ถอดบทเรียนแรนซัมแวร์โจมตีบริษัทประกันแนะมาตรการป้องกัน

นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวถึงเหตุการณ์การโจมตีด้วยแรนซัมแวร์ล่าสุดและคำแนะนำสำหรับองค์กร ว่าการโจมตีการดำเนินงานด้านไอทีของบริษัทประกันภัยยักษ์ใหญ่ในประเทศสำคัญๆ ของภูมิภาคเอเชียตะวันออกเฉียงใต้ครั้งล่าสุดนี้ น่าเสียดายที่เป็นสิ่งที่ผู้เชี่ยวชาญของแคสเปอร์สกี้ได้แจ้งเตือนไว้เมื่อปีที่แล้วเป็นต้นมา

การโจมตีด้วยแรนซัมแวร์แบบกำหนดเป้าหมาย หรือ “Ransomware 2.0” กำลังกลายเป็นกระแสในโลกไซเบอร์อย่างรวดเร็วนับตั้งแต่กลุ่มเมซ (Maze) เป็นต้นมา กลุ่มแรนซัมแวร์อันตรายกำลังดำเนินการขโมยข้อมูลควบคู่ไปกับการแบล็กเมล์ โดยอาชญากรไซเบอร์จะใช้กลวิธีกดดันเหยื่อว่าจะเผยแพร่ข้อมูลที่ได้ขโมยมา ทำให้เหยื่อรายใหญ่ที่มีชื่อเสียงจำเป็นต้องจ่ายค่าไถ่เพื่อปกป้องชื่อเสียงอันมีค่าของตน

จากเหตุการณ์โจมตีหลายครั้งเมื่อเร็วๆ นี้ องค์กรและเอ็นเทอร์ไพรซ์ควรมองแรนซัมแวร์ใหม่ มิใช่เป็นแค่เพียงมัลแวร์ประเภทหนึ่ง เพราะในความเป็นจริง บ่อยครั้งที่แรนซัมแวร์เป็นเพียงขั้นตอนสุดท้ายของการละเมิดเครือข่าย เมื่อถึงเวลาที่แรนซัมแวร์ถูกนำไปใช้งานจริง ผู้โจมตีก็ได้ทำการลาดตระเวนเครือข่าย ระบุข้อมูลที่เป็นความลับ และขโมยข้อมูลออกไปเรียบร้อยแล้ว องค์กรและเอ็นเทอร์ไพรซ์จึงจำเป็นจะต้องปฏิบัติตามแนวทางที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ (cybersecurity best practices) และใช้เครื่องมือต่างๆ เพื่อปกป้องระบบแบบองค์รวม การระบุการโจมตีได้ในระยะเริ่มต้นก่อนที่ผู้โจมตีจะบรรลุเป้าหมายสุดท้ายนั้น จะสามารถรักษาข้อมูลที่มีค่า ชื่อเสียงและเงินจำนวนมากได้

ผู้เชี่ยวชาญของแคสเปอร์สกี้ ขอแนะนำมาตรการเพื่อปกป้องบริษัทจากแรนซัมแวร์ดังต่อไปนี้

• ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ
• ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร
• อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
• เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด
• สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน
• ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิคและขั้นตอนต่างๆ อยู่เสมอ
• ใช้โซลูชั่นด้านความปลอดภัย เช่น as Kaspersky Endpoint Detection and Response และ Kaspersky Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่นๆ
• ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร
• ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตรายและเรียกคืนระบบได้
• ในกรณีที่เกิดการโจมตีให้ขอความช่วยเหลือ หน่วยงานบังคับใช้กฎหมายและบริษัทเอกชนอย่างเช่น แคสเปอร์สกี้ สามารถช่วยในการสอบสวนทางนิติวิทยาศาสตร์และการตอบสนองหลังการโจมตีได้

Kaspersky Endpoint Security สามารถตรวจจับและบล็อกมัลแวร์อะแวดดอน (Avaddon) ด้วยเทคโนโลยี Behavior Detection ตลอดจนเครื่องมือสแกนและการตรวจจับบนคลาวด์ มัลแวร์นี้มีชื่อการตรวจจับที่แตกต่างกันซึ่งรวมถึง:

• PDM:Trojan.Win32.Generic
• Trojan-Ransom.Win32.Avaddon
• HEUR:Trojan-Ransom.Win32.Generic

ข่าวที่เกี่ยวข้อง

แฮกข้อมูลกลุ่ม AXA ขายในตลาดมืด

พบกลุ่มแรนซัมแวร์จ้องโจมตีองค์กรอาเซียน 

ส่องภัยไซเบอร์อาเซียนปี 64