ทำความรู้จัก Ransomware ประเภท “หนอนไถพรวน (Ransomworm)”
ภัยคุกคามที่น่ากลัวของมัลแวร์เรียกค่าไถ่ ที่เกิดขึ้นอย่างต่อเนื่อง ทำให้หลายฝ่ายที่มีบทบาทในวงการรักษาความปลอดภัยไซเบอร์พากันออกมาให้คำแนะนำแก่ผู้ใช้ ล่าสุด Fortinet แนะนำองค์กรและผู้ใช้งานคอมพิวเตอร์ให้ลงมือป้องกันภัยไซเบอร์แรนซัมแวร์ประเภทต้องการเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่าเพ็ทยา (Petya) ที่กำลังแพร่คุกคามในองค์กรและหลายอุตสาหกรรมทั่วโลกในขณะนี้ ซึ่งรวมถึง ระบบการขนส่งรายใหญ่ ธนาคารและองค์กรด้านพลังงาน
Petya เป็นภัยแรนซัมแวร์ประเภท “หนอนไถพรวน” ที่เราเรียกกันว่า “Ransomworm” ที่อาศัยใช้ประโยชน์จากการที่แฝงอยู่ในระบบอย่างเงียบๆ แล้ว โจมตีในโอกาสที่เหมาะสม หนอนไถพรวนนี้ได้รับการออกแบบให้เคลื่อนที่ข้ามระบบต่างๆ ได้โดยอัตโนมัติแทนที่จะอยู่ในที่ที่เดียว และดูเหมือนว่าหนอนไถพรวน Petya นี้ได้ใช้ช่องโหว่ที่มีอยู่ที่คล้ายคลึงกันกับการโจมตี Wannacry ที่เกิดขึ้นล่าสุด
Petya นี้แตกต่างจากวอนนาครายตรงที่วอนนาครายจะเข้ารหัสไฟล์ในคอมพิวเตอร์และเรียกค่าไถ่ แต่ Petya จะเข้ารหัสส่วนหนึ่งของฮาร์ดไดร้ฟที่ส่งผลทำให้คอมพิวเตอร์ทั้งหมดไม่สามารถทำงานได้ ทั้งนี้ เป้าหมายการโจมตีครั้งนี้และมีความเสี่ยงมากคือ ผู้ที่ใช้ระบบแบบเดิมและเก่ารวมถึงโครงสร้างพื้นฐานที่สำคัญต่างๆ
นอกจากการอัปเดทระบบโดยทันทีแล้ว ยังมีขั้นตอนอื่นๆ ที่องค์กรและบุคคลต่างๆ ควรใช้เพื่อป้องกันตนเอง ดังนี้:
สำหรับฝ่ายไอที:
- ทำสำรองไฟล์ข้อมูลที่อยู่ในระบบที่สำคัญๆ ไว้ และให้ทำสำรองไฟล์แบบออฟไลน์
- ตรวจสอบให้แน่ใจว่าท่านมีดิสก์และการตั้งค่าของระบปฏิบัติการที่เป็นมาตรฐานชั้นเยียม เพื่อให้ท่านมีความมั่นใจในเวลาที่ต้องนำเดสท้อปกลับมาใช้ใหม่
- ลงมือใช้แพ้ทช์ปิดช่องโหว่นั้น
- ตรวจสอบให้แพ้ทช์ทันสมัยอยู่ตลอดเวลา
สำหรับผู้ใช้งาน:
- อย่าเปิดไฟล์ที่มาจากแหล่งที่ท่านไม่รู้จัก
สำหรับการปฏิบัติการด้านความปลอดภัย:
- ใช้ Signature ยืนยันตัวบุคคล ใช้แอนตี้ไวรัส
- ใช้คุณสมบัติด้านความปลอดภัยแซนบ๊อกซิ่ง (Sandboxing) ตรวจสอบไฟล์ที่แนบมาทางอีเมล์
- ใช้วิธีการตรวจตราด้วยการสังเกตพฤติกรรม (Behavior-based detections)
- ใช้อุปกรณ์ไฟร์วอลล์ และที่ไฟร์วอลล์ ให้ตรวจสอบเหตุการณ์ที่เกิดขึ้นที่ Command & Control
- จัดการแยกส่วน (Segment) เพื่อป้องกันไม่ให้แรนซัมแวร์นั้นแพร่กระจายไปในเครือข่าย และทำสำรองข้อมูลที่ได้เข้ารหัสไว้แล้วนั้นด้วย
- ตรวจสอบให้แน่ใจว่า โปรแกรมควบคุมเครื่องคอมพิวเตอร์ระยะไกลที่มากับวินโดวส์(Remote Desktop Protocol) นั้นปิดอยู่และ / หรือมีการตรวจสอบสิทธิ์อย่างถูกต้อง หรือไม่เช่นนั้น ให้จำกัดไม่ให้มีการเปิดเดสท้อปในระยะไกลได้อย่างเสรี
ข้อแนะนำทั่วไป:
- ถ้าเครือข่ายของท่านเกิดติดภัยนี้แล้ว อย่าจ่ายค่าไถ่
- ติดต่อหน่วยงานที่มีความน่าเชื่อถือ และแบ่งปันข้อมูลของท่าน เช่น ตำรวจ เพื่อให้ความช่วยเหลือแก่ผู้อื่นๆ โดยรวม ในการวิเคราะห์ จำกัดภัยและแก้ไขการโจมตีที่เกิดขึ้น
นอกจากนี้ ท่านสามารถดูภัยเรียกค่าไถ่ที่เกิดขึ้นทั้งหมดและรับคำแนะนำอื่นๆ ได้ที่ http://blog.fortinet.com/2017/06/27/new-ransomware-follows-wannacry-exploits