Ransomware ภัยร้ายไซเบอร์ขององค์กรแห่งปี 2023

#SecurityUpdate | Ransomware ภัยร้ายไซเบอร์ขององค์กรแห่งปี 2023

ขณะที่โลกกำลังเปลี่ยนผ่านจากอนาล็อกสู่ดิจิทัล นอกจากการพัฒนาทางเทคโนโลยีต่าง ๆ สิ่งที่เติบโตขนานไปในอีกมุมของโลกดิจิทัล ก็คืออัตราการเกิดอาชญากรรมทางไซเบอร์ และบรรดามิจฉาชีพที่ผันตัวสู่การเป็นอาชญากรไซเบอร์มากขึ้น เห็นได้จากข่าวการโจมตีทางไซเบอร์ที่เริ่มขยายตัวสู่ธุรกิจที่เกี่ยวข้องกับสาธารณูปโภค และองค์กรรัฐหลายแห่งในโลก ด้วยการใช้ Ransomware แบบใหม่ที่ถูกพัฒนาให้ร้ายแรง และสามารถทำลายข้อมูลสำคัญได้ หากองค์กรนั้น ๆ ไม่ปฎิบัติตามคำขู่ของอาชญากร

Ransomware คืออะไร?

Ransomware มาจากคำว่า Ransom + Malware หมายถึง มัลแวร์เรียกค่าไถ่ มัลแวร์ชนิดนี้เป็นมัลแวร์ที่ค่อนข้างอันตราย มีหลักการทำงานคือ เมื่อเข้าสู่ระบบคอมพิวเตอร์แล้ว จะมีการล็อก หรือเข้ารหัสไฟล์ ทำให้ไม่สามารถเข้าถึงได้ พร้อมทั้งส่งข้อความเรียกค่าไถ่ไปให้กับเจ้าของข้อมูล เพื่อให้จ่ายค่าไถ่แลกกับการเข้าถึงไฟล์ หรือป้องกันไม่ให้ถูกนำไฟล์ออกไปขายในตลาดมืด หรือทำลายทิ้งอย่างถาวร โดยค่าไถ่ที่เจ้าของข้อมูลต้องจ่ายมักอยู่ในรูปแบบของสกุลเงินดิจิทัล เช่น บิทคอยน์ เป็นต้น

Ransomware ส่งผลกระทบอย่างไร

แรนซัมแวร์เป็นมัลแวร์ที่สามารถสร้างความเสียงหายอย่างรุนแรงให้กับองค์กร และตัวบุคคลได้ เนื่องจากความสามารถของมัลแวร์ประเภทนี้ที่จะมีการเข้ารหัสข้อมูล อาจทำให้ระบบการทำงานบริษัทต้องหยุดชะงักไป และต้องใช้เวลาในการกู้คืนข้อมูล และอุปกรณ์ต่าง ๆ เป็นเวลานาน ยิ่งหากบริษัทไม่ได้มีการแบ็กอัปข้อมูลไว้อย่างสม่ำเสมอ ก็อาจทำให้ข้อมูลบางส่วนหายไปได้เช่นกัน และหากองค์กรไม่ยอมจ่ายค่าไถ่เพื่อแลกกับข้อมูลที่ถูกเข้ารหัสไว้ ข้อมูลเหล่านั้นก็อาจเสียหาย ถูกลบไปอย่างถาวร หรือถูกนำไปขายต่อในตลาดมืด จนทำให้องค์กรเกิดความเสียหาย สูญเสียความเชื่อมั่น และชื่อเสียง ซึ่งยากต่อการจะเรียกคืน

Ransomware โจมตีอย่างไร

เช่นเดียวกับมัลแวร์ชนิดอื่น ๆ แรนซัมแวร์สามารถแทรกซึมเข้ามาภายในคอมพิวเตอร์ หรือระบบเครือข่ายได้จากพฤติกรรมที่ขาดความระมัดระวัง ได้แก่

• การเข้าสู่เว็บไซต์ที่น่าสงสัย หรือไม่น่าเชื่อถือ

• การเปิดอีเมล หรือดาวน์โหลดไฟล์จากแหล่งที่มาที่ไม่รู้จัก หรือไม่น่าเชื่อถือ

• การคลิกที่ลิงก์อันตรายที่แนบมากับอีเมล หรือปรากฎอยู่บนเว็บไซต์ และโซเชียลมีเดีย

โดยเมื่อแรนซัมแวร์เข้าโจมตีคอมพิวเตอร์หรือระบบเครือข่าย ไฟล์บางส่วนอาจถูกเข้ารหัส ถูกซ่อน หรือย้ายไปอยู่ที่อื่น ซึ่งทำให้ค้นหาไม่เจอ นอกจากนี้แรนซัมแวร์ยังอาจเปลี่ยนชื่อ รูปร่างไอคอนให้แตกต่างไปจากเดิม เลวร้ายที่สุดคือคุณจะไม่สามารถเข้าสู่ระบบคอมพิวเตอร์ได้ จากนั้นก็จะมีหน้าต่างป็อบอัพขึ้นมาเพื่อแจ้งกับเจ้าของอุปกรณ์ให้จ่ายเงินค่าไถ่เพื่อปลดล็อกไฟล์

วิธีรับมือเมื่อถูก Ransomware โจมตี

การโจมตีด้วย Ransomware สามารถเกิดขึ้นได้ทุกเมื่อ โดยส่วนใหญ่แล้ว Ransomware จะสามารถเข้าถึงข้อมูล หรือระบบเครือข่ายขององค์กรได้ผ่านช่องโหว่เพียงเล็กน้อย ความประมาทเลินเล่อของพนักงานในองค์กร หรือ API ที่ไม่ปลอดภัย และนี่คือวิธีการรับมือกับการถูกโจมตีโดย Ransomware

1. เก็บข้อมูล และหลักฐานการโจมตีให้ได้มากที่สุด

หากพบเห็นการโจมตีทางไซเบอร์ ควรรีบเก็บรายละเอียดเกี่ยวกับการโจมตี เช่น ข้อความเรียกค่าไถ่ หรือสกุลไฟล์ที่มีลักษณะแปลก ๆ โดยอาจใช้โทรศัพท์ถ่ายภาพเก็บไว้ให้ได้มากที่สุด

2. ปิดอุปกรณ์ที่ถูกโจมตีทันที

วิธีที่ดีที่สุดในการป้องกันการแพร่กระจายของแรนซัมแวร์ภายในองค์กร คือ การปิดเครื่อง ด้วยปุ่มปิดเครื่อง และดึงปลั๊กออก ทั้งนี้หากมีการเสียบสายแลนไว้ก็ควรดึงออกด้วย โดยควรทำหลังจากที่คุณเก็บข้อมูล และหลักฐานเรียบร้อยแล้ว

3. ตัดการเชื่อมต่อกับอุปกรณ์บนเครือข่าย

ในกรณีอุปกรณ์ของคุณมีการเชื่อมต่อกับเครือข่าย และอุปกรณ์อื่น ๆ หลังจากปิดอุปกรณ์ที่โดนโจมตีแล้วควรรีบตัดการติดต่ออุปกรณ์หรือเครือข่ายทั้งหมดด้วย เพื่อไม่ให้แรนซัมแวร์แพร่กระจายไปยังอุปกรณ์ชิ้นอื่น โดยเรียงลำดับจากอุปกรณ์ที่จัดเก็บข้อมูลที่มีมูลค่าสูงที่สุดอย่างระบบเซิร์ฟเวอร์ หรือซูเปอร์คอมพิวเตอร์ ไปจนถึงอุปกรณ์สื่อสารทั่วไป วิธีนี้จะช่วยลดความเสี่ยงที่จะสูญเสียข้อมูลสำคัญลงได้

4. เปลี่ยนรหัสผ่านที่สำคัญ

แรนซัมแวร์บางชนิดนอกจากจะจำกัดการเข้าถึงข้อมูลแล้ว ยังอาจมีการขโมยรหัสผ่านที่สำคัญด้วย ฉะนั้นเมื่อปิดอุปกรณ์ที่เชื่อมต่อกับเครือข่ายที่โดนโจมตีแล้ว ควรรีบหาทางเปลี่ยนรหัสผ่านให้เร็วที่สุด โดยเริ่มจากบัญชีที่มีความสำคัญมากที่สุดก่อน และอย่าให้คล้าย หรือใกล้เคียงกับรหัสผ่านเดิม เพื่อป้องกันไม่ให้คาดเดารหัสผ่านได้ง่าย

นอกจากนี้สิ่งที่สำคัญที่สุดในเมื่อถูกโจมตีจาก Ransomware คือ ห้ามจ่ายเงินค่าไถ่ให้กับแฮ็กเกอร์ไม่ว่าจะด้วยกรณีใดก็ตาม เนื่องจากไม่มีอะไรที่สามารถรับรองได้ว่าเมื่อจ่ายเงินค่าไถ่แล้วจะสามารถเข้าถึงข้อมูลที่ถูกเข้ารหัสได้หรือไม่ และไม่มีทางทราบได้เลยว่ามิจฉาชีพจะมีการคัดลอกข้อมูลสำคัญเพื่อนำไปขายในตลาดมืดหรือไม่

Ransomware ป้องกันได้อย่างไร

แม้ว่าการถูกโจมตีจาก Ransomware จะเป็นสิ่งที่ไม่สามารถป้องกันได้ทั้งหมด แต่การป้องกันที่ดีจะช่วยลดโอกาสการถูกโจมตีได้ โดยองค์กรต่าง ๆ ควรปฏิบัติตามวิธีดังต่อไปนี้

1. หมั่นอัปเดตระบบของอุปกรณ์อย่างสม่ำเสมอ

เนื่องจากระบบของอุปกรณ์ต่าง ๆ จะมีการเพิ่มเติมมาตรการความปลอดภัยให้ทันสมัยอยู่เสมอ การอัปเดตอุปกรณ์ก็คือการสร้างความปลอดภัย

2. แบ็กอัปข้อมูลอย่างสม่ำเสมอ

การถูกโจมตีด้วย ransomware มีโอกาสอย่างมากที่ข้อมูลสำคัญจะสูญหายอย่างถาวร ดังนั้นเพื่อป้องกันไม่ให้ข้อมูลเสียหาย หรือสูญหาย ควรหมั่นแบ็กอัปอย่างสม่ำเสมอ โดยสามารถแบ็กอัปในอุปกรณ์จัดเก็บข้อมูลอื่น ๆ หรือบนคลาวด์ จะดีที่สุด

3. จำกัดการเข้าสู่ระบบ

ยิ่งมีจำนวนคนเข้าถึงข้อมูลสำคัญยิ่งน้อย ก็ยิ่งสร้างความปลอดภัยได้มากขึ้น ดังนั้นผู้มีส่วนเกี่ยวข้องควรจำกัดจำนวนคน และให้มีแต่ผู้ที่เกี่ยวข้องกับข้อมูลเท่านั้นที่สามารถเข้าถึงได้ นอกจากนี้ยังควรจำกัดการเข้าไม่ให้บ่อยจนเกินไป โดยอาจใช้ระบบ Ticket เข้ามาเพื่อใช้อนุญาตผู้ที่เกี่ยวข้องให้เข้าถึงข้อมูลในแต่ละครั้ง วิธีนี้จะช่วยป้องกันความปลอดภัย และจำกัดความเสี่ยงได้

4. ใช้โปรแกรมป้องกันไวรัส และมัลแวร์

โปรแกรมแอนตี้ไวรัสเป็นปราการด่านแรกที่สามารถช่วยดักจับในกรณีที่มีไฟล์ หรือโปรแกรมที่น่าสงสัยเข้ามาภายในอุปกรณ์ได้ โดยบางโปรแกรมจะสามารถดักจับได้ทั้งมัลแวร์ปกติ และแรมซัมแวร์

5. เปิดการยืนยันตัวหลายขั้นตอน

การยืนยันตัวก่อนเข้าสู่ระบบหลายขั้นตอนเป็นวิธีสร้างความปลอดภัยที่ดี โดยเฉพาะการยืนยันตัวที่ต้องมีการใส่รหัสที่จะส่งไปยังอีเมล์ หรือข้อความ ก็จะช่วยให้ระบบ และอุปกรณ์ต่าง ๆ มีความปลอดภัยมากขึ้น

6. ใช้ passphrases

passphrases เป็นอีกหนึ่งตัวช่วยด้านความปลอดภัยที่ได้รับความนิยมมากขึ้น โดยในปัจจุบันบางเว็บไซต์ หรือบางโปรแกรมจะมีการสร้าง passphrases ให้กับผู้ใช้เพื่อจดจำ และนำไว้ใช้ในกรณีที่ลืมรหัสผ่าน โดยรหัสดังกล่าวมักจะเป็นชุดคำศัพท์ที่จะต้องอาศัยการจดบันทึกเท่านั้น จึงจะสามารถจำได้หมด

7. ลดการใช้ Macros

Macros คือชุดคำสั่งอัตโนมัติบนอุปกรณ์ที่ใช้ในการทำงาน หรือจัดการระบบต่าง ๆ แม้จะสะดวกสบาย แต่ก็เสี่ยงต่อการที่ระบบจะถูกโจมตีได้เช่นกัน ดังนั้นหากไม่มีความจำเป็นควรลดการใช้ Macro จะดีที่สุด

นอกจากนี้สิ่งที่สำคัญที่สุดก็คือองค์กรควรสร้าง Security Awareness ให้เกิดขึ้นในองค์กร เพื่อให้พนักงานตระหนักรู้ถึงเรื่องความปลอดภัยมากขึ้น ปลูกฝังให้มีสำนึกร่วมในการเฝ้าระวังความปลอดภัยทางไซเบอร์ให้กับองค์กร และระมัดระวังในการใช้อุปกรณ์ทุกชนิดที่ต้องเชื่อมต่อกับเครือข่ายขององค์กร เพื่อไม่ให้เกิดช่องโหว่ที่จะเปิดโอกาสให้อาชญากรไซเบอร์เข้าโจมตีได้

ขอบคุณข้อมูลจาก Australian Cyber Security Center