ประกาศแจ้งเตือนภัย: แรนซัมแวร์ DEVMAN

ประกาศแจ้งเตือนภัย แรนซัมแวร์ DEVMAN

ประกาศแจ้งเตือนภัย: แรนซัมแวร์ DEVMAN
สายพันธุ์ใหม่จากกลุ่ม DragonForce – ระวังการโจมตีในประเทศไทย

เรียน ลูกค้าผู้ใช้งาน WatchGuard Endpoint Security ในประเทศไทยทุกท่าน

จากรายงานล่าสุดที่เผยแพร่โดย EnTech Review เมื่อวันที่ 7 กรกฎาคม 2568 ได้มีการค้นพบแรนซัมแวร์สายพันธุ์ใหม่ชื่อ DEVMAN ซึ่งเป็นผลงานของกลุ่มแฮกเกอร์ DragonForce ที่มีประวัติเกี่ยวข้องกับการโจมตีแบบ Ransomware-as-a-Service (RaaS) แรนซัมแวร์ตัวนี้มุ่งเป้าโจมตีผู้ใช้งานในภูมิภาคเอเชียและแอฟริกา โดยมีรายงานผู้ได้รับผลกระทบแล้วเกือบ 40 รายในระยะเวลาอันสั้น โดยเฉพาะผู้ใช้งาน Windows 10 และ Windows 11 ที่ขาดการอัปเดตแพตช์ความปลอดภัยหรือไม่มีมาตรการป้องกันที่เพียงพอ

ลักษณะเด่นและความอันตรายของ DEVMAN

  • ทำงานแบบออฟไลน์: ไม่จำเป็นต้องเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมภายนอก (C2 Server) สามารถเข้ารหัสไฟล์ได้ทันทีที่รันบนเครื่องเป้าหมาย
  • แพร่กระจายผ่านเครือข่าย: ใช้ช่องทางการแชร์ไฟล์ของ Windows (SMB Share) เพื่อแพร่ไปยังเครื่องอื่นๆ ในเครือข่ายเดียวกัน โดยไม่ต้องใช้ช่องโหว่ใดๆ ซึ่งอาจลุกลามไปทั่วองค์กรในเวลาไม่กี่นาที
  • หลบเลี่ยงการตรวจจับ: พฤติกรรมการแพร่กระจายมักถูกมองว่าเป็น “กิจกรรมปกติ” ทำให้หลุดรอดจากการตรวจจับของระบบรักษาความปลอดภัยแบบดั้งเดิม
  • เข้ารหัสไฟล์และเปลี่ยนนามสกุล: ไฟล์ที่ถูกเข้ารหัสจะมีนามสกุล .DEVMAN และใช้ฟีเจอร์ Restart Manager ของ Windows เพื่อปลดล็อกไฟล์ที่ใช้งานอยู่เพื่อให้เข้ารหัสได้ครบถ้วน
  • คงอยู่ในระบบ: สร้าง registry key ในเส้นทาง HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000 เพื่อให้ทำงานต่อเนื่องแม้ระบบรีสตาร์ท

ด้วยความที่ DEVMAN ยังอยู่ในช่วงพัฒนาและมีจุดอ่อนบางประการ เช่น การเข้ารหัสไฟล์ ransom note ของตัวเองทำให้เหยื่อไม่สามารถอ่านข้อความเรียกค่าไถ่ได้ แต่จำนวนเหยื่อที่เพิ่มขึ้นอย่างต่อเนื่องในภูมิภาคเอเชีย รวมถึงประเทศไทย เป็นสัญญาณเตือนภัยที่ทุกองค์กรต้องเร่งปรับมาตรการความปลอดภัยเพื่อป้องกันการโจมตี

การประยุกต์ใช้แนวทางจาก “Best Practices for Endpoint Security in Organizations” เพื่อป้องกัน DEVMAN

เพื่อปกป้องระบบของท่านจากภัยคุกคามแรนซัมแวร์ DEVMAN ทีมงาน WatchGuard Endpoint Security ขอแนะนำแนวทางการปฏิบัติตัวโดยประยุกต์จากเอกสาร “Best Practices for Endpoint Security in Organizations” (บัญญัติ Endpoint Security ที่ CIO / IT Manager พึงกระทำสำหรับองค์กร) ดังนี้:

  1. ติดตั้ง Advanced Endpoint Security ให้ครบทุกเครื่อง
    • ตามแนวทางในเอกสาร ควรติดตั้งโซลูชันความปลอดภัยขั้นสูง เช่น WatchGuard EPDR บนอุปกรณ์ทุกเครื่องในองค์กร เพื่อป้องกัน DEVMAN ที่แพร่กระจายผ่านเครือข่าย SMB Share และทำงานแบบออฟไลน์
    • ต้องไม่ปล่อยให้มีเครื่องใดในเครือข่ายที่ไม่มีระบบป้องกันหรือไม่สามารถจัดการผ่านส่วนกลางได้ เพื่อป้องกันการเป็นจุดอ่อนที่ DEVMAN อาจใช้โจมตี
  2. ตั้งค่า Username และ Password ที่แข็งแกร่ง
    • DEVMAN อาจใช้การสุ่มรหัสผ่านเพื่อเข้าถึงระบบ ควรตั้งรหัสผ่านของ Windows Account ให้มีความยาวเกิน 10 ตัวอักษร มีเครื่องหมายพิเศษ ตัวเลข ตัวพิมพ์ใหญ่และเล็ก และเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ (แนะนำทุกเดือน) เพื่อลดความเสี่ยงจากการถูกเจาะระบบ
  3. จำกัดการใช้งาน Remote Desktop Protocol (RDP)
    • หากไม่จำเป็น ให้ปิดการใช้งาน RDP หรือเปลี่ยนไปใช้พอร์ตที่ไม่ใช่พอร์ตมาตรฐาน เพื่อป้องกันการโจมตีจากภายนอกที่ DEVMAN อาจใช้เป็นช่องทาง
    • ในกรณีที่จำเป็นต้องใช้ RDP ให้ตั้งค่าระบบให้เชื่อมต่อผ่าน VPN ก่อน และอนุญาตเฉพาะ IP ไทยหรือ IP ที่ได้รับอนุญาตผ่านไฟร์วอลล์เท่านั้น
  4. ตั้งค่าการป้องกันเครือข่ายและบล็อก IP ต่างประเทศ
    • ใช้ไฟร์วอลล์เกตเวย์เพื่อบล็อก IP จากต่างประเทศ เพื่อป้องกันการโจมตีจากกลุ่ม DragonForce ที่อาจมาจากนอกประเทศไทย
    • ตั้งค่าบล็อกอุปกรณ์ removable storage drive ที่มาจากภายนอก และจำกัดการเข้าถึงเว็บไซต์ที่ไม่เกี่ยวข้องกับการทำงาน เพื่อลดช่องทางการนำมัลแวร์เข้าสู่ระบบ
  5. ตั้งค่าการป้องกัน Antivirus และเปิดใช้งาน 2FA
    • ตั้งรหัสผ่านป้องกันการถอนโปรแกรม antivirus ด้วยฟังก์ชัน Anti-Tamper บน Web Console ให้มีความยาวและคาดเดายาก และเปิดใช้งานการยืนยันตัวตนสองชั้น (2FA) เพื่อเพิ่มความปลอดภัย
    • สำหรับ WatchGuard EPDR แนะนำให้ตั้งค่าเป็น Lock Mode เพื่อป้องกันการรันโปรแกรมที่ไม่ได้รับอนุญาต ซึ่งจะช่วยบล็อก DEVMAN ได้อย่างมีประสิทธิภาพ
  6. อัปเดต Security Patch อย่างสม่ำเสมอ
    • ตรวจสอบและอัปเดตแพตช์ความปลอดภัยอย่างต่อเนื่อง เพื่อปิดช่องโหว่ที่ DEVMAN อาจใช้ในการโจมตี และถอนการติดตั้งซอฟต์แวร์ที่ไม่มีลิขสิทธิ์หรือหมดอายุการใช้งาน (End-of-Life) ออกจากระบบ
  7. สำรองข้อมูลอย่างสม่ำเสมอ
    • สำรองข้อมูลสำคัญไปยังคลาวด์หรืออุปกรณ์ที่แยกจากเครือข่ายหลัก และตรวจสอบให้แน่ใจว่าสามารถกู้คืนข้อมูลได้ เพื่อลดผลกระทบจาก DEVMAN ที่อาจเข้ารหัสไฟล์
    • ไม่ควรเก็บข้อมูลสำรองในเครื่องเดียวกันกับระบบที่ใช้งาน เพื่อป้องกันการถูกเข้ารหัสพร้อมกัน
  8. ให้ความรู้และสร้าง Security Awareness แก่ผู้ใช้งาน
    • อบรมพนักงานให้ระวังอีเมลที่น่าสงสัย การดาวน์โหลดไฟล์ หรือการคลิกลิงก์ที่ไม่น่าเชื่อถือ ซึ่งอาจเป็นช่องทางที่ DEVMAN ใช้ในการแพร่กระจาย
    • ส่งเสริมให้รายงานเหตุการณ์ที่น่าสงสัยต่อทีมไอทีทันที เพื่อการตอบสนองที่รวดเร็ว
  9. จำกัดการเข้าถึง Share Folder
    • ตั้งค่า Share Folder ให้เป็น Full Control เฉพาะโฟลเดอร์ที่จำเป็นต้องใช้งานเท่านั้น และตั้งค่า Read-Only สำหรับโฟลเดอร์อื่นๆ เพื่อป้องกันการแพร่กระจายของ DEVMAN ผ่าน SMB Share
    • หลีกเลี่ยงการแชร์ไดรฟ์ทั้งหมด เช่น D: เพื่อลดความเสี่ยง
  10. จำกัดสิทธิ์การใช้งานตามหลักการ Least Privilege
    • จำกัดสิทธิ์ของผู้ใช้งานให้สามารถดำเนินการได้เฉพาะที่จำเป็นต่อหน้าที่ เพื่อลดความเสี่ยงจาก DEVMAN ที่อาจใช้สิทธิ์สูงในการแพร่กระจายหรือสร้างความเสียหาย

การตั้งค่า WatchGuard Endpoint Security ให้มีความปลอดภัยสูงสุด

เพื่อให้มั่นใจว่าระบบของท่านได้รับการปกป้องจากแรนซัมแวร์ DEVMAN และภัยคุกคามอื่นๆ ขอแนะนำให้ตั้งค่า WatchGuard Endpoint Security ตามแนวทางดังนี้ เพื่อให้สอดคล้องกับแนวปฏิบัติจากเอกสาร:

  1. เปิดใช้งาน Zero-Trust Application Service
    • ฟีเจอร์นี้จะจำแนกและตรวจสอบทุกแอปพลิเคชันที่พยายามรันบนระบบ เพื่อบล็อกมัลแวร์ทั้งที่รู้จักและไม่รู้จัก รวมถึงแรนซัมแวร์อย่าง DEVMAN
    • เข้าไปที่ WatchGuard Cloud > Configure > Endpoints > Settings > เลือกโปรไฟล์การตั้งค่าที่ต้องการ > เปิดใช้งานการตั้งค่า Authorized Software Settings และ Program Blocking Security Settings เพื่อควบคุมการรันโปรแกรมที่ไม่ได้รับอนุญาต
  2. เปิดใช้งาน Threat Hunting Service
    • บริการนี้จะช่วยตรวจจับภัยคุกคามขั้นสูงที่ใช้เทคนิค Living-off-the-Land (LotL) ซึ่ง DEVMAN อาจใช้เพื่อหลบเลี่ยงการตรวจจับ
    • ใน WatchGuard Cloud > Configure > Endpoints > Settings > เปิดใช้งานการตั้งค่า Indicators of Attack Settings เพื่อตรวจจับพฤติกรรมที่น่าสงสัยและแจ้งเตือนทันที
  3. ตั้งค่าการป้องกันเครือข่าย (Network Protection)
    • เพื่อป้องกันการแพร่กระจายผ่าน SMB Share ให้เข้าไปที่ Configure > Endpoints > Settings > Network Settings และตั้งค่าการป้องกันการโจมตีเครือข่าย (Network Attack Protection) เพื่อบล็อกการเข้าถึงที่ไม่ได้รับอนุญาต
    • เปิดใช้งานการตั้งค่า Firewall (IDS) เพื่อตรวจจับและป้องกันการเคลื่อนไหวในเครือข่ายที่น่าสงสัย
  4. ตั้งค่าการตรวจจับและป้องกัน RDP Attacks
    • DEVMAN อาจใช้ช่องทาง Remote Desktop Protocol (RDP) ในการเข้าถึงระบบ ให้ตั้งค่าการป้องกัน RDP Attacks ใน Workstations and Servers Security Settings เพื่อป้องกันการโจมตีผ่านช่องทางนี้
  5. เปิดใช้งานการแยกเครื่อง (Computer Isolation)
    • ในกรณีที่ตรวจพบภัยคุกคาม ให้ตั้งค่าการแยกเครื่องอัตโนมัติเพื่อป้องกันการแพร่กระจาย โดยเข้าไปที่ Configure > Endpoints > Settings > Risks Settings และเปิดใช้งานการตั้งค่าการแยกเครื่องเมื่อตรวจพบพฤติกรรมอันตราย
  6. ตรวจสอบและอัปเดตแพตช์อย่างสม่ำเสมอ
    • ใช้ฟีเจอร์ Patch Management Settings เพื่อตรวจสอบและติดตั้งแพตช์ที่ขาดหายไปในระบบ เพื่อปิดช่องโหว่ที่ DEVMAN อาจใช้ในการโจมตี
  7. ตั้งค่าการแจ้งเตือนและการตรวจสอบอย่างต่อเนื่อง
    • ตรวจสอบให้แน่ใจว่าการแจ้งเตือน (Notifications) ถูกตั้งค่าให้ส่งถึงทีมไอทีทันทีเมื่อมีการตรวจพบภัยคุกคาม โดยเข้าไปที่ Administration > Notifications ใน WatchGuard Cloud
    • ใช้บริการ WatchGuard Total MDR หรือ Core MDR เพื่อรับการตรวจสอบและตอบสนองภัยคุกคามแบบ 24/7 จากทีมผู้เชี่ยวชาญของ WatchGuard

เหตุผลที่ควรพิจารณาซื้อ License WatchGuard Endpoint Security เพิ่มเติม

การป้องกันภัยคุกคามอย่าง DEVMAN ที่มีความซับซ้อนและแพร่กระจายอย่างรวดเร็ว ต้องการโซลูชันความปลอดภัยที่ครอบคลุมและทันสมัย การเพิ่มจำนวน License ของ WatchGuard Endpoint Security จะช่วยให้องค์กรของท่านสามารถปกป้องอุปกรณ์ทุกเครื่องในเครือข่ายได้อย่างครบถ้วน โดยมีประโยชน์ดังนี้:

  • ครอบคลุมทุกอุปกรณ์: การมี License ที่เพียงพอช่วยให้มั่นใจได้ว่าทุกเครื่องในองค์กรได้รับการป้องกันจาก WatchGuard EPDR ซึ่งเป็นโซลูชันที่ออกแบบมาเพื่อป้องกันภัยคุกคามขั้นสูงอย่าง DEVMAN ตามแนวทางในเอกสาร “Best Practices for Endpoint Security in Organizations” ที่เน้นย้ำว่าต้องไม่ปล่อยให้มีเครื่องใดในเครือข่ายที่ไม่มีระบบป้องกัน
  • การจัดการจากส่วนกลางที่ง่ายดาย: WatchGuard Cloud ช่วยให้ท่านสามารถจัดการการตั้งค่าและตรวจสอบภัยคุกคามได้จากส่วนกลาง ซึ่งจำเป็นต้องมี License สำหรับทุกเครื่องเพื่อให้การจัดการมีประสิทธิภาพสูงสุด
  • เพิ่มความสามารถด้วย Total MDR: การซื้อ License เพิ่มเติมสามารถรวมกับบริการ WatchGuard Total MDR ซึ่งให้การตรวจสอบและตอบสนองภัยคุกคามแบบ 24/7 ครอบคลุมทั้ง Endpoint, Network, Identity และ Cloud เพื่อป้องกัน DEVMAN ในทุกช่องทางที่อาจถูกโจมตี
  • ลดความเสี่ยงจากอุปกรณ์ที่ไม่ได้รับการป้องกัน: อุปกรณ์ที่ไม่มี License จะไม่ได้รับการป้องกันเต็มรูปแบบจาก WatchGuard Endpoint Security และอาจกลายเป็นจุดอ่อนที่ DEVMAN ใช้ในการแพร่กระจาย การเพิ่ม License จึงเป็นการลงทุนที่คุ้มค่าเพื่อความปลอดภัยขององค์กร
  • การสนับสนุนที่ครอบคลุม: การเพิ่ม License มาพร้อมกับการเข้าถึงทีมสนับสนุนของ WatchGuard และการอัปเดตเทคโนโลยีล่าสุด เพื่อให้ท่านมั่นใจได้ว่าระบบของท่านจะได้รับการปกป้องจากภัยคุกคามใหม่ๆ อย่างต่อเนื่อง

การดำเนินการเมื่อพบการโจมตี

หากท่านสงสัยว่าระบบของท่านอาจถูกโจมตีโดย DEVMAN หรือแรนซัมแวร์อื่นๆ โปรดดำเนินการดังนี้:

  • ตัดการเชื่อมต่อเครื่องที่สงสัยว่าติดมัลแวร์ออกจากเครือข่ายทันที เพื่อป้องกันการแพร่กระจาย
  • ติดต่อทีมสนับสนุนของ WatchGuard เพื่อขอความช่วยเหลือในการตรวจสอบและกู้คืนระบบ
  • เก็บ log และข้อมูลที่เกี่ยวข้อง เพื่อใช้ในการวิเคราะห์และป้องกันในอนาคต

สรุป

แรนซัมแวร์ DEVMAN เป็นภัยคุกคามที่ร้ายแรงและกำลังแพร่กระจายในภูมิภาคเอเชียอย่างรวดเร็ว ด้วยความสามารถในการทำงานแบบออฟไลน์และแพร่กระจายผ่านเครือข่ายภายใน การป้องกันที่เข้มงวดตามแนวทางจาก “Best Practices for Endpoint Security in Organizations” จึงเป็นสิ่งสำคัญ WatchGuard Endpoint Security มีเครื่องมือที่ทรงพลัง เช่น Zero-Trust Application Service และ Threat Hunting Service ที่สามารถช่วยปกป้องระบบของท่านได้อย่างมีประสิทธิภาพ การเพิ่ม License เพื่อครอบคลุมอุปกรณ์ทุกเครื่องในองค์กรจะช่วยลดความเสี่ยงและเพิ่มความมั่นใจในการรับมือกับภัยคุกคามนี้

หากมีข้อสงสัยหรือต้องการความช่วยเหลือเพิ่มเติม รวมถึงการสั่งซื้อ License เพิ่มเติม กรุณาติดต่อทีมสนับสนุนของ WatchGuard ติดต่อตัวแทนในประเทศไทยที่ Tel. 02 030 1990, Email: support@skysoft.co.th, Line: @skysoft

ด้วยความห่วงใย
ทีมงาน WatchGuard Endpoint Security

Leave a Reply

Your email address will not be published. Required fields are marked *