ผ่านมามีบริษัททางด้านไอทีที่น่าจะมีความรู้ และเครื่องมือระดับสูงในการป้องกันภัยคุกคาม พลาดท่าถูกมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตี เหตุการณ์นี้ได้แสดงให้เห็นว่าทุกบริษัทล้วนมีความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามได้เสมอ
[บทความนี้ตีพิมพ์เมื่อวันที่ 5 เมษายน 2564 เขียนโดยนักรบ เนียมนามธรรม คอลัมน์ Think Secure หนังสือพิมพ์กรุงเทพธุรกิจ]
คงไม่มีใครคาดคิดว่าบริษัททางด้านไอทีที่น่าจะมีความรู้ และเครื่องมือระดับสูงในการป้องกันภัยคุกคามจะพลาดท่าถูกมัลแวร์เรียกค่าไถ่ หรือแรนซัมแวร์โจมตี
แต่เมื่อไม่กี่วันที่ผ่านมาแทบทั้งโลกก็ต้องตะลึง หลังบริษัทผู้ผลิตคอมพิวเตอร์ชื่อดังจากไต้หวันออกมายอมรับว่า ถูกแรนซัมแวร์โจมตีสำเร็จซึ่งบริษัทนี้คนไทยส่วนใหญ่รู้จักและใช้คอมพิวเตอร์ที่เขาผลิตเสียด้วยครับ
เรื่องเริ่มจากกลุ่ม REvil นักเรียกค่าไถ่ไซเบอร์ได้ออกมาอ้างว่า ทางกลุ่มต้องการค่าไถ่ไม่น้อยกว่า 50 ล้านดอลลาร์จากบริษัทผู้ผลิตคอมพิวเตอร์ชื่อดังจากไต้หวันที่ตกเป็นเหยื่อ โดยราคานี้เป็นราคาที่กลุ่ม REvil รับได้ถ้าเหยื่อยอมจ่ายตามที่เรียกอย่างรวดเร็ว แต่ก็ถือเป็นค่าไถ่ที่แพงมากกว่าปกติอยู่ดีเพราะค่าไถ่สูงสุดที่กลุ่มนี้เรียกจากเหยื่อรายอื่นเมื่อเดือนที่ผ่านมายังอยู่ที่ 30 ล้านดอลลาร์
บทสนทนาระหว่างตัวแทนของบริษัทและกลุ่ม REvil ถูกเปิดเผยว่า มีการต่อรองให้ลดราคาค่าไถ่ลงมาประมาณ 20% ถ้าบริษัทยอมจ่ายเงินภายในวันที่กำหนด และถ้าไม่มีความคืบหน้าต่อจากนี้ภายใน 8 วัน จะต้องจ่ายค่าไถ่สูงขึ้นเป็นเงินถึง 100 ล้านดอลลาร์เลยทีเดียว
นี่คือวิธีการที่กลุ่ม REvil ใช้กระตุ้นให้บริษัทที่ตกเป็นเหยื่อร้อนรน หลังจากที่เจาะเข้าระบบของบริษัทที่ตกเป็นเหยื่อได้พวกเขาก็จะเริ่มสูบข้อมูลลับหรือข้อมูลสำคัญ จากนั้นก็เปิดประมูลเพื่อขายข้อมูลของเหยื่อที่ขโมยมาในเว็บใต้ดินของกลุ่มต่อ โดยจะมีการนำไฟล์ข้อมูลบางส่วนมาแสดงให้เห็นว่าข้อมูลที่ขโมยมามีฐานข้อมูลลูกค้าของบริษัท รวมถึงหมายเลขบัญชี และจำนวนเครดิตลิมิตของแต่ละรายอยู่ด้วย
บริษัทผู้ผลิตคอมพิวเตอร์แห่งนี้ไม่ได้กล่าวถึงเหตุการณ์ในครั้งนี้มากนัก มีเพียงคำแถลงอย่างเป็นทางการที่แจ้งว่า บริษัทมีการตรวจสอบระบบ IT Systems อย่างสม่ำเสมอ และการจู่โจมทางไซเบอร์นั้นยังคงถูกป้องกันได้ดี ซึ่งบริษัทมักตกเป็นเป้าหมายในการโจมตีอยู่บ่อยครั้ง จึงได้รายงานถึงสถานการณ์ที่ผิดปกติไปยังหน่วยงานทางกฎหมายที่เกี่ยวข้อง รวมถึงหน่วยงานคุ้มครองข้อมูลในหลายๆประเทศ
มีความเห็นจากผู้เชี่ยวชาญด้านการรักษาความปลอดภัยไซเบอร์ว่า ผู้ไม่หวังดีอาจจะมุ่งเน้นการโจมตีไปที่ Microsoft Exchange Server ของเหยื่อก็เป็นได้ ซึ่งอาจจะต้องใช้เวลานานกว่าจะสามารถเปิดเผยได้ว่าทาง REvil นั้นได้ใช้ช่องโหว่นี้เป็นช่องทางในการจู่โจมเข้ามายังระบบของบริษัทหรือไม่ ซึ่งมี Microsoft Exchange Server จำนวนไม่น้อยกว่า 125,000 เครื่องที่ยังคงมีช่องโหว่นี้อยู่ จึงมีความเป็นไปได้ที่เหตุการณ์ครั้งนี้จะเกิดจากช่องโหว่นี้
แม้จะยังไม่ทราบว่าสาเหตุจริงๆ เกิดจากอะไร แต่เหตุการณ์นี้ได้แสดงให้เราเห็นแล้วว่า แม้จะเป็นบริษัทที่ดำเนินธุรกิจด้านไอทีเองก็ไม่รอดเช่นกัน ทุกบริษัทล้วนมีความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามได้เสมอ
เพราะการใช้อุปกรณ์และระบบอันหลากหลาย ไม่สามารถรู้ได้เลยว่าวันใดระบบใดจะเกิดเป็นช่องโหว่ให้ภัยคุกคามเข้ามาในองค์กร ผมหวังว่าบริษัทของคุณจะให้ความสำคัญกับการตรวจสอบระบบ และเลือกเครื่องมือที่มีคุณภาพสูงมาใช้ ตลอดจนให้ความรู้พนักงานในบริษัทอยู่เป็นประจำนะครับ
————————————————————————————————————————————————————————
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 15 เม.ย.2564