ในวันนี้ ผมขอหยิบยกข่าวที่กำลังเป็นประเด็นร้อนในสหรัฐเกี่ยวกับกรณีที่เมืองแดลลัส (Dallas) รัฐเท็กซัส ถูกโจมตีจาก “Royal ransomware” ทำให้ต้องปิดระบบไอทีบางส่วนชั่วคราวเพื่อเป็นการสกัดการแพร่กระจายของการโจมตีในครั้งนี้
อย่างที่ทุกคนทราบกันดีว่า เมืองแดลลัส เป็นเมืองที่ใหญ่เป็นอันดับที่ 9 ของสหรัฐ มีประชากรประมาณ 2.6 ล้านคน ซึ่งจุดนี้เองน่าจะเป็นสาเหตุที่ให้เหล่าบรรดาแฮ็กเกอร์เลือกเมืองแดลลัสเป็นเป้าหมายในการโจมตี
โดยสื่อท้องถิ่นรายงานว่า ระบบการสื่อสารของตำรวจและระบบไอทีของเมืองถูกชัดดาวน์ เนื่องจากมีความสงสัยว่ามีการบุกโจมตีของแรนซัมแวร์
จากสถานการณ์นี้มีผลทำให้เจ้าหน้าที่ของ 911 ต้องจดบันทึกรายงานเหตุต่าง ๆ ที่ประชาชนแจ้งเข้ามาและส่งต่อให้กับเจ้าหน้าที่ที่เกี่ยวข้องแทนการส่งผ่านระบบสั่งการทางคอมพิวเตอร์โดยตรง และมีการปิดเว็บไซต์ของกรมตำรวจแดลลัสเพื่อความปลอดภัยก่อนกลับมาเปิดใช้งานอีกครั้งในเวลาต่อมา
นายกเทศมนตรีและสภาเทศบาลเมืองได้รับการแจ้งเหตุการณ์การโจมตีตามแผนการตอบสนองภัยคุกคาม (IRP) โดยเครื่องมือตรวจสอบความปลอดภัยของแดลลัสได้แจ้งเตือนไปยังศูนย์ปฏิบัติการความปลอดภัย (SOC) ว่ามีการโจมตีด้วยแรนซัมแวร์และได้รับการยืนยันว่าเซิร์ฟเวอร์จำนวนหนึ่งถูกแฮ็กซึ่งส่งผลกระทบต่อฟังก์ชันการทำงานต่าง ๆ รวมถึงเว็บไซต์กรมตำรวจอีกด้วย
โดยเจ้าหน้าที่ที่เกี่ยวข้องเร่งจัดการแยกแรนซัมแวร์เพื่อป้องกันการแพร่กระจาย เริ่มจากการลบแรนซัมแวร์ออกจากเซิร์ฟเวอร์ที่ติดไวรัสและกู้คืนบริการต่าง ๆ ที่ได้รับผลกระทบให้กลับมาใช้งานได้อย่างปกติ และในขณะเดียวกันเจ้าหน้าที่ก็เร่งประเมินผลกระทบทั้งหมดที่เกิดขึ้นกับประชาชน
กล่าวคือ หากประชาชนพบกับปัญหาเกี่ยวกับการให้บริการสามารถโทรติดต่อ 311 แต่ถ้าเป็นกรณีฉุกเฉินให้โทรติดต่อ 911 และมีผลกระทบกับระบบศาลของเมืองแดลลัสที่ต้องยกเลิกการพิจารณาคดีของคณะลูกขุนเพราะระบบไอทีใช้งานไม่ได้
มีรายงานเกี่ยวกับการออกปฏิบัติการของเหล่าบรรดาแฮ็กเกอร์พบว่า รัฐบาลท้องถิ่นถูกแรนซัมแวร์บุกโจมตีเพิ่มเรื่อย ๆ เฉลี่ยมากกว่า 1 ครั้งต่อสัปดาห์ และมีอย่างน้อย 29 เคสที่ถูกโจรกรรมแล้วในปีนี้ ซึ่งมี 16 เคสจาก 29 เคสถูกขโมยข้อมูล
ระบบเครือข่ายของเครื่องพิมพ์ในเมืองแดลลัสมีการพิมพ์ใบปลิวเรียกค่าไถ่ ซึ่งรูปภาพของใบปลิวเรียกค่าไถ่ที่แชร์กันทำให้สามารถยืนยันได้ว่าการโจมตีเป็นฝีมือของแก๊ง Royal ransomware ซึ่งเป็นกลุ่มย่อยของกลุ่มอาชญากรรมไซเบอร์ Conti ที่พึ่งเริ่มมีชื่อเสียงหลังจากกลุ่ม Conti หยุดการปฏิบัติการลง
Royal ได้ใช้ตัวเข้ารหัสของแรนซัมแวร์ตัวอื่น ๆ อย่าง ALPHV/BlackCat เพื่อหลีกเลี่ยงการเป็นจุดสนใจ และหลังจากนั้นจึงเริ่มเข้ารหัส Zeon เพื่อเปิดการโจมตีโดยการเจาะระบบเครือข่ายและใช้ช่องโหว่ในอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตโดยมักจะเปิดการโจมตีแบบ callback phishing
เพื่อเข้าถึงเครือข่ายองค์กรและทิ้งเบอร์โทรติดต่อกลับโดยการแอบอ้างเป็นผู้ให้บริการจัดส่งอาหาร และแบบที่ใช้ซอฟต์แวร์ในอีเมลหลอกลวงให้ต่ออายุสมาชิกซึ่งแทนที่จะมีลิงก์ไปยังเว็บไซต์ฟิชชิ่งแต่อีเมลดังกล่าวจะมีหมายเลขโทรศัพท์ที่เหยื่อสามารถติดต่อเพื่อยกเลิกการสมัครสมาชิกที่ถูกแอบอ้างได้
แต่ในความเป็นจริงแล้วหมายเลขโทรศัพท์เหล่านี้ได้เชื่อมต่อกับบริการของ Royal เรียบร้อยแล้ว โดยเมื่อเหยื่อโทรไปที่หมายเลขนั้น แฮ็กเกอร์จะโน้มน้าวให้เหยื่อติดตั้งซอฟต์แวร์การเข้าถึงระยะไกลซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายขององค์กรได้
ทั้งนี้ Royal จะเริ่มจากการขโมยข้อมูลในเครือข่ายก่อนที่จะเข้ารหัสอุปกรณ์และนำข้อมูลที่ขโมยมาขู่ว่าจะมีการเปิดเผยข้อมูลต่อสาธารณะหากเหยื่อไม่จ่ายเงินค่าไถ่
ตรงจุดนี้เองที่ทำให้ผมมองว่าแรนซัมแวร์ไม่มีวันที่จะจบลงง่าย ๆ เพราะนี่ถือเป็นการขู่กรรโชกแบบซ้ำซ้อน ฉะนั้นทางรอดเดียวขององค์กร คือ การจัดการให้ระบบมีความเสี่ยงที่ต่ำที่สุดทั้งในด้านของเทคโนโลยีและบุคลากรที่ต้องมีความรู้ความเข้าใจและหมั่นอัปเดตเกี่ยวกับเรื่องไซเบอร์ซีเคียวริตี้อยู่เป็นประจำสม่ำเสมอครับ
บทความโดย นักรบ เนียมนามธรรม
————————————————————————————————————————-
ที่มา : bangkokbiz / วันที่เผยแพร่ 22 พ.ค. 2566
Link : https://www.bangkokbiznews.com/tech/gadget/1069723
