แคสเปอร์สกี้ (Kaspersky) เผย LockBit แรนซัมแวร์อัตโนมัติ ตัวร้ายโจมตีสายการบินในไทยด้วยการเข้ารหัสระบบคอมพิวเตอร์ทั้งหมดบนเครือข่าย…
Kaspersky เผย LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย
เซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก
โดยเมื่อเร็ว ๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซัมแวร์ LockBit ก็ได้ประกาศผลงานร้าย และอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB
แรนซัมแวร์ LockBit ถูกค้นพบในเดือนกันยายน 2019 ซึ่งเดิมมีชื่อว่าแรนซัมแวร์ “ABCD“ ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ อาชญากรไซเบอร์ปรับใช้แรนซัมแวร์นี้บนตัวควบคุมโดเมนของเหยื่อ จากนั้นจะแพร่กระจายการติดเชื้อโดยอัตโนมัติ และเข้ารหัสระบบคอมพิวเตอร์ที่เข้าถึงได้ทั้งหมดบนเครือข่าย
แรนซัมแวร์นี้ใช้ในการโจมตีที่กำหนดเป้าหมายประเภทเอ็นเทอร์ไพรซ์และองค์กรอื่นๆ เป้าหมายในอดีตที่โดดเด่น ได้แก่ องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)
LockBit 2.0 และการแพร่กระจาย
LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) ซึ่งให้บริการโครงสร้างพื้นฐาน และมัลแวร์แก่ผู้โจมตี และรับส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมา LockBit มีเทคโนโลยีที่โดดเด่น และสามารถแพร่กระจายแรนซัมแวร์ได้ทั่วทั้งเครือข่าย
เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนได้ก็จะเรียกใช้งานมัลแวร์เพื่อสร้างนโยบายกลุ่มใหม่สำหรับผู้ใช้ ซึ่งจะถูกส่งต่อไปยังอุปกรณ์แต่ละเครื่องบนเครือข่ายโดยอัตโนมัติ นโยบายนี้จะปิดใช้งานเทคโนโลยีความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นนโยบายอื่น ๆ จะสร้างงานที่กำหนดไว้แล้วบนเครื่อง Windows ทั้งหมดเพื่อเรียกใช้โปรแกรมเรียกค่าไถ่
การลบ และถอดรหัส LockBit
ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Endpoint Security for Business
หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซัมแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ “กุญแจ“ เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ
วิธีป้องกันแรนซัมแวร์ LockBit
คุณจะต้องตั้งค่ามาตรการป้องกันเพื่อให้องค์กรของคุณสามารถเตรียมการและปรับตัวต่อการเปลี่ยนแปลงที่เกิดจากแรนซัมแวร์หรือการโจมตีอื่นที่เป็นอันตราย แนวทางปฏิบัติบางประการที่สามารถช่วยในการเตรียมตัว มีดังนี้
- ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ
- ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร
- อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
- เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด
- สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน
- ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิค และขั้นตอนต่าง ๆ อยู่เสมอ
- ใช้โซลูชั่นด้านความปลอดภัย เช่น Endpoint Detection and Response และ Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่น ๆ
- ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร Automated Security Awareness Platform
- ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์ และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตราย และเรียกคืนระบบได้ โซลูชั่น แคสเปอร์สกี้ Endpoint Security for Business มีกลไกป้องกันตัวเองซึ่งสามารถป้องกันการเอาออกโดยอาชญากรไซเบอร์ เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ Security Solutions for Enterprise เพื่อการปกป้องธุรกิจ และอุปกรณ์ขององค์กร
ผลิตภัณฑ์ของแคสเปอร์สกี้ ซึ่งรวมถึง แคสเปอร์สกี้ Endpoint Security และ แคสเปอร์สกี้ Endpoint Detection and Response Optimum สามารถตรวจจับ และบล็อกแรนซัมแวร์ LockBit ซึ่งมีชื่อการตรวจจับที่แตกต่างกันดังนี้
- Trojan-Ransom.Win32.Lockbit
- HEUR:Trojan-Ransom.Win32.Generic
- PDM:Trojan.Win32.Generic (ด้วยเทคโนโลยี Behavior Detection)
บริการ แคสเปอร์สกี้ Endpoint Detection and Response Expert ช่วยตรวจจับกิจกรรมของอาชญากรไซเบอร์ที่น่าสงสัยในระยะแรก วิเคราะห์ และตอบสนองต่อการโจมตี จึงป้องกันการเข้ารหัสแรนซัมแวร์ที่อาจเกิดขึ้นได้
สำหรับบริการ แคสเปอร์สกี้ Managed Detection and Response ของแคสเปอร์สกี้นั้น ผู้เชี่ยวชาญ SOC ของแคสเปอร์สกี้ซึ่งมีความเชี่ยวชาญอย่างลึกซึ้งในการตรวจจับ และตรวจสอบการโจมตีของแรนซัมแวร์ (รวมถึงการโจมตีแรนซัมแวร์ LockBit ล่าสุด) จะช่วยตรวจจับกิจกรรมที่น่าสงสัยในเครือข่าย วิเคราะห์และติดต่อคุณเมื่อเกิดเหตุ
ส่วนขยาย * บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ ** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) *** ขอขอบคุณภาพประกอบบางส่วนจาก N/A
สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่ www.facebook.com/itday.in.th
 เผย LockBit แรนซัมแวร์อัตโนมัติ ตัวร้ายโจมตีสายการบินในไทยด้วยการเข้ารหัสระบบคอมพิวเตอร์ทั้งหมดบนเครือข่าย){kind=link}