นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก
โดยเมื่อเร็วๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซัมแวร์ LockBit ก็ได้ประกาศผลงานร้ายและอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB”
แรนซัมแวร์ LockBit ถูกค้นพบในเดือนกันยายน 2019 ซึ่งเดิมมีชื่อว่าแรนซัมแวร์ “ABCD” ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ อาชญากรไซเบอร์ปรับใช้แรนซัมแวร์นี้บนตัวควบคุมโดเมนของเหยื่อ จากนั้นจะแพร่กระจายการติดเชื้อโดยอัตโนมัติ และเข้ารหัสระบบคอมพิวเตอร์ที่เข้าถึงได้ทั้งหมดบนเครือข่าย แรนซัมแวร์นี้ใช้ในการโจมตีที่กำหนดเป้าหมายประเภทเอ็นเทอร์ไพรซ์และองค์กรอื่นๆ เป้าหมายในอดีตที่โดดเด่น ได้แก่ องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)
LockBit 2.0 และการแพร่กระจาย
LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) ซึ่งให้บริการโครงสร้างพื้นฐานและมัลแวร์แก่ผู้โจมตี และรับส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมา LockBit มีเทคโนโลยีที่โดดเด่นและสามารถแพร่กระจายแรนซัมแวร์ได้ทั่วทั้งเครือข่าย
เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนได้ก็จะเรียกใช้งานมัลแวร์เพื่อสร้างนโยบายกลุ่มใหม่สำหรับผู้ใช้ ซึ่งจะถูกส่งต่อไปยังอุปกรณ์แต่ละเครื่องบนเครือข่ายโดยอัตโนมัติ นโยบายนี้จะปิดใช้งานเทคโนโลยีความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นนโยบายอื่นๆ จะสร้างงานที่กำหนดไว้แล้วบนเครื่อง Windows ทั้งหมดเพื่อเรียกใช้โปรแกรมเรียกค่าไถ่
การลบและถอดรหัส LockBit
ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Kaspersky Endpoint Security for Business
หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซัมแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ “กุญแจ” เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ
วิธีป้องกันแรนซัมแวร์ LockBit
คุณจะต้องตั้งค่ามาตรการป้องกันเพื่อให้องค์กรของคุณสามารถเตรียมการและปรับตัวต่อการเปลี่ยนแปลงที่เกิดจากแรนซัมแวร์หรือการโจมตีอื่นที่เป็นอันตราย แนวทางปฏิบัติบางประการที่สามารถช่วยในการเตรียมตัว มีดังนี้
- ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ
- ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร
- อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
- เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด
- สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน
- ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิคและขั้นตอนต่างๆ อยู่เสมอ
- ใช้โซลูชั่นด้านความปลอดภัย เช่น Kaspersky Endpoint Detection and Response และ Kaspersky Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่นๆ
- ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร Kaspersky Automated Security Awareness Platform
- ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตรายและเรียกคืนระบบได้ โซลูชั่น Kaspersky Endpoint Security for Business มีกลไกป้องกันตัวเองซึ่งสามารถป้องกันการเอาออกโดยอาชญากรไซเบอร์ เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ Kaspersky Security Solutions for Enterpriseเพื่อการปกป้องธุรกิจและอุปกรณ์ขององค์กร
ผลิตภัณฑ์ของแคสเปอร์สกี้ ซึ่งรวมถึง Kaspersky Endpoint Security และ Kaspersky Endpoint Detection and Response Optimum สามารถตรวจจับและบล็อกแรนซัมแวร์ LockBit ซึ่งมีชื่อการตรวจจับที่แตกต่างกันดังนี้
- Trojan-Ransom.Win32.Lockbit
- HEUR:Trojan-Ransom.Win32.Generic
- PDM:Trojan.Win32.Generic (ด้วยเทคโนโลยี Behavior Detection)
บริการ Kaspersky Endpoint Detection and Response Expert ช่วยตรวจจับกิจกรรมของอาชญากรไซเบอร์ที่น่าสงสัยในระยะแรก วิเคราะห์และตอบสนองต่อการโจมตี จึงป้องกันการเข้ารหัสแรนซัมแวร์ที่อาจเกิดขึ้นได้
สำหรับบริการ Kaspersky Managed Detection and Response ของแคสเปอร์สกี้นั้น ผู้เชี่ยวชาญ SOC ของแคสเปอร์สกี้ซึ่งมีความเชี่ยวชาญอย่างลึกซึ้งในการตรวจจับและตรวจสอบการโจมตีของแรนซัมแวร์ (รวมถึงการโจมตีแรนซัมแวร์ LockBit ล่าสุด) จะช่วยตรวจจับกิจกรรมที่น่าสงสัยในเครือข่าย วิเคราะห์และติดต่อคุณเมื่อเกิดเหตุ