Kaspersky เผย LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย

Kaspersky

แคสเปอร์สกี้ (Kaspersky) เผย LockBit แรนซัมแวร์อัตโนมัติ ตัวร้ายโจมตีสายการบินในไทยด้วยการเข้ารหัสระบบคอมพิวเตอร์ทั้งหมดบนเครือข่าย…

Kaspersky เผย LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย

เซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก

โดยเมื่อเร็ว ๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซัมแวร์ LockBit ก็ได้ประกาศผลงานร้าย และอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB

แรนซัมแวร์ LockBit ถูกค้นพบในเดือนกันยายน 2019 ซึ่งเดิมมีชื่อว่าแรนซัมแวร์ ABCD ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ อาชญากรไซเบอร์ปรับใช้แรนซัมแวร์นี้บนตัวควบคุมโดเมนของเหยื่อ จากนั้นจะแพร่กระจายการติดเชื้อโดยอัตโนมัติ และเข้ารหัสระบบคอมพิวเตอร์ที่เข้าถึงได้ทั้งหมดบนเครือข่าย

แรนซัมแวร์นี้ใช้ในการโจมตีที่กำหนดเป้าหมายประเภทเอ็นเทอร์ไพรซ์และองค์กรอื่นๆ เป้าหมายในอดีตที่โดดเด่น ได้แก่ องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)

Kaspersky

LockBit 2.0 และการแพร่กระจาย

LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) ซึ่งให้บริการโครงสร้างพื้นฐาน และมัลแวร์แก่ผู้โจมตี และรับส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมา LockBit มีเทคโนโลยีที่โดดเด่น และสามารถแพร่กระจายแรนซัมแวร์ได้ทั่วทั้งเครือข่าย

เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนได้ก็จะเรียกใช้งานมัลแวร์เพื่อสร้างนโยบายกลุ่มใหม่สำหรับผู้ใช้ ซึ่งจะถูกส่งต่อไปยังอุปกรณ์แต่ละเครื่องบนเครือข่ายโดยอัตโนมัติ นโยบายนี้จะปิดใช้งานเทคโนโลยีความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นนโยบายอื่น ๆ จะสร้างงานที่กำหนดไว้แล้วบนเครื่อง Windows ทั้งหมดเพื่อเรียกใช้โปรแกรมเรียกค่าไถ่

Kaspersky

การลบ และถอดรหัส LockBit

ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Endpoint Security for Business

หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซัมแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ กุญแจ เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ

Kaspersky

วิธีป้องกันแรนซัมแวร์ LockBit

คุณจะต้องตั้งค่ามาตรการป้องกันเพื่อให้องค์กรของคุณสามารถเตรียมการและปรับตัวต่อการเปลี่ยนแปลงที่เกิดจากแรนซัมแวร์หรือการโจมตีอื่นที่เป็นอันตราย แนวทางปฏิบัติบางประการที่สามารถช่วยในการเตรียมตัว มีดังนี้

  • ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ
  • ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร
  • อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
  • เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด
  • สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน
  • ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิค และขั้นตอนต่าง ๆ อยู่เสมอ
  • ใช้โซลูชั่นด้านความปลอดภัย เช่น Endpoint Detection and Response และ Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่น ๆ
  • ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร Automated Security Awareness Platform
  • ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์ และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตราย และเรียกคืนระบบได้ โซลูชั่น แคสเปอร์สกี้ Endpoint Security for Business มีกลไกป้องกันตัวเองซึ่งสามารถป้องกันการเอาออกโดยอาชญากรไซเบอร์ เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ Security Solutions for Enterprise เพื่อการปกป้องธุรกิจ และอุปกรณ์ขององค์กร

ผลิตภัณฑ์ของแคสเปอร์สกี้ ซึ่งรวมถึง แคสเปอร์สกี้ Endpoint Security และ แคสเปอร์สกี้ Endpoint Detection and Response Optimum สามารถตรวจจับ และบล็อกแรนซัมแวร์ LockBit ซึ่งมีชื่อการตรวจจับที่แตกต่างกันดังนี้

  • Trojan-Ransom.Win32.Lockbit
  • HEUR:Trojan-Ransom.Win32.Generic
  • PDM:Trojan.Win32.Generic (ด้วยเทคโนโลยี Behavior Detection)

Kaspersky

บริการ แคสเปอร์สกี้ Endpoint Detection and Response Expert ช่วยตรวจจับกิจกรรมของอาชญากรไซเบอร์ที่น่าสงสัยในระยะแรก วิเคราะห์ และตอบสนองต่อการโจมตี จึงป้องกันการเข้ารหัสแรนซัมแวร์ที่อาจเกิดขึ้นได้

สำหรับบริการ แคสเปอร์สกี้ Managed Detection and Response ของแคสเปอร์สกี้นั้น ผู้เชี่ยวชาญ SOC ของแคสเปอร์สกี้ซึ่งมีความเชี่ยวชาญอย่างลึกซึ้งในการตรวจจับ และตรวจสอบการโจมตีของแรนซัมแวร์ (รวมถึงการโจมตีแรนซัมแวร์ LockBit ล่าสุด) จะช่วยตรวจจับกิจกรรมที่น่าสงสัยในเครือข่าย วิเคราะห์และติดต่อคุณเมื่อเกิดเหตุ

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A

สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.