ข่าวร้ายที่องค์กรไม่อยากได้ยิน - คุณตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ และกำลังสงสัยว่าควรทำอย่างไรต่อไป
สิ่งแรกที่ต้องจำไว้คือคุณไม่ได้เผชิญปัญหานี้เพียงลำพัง กว่า 17% ของการโจมตีทางไซเบอร์ทั้งหมดเกี่ยวข้องกับแรนซัมแวร์ ซึ่งเป็นมัลแวร์ที่ล็อกข้อมูลหรืออุปกรณ์ของเหยื่อไว้จนกว่าจะจ่ายค่าไถ่ จากการสำรวจองค์กร 1,350 แห่ง พบว่า 78% เคยถูกโจมตีด้วยแรนซัมแวร์สำเร็จ
แรนซัมแวร์ใช้หลายวิธีในการแพร่กระจาย เช่น หลอกให้คลิกลิงก์อันตรายผ่านอีเมลฟิชชิ่ง และใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์และระบบปฏิบัติการ อาชญากรไซเบอร์มักเรียกร้องค่าไถ่เป็นบิตคอยน์หรือสกุลเงินดิจิทัลที่ติดตามยาก และจะให้กุญแจถอดรหัสเมื่อได้รับการชำระเงิน
ข่าวดีคือเมื่อเกิดการโจมตี มีขั้นตอนพื้นฐานที่องค์กรสามารถทำตามเพื่อจำกัดความเสียหาย ปกป้องข้อมูลสำคัญ และรักษาความต่อเนื่องทางธุรกิจได้
การตอบสนองเบื้องต้น (Initial response)
แยกระบบที่ได้รับผลกระทบ เนื่องจากแรนซัมแวร์มักสแกนเครือข่ายเพื่อแพร่กระจาย จึงจำเป็นต้องแยกระบบที่ได้รับผลกระทบโดยเร็วที่สุด ตัดการเชื่อมต่ออีเทอร์เน็ต ปิด WiFi, Bluetooth และการเชื่อมต่อเครือข่ายอื่นๆ ของอุปกรณ์ที่ติดมัลแวร์หรืออาจติดมัลแวร์
ควรพิจารณาดำเนินการเพิ่มเติม:
ปิดงานทำงานอัตโนมัติ (automatic tasks) เช่น การลบ temporary file หรือการ rotating log ซึ่งอาจรบกวนไฟล์และขัดขวางการสืบสวนและกู้คืน
ตัดการเชื่อมต่อระบบสำรองข้อมูล เนื่องจากแรนซัมแวร์รุ่นใหม่มักโจมตีระบบสำรองข้อมูลเพื่อให้การกู้คืนยากขึ้น
ถ่ายภาพจดหมายเรียกค่าไถ่ (Ransom Note) ถ่ายภาพจดหมายเรียกค่าไถ่บนหน้าจออุปกรณ์ที่ได้รับผลกระทบด้วยอุปกรณ์อื่น เช่น สมาร์ทโฟนหรือกล้อง ภาพนี้จะช่วยในกระบวนการกู้คืนและการแจ้งความ
แจ้งทีมรักษาความปลอดภัย หลังจากตัดการเชื่อมต่อระบบที่ได้รับผลกระทบแล้ว ให้แจ้งทีม IT security หรือผู้เชี่ยวชาญ เพื่อขอคำแนะนำและเริ่มแผนตอบสนองต่อเหตุการณ์ขององค์กร
อย่า restart ระบบ หลีกเลี่ยงการ restart ในอุปกรณ์ที่ติดมัลแวร์ เนื่องจากแรนซัมแวร์บางประเภทอาจสร้างความเสียหายเพิ่มเติมเมื่อพบความพยายามรีสตาร์ท และการรีบูตอาจทำให้การสืบสวนยากขึ้น แทนที่จะรีสตาร์ท ให้สั่งให้ระบบเข้าสู่โหมดพักการทำงาน (hibernation) เพื่อเก็บข้อมูลในหน่วยความจำไว้สำหรับการวิเคราะห์ในภายหลัง
การกำจัด (Eradication)
เมื่อแยกอุปกรณ์ที่ได้รับผลกระทบแล้ว คุณอาจต้องการปลดล็อกอุปกรณ์และกู้คืนข้อมูล แม้การกำจัดการติดเชื้อแรนซัมแวร์จะซับซ้อน แต่ขั้นตอนต่อไปนี้จะช่วยให้คุณเริ่มกระบวนการกู้คืนได้
ระบุประเภทของการโจมตี มีเครื่องมือฟรีหลายตัวที่ช่วยระบุประเภทของแรนซัมแวร์ที่ติดอุปกรณ์ของคุณ การรู้สายพันธุ์เฉพาะจะช่วยให้คุณเข้าใจวิธีการแพร่กระจาย ไฟล์ที่ถูกล็อก และวิธีกำจัด
ประเภทของแรนซัมแวร์ที่พบบ่อยที่สุดคือ:
Screen locker - ล็อกระบบแต่ไม่ทำลายไฟล์จนกว่าจะจ่ายค่าไถ่
Encryptor - ยากกว่าในการแก้ไข เนื่องจากจะค้นหาและเข้ารหัสข้อมูลสำคัญทั้งหมด และถอดรหัสเมื่อได้รับการชำระเงินเท่านั้น
2. ค้นหาเครื่องมือถอดรหัส เมื่อระบุสายพันธุ์ของแรนซัมแวร์แล้ว ให้ค้นหาเครื่องมือถอดรหัส มีเว็บไซต์ให้บริการฟรี เช่น No More Ransom ที่คุณสามารถป้อนชื่อสายพันธุ์แรนซัมแวร์และค้นหาเครื่องมือถอดรหัสที่ตรงกันได้
การกู้คืน (Recovery)
หากคุณสามารถกำจัดการติดเชื้อแรนซัมแวร์ได้แล้ว ถึงเวลาเริ่มกระบวนการกู้คืน
อัปเดตหรือเปลี่ยนรหัสผ่านระบบ
กู้คืนข้อมูลจากการสำรองข้อมูล ควรมีสำเนาข้อมูล 3 ชุดใน 2 รูปแบบที่แตกต่างกัน โดยเก็บสำเนา 1 ชุดไว้นอกสถานที่ (กฎ 3-2-1) วิธีนี้ช่วยให้คุณกู้คืนข้อมูลได้อย่างรวดเร็วและหลีกเลี่ยงการจ่ายค่าไถ่
ทำการตรวจสอบความปลอดภัยและอัปเดตระบบทั้งหมด การอัปเดตระบบอย่างสม่ำเสมอช่วยป้องกันการโจมตีผ่านช่องโหว่ในซอฟต์แวร์เก่า
ปรับปรุงแผนตอบสนองต่อเหตุการณ์ด้วยบทเรียนที่ได้รับ และสื่อสารเหตุการณ์ให้ผู้มีส่วนได้ส่วนเสียทราบอย่างเพียงพอ
การแจ้งเจ้าหน้าที่ (Notifying authorities)
เนื่องจากแรนซัมแวร์เป็นการข่มขู่เรียกค่าไถ่และเป็นอาชญากรรม คุณควรรายงานการโจมตีให้เจ้าหน้าของรัฐทราบเสมอ
เจ้าหน้าที่อาจช่วยถอดรหัสไฟล์ของคุณได้ หากความพยายามในการกู้คืนไม่สำเร็จ แม้ว่าพวกเขาจะไม่สามารถช่วยกู้ข้อมูลของคุณได้ การรายงานก็มีความสำคัญในการบันทึกกิจกรรมอาชญากรรมทางไซเบอร์และหวังว่าจะช่วยให้ผู้อื่นหลีกเลี่ยงชะตากรรมที่คล้ายกัน
ผู้ตกเป็นเหยื่อบางรายอาจมีข้อกำหนดทางกฎหมายให้ต้องรายงานการติดเชื้อแรนซัมแวร์ เช่น กฎหมาย PDPA จำเป็นต้องรายงานการละเมิดข้อมูลใดๆ รวมถึงการโจมตีด้วยแรนซัมแวร์ ต่อสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล หรือรายงานต่อหน่วยงานกำกับดูแล เช่น คปภ. กลต. หรือ ธปท.
การตัดสินใจว่าจะจ่ายค่าไถ่หรือไม่ (Deciding whether to pay)
การตัดสินใจจ่ายค่าไถ่เป็นเรื่องซับซ้อน ผู้เชี่ยวชาญส่วนใหญ่แนะนำว่าควรพิจารณาจ่ายเงินเฉพาะเมื่อคุณได้ลองทางเลือกอื่นทั้งหมดแล้ว และการสูญเสียข้อมูลจะสร้างความเสียหายมากกว่าการจ่ายเงิน ไม่ว่าจะตัดสินใจอย่างไร คุณควรปรึกษาเจ้าหน้าที่กฎหมายและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ก่อนดำเนินการใดๆ
การจ่ายค่าไถ่ไม่รับประกันว่าคุณจะได้รับสิทธิ์เข้าถึงข้อมูลคืนหรือผู้โจมตีจะรักษาสัญญา เหยื่อมักจ่ายค่าไถ่แล้วไม่ได้รับกุญแจถอดรหัส นอกจากนี้ การจ่ายค่าไถ่ยังเป็นการสนับสนุนกิจกรรมอาชญากรรมทางไซเบอร์และอาจนำไปสู่การก่ออาชญากรรมทางไซเบอร์เพิ่มเติม
การป้องกันการโจมตีด้วยแรนซัมแวร์ในอนาคต (Preventing future ransomware attacks)
เครื่องมือรักษาความปลอดภัยอีเมล ซอฟต์แวร์ป้องกันมัลแวร์และไวรัส เป็นแนวป้องกันด่านแรกที่สำคัญต่อการโจมตีด้วยแรนซัมแวร์
องค์กรยังพึ่งพาเครื่องมือรักษาความปลอดภัยขั้นสูงสำหรับอุปกรณ์ปลายทาง เช่น ไฟร์วอลล์ (firewall), VPN และการยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication) เป็นส่วนหนึ่งของกลยุทธ์การป้องกันข้อมูลที่ครอบคลุมเพื่อป้องกันการละเมิดข้อมูล
อย่างไรก็ตาม ระบบรักษาความปลอดภัยทางไซเบอร์จะไม่สมบูรณ์หากขาดความสามารถในการตรวจจับภัยคุกคามและการตอบสนองต่อเหตุการณ์ที่ทันสมัย เพื่อจับกุมอาชญากรไซเบอร์แบบเรียลไทม์และลดผลกระทบจากการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ
จากการศึกษาล่าสุดของ Forrester พบว่านักวิเคราะห์ด้านความปลอดภัยสามารถประหยัดเวลาได้กว่า 14,000 ชั่วโมงในระยะเวลา 3 ปี โดยการระบุผลบวกลวง (false positive) ลดเวลาในการสืบสวนเหตุการณ์ลง 90% และลดความเสี่ยงในการเผชิญกับการละเมิดความปลอดภัยที่ร้ายแรงลง 60%* ทีมรักษาความปลอดภัยที่มีทรัพยากรจำกัดจะมีมุมมองและการวิเคราะห์ที่จำเป็นในการตรวจจับภัยคุกคามได้อย่างรวดเร็ว และดำเนินการทันทีอย่างชาญฉลาดเพื่อลดผลกระทบจากการโจมตีให้เหลือน้อยที่สุด
AlphaSec ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ชั้นนำ เรามีบริการให้คำปรึกษาด้านการป้องกันและรับมือกับภัยคุกคามทางไซเบอร์ รวมถึงแรนซัมแวร์ (ransomware) อย่างครบวงจร ไม่ว่าจะเป็นการวางแผนกลยุทธ์ การฝึกอบรมพนักงาน การติดตั้งระบบป้องกัน และการตอบสนองต่อเหตุการณ์ฉุกเฉิน เราพร้อมช่วยให้องค์กรของคุณปลอดภัยจากภัยคุกคามทางไซเบอร์ทุกรูปแบบ ติดต่อเราวันนี้เพื่อรับคำปรึกษาฟรีและเริ่มต้นปกป้องธุรกิจของคุณอย่างมีประสิทธิภาพ
Comments