมีกระบวนการป้องกันในอีกรูปแบบ ผู้ดูแลระบบต้องพิจารณาว่าระบบใดควรใช้มาตรการป้องกันแบบใด หรือหากป้องกันไม่ได้เพราะจำเป็นต้องเปิดให้ใช้งาน ก็ต้องหามาตรการในการตรวจสอบความผิดปกติให้เร็วที่สุด
ปัจจุบัน มีเทคนิค หรือ รูปแบบการป้องกันมัลแวร์เรียกค่าไถ่ Anti-Ransomware อยู่หลายรูปแบบ ก็ยังไม่สามารถที่จะป้องกันได้ 100% และ Ransomware เองก็มีการพัฒนาอย่างต่อเนื่อง ดังนั้นการป้องกันจะต้องมีการเพิ่มหรือรูปแบบการป้องกันในทุกส่วน และส่วนที่สำคัญที่สุดอีกส่วนนึงคือ ข้อมูลที่องค์กรได้ทำการสำรองไว้ป้องกันกรณีที่ไฟล์สูญหาย หรือ ไฟล์หลักถูกมัลแวร์เรียกค่าไถ่ ก็สามารถนำข้อมูลที่สำรองไว้กลับมาใช้ได้ แต่ถ้าข้อมูลที่สำรองไว้มีมัลแวร์เรียกค่าไถ่ถูกฝังตัวอยู่ การนำข้อมูลสำรองกลับมาใช้ ก็ยังคงความอันตรายและผลเสียอยู่เช่นเดิม
จากรูปจะเห็นได้ว่า แฮกเกอร์ ได้พุ่งเป้ามาโจมตี ระบบสำรองข้อมูลมากขึ้น เนืองจากการระบบสำรองข้อมูลเป็นทางเลือกและทางออกในการป้องกันมัลแวร์เรียกค่าไถ่ เพราะถ้าการสำรองข้อมูลทำอยู่เป็นประจำ ข้อมูลหลักและข้อมูลสำรอง ก็จะมีข้อมูลที่ใกล้เคียงกันและเป็นข้อมูลที่ใหม่เสมอ การนำข้อมูลสำรองกลับขึ้นมาใช้ก็จะทำให้ได้ข้อมูลที่ใกล้เคียงมากที่สุด
ดังนั้น แฮกเกอร์ จึงพุ่งเป้ามาโจมตีระบบสำรองข้อมูลด้วย ทาง แทนเจอรีน ได้นำเสนอรูปแบบการป้องกันมัลแวร์สำหรับระบบสำรองข้อมูล ให้กับลูกค้า ด้วย Technology ของ Dell Technologies ที่ชื่อว่า “Dell PowerProtect Cyber Recovery”
ใน Solution ของ Dell PowerProtect Cyber Recovery จะมีการแยก Isolate network สำหรับการเก็บข้อมูลสำรองออกมา 1 ชุด โดยใช้ Technology “Air Gap” ในการ Sync ข้อมูลที่จะ Backup ออกไปเก็บใน Cyber Recovery Vault และสร้างสำเนา และล๊อคไฟล์ข้อมูลนั้น และทำการ Scan และ Analyze ด้วย CyberSense ข้อมูลที่ทำการสำรองว่ามีภัยคุกคามอยู่หรือไม่ เพื่อความปลอดภัยในการ Recovery file ที่จะนำกลับมาใช้
ประสบการณ์ของทาง บริษัท แทนเจอรีน จำกัด ในด้าน Data Protection Solution และ Cyber Security Solution และเป็น Business Partner ระดับสูงกับทาง Dell Technologies ทางบริษัทฯ จึงมีความพร้อม ให้คำปรึกษา แนะนำ และนำเสนอ Solution ในด้านการป้องกันภัยคุกคามด้าน Cyber และ Data Protection พร้อมทีมงานผู้เชี่ยวชาญที่คอยสนับสนุน ให้คำปรึกษา
หากต้องการคำปรึกษาเกี่ยวกับ โซลูชัน Cyber Recovery
สามารถติดต่อได้ที่อีเมล marketing@tangerine.co.th หรือ 02-285-5511 ได้ทันที
