Ransomware เป็นมัลแวร์ประเภทหนึ่ง เป็นตัวอันตรายที่มักจะโจมตีข้อมูลสำคัญองค์กรเพื่อเรียกค่าไถ่ โดยวิธีการจะหลอกล่อเอาข้อมูลสำคัญส่วนตัวของผู้ใช้ (Phishing) ผ่านอีเมล ลิงค์ไฟล์ ลิงค์เว็บ เมื่อผู้ใช้เปิดไฟล์แนบที่เป็นอันตราย แฮกเกอร์ก็สามารถเข้าถึงข้อมูลสำคัญขององค์กรได้ โดยเริ่มจากการแทรกซึมผ่าน Software ที่แฮกเกอร์สร้างขึ้นก่อน แล้วค่อยๆ เข้าไปใน User ของผู้ใช้งานผ่านระบบปฏิบัติการและแอปพลิเคชันบนเครื่องหรือบนเครือข่ายและแพร่กระจายออกไปทั่วทั้งองค์กร
เมื่อไฟล์ถูกเข้ารหัสโดย Ransomware ไฟล์เหล่านั้นจะถูกจับเป็นตัวประกัน ผู้ใช้ต้องจ่ายค่าไถ่ก่อนที่จะสามารถเข้าถึงไฟล์เหล่านั้นได้อีกครั้ง มิฉะนั้นข้อมูลจะสูญหายตลอดไป โดยจะมีการส่งโน๊ตเรียกค่าไถ่ให้สัญญาว่าจะส่งมอบกุญแจถอดรหัสข้อมูลให้เราหลังจากได้รับการชำระเงินค่าไถ่แล้ว แต่ไม่มีการรับประกันใด ๆ ว่าแฮกเกอร์จะให้กุญแจถอดรหัสจริง ๆ หรือเปล่า แต่ภายใต้สถานการณ์เช่นนี้วิธีสุดท้ายในการกู้คืนข้อมูลอาจเป็นการกู้คืนจากสำเนาสำรองก่อนหน้าที่จะถูกโจมตี
ปัจจุบัน Ransomware มีการพัฒนาอย่างต่อเนื่องและความเสี่ยงตอนนี้ก้าวไปไกลกว่าการเข้ารหัสข้อมูล กำลังกลายเป็นภัยคุกคามที่น่ากลัวและยังมี Ransomware บางตัวที่รู้จักกันดีว่าสามารถเข้าไปแก้ไขข้อมูลได้อีกด้วย ทีนี้มาลองดูกันดีกว่ากว่า หากเครื่องเราหรือบริษัทเราโดน Ransomware โจมตี สิ่งใดต้องทำเป็นลำดับต้น ๆ
1. ตัดการเชื่อมต่อทุกอย่าง
ไม่ว่าจะเป็นอินเทอร์เน็ตผ่านสาย Lan , WiFi , Bluetooth , NFC รวมทั้งการเชื่อมต่อแบบอัตโนมัติผ่านอุปกรณ์อื่น ๆ เพื่อลดการแพร่กระจายของ Ransomware ในทันที
2. กำหนดขอบเขตของการติดเชื้อ อุปกรณ์ใดเคยเชื่อมต่อบ้าง
การกำหนดขอบเขต จะเป็นการแยกอุปกรณ์ที่ติดมัลแวร์ ออกจากอุปกรณ์ที่ยังปลอดภัย ไม่ว่าจะเป็น อุปกรณ์จัดเก็บข้อมูลเครือข่ายทุกชนิด (NAS) ฮาร์ดไดรฟ์ภายนอก (External Harddrive) อุปกรณ์เก็บข้อมูล USB ทุกชนิด (USB Stick ,Memory Sttick, Smartphone รวมทั้งกล้องต่าง ๆ ที่เคยเชื่อมต่อกับคอมที่ติดเชื้อ) นอกจากนี้ ที่เก็บข้อมูลบนคลาวด์อย่าง DropBox, Google Drive, OneDrive ก็มีโอกาสที่มัลแวร์จะไปซ่อนตัวอยู่ได้เช่นกัน
3. เปลี่ยนรหัสผ่านบัญชีต่าง ๆ ทันที
หลายคนอาจเข้าใจ Ransomware ล็อคไฟล์ให้จ่ายเงินเพียงอย่างเดียว แต่จริง ๆ แล้วมันอาจขโมยข้อมูลส่วนตัวหรือข้อมูลสำคัญการล็อกอินบัญชีต่าง ๆ ไม่ว่าจะเป็นอีเมล บัญชีบริษัท หรือบัญชีอื่น ๆ ไปก่อนหน้านี้แล้ว ฉะนั้นหากรู้ว่าโดนโจมตี ให้รีบเปลี่ยนรหัสผ่านทันที
4. ติดต่อหน่วยงานบังคับใช้กฎหมายในพื้นที่ของคุณและรายงานการโจมตี
ขั้นตอนนี้เป็นขั้นตอนที่สำคัญที่ต้องให้หน่วยงานงานบังคับใช้กฎหมายในพื้นที่เข้ามาตรวจสอบและสืบสวนหาตัวผู้กระทำความผิดต่อไป
5. ตรวจสอบชนิดของ Ransomware เพื่อหาเครื่องมือปลดล็อค
ปัจจุบันมีเครื่องมือปลดล็อคจากหน่วยงานกลางอย่าง EUROPOL ผ่านเว็บไซต์ nomoreransom.org ซึ่งแยกชนิดของ Ransomware ออกมาเกือบ 200 ชนิด ซึ่งเราจำเป็นต้องตรวจสอบชนิดของ Ransomware ก่อนโหลดมาใช้
แนวทางในการป้องกัน Ransomware
ปัญหา Ransomware หรือมัลแวร์เรียกค่าไถ่นั้นเป็นสิ่งที่สร้างความเสียหายต่อการทำงานเป็นอย่างมาก โดยเฉพาะหากเกิดขึ้นกับระบบที่ใช้ในการทำธุรกิจ ที่ผ่านมาทางไทยเซิร์ตได้มีการเผยแพร่ข้อมูลแนวทางการป้องกันและรับมือมัลแวร์เรียกค่าไถ่สำหรับบุคคลทั่วไป เช่น การสำรองข้อมูลอยู่เป็นประจำ การอัปเดตซอฟต์แวร์และแอนติไวรัสอย่างสม่ำเสมอ รวมถึงการสังเกตลิงก์หรือไฟล์แนบอีเมลที่ผิดปกติ เป็นต้น
การป้องกันมัลแวร์เรียกค่าไถ่ภายในองค์กร โดยเบื้องต้นควรมีการพิจารณาระดับความสำคัญและรูปแบบวิธีการปกป้องระบบของแต่ละส่วนงาน เนื่องจากลักษณะการใช้งานคอมพิวเตอร์ของแต่ละส่วนงานมีความแตกต่างกัน ไม่สามารถใช้วิธีการป้องกันหรือนโยบายเดียวให้ครอบคลุมทั้งองค์กรได้ ตัวอย่างเช่น ส่วนงานพัฒนาระบบจำเป็นต้องได้รับสิทธิในการติดตั้งและใช้งานเครื่องมือเฉพาะ ส่วนงาน HR จำเป็นต้องเปิดไฟล์แนบที่มากับอีเมล ส่วนงานการเงินจำเป็นต้องใช้ Macro ใน Microsoft Office ซึ่งหากถูกบล็อกไม่ให้ใช้งานอาจมีผลกระทบต่อการทำงานได้ คอมพิวเตอร์ของผู้บริหารก็จำเป็นต้องมีกระบวนการป้องกันในอีกรูปแบบ ผู้ดูแลระบบต้องพิจารณาว่าระบบใดควรใช้มาตรการป้องกันแบบใด หรือหากป้องกันไม่ได้เพราะจำเป็นต้องเปิดให้ใช้งาน ก็ต้องหามาตรการในการตรวจสอบความผิดปกติให้เร็วที่สุด
ปัจจุบัน มีเทคนิค หรือ รูปแบบการป้องกันมัลแวร์เรียกค่าไถ่ Anti-Ransomware อยู่หลายรูปแบบ ก็ยังไม่สามารถที่จะป้องกันได้ 100% และ Ransomware เองก็มีการพัฒนาอย่างต่อเนื่อง ดังนั้นการป้องกันจะต้องมีการเพิ่มหรือรูปแบบการป้องกันในทุกส่วน และส่วนที่สำคัญที่สุดอีกส่วนนึงคือ ข้อมูลที่องค์กรได้ทำการสำรองไว้ป้องกันกรณีที่ไฟล์สูญหาย หรือ ไฟล์หลักถูกมัลแวร์เรียกค่าไถ่ ก็สามารถนำข้อมูลที่สำรองไว้กลับมาใช้ได้ แต่ถ้าข้อมูลที่สำรองไว้มีมัลแวร์เรียกค่าไถ่ถูกฝังตัวอยู่ การนำข้อมูลสำรองกลับมาใช้ ก็ยังคงความอันตรายและผลเสียอยู่เช่นเดิม
จากรูปจะเห็นได้ว่า แฮกเกอร์ ได้พุ่งเป้ามาโจมตี ระบบสำรองข้อมูลมากขึ้น เนืองจากการระบบสำรองข้อมูลเป็นทางเลือกและทางออกในการป้องกันมัลแวร์เรียกค่าไถ่ เพราะถ้าการสำรองข้อมูลทำอยู่เป็นประจำ ข้อมูลหลักและข้อมูลสำรอง ก็จะมีข้อมูลที่ใกล้เคียงกันและเป็นข้อมูลที่ใหม่เสมอ การนำข้อมูลสำรองกลับขึ้นมาใช้ก็จะทำให้ได้ข้อมูลที่ใกล้เคียงมากที่สุด
—————————————————————————————————————————————–
ที่มา : techhub / วันที่เผยแพร่ 28 ก.ย.2564
Link : https://www.techhub.in.th/checklist-to-do-in-case-of-ransomware-attack/
