Ryuk ransomware is the top threat for the healthcare sector

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

รวมสถิติ Ransomware ที่โกหกจาก Coveware Q3 2020 Ransomware Report

บริษัทด้านความปลอดภัย Coveware ออกรายงานเกี่ยวกับ Ransomware ประจำ Q3 2020 เมื่อวานที่ผ่านมา โดยหนึ่งในประเด็นของรายงานที่น่าสนใจนั้นคือสถิติเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ไม่รักษาคำพูดกับเหยื่อ ตัวอย่างการโป้ปดที่น่าสนใจมีดังนี้

กลุ่ม REvil หรือ Sodinokibi มีการเรียกค่าเหยื่อรายเดิมซ้ำอีกครั้งหลังจากเหยื่อจ่ายเงินค่าไถ่ไปแล้วหนึ่งอาทิตย์ โดยการใช้ข้อมูลจากข้อมูลชุดเดิม
กลุ่ม Netwalker และ Mespinoza มีการปล่อยข้อมูลของเหยื่อแม้ว่าเหยื่อจะมีการจ่ายค่าไถ่เพื่อไม่ให้มีการปล่อยข้อมูล
กลุ่ม Conti มีการลบไฟล์ปลอมโชว์เหยื่อหลังจากที่เหยื่อจ่ายค่าไถ่แล้ว โดยเก็บไฟล์จริงเอาไว้

ด้วยพฤติกรรมดังกล่าว Coveware จึงมีการเพิ่มคำแนะนำเพิ่มเติมเพื่อแจ้งให้ผู้ที่อาจตกเป็นเหยื่อหรือเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ ดังนี้

ข้อมูลที่ถูกนำไปโดยผู้โจมตีอาจไม่สามารถพิสูจน์ได้ว่าถูกลบจริงหลังจากมีการจ่ายค่าไถ่แล้ว พึงระลึกไว้เสมอว่ากลุ่มมัลแวร์เรียกค่าไถ่อาจมีการแลกเปลี่ยน นำไปขายต่อหรือถือครองข้อมูลเดิมไว้เพื่อเรียกค่าไถ่ซ้ำ
ข้อมูลที่ถูกขโมยไปอาจถูกถือครองโดยบุคคลหลายกลุ่มและอาจไม่ได้รับความปลอดภัยอย่างเหมาะสม แม้กลุ่มมัลแวร์เรียกค่าไถ่จะลบข้อมูลไปแล้วจริง ก็อาจมีการลักลอบเข้าถึงและทำสำเนาข้อมูลเก็บเอาไว้ได้โดยบุคคลที่สาม
ข้อมูลที่ถูกขโมยไปอาจถูกโพสต์หรือถูกปล่อยสู่สาธารณะไม่ว่าจะได้ความตั้งใจหรือไม่ก็ตาม ในบางครั้งกลุ่มมัลแวร์เรียกค่าไถ่อาจตั้งใจโพสต์ก่อนที่จะมีการเรียกค่าไถ่ด้วย

ไอ-ซีเคียวขอแนะนำให้ผู้อ่านพิจารณาข้อเท็จจริงด้านบนเพื่อนำไปใช้ปรับปรุงแผนและแนวทางเพื่อรับมือและตอบสนองเหตุการณ์ความปลอดภัยจากมัลแวร์เรียกค่าไถ่ให้มีประสิทธิภาพมากยิ่งขึ้น

ที่มา: bleepingcomputer