3 มีนาคม 2563 | โดย นักรบ เนียมนามธรรม | คอลัมน์ THINKSECURE
เปิดเบื้องหลัง เมื่อองค์กรใหญ่รายหนึ่งถูกจู่โจมด้วยวิธีการส่ง “อีเมลหลอกลวง” ที่ซับซ้อน (Spear-phishing) จนทำให้เกิดผลกระทบกับการผลิตและกำไรของบริษัทในเวลาต่อมา
การจู่โจมด้วยแรนซัมแวร์เริ่มกลับมาแพร่หลายอีกครั้ง
เชื่อหรือไม่ว่า แม้องค์กรจะวางระบบรักษาความปลอดภัยทางไซเบอร์ดีอย่างไร ระบบนั้นก็จะถูกเจาะเข้ามาได้ หากองค์กรไม่ได้ให้ความสำคัญกับการให้ความรู้บุคลากรที่ทำงานในองค์กร
ไม่นานมานี้หน่วยงานด้านความมั่นคงทางด้านไซเบอร์ซิเคียวริตี้ และโครงสร้างทางด้านไซเบอร์ซิเคียวริตี้ ได้แจ้งเตือนไปยังหน่วยงานสำคัญๆ ทางด้านสาธารณูปโภคเกี่ยวกับการเรียกค่าไถ่ทางไซเบอร์ หรือแรนซัมแวร์ตัวใหม่ที่อาจก่ออันตรายให้กับองค์กร
การแนะนำนี้เกิดขึ้นหลังจากที่บริษัททางด้านพลังงานธรรมชาติถูกจู่โจมด้วยวิธีการส่งอีเมลหลอกลวงที่ซับซ้อน (Spear-phishing) ซึ่งได้แนบแรนซัมแวร์ หรือก็คือมัลแวร์เรียกค่าไถ่โดยการเข้ารหัสไฟล์ข้อมูล ไปยังระบบเครือข่ายภายในของบริษัท และเข้ารหัสข้อมูลสำคัญๆ รวมถึงทำให้เซิร์ฟเวอร์หลายๆ ตัวไม่สามารถที่จะทำงานได้เป็นเวลาเกือบสองวันเลยทีเดียว
การจู่โจมด้วยแรนซัมแวร์นี้ได้เริ่มกลับมาแพร่หลายอีกครั้งพร้อมด้วยการยกระดับความถี่ในการโจมตี รวมถึงขยายผลการจู่โจมให้ใหญ่ขึ้นเรื่อยๆ
หน่วยงานดังกล่าวพบว่า การจู่โจมนั้นไม่ได้กระทบกับระบบควบคุม (PLCs) และเหยื่อที่โดนจู่โจมยังสามารถควบคุมระบบปฏิบัติการได้อยู่ แต่ผลจากเหตุการณ์นี้ก็ทำให้ทางบริษัทพิจารณาว่าสมควรที่จะปิดระบบ จนทำให้เกิดผลกระทบกับการผลิตและกำไรของบริษัทในเวลาต่อมา
ซึ่งผลกระทบนั้นกระทบเฉพาะกับระบบที่เป็น Windows-based Systems และอุปกรณ์ต่างๆ ที่ตั้งอยู่ ณ สถานที่ที่ถูกโจมตีเท่านั้น และทางบริษัทสามารถที่จะฟื้นฟูการโจมตีครั้งนี้ด้วยการเปลี่ยนอุปกรณ์ที่ถูกโจมตีออก และใส่การตั้งค่าเข้าไปใหม่
อย่างไรก็ดีการแจ้งเตือนยังไม่ได้ระบุรายละเอียดมากนัก และนี่ไม่ใช่ครั้งแรกที่มีการใช้ลิงก์หลอกลวงส่งมาพร้อมกับแรนซัมแวร์ ผู้เชี่ยวชาญในเรื่องนี้ได้มีการเปิดเผยว่า ในเดือน มิ.ย. ปีที่ผ่านมา มีพนักงานเปิดอีเมลที่น่าจะเป็นอีเมลหลอกลวง และดาวโหลดมัลแวร์ที่ทำการขโมย
โดยมัลแวร์ที่ทำการขโมยข้อมูลนั้นเปรียบเสมือนพาหะนำพา TrickBot Trojan และ Ryuk Ransomeware ตามมาอีกด้วย ภัยคุกคามในครั้งนี้ทำให้บริษัทต้องพิจารณาวิธีการจัดการกับภัยคุกคามที่ส่งผลกระทบกับระบบปฏิบัติการณ์ใหม่ รวมถึงวิธีการสำรองข้อมูลและความพร้อมในการรับมือ หากระบบต้องปิดตัวลงก็จะต้องมีวิธีในการรับมือ หรือวางแผนสำรองกับเหตุการณ์แบบนี้ต่อไป
อีกด้านหนึ่งของการป้องกันภัยคุกคามจากช่องทางอีเมลนั้น ส่วนใหญ่มาจากการจู่โจมแบบระบุไปที่ผู้ใช้งานหรือบุคคลก่อน ทำให้เห็นได้ว่าควรจะมีการป้องกันการจู่โจมโดยหาระบบป้องกันอีเมลหลอกลวงจากการใช้วิธีจู่โจมโดยอาศัยเทคนิคจิตวิทยาทางสังคม(Social Engineering) ที่เข้ามายังกล่องจดหมายของเป้าหมายและเพิ่มในเรื่องของการอบรมให้กับบุคลากรมีความรู้ในเรื่องเหล่านี้ให้มากยิ่งขึ้น
การให้ความรู้พนักงาน (Security Awareness) และการตระหนักถึงภัยไซเบอร์ที่จะเข้ามาทำร้ายองค์กร จึงจำเป็นต้องมีการฝึกอบรมเสมอเหมือนการซ้อมหนีไฟ และเพื่อที่ให้มีความรู้เท่าทันกับภัยต่างๆ ที่จะเกิดขึ้นในอนาคต และจะส่งผลกระทบกับองค์กรรวมถึงตัวพนักงานเองด้วย
เรื่องนี้ประเทศของเรายังขาดให้ความรู้กับบุคลากรเป็นอย่างมาก โดยเฉพาะหน่วยงานของรัฐและองค์กรขนาดใหญ่ โดยความรู้และความเข้าใจเทคโนโลยีของบุคลากรนั้นมีความแตกต่างกันเป็นอย่างมากทำให้เกิดช่องว่างหรือ Security Gap ซึ่งเป็นจุดที่ทำให้เหล่าบรรดาผู้ไม่ประสงค์ดีใช้ช่องว่างเหล่านี้มาหาผลประโยชน์ได้ครับ
—————————————————
ที่มา : กรุงเทพธุรกิจ / 3 มีนาคม 2563
Link : https://www.bangkokbiznews.com/news/detail/868851