Ransomware สามารถป้องกันได้หรือไม่ ? ทุกๆ วันผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่ามี ransomware ตัวใหม่กว่า 200,000 ตัว ซึ่งหมายความว่าแต่ละนาทีจะมีมาไม่น้อยกว่า 140 ตัวที่สามารถหลีกเลี่ยงการตรวจจับ และสร้างความเสียหายได้
Ransomware คืออะไร?
ransomware เป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่พบบ่อย และอันตรายที่สุดในปัจจุบัน โดยส่งผลเสียต่อบุคคลและธุรกิจ
ในบทความนี้ เราจะอธิบายว่า ransomware คืออะไร มันทำงานอย่างไร วิธีป้องกัน และทำอย่างไรหากถูกโจมตี นอกจากนี้สถิติล่าสุดของตัวอย่าง ransomware จะแสดงให้เห็นถึงข้อเท็จจริงที่จะทำให้คุณเข้าใจว่า ransomware มันเกิดขึ้นมาได้อย่างไร
Ransomware เป็นมัลแวร์ที่มีความซับซ้อน (และมีความอันตราย) สามารถเข้ารหัสข้อมูลเครื่องคอมพิวเตอร์คุณทั้งหมด ซึ่งรวมถึงอุปกรณ์มือถือ และบล็อกไม่ให้คุณสามารถใช้งานได้ หลังจากที่โดนโจมตีด้วย ransomware ผู้ที่ตกเป็นเหยื่อจะได้รับข้อความแจ้งว่าต้องจ่ายเงินจำนวนหนึ่ง (โดยปกติเป็น Bitcoins) เพื่อรับคีย์ถอดรหัส โดยปกติจะมีการจำกัดเวลาในการชำระเงินด้วย ถ้าไม่ชำระภายในเวลาที่กำหนดผู้โจมตีจะลบคีย์ถอดรหัส ทำให้ไม่สามารถใช้ไฟล์ของคุณได้อีกต่อไป ไม่มีอะไรการันตีว่าแม้ว่าเหยื่อจ่ายเงินเรียกค่าไถ่แล้วจะได้ไฟล์ข้อมูลเดิมกลับคืนมา
มีขั้นตอนทำงานอย่างไร?
Ransomware ทุกตัวมีพฤติกรรมที่แตกต่างกัน โดยแบ่งออกเป็น 2 ประเภท 1. locker ransomware ล็อกผู้ใช้งานออกจากระบบปฏิบัติการ ทำให้ไม่สามารถเข้าถึงเดสก์ท็อป และแอปหรือไฟล์ใดๆ ได้ 2. Encrypting ransomware ใช้อัลกอริธึมการเข้ารหัสขั้นสูง และออกแบบมาเพื่อบล็อกไฟล์ระบบ
อย่างไรก็ตามผลลัพธ์ที่ได้จะเหมือนกันเสมอคือ ล็อคไฟล์หรือระบบ จากนั้นจึงเรียกค่าไถ่สำหรับการกู้คืน
และตอนนี้เราจะมาเล่าขั้นตอนการทำงานของ ransomware โดยละเอียด
- ปล่อยไวรัส และการแฝงตัว
อาชญากรไซเบอร์มองหาวิธีที่ง่ายที่สุดในการส่ง ransomware เข้าระบบหรือเครือข่าย ใช้แบ็คดอร์เพื่อกระจายข้อมูล โดยวิธีที่ใช้บ่อยมีดังนี้
- ฟิชชิ่งอีเมล์ ข้างในจะมีลิงก์หรือไฟล์แนบที่เป็นอันตราย
- ช่องโหว่ความปลอดภัยของซอฟต์แวร์ที่ใช้งาน ที่ยังไม่ได้รับการป้องกันหรือแก้ไข
เรามีตัวช่วยอยากนำเสนอได้แก่ตัว Panda Patch Management ที่สามารถอัปเดตตัวซอฟท์แวร์ต่างๆ บนเครื่องของคุณได้มากกว่า 100 ซอฟท์แวร์ด้วยการคลิกไม่กี่ครั้งสามารถขอทดลองใช้ได้ฟรี - การ redirect ไปยังเว็บไซต์น่าสงสัยต่างๆ
- เว็บไซต์ที่ดูน่าเชื่อถือตรวจสอบได้ แต่แฝงโค้ดที่เป็นอันตรายแทรกในหน้าเว็บ
- โฆษณาต่างๆ ที่แฝงด้วยมัลแวร์ต้องสงสัย
- ข้อความ SMS (เมื่อเป้าหมายอยู่ที่มือถือ);
- ช่องโหว่ Remote Desktop Protocol ที่หละหลวม
2. สแกนระบบเครือข่าย
เครื่องที่ติดมัลแวร์จะถูกสั่งให้สแกนระบบเครือข่ายเพื่อค้นหาข้อมูล และช่องทางที่สามารถเข้าถึงข้อมูลสำคัญของเหยื่อได้
3. เริ่มขั้นตอนการโจมตี
แอบขโมยข้อมูลส่วนตัว หรือข้อมูลลับ
Ransomware ใช้ประโยชน์จากการกรองข้อมูล เพื่อหาข้อมูลทางธุรกิจที่ละเอียดอ่อน หรือข้อมูลส่วนตัวความลับต่างๆ ที่ไม่ควรให้คนอื่นทราบก่อนเข้ารหัส อาชญากรไซเบอร์สามารถเปิดเผยข้อมูลสำคัญบริษัทสู่สาธารณะได้หากไม่มีการจ่ายค่าไถ่ หรือยอมจ่ายเพื่อเก็บความลับของข้อมูล
ทำลายข้อมูลสำรองของคุณ
Ransomware จะค้นหาข้อมูลสำรองเพื่อทำลายมันก่อนที่จะเข้ารหัสข้อมูล มัลแวร์ประเภทนี้สามารถค้นหา ข้อมูลสำรองตามนามสกุลไฟล์ และข้อมูลที่จัดเก็บไว้ในระบบคลาวด์ก็อาจมีความเสี่ยงเช่นกัน
เข้ารหัสข้อมูล
Ransomware เป็นการผสมผสานระหว่างการเข้ารหัสกับมัลแวร์ ransomware ใช้การเข้ารหัสคีย์สาธารณะ (คีย์สาธารณะหนึ่งชุด และคีย์ส่วนตัวหนึ่งคีย์) เพื่อเข้ารหัส และถอดรหัสไฟล์จากการใช้งานโดยไม่ได้รับอนุญาต กุญแจถูกสร้างขึ้นโดยเฉพาะสำหรับเหยื่อแต่ละราย และใช้งานได้หลังจากจ่ายค่าไถ่แล้วเท่านั้น
แทบเป็นไปไม่ได้เลยที่จะถอดรหัสไฟล์ที่ถูกกักไว้เพื่อเรียกค่าไถ่โดยไม่ต้องเข้าถึงคีย์ส่วนตัว อย่างไรก็ตาม ransomware บางประเภทสามารถถอดรหัสได้จากตัว ransomware decryptors
เรียกค่าไถ่
ทุกอย่างเกิดขึ้นภายในเวลาเพียงไม่กี่วินาที
หน้าจอของ Bitcoin โผล่ขึ้นมาอย่างไม่ทราบสาเหตุ และการเข้ารหัสที่มีความซับซ้อนนี้เปลี่ยน ransomware จากภัยคุกคามที่ก่อกวนในโลกไซเบอร์ให้กลายเป็นเครื่องทำเงินเต็มรูปแบบ โดยปกติผู้โจมตีจะเรียกค่าไถ่เป็น Bitcoin เพราะหน่วยงานต่างๆ ไม่สามารถสืบหาตัวได้นั้นเอง
เป้าหมายการโจมตีหลัก
อาชญากรไซเบอร์รู้ว่าบริษัทและองค์กรต่าง ๆ ทำกำไรได้มากกว่าผู้ใช้งานตามบ้านทั่วไป ดังนั้นพวกเขาจึงไล่ตามเป้าหมายใหญ่เช่น กรมตำรวจ สภาเมือง โรงเรียน และโรงพยาบาล ธุรกิจที่ยอมจ่ายค่าไถ่เพิ่มขึ้นเป็น 26% ในปี 2020 และเพิ่มขึ้นเป็น 32% ในปี 2021
สถิติน่าสนใจ
Ransomware ตัวแรกปี 1989 ที่กระจายผ่านฟลอปปีดิสก์พร้อมค่าไถ่ 3,000 บาท ปัจจุบันค่าไถ่อยู่ที่ประมาณ 30 ล้านบาท นี่คือสถิติบางส่วนที่จะช่วยให้คุณเข้าใจภัยคุกคามของ Ransomware
- ครึ่งปีแรกของปี 2021 มีการโจมตีแรนซัมแวร์เพิ่มขึ้นสองเท่าเมื่อเทียบกับปี 2020
- การขโมยข้อมูล และปล่อยข้อมูลออก เพื่อที่จะเรียกค่าไถ่ได้ถึง 2 ครั้ง (จ่ายครั้งแรกเอาไฟล์กลับมา และจ่ายเพื่อไม่ให้ข้อมูลรั่วไหล)
- สหรัฐอเมริกาตกเป็นเหยื่อถึง 54.9% เป็นเป้าหมายอันดับต้น ๆ สำหรับการโจมตี
ถ้าแบ่งตามอุตสาหกรรมภาคธุรกิจต่างๆ รัฐบาล เจอกับภัยคุกคามทางไซเบอร์ปี 2021 มากกว่าอุตสาหกรรมอื่นๆ ประมาณ 10 เท่าตามด้วยสถานศึกษาและ โรงพยาบาล
Ransomware สามารถป้องกันได้หรือไม่ ?
เราสามารถทำได้โดยอยากแนะนำวิธีป้องกันดังนี้
- ควรหลีกเลี่ยงลิงก์และไฟล์แนบที่ไม่น่าเชื่อถือ
- อัปเดทซอฟต์แวร์ของคุณให้ทันสมัยอยู่เสมอ
- จำกัดสิทธิในการใช้งาน
- VPN เป็นสิ่งสำคัญสำหรับการใช้ WiFi สาธารณะ
- ใช้ซอฟต์แวร์รักษาความปลอดทางไซเบอร์
- การแบ่งเครือข่ายกระจายออกมาเป็นหลายๆ ส่วน
- สำรองข้อมูล และมีการเข้ารหัสข้อมูลที่ใช้งานอย่างสม่ำเสมอ
- แนะนำข้อมูลให้ผู้ใช้งานในบริษัท (ครอบครัว) ให้ทราบถึงวิธีการใช้งานอย่างปลอดภัยบนโลกไซเบอร์
เมื่อถูกโจมตีควรทำอย่างไร ?
คุณควรมีแผนรับมือเหตุการณ์ที่ไม่คาดฝัน และแนวทางปฏิบัติสำหรับผู้ใช้งานหากคุณมีสิ่งนี้ คุณจะทราบว่าแต่ละคนมีบทบาทอะไร และใครควรได้รับแจ้งข้อมูลเช่น คู่ค้า และผู้ขายในกรณีที่มีการโจมตี ดังนั้นการกู้ข้อมูลให้กลับมาได้เร็ว และทำให้ธุรกิจเดินต่อได้โดยที่เสียหายน้อยที่สุดควรทำอย่างไร ?
แยกกลุ่มออกจากระบบ
หากระบบของคุณติด Ransomware ขั้นตอนแรกคือแยกกลุ่มเครื่องที่โดนโจมตีออกจากเครือข่ายที่เหลือทันที
ระบุประเภท
ดูว่าเป็น ransomware ประเภทใดที่โจมตีเข้ามาเครือข่ายของคุณ
รายงาน
ติดต่อหน่วยงานที่รับผิดชอบเกี่ยวกับเรื่องกฏหมาย PDPA เพื่อหลีกเลี่ยงการถูกปรับ
ลบ
หากคอมพิวเตอร์ของคุณถูกล็อค ให้เปิดในเซฟโหมดและติดตั้งโปรแกรมป้องกันมัลแวร์เพื่อลบ Ransomwareจากนั้นใช้เครื่องมือถอดรหัสแรนซัมแวร์จาก NO MORE RANSOM สิ่งคุณควรทราบการลบมัลแวร์จะไม่ได้เป็นการถอดรหัสไฟล์ ดังนั้นแม้ว่าคุณจะลบ ransomware ออกไปไฟล์ก็ยังคงถูกเข้ารหัสเหมือนเดิม
ฟื้นตัว
กู้คืนข้อมูลคืนจากแหล่งสำรองข้อมูลของคุณ การจ่ายค่าไถ่ย่อมไม่ใช่ทางออกที่ถูกต้องเพราะไม่มีอะไรการันตีว่าจะได้คีย์มาจริง
Cloud Backup Solution หมดห่วงปัญหาเรื่่องข้อมูล
ไม่ว่าคุณจะใช้เครื่องส่วนตัว หรือเครื่องบริษัท ถ้าคุณมี Cloud Backup Solution เช่นตัว BigMIND บนเครื่องหมดห่วงเรื่องข้อมูลหายเนื่องจากระบบ cloud ออกแบบมาให้ใช้งานได้ง่ายเพียงแค่ติดตั้ง software และตั้งค่าการใช้งานจากนั้นระบบจะทำการ back up ให้โดยอัตโนมัติ คุณสามารถดึงข้อมูลส่วนตัวของคุณกลับมาได้ตลอดเวลา
พร้อมฟังก์ชั่นด้านอำนวยความสะดวก เช่น จัดหมวดหมู่ข้อมูลไฟล์ตามประเภท, ตัวกรองข้อมูลตามเงื่อนไข (filter), การแชร์ข้อมูลภายในทีมหรือสู่ภายนอก
Credit https://heimdalsecurity.com/blog/ransomware/