ผลวิจัยของฟอร์ติเน็ต พบ มัลแวร์เรียกค่าไถ่ พุ่งเป้าโจมตีต่อกลุ่มอุตสาหกรรมการผลิตมากขึ้น โดยมีการพบโทรจันชนิดใหม่ ชื่อ Nemucod ที่ปลอมเป็นไฟล์แนบในอีเมล์ และที่กำลังจับตาอย่าง DMA Locker แนะต้องให้หาแผนการจัดการภัยมารับมือ...
มัลแวร์เรียกค่าไถ่ หรือ Ransomware เป็นมัลแวร์ชนิดหนึ่งที่เมื่อติดไวรัสอันตรายชนิดนี้แล้ว จะเรียกร้องให้จ่ายเงิน ทุกท่านอาจเคยได้ยินข่าวมาแล้วว่า Ransomware ได้เคยปิดระบบของธุรกิจดูแลสุขภาพใหญ่หลายแห่งในปีที่แล้ว และยังคงมีองค์กรต่างๆ จ่ายเงินค่าไถ่จำนวนสูง เพื่อให้ปลดล็อกไวรัสร้ายออกจากระบบของตน ผลจากการวิจัยของฟอร์ติเน็ตเมื่อหลายเดือนที่ผ่านมา พบว่าองค์กรในกลุ่มอุตสาหกรรมการผลิตกำลังจะตกเป็นเหยื่อของไวรัสร้ายนี้
จากข้อมูลของฟอร์ติเน็ต ระบุว่า ช่วงระหว่างเดือนตุลาคม 2015 ถึงเมษายนปี 2016 นี้ ฟอร์ติเน็ตได้รวบรวมทราฟฟิกจากผู้ประกอบการด้านการผลิตขนาดกลาง 59 รายใน 9 ประเทศในอเมริกา เอเชียแปซิฟิก และภูมิภาคยูโรเมดิเตอร์เรเนียน พบความพยายามคุกคามมากถึง 8.63 ล้านครั้ง ที่ตั้งเป้าไปที่กลุ่มอุตสาหกรรมการผลิต โดย 78% ในจำนวนนั้นตั้งเป้าไปที่ผู้ประกอบการด้านการผลิต ที่มีพนักงานมากกว่า 1000 คน ซึ่งเป็นตัวเลขที่สูงมาก
นอกจากนี้ การวิจัยยังพบการกลายตัวเป็นเจเนอเรชั่นใหม่ของไวรัสนี้ ที่พัฒนาด้านการทำลายตัวเองได้ ทำไมภัยตั้งเป้าไปที่กลุ่มอุตสาหกรรมการผลิต? ในปัจจุบัน อุตสาหกรรมการผลิตใช้ระบบออโตเมติกมากขึ้น และใช้นโยบาย Just-in-time inventory มากขึ้น ซึ่งหมายถึง ถ้าหากมีเหตุการณ์ที่ทำให้กระบวนการ J-I-T หยุดชะงักลงเกิดขึ้น จะทำให้เกิดผลเสียกับธุรกิจอย่างมากมายแน่นอน
ในขณะที่ ภัยคุกคามส่วนใหญ่ที่มุ่งไปที่อุตสาหกรรมการผลิตนั้น อาจจะมองว่าเป็นเพียงมัลแวร์และสายพันธุ์ทั่วไป แต่ฟอร์ติเน็ตพบข้อมูลเชิงลึกว่า มัลแวร์จำนวน 29% นั้น เป็นสายพันธุ์ใหม่ของโทรจันชื่อ Nemucod ซึ่งน่าสนใจตรงที่ หลายเดือนที่ผ่านมา Nemucod ได้หลุดออกจากท็อป 10 ของภัยคุกคามในทุกอุตสาหกรรมทั่วโลก ยกเว้นอุตสาหกรรมการผลิต โดย Nemucod เป็นโทรจันเกิดมานานแล้ว เดิมมุ่งเป้าไปที่ข้อมูลด้านการเงิน เช่น ข้อมูลการล็อกอินของลูกค้าธนาคาร ทำงานโดยปลอมเป็นไฟล์แนบในอีเมล ที่เมื่อเหยื่อคลิกบนไฟล์ จะดาวน์โหลดและติดตั้งมัลแวร์ลงในเครื่องทันที
เราแปลกใจที่พบสายพันธุ์ของ Nemucod จำนวน 4 ประเภท ติดอันดับท็อป 10 ของมัลแวร์ที่โจมตีอุตสาหกรรมการผลิต โดยที่สายพันธุ์ 3 ประเภทมีพัฒนาการสูง คือ มันไม่ต้องการเหยื่อในการลงมือกระทำการ เช่น การเปิดไฟล์แนบเพื่อให้เกิดภัย นี่ไม่ใช่ Ransomware ปกติทั่วไป Ransomware ใหม่ มีการปรับปรุงอย่างมีนัยสำคัญ และมีสายพันธุ์ล่าสุดชื่อ Locky ที่เราได้เห็นตัวอย่าง เช่น สามารถเข้ารหัสลับแบบ Windows APIs และ RSA ได้ และตั้งใจจะขัดขวางองค์กรที่พยายามถอดรหัสไฟล์นั้นโดยจะไม่จ่ายค่าไถ่
มีสายพันธุ์ล่าสุดที่ฟอร์ติเน็ตกำลังตรวจสอบอีก ชื่อ DMA Locker ที่เมื่อติดไปแล้ว จะใช้ Remote command-and-control servers สร้างกุญแจ Unique encryption keys ซึ่งไม่สามารถถอดกุญแจกลับมาได้ หมายความว่า ถ้าไม่เอา DMA Locker ออกให้หมดจากเครือข่ายที่ติดเชื้อนั้น จะทำให้เกิดการเรียกร้องค่าไถ่มากยิ่งขึ้น
...
ดังนั้น องค์กรควรลงมือปฏิบัติหลายประการเพื่อป้องกันตัวเอง อันได้แก่:
• ควบคุมส่วน Network access
• ใช้ระบบความปลอดภัยสำหรับอีเมล์ร่วมกับการกรอง Sandbox filtering
• ดูแลและปิดซอฟต์แวร์และระบบปฏิบัติการให้ดี
• จัดส่วนเครือข่าย เพื่อจำกัดการแพร่กระจาย
• กำจัดหรือแยกโค้ด และอุปกรณ์ประเภท Legacy ที่มีช่องโหว่
• จัดการแบ็กอัพระบบอย่างสม่ำเสมอ และจัดการแบ็กอัพนอกสถานที่
• ลดจุดเสี่ยงภัย โดยลดซอฟต์แวร์ และอุปกรณ์ที่ไม่จำเป็นลง
โดยเฉพาะอย่างยิ่งแอพพลิเคชั่นประเภทคลาวด์ที่ไม่ดูแลโดยทีมไอทีขององค์กร และจัดการแบ็กอัพ
• ติดตั้ง Security clients บนอุปกรณ์ Endpoint devices และดูแลให้อัปเดทอยู่เสมอ
• อบรมเจ้าหน้าที่ ให้มีความรู้วิธีการพิจารณาอีเมล์ปกติ
ตรวจหาและหลีกเลี่ยงภัยที่มาทางเว็ปอย่างสม่ำเสมอ
• ให้สามารถเห็นสิ่งที่เกิดขึ้นได้ทั้งเครือข่ายทั้งหมด
ถึงแม้เป็นสาขาที่มีการเชื่อมโยงเครือข่าย
• สมมติว่าท่านกำลังจะตกเป็นหยื่อของภัยคุกคาม และให้หาแผนการจัดการภัย (Cyber Threat
Assessment)
ข้อสุดท้ายเป็นข้อที่สำคัญที่สุด ถ้าท่านรู้ชัดว่าท่านกำลังเผชิญหน้ากับภัย ท่านจะมีวิธีปฏิบัติงานต่างไปจากที่ท่านทำอยู่ปัจจุบันนี้ไหม
นายพีระพงศ์ จงวิบูลย์ ผู้อำนวยการขาย แห่งภูมิภาคอินโดจีน (ประเทศไทย เมียนมา ลาว กัมพูชา และเวียดนาม) ฟอร์ติเน็ตได้ให้ความเห็นว่า องค์กรต่างๆ ในประเทศไทยกำลังก้าวสู่ยุคที่ใช้ระบบดิจิตอลเป็นกลไกผลักดันธุรกิจให้เติบโตอย่างรวดเร็ว จึงอยู่ในสถานการณ์ที่มีความเสี่ยงต่อภัยคุกคามใหม่ๆ ด้วยเช่นกัน และการทำ Cyber Threat Assessment นั้น ต้องอาศัยอุปกรณ์ที่ครบครันจึงจะสามารถเห็นช่องโหว่ที่องค์กรมีอยู่ ประเภท และจำนวนภัยคุกคามที่เข้ามา และจะทราบถึงวิธีป้องกันภัยต่างๆ เหล่านั้นได้ตรงจุดและมีประสิทธิภาพ จึงเป็นการลงทุนที่คุ้มค่า.