รู้จักและรับมือ Ransomware

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอนำเสนอข้อมูลเกี่ยวกับ Ransomware ในปัจจุบันรวมถึงวิธีการรับมือ โดยแบ่งตามหัวข้อต่อไปนี้

 

 

Ransomware คืออะไร?

Ransomware หรือมัลแวร์เรียกค่าไถ่เป็นมัลแวร์ที่เมื่อแพร่กระจายไปยังเครื่องเหยื่อปลายทางจะทำการเข้ารหัสไฟล์ หากผู้ใช้งานต้องการจะเข้าถึงไฟล์ที่ถูกเข้ารหัส จำเป็นต้องจ่ายค่าไถ่ให้กับผู้โจมตี ซึ่งการจ่ายค่าไถ่ดังกล่าวไม่การันตีการได้รับไฟล์คืน เหยื่ออาจพบการข่มขู่ให้จ่ายค่าไถ่มากขึ้นหรือมัลแวร์ดังกล่าวอาจมีกระบวนการเข้ารหัสหรือถอดรหัสที่ผิดพลาดจนทำให้ไม่สามารถทำให้ไฟล์กลับสู่สภาพเดิมได้

ประวัติของมัลแวร์เรียกค่าไถ่สามารถย้อนกลับไปได้ถึงช่วงปี 1989 โดยปัจจุบันมัลแวร์เรียกค่าไถ่และผู้โจมตีที่อยู่เบื้องหลังการโจมตีมีการพัฒนาไปอย่างมาก เป้าหมายของมัลแวร์เรียกค่าไถ่ไม่เฉพาะเจาะจงแค่เครื่องคอมพิวเตอร์อีกต่อไป มีการพบมัลแวร์เรียกค่าไถ่มุ่งโจมตีโทรศัพท์มือถือ android และมีมัลแวร์เรียกค่าไถ่ที่มุ่งโจมตี NAS อีกด้วย

รู้จัก human-operated ransomware

เมื่อเดือนมีนาคม 2020 ที่ผ่านมา Microsoft ออกบทความ Human-operated ransomware attacks: A preventable disaster ซึ่งพูดถึงการนิยาม Ransomware เป็นสองแบบคือ Auto-spreading ransomware อย่าง Wannacry ที่มีความสามารถโจมตีช่องโหว่ใน SMBv1 โดยอัตโนมัติ และ human-operated ransomware ที่มีมนุษย์อยู่เบื้องหลัง เป็นการโจมตีที่มีการวางแผน มีการพุ่งเป้าโจมตีอย่างชัดเจนไปยังองค์กรต่างๆ โดยมุ่งหวังให้เกิดรายได้สูงสุด

ในการมุ่งหวังให้เกิดรายได้สูงสุดของ human-operated ransomware นั้น ผู้โจมตีจะมีการวางแผนโจมตีองค์กรโดยมากกว่าการโจมตีเหยื่อรายบุคคลเพราะองค์กรมีความสามารถในการจ่ายเงินสูงกว่า สามารถเรียกค่าไถ่ได้มากกว่าเหยื่อรายบุคคล มีการใช้เทคนิคต่างๆ เพื่อช่วยในการโจมตี ไม่ว่าจะเป็นการซื้อ credential จากตลาดมืด, การใช้ spearphishing email, การใช้โปรแกรมที่มีอยู่บนเครื่องอยู่แล้วเพื่อไม่ให้ผิดสังเกต (Living Off The Land) หรือเทคนิคอื่นๆ ตามความสามารถของผู้โจมตีเหล่านั้น

ทั้งนี้ผู้โจมตีที่เลือกใช้ Ransomware ไม่จำเป็นต้องมีความสามารถในการพัฒนามัลแวร์หรือมีความสามารถในการโจมตี เพราะในปัจจุบันมีสิ่งที่เรียกว่า Ransomware-as-a-service (RaaS) ซึ่งประกอบไปด้วยตัว ransomware, ระบบจัดการการจ่ายค่าไถ่, วิธีการโจมตีเพื่อวางมัลแวร์เรียกค่าไถ่ และสิ่งจำเป็นอื่นๆ ที่เกี่ยวข้อง โดยผู้ใช้ RaaS อาจจ่ายค่าบริการเป็นการแบ่งรายได้จากการเรียกค่าไถ่ให้กับผู้ให้บริการ

ตั้งแต่ปี 2019 เป็นต้นมา human-operated ransomware เริ่มต้นโดย Maze มีการพัฒนาเทคนิคเพื่อการันตีให้องค์กรจ่ายเงินด้วยการขโมยข้อมูลก่อนทำการปล่อยมัลแวร์เข้ารหัสไฟล์ เพื่อข่มขู่ให้องค์กรยอมจ่ายเงิน มิฉะนั้น Maze จะทำการปล่อยข้อมูลสู่สาธารณะ ซึ่งค่าปรับจากกฏหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือผลกระทบอื่นๆ จากข้อมูลรั่วไหลอาจสูงกว่าค่าไถ่

กลยุทธของ Maze ถือว่าเป็นประสบผลสำเร็จเป็นอย่างมาก เพราะมีองค์กรที่สามารถกู้คืนระบบจากเข้ารหัสไฟล์ได้ แต่ยอมจ่ายเงินค่าไถ่เพื่อให้ผู้โจมตีลบไฟล์ที่ขโมยออกไป ทำให้กลุ่มผู้โจมตีอื่นๆ หันมาขโมยข้อมูลก่อนเข้ารหัสไฟล์เช่นกัน

 

สถิติจาก DarkTracer รวบรวมเหยื่อที่พบบนหน้าปล่อยข้อมูลของ ransomware แต่ละชนิด https://twitter.com/darktracer_int/status/1301763449194598400/photo/1

 

โดยเหยื่อล่าสุดที่มีข่าวว่ายอมจ่ายเงินแม้กู้คืนระบบได้คือ มหาวิทยาลัยแห่งยูทาห์ (University of Utah) แถลงว่าถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ สามารถกู้คืนระบบได้ แต่จ่ายค่าไถ่โดยใช้วงเงินจากบริษัทประกันเพื่อป้องกันไม่ให้ผู้โจมตีทำการปล่อยข้อมูลนักศึกษาและบุคลากรเมื่อวันที่ 21 สิงหาคม 2020 ที่ผ่านมา ซึ่งผู้เชี่ยวชาญวิเคราะห์ว่าน่าจะเป็นผลงานของ NetWalker ransomware

สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020

Coveware ซึ่งเป็นบริษัทที่เชี่ยวชาญในการรับมือกับมัลแวร์เรียกค่าไถ่ออกรายงานวิเคราะห์ประจำไตรมาสที่ 2 ของปี 2020 Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase ซึ่งมีจุดน่าสนใจหลายอย่าง ได้แก่

  • ค่าเฉลี่ยของค่าไถ่ในไตรมาสที่ 2 ของปี 2020 อยู่ที่ 178,254 ดอลลาร์สหรัฐ (ประมาณ 5 ล้าน 5 แสนบาท)
  • ช่องทางการโจมตีของมัลแวร์เรียกค่าไถ่มาจาก RDP สูงสุด ตามด้วย Email Phishing และช่องโหว่ที่ไม่ได้รับการแพตช์ สอดคล้องกับการ Work From Home ที่เพิ่มขึ้น ทำให้มีองค์กรที่เปิดการใช้งาน RDP มากขึ้น

    ช่องทางเริ่มต้นการโจมตีของ ransomware https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

  • มัลแวร์เรียกค่าไถ่ที่ทำเงินได้มากที่สุด 3 อันดับคือ Sodinokibi, Maze และ Phobos

โดยในรายงานดังกล่าว Coveware ยังระบุว่าเป้าหมายของมัลแวร์เรียกค่าไถ่พุ่งไปที่องค์กรประเภท Professional Service มากที่สุด ตามด้วย Public Sector และมีประเภท Health Care เป็นอันดับที่ 3

 

สถิติเป้าหมายของมัลแวร์เรียกค่าไถ่แบ่งตามประเภทธุรกิจ https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

 

ซึ่งถึงแม้ว่าจะมีมัลแวร์เรียกค่าไถ่หลายๆ กลุ่มจะประกาศหยุดโจมตีกลุ่ม Health Care ในช่วง COVID-19 แต่ไม่ใช่ทั้งหมด เนื่องจากกลุ่ม Health Care มักจะได้รับผลกระทบจากการหยุดให้บริการอย่างมาก จึงมีความเป็นไปได้ที่จะจ่ายค่าไถ่สูง

เทคนิคการโจมตีของ ransomware

การโจมตีของมัลแวร์เรียกค่าไถ่รวมถึงผู้โจมตีที่อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่นั้นมีความหลากหลายและแตกต่างกันไปตามแต่ละชนิดของมัลแวร์เรียกค่าไถ่ ทำให้ยากต่อการหา “วิธีการเดียวที่ได้ผล” ในการใช้ผลิตภัณฑ์ เครื่องมือ หรือวิธีการใดวิธีการหนึ่งเพียงอย่างเดียวในการรับมือมัลแวร์เรียกค่าไถ่ทั้งหมด จำเป็นต้องใช้วิธีป้องกันร่วมกันหลายอย่าง (Defense in depth) ในการป้องกันดังกล่าว

 

ภาพรวมของการโจมตีด้วย ransomware จาก https://assets.sentinelone.com/ransom/sentinalone_understa?lb-mode=overlay

 

สถานการณ์การโจมตีจาก ransomware อาจเป็นได้ทั้ง

  • ผู้โจมตีส่ง Phishing ให้เหยื่อเป็นอีเมลที่มีไฟล์เอกสารแนบมา เหยื่อหลงเชื่อแล้วทำการเปิดเอกสาร มีการ enable content เพื่อดูใจความ ทำให้ macro ที่ถูกซ่อนไว้ทำงานเรียกใช้ powershell เพื่่อดาวน์โหลดมัลแวร์ขั้นต่อไปมา จนกระทั่งเรียกใช้มัลแวร์ค่าไถ่เข้ารหัสระบบ

    ตัวอย่างอีเมล phishing ที่ส่งโดย Maze ransomware จาก https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

  • โจมตีสแกนหาเครื่องเซิร์ฟเวอร์ที่มีการเปิด RDP ไว้ ผู้โจมตีทำการ brute force เพื่อเข้าถึง RDP ซึ่งผู้โจมตีสามารถโจมตีสำเร็จ ได้บัญชีผู้ใช้ระดับผู้ดูแลระบบที่มีสิทธิ์สูง ทำให้ผู้โจมตีใช้บัญชีเหล่านั้นในการเข้าถึงเครื่องได้ เนื่องจากมีสิทธิ์สูง ผู้โจมตีสามารถปิดโปรแกรมป้องกันต่างๆ ทำการขโมยข้อมูล credential ทำการขโมยข้อมูลสำคัญบนเครื่อง ติดตั้ง backdoor เพื่อให้สามารถคงอยู่ในระบบต่อโดยง่าย จากนั้นทำการขยับไปยังเครื่องอื่นๆ ที่อยู่ในองค์กรเดียวกัน ลบ backup ทิ้ง เลือกเครื่องเป้าหมายในการวางมัลแวร์ จากนั้นทำการเรียกใช้มัลแวร์เรียกค่าไถ่เข้าสู่ระบบทั้งหมด เป็นต้น

    เทคนิคการโจมตีของ Doppelpaymer จาก https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

การรับมือมัลแวร์เรียกค่าไถ่

อ้างอิงจากกรอบขั้นตอนการรับมือภัยคุกคาม NIST Special Publication 800-61 Revision 2 Computer Security Incident Handling Guide (NIST SP 800-61 Rev. 2)

วัฏจักรกระบวนการรับมือภัยคุกคาม (Incident Response Life Cycle) จาก https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

โดยกรอบขั้นตอนการรับมือภัยคุกคามได้นิยามกระบวนการรับมือภัยคุกคามเป็นวัฏจักร 4 ขั้นตอน ดังนี้

  1. การเตรียมความพร้อม (Preparation)
  2. การตรวจจับและการวิเคราะห์ยืนยันเหตุ (Detection & Analysis)
  3. การควบคุม กำจัด และฟื้นฟูระบบจากภัยคุกคาม (Containment Eradication & Recovery)
  4. กิจกรรมหลังภัยคุกคาม (Post- incident Activity)

การเตรียมความพร้อม (Preparation)

  • มีการอบรมและประเมินผลความพร้อมในการรับมือและตอบสนองเหตุการณ์ด้านความปลอดภัยอย่างสม่ำเสมอ รวมไปถึงการเสริมสร้างความตระหนักรู้ให้แก่บุคลากรภายในองค์กร
  • มีการจัดเตรียมทีมในการรับมือและตอบสนองเหตุการณ์ด้านความปลอดภัย โดยอาจอยู่ในรูปแบบของ virtual team ที่สามารถขอความช่วยเหลือได้เมื่อเกิดปัญหา ซึ่งนอกจากผู้เชี่ยวชาญทางด้านความปลอดภัยและระบบคอมพิวเตอร์แล้ว ทีมควรประกอบด้วยฝ่ายกฎหมาย, ฝ่ายทรัพยากรบุคคล, ฝ่ายประชาสัมพันธ์และฝ่ายนโยบายด้วย
  • มีการจัดเตรียมช่องทางในการแจ้งความผิดปกติของระบบอย่างมีประสิทธิภาพ เพื่อช่วยในการตรวจจับภัยคุกคาม
  • ศึกษาข้อมูลเกี่ยวกับการประกันภัยที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์
  • มีการพัฒนาแผนรับมือและตอบสนองเหตุการณ์ด้านความปลอดภัย โดยอาจประกอบไปด้วย
    • ในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัยขึ้นแล้ว เงื่อนไขใดของเหตุการณ์ด้านความปลอดภัยที่จะบังคับให้องค์กรนั้นแจ้งต่อหน่วยงานผู้บังคับใช้กฎหมาย เช่น เหตุการณ์ด้านความปลอดภัยนั้นส่งผลกระทบต่อสาธารณะ หรือมีการรั่วไหลของข้อมูลที่ต้องปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562
    • กำหนดสายการบังคับบัญชาและผู้รับผิดชอบต่อระบบแต่ละระบบเมื่อเกิดเหตุการณ์ด้านความปลอดภัยอย่างชัดเจน
    • มีแผนในการติดต่อและประสานงานกับผู้ที่เกี่ยวข้องเมื่อเกิดเหตุการณ์ด้านความปลอดภัยอย่างเหมาะสม อาทิ การติดต่อกับหุ้นส่วนทางธุรกิจ, พนักงานภายในบริษัทหรือผู้ใช้บริการ เป็นต้น
  • การจัดเตรียมข้อมูลดังต่อไปนี้เพื่ออำนวยความสะดวกหากเกิดเหตุการณ์ด้านความปลอดภัย เช่น
    • เอกสารที่อธิบายถึงการเชื่อมต่อภายในระบบ ที่ระบุถึงอุปกรณ์ที่มีความสำคัญ หมายเลขไอพีแอดเดรสและเครือข่ายเน็ตเวิร์ก
    • ขั้นตอนในตั้งค่าและจัดการระบบปัจจุบัน โดยระบุถึงการเชื่อมต่อ การตั้งค่าที่สำคัญเพื่อใช้ในการกู้คืนระบบ
    • ไฟล์อิมเมจสำรองสำหรับระบบปัจจุบันเพื่อใช้ในการกู้คืนข้อมูล และการวิเคราะห์เพื่อระบุหาภัยคุกคาม
    • รหัสผ่านและช่องทางการเข้าถึงระบบในกรณีฉุกเฉินเพื่อรับมือและตอบสนอง
  • องค์กรควรมีการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ ซึ่งข้อมูลสำรองนี้ควรตัดขาดแยกออกจากระบบหลักโดยสิ้นเชิง
  • มีการอัปเดตแพตช์อย่างสม่ำเสมอ
  • ตั้งค่าความปลอดภัยของระบบให้รัดกุม เช่น
    • ลด attack surface ด้วยการปิดหรือจำกัดการใช้งานโปรโตคอลที่สามารถเข้าถึงได้จากอินเตอร์เน็ต
    • ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์และโปรแกรมป้องกันอื่นๆ
    • มีการเฝ้าระวังภัยคุกคามอย่างสม่ำเสมอ
    • ผู้ใช้งานควรเปิดการใช้งานฟังก์ชัน Show hidden file-extensions เพื่อให้สามารถสังเกตเห็นความผิดปกติได้ในกรณีที่มัลแวร์มีการปลอมนามสกุลไฟล์ เช่น ปลอมเป็น “filename.PDF.EXE”
    • มีการใช้การยืนยันตัวตนหลายขั้นตอน
    • จำกัดบัญชีผู้ใช้งานที่สามารถเข้าถึงระบบจากระยะไกลผ่านโปรโตคอล Remote Desktop Protocol (RDP) ไม่ให้เป็นบัญชีที่มีสิทธิ์สูง เป็นต้น

การตรวจจับและการวิเคราะห์ยืนยันเหตุ (Detection & Analysis)

การตรวจจับเหตุการณ์ Detection

เราสามารถตรวจจับการโจมตีของ ransomware ต่างๆ ได้จากการศึกษาเทคนิคการโจมตีของ ransomware แต่ละชนิด เช่น Auto-spreading ransomware อย่าง Wannacry มีเทคนิคโจมตีช่องโหว่ใน SMBv1 ทำให้สามารถตรวจจับได้จากความผิดปกติที่เกิดขึ้นบน SMB

สำหรับ human-operated ransomware Sophos มีบทความ The realities of ransomware: Five signs you’re about to be attacked ซึ่งพูดถึง 5 สัญญาณที่บ่งบอกภาพรวมของการจะถูกโจมตีดังนี้

  1. พบโปรแกรม network scanner โดยเฉพาะบนเครื่อง server เช่น โปรแกรม AngryIP หรือ Advanced Port Scanner

    ภาพจาก https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/

  2. พบเครื่องมือที่สามารถใช้เพื่อปิดการทำงานของโปรแกรมป้องกันมัลแวร์ได้ โดยเฉพาะบนเครื่อง server เช่น Process Hacker, IOBit Uninstaller, GMER, PC Hunter หรือ
    PsExec ซึ่งเครื่องมือเหล่านี้เป็นเครื่องมือที่ผู้ดูแลระบบอาจใช้เพื่อดูแลระบบทั่วไป แต่ผู้โจมตีก็สามารถใช้ประโยชน์ได้เช่นกัน
  3. พบการมีอยู่ของเครื่องมือ MimiKatz ซึ่งเป็นเครื่องมือสำหรับขโมยข้อมูล credential
  4. พบพฤติกรรมผิดปกติซ้ำๆ เป็น Pattern เช่น พบไฟล์อันตรายที่เครื่องเดิมซ้ำๆ เป็นต้น
  5. พบการทดลองโจมตี เช่น พบการปิดโปรแกรมป้องมัลแวร์บนเครื่องจำนวนหนึ่ง ซึ่งอาจเป็นซ้อมมือของผู้โจมตีได้

การวิเคราะห์ยืนยันเหตุเบื้องต้น Analysis

ผู้ดูแลระบบสามารถตรวจสอบว่ามัลแวร์เรียกค่าไถ่ดังกล่าวเป็นชนิดใดได้ด้วยการคัดลอกตัวอย่างของไฟล์ที่ถูกเข้ารหัสซึ่งมีข้อมูลที่ไม่เป็นความลับ และคัดลอกไฟล์ข้อความเรียกค่าไถ่ (Ransomware Notes) จากนั้นทำการตรวจสอบสายพันธุ์ของมัลแวร์เรียกค่าไถ่ผ่านทางบริการฟรี ID Ransomware หรือ https://www.nomoreransom.org/ ซึ่งจะทำการตรวจสอบประเภทและสายพันธุ์ของมัลแวร์จากไฟล์ข้อความเรียกค่าไถ่และไฟล์ที่ถูกเข้ารหัส

ตัวอย่างผลจาก https://id-ransomware.malwarehunterteam.com/

ซึ่งชนิดของ ransomware สามารถช่วยในการวิเคราะห์และค้นหาข้อมูลเพิ่มเติมเพื่อช่วยในการวิเคราะห์ สืบหาข้อมูล รวมถึงช่วยประเมินความเสี่ยงเกี่ยวกับประเด็นการขโมยข้อมูลได้ รวมถึงในบางครั้งอาจมีการทำเครื่องมือเพื่อถอดรหัสโดยไม่ต้องจ่ายค่าไถ่แล้ว

นอกจากการวิเคราะห์เบื้องต้นแล้ว ควรมีการวิเคราะห์เชิงลึกเพื่อระบุขอบเขตความเสียหายอย่างชัดเจน โดยอาจทำหลังจากที่ควบคุมการแพร่กระจายได้แล้ว

การควบคุม กำจัด และฟื้นฟูระบบจากภัยคุกคาม (Containment Eradication & Recovery)

การควบคุมภัยคุกคาม Containment

  • ควรตัดระบบออกจากเครือข่าย เพื่อป้องกันการแพร่กระจายในระบบเครือข่ายหรือการติดต่อไปยังเครื่องภายนอกที่เป็นอันตราย  โดยสามารถดำเนินการได้ทั้ง
    • จากระบบปฏิบัติการ เช่น ปิดการใช้งานระบบเครือข่ายชั่วคราว
    • ทางกายภาพโดยตรง เช่น การถอดสายแลน
    • หรือจากผลิตภัณฑ์ Endpoint Detection and Response (EDR) ที่มีความสามารถในการ Containment
  • ทำการเปลี่ยนรหัสผ่านบนระบบทั้งหมด โดยเฉพาะรหัสผ่านที่ใช้ซ้ำกับระบบที่พบ ransomware
  • ให้ผู้ดูแลระบบเข้าดำเนินการสำรองข้อมูลที่ถูกรหัสไว้ในกรณีที่อาจมีความเป็นไปได้ในการที่จะถอดรหัสไฟล์และข้อมูลที่ถูกเข้ารหัสในอนาคต ทั้งนี้ผู้ดูแลระบบควรเรียนรู้วิธีการในการจัดเก็บข้อมูลในหน่วยความจำซึ่งอาจมีข้อมูลที่เกี่ยวข้องกับกุญแจที่ใช้ในการเข้ารหัสหลงเหลืออยู่ด้วย
  • อาจพิจารณาการจัดเก็บหลักฐานดิจิตอลจากเครื่องคอมพิวเตอร์ที่ติดมัลแวร์เรียกค่าไถ่เพื่อทำการตรวจสอบเพิ่มเติมในอนาคต ซึ่งการจัดเก็บหลักฐานดิจิตอลดังกล่าวควรเก็บตามข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน version1.0 

การกำจัดภัยคุกคาม Eradication

เมื่อมีการวิเคราะห์เชิงลึกเพื่อระบุขอบเขตความเสียหายอย่างชัดเจน สามารถระบุไฟล์ที่เกี่ยวข้องกับ ransomware ทั้งหมดได้แล้ว องค์กรจะสามารถตัดสินใจในการกำจัดภัยคุกคามได้ทั้งการลบไฟล์ที่เกี่ยวข้องทั้งหมด ขึ้นระบบใหม่ หรือกู้คืนจากสำเนาข้อมูลที่ไม่ติดเชื้อ

ทั้งนี้ไม่แนะนำให้มีการใช้งานระบบที่มีการแพร่กระจายของมัลแวร์เรียกค่าไถ่ซ้ำโดยที่ไม่มีการล้างและติดตั้งระบบใหม่เนื่องจากมัลแวร์เรียกค่าไถ่อาจยังคงทำงานอยู่และแพร่กระจายไปยังระบบอื่นๆ ได้ หรือมีการติดตั้ง backdoor ทิ้งไว้

การฟื้นฟูระบบจากภัยคุกคาม Recovery

ในการกู้คืนระบบ องค์กรสามารถตัดสินใจฟื้นฟูระบบได้ตามปัจจัยที่พบจากการวิเคราะห์ความเสียหาย อาจเป็น

  • การนำสำเนาข้อมูลมาเรียกคืนระบบได้หลังจากที่มีการติดตั้งระบบใหม่
  • การถอดรหัสด้วยเครื่องมือถอดรหัส ID Ransomware หรือ https://www.nomoreransom.org/ 
  • การ rebuild ระบบใหม่ทั้งหมด หรือ
  • การจ่ายค่าไถ่ (ไม่แนะนำอย่างยิ่ง)

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัดไม่แนะนำให้องค์กรที่ได้รับผลกระทบจาก ransomware จ่ายค่าไถ่  เนื่องจากเหตุผลดังต่อไปนี้

  1. ไม่สามารถรับประกันได้ว่าคนเรียกค่าไถ่จะถอดรหัสไฟล์ให้จริง อาจพบการข่มขู่ให้จ่ายค่าไถ่มากขึ้น
  2. มัลแวร์ดังกล่าวอาจมีกระบวนการเข้ารหัสหรือถอดรหัสที่ผิดพลาดจนทำให้ไม่สามารถทำให้ไฟล์กลับสู่สภาพเดิมได้แม้จ่ายค่าไถ่และได้รับตัวถอดรหัสจากผู้โจมตี
  3. การจ่ายค่าไถ่ไม่การันตีว่าผู้โจมตีจะทำการลบข้อมูลที่ขโมยไป และ
  4. การจ่ายค่าไถ่เป็นการสนับสนุนเงินทุนให้กับกลุ่มผู้โจมตีทำการโจมตีต่อไป

องค์กรควรพิจารณาอย่างถี่ถ้วนก่อนทำการจ่ายค่าไถ่ ควรมีการปรึกษาผู้เชี่ยวชาญ ที่ปรึกษาทางกฏหมาย บริษัทประกันภัยรวมถึงหน่วยงานทางกฏหมายที่เกี่ยวข้องก่อนทำการตัดสินใจ และควรทำการศึกษาแนวทางจาก Forrester's Guide To Paying Ransomware ซึ่งระบุแนวทางการประเมินสถานการณ์ รวมถึงระบุชื่อบริษัทที่เชี่ยวชาญในการด้านรับมือ ransomware รวมถึงเชี่ยวชาญในการจ่ายค่าไถ่ไว้

ภาพจาก Forrester's Guide To Paying Ransomware

ทั้งนี้หลังจากการกู้คืนระบบด้วยวิธีใดๆ ก็ตาม ควรมีการเฝ้าระวังการติดมัลแวร์เรียกค่าไถ่ซ้ำด้วย

กิจกรรมหลังภัยคุกคาม (Post- incident Activity)

องค์กรควรมีจัดประชุม lesson learned โดยเป็นการทบทวนเหตุการณ์รวมถึงจัดทำรายงานสรุปเหตุการณ์ภัยคุกคามเพื่อใช้อ้างอิงในอนาคต ซึ่งอาจประกอบด้วยหัวข้อเหล่านี้

  • รายละเอียดเหตุการณ์
  • เวลาที่เกิดเหตุการณ์
  • บุคลากรตอบสนองเหตุการณ์อย่างไร
  • มีการบันทึกข้อมูลระหว่างการตอบสนองเหตุการณ์หรือไม่
  • แผนการรับมือที่สร้างไว้สามารถใช้ได้จริงหรือไม่
  • สิ่งที่พบและข้อเสนอแนะ
  • ผลลัพธ์จากการดำเนินการรับมือและแก้ไขเหตุภัยคุกคาม เป็นต้น

แหล่งที่มา

  • https://www.forrester.com/report/Forresters+Guide+To+Paying+Ransomware/-/E-RES154595
  • https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
  • https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/
  • https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report
  • https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/
  • https://www.zdnet.com/article/why-and-when-it-makes-sense-to-pay-the-ransom-in-ransomware-attacks/
  • https://assets.sentinelone.com/ransom/sentinalone_understa?lb-mode=overlay
  • https://us-cert.cisa.gov/ncas/tips/ST19-001
  • https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks#stepsifinfected