การโจมตีของ Ransomware จากมุมมองด้านความปลอดภัยของข้อมูลหนึ่งในแนวโน้มที่บ่งบอกลักษณะเฉพาะในช่วงครึ่งหลังของปี 2020 นี้คือคลื่นลูกใหม่ของการโจมตีแรนซัมแวร์โดยใช้แนวทางที่กำหนดไว้ว่า“ การขู่กรรโชกสองครั้ง”
ด้วยการโจมตีแบบกรรโชกสองครั้งผู้คุกคามสามารถเพิ่มโอกาสในการทำกำไรได้มากที่สุดโดยการให้แรงจูงใจเพิ่มเติมแก่เหยื่อในการจ่ายค่าไถ่นั่นคือภัยคุกคามในการขายหรือแม้แต่ประมูลข้อมูลที่เข้ารหัส แก๊งที่อยู่เบื้องหลัง REvil (aka Sodinokibi) เป็นกลุ่มแรกที่นำกลยุทธ์นี้มาใช้และได้รับการยกย่องจากกลุ่มอื่นอย่างรวดเร็ว
ความถี่และผลกระทบของการโจมตี ransomware ในช่วงสองสามปีที่ผ่านมาแสดงให้เห็นว่าทุกหน่วยงานเป็นเป้าหมายที่มีศักยภาพ ด้วยเหตุนี้นอกจากการลงทุนเพิ่มเติมเกี่ยวกับเทคโนโลยีป้องกันมัลแวร์แล้วองค์กรต่างๆยังทำงานอย่างหนักเพื่อใช้กลยุทธ์การสำรองข้อมูลที่มีประสิทธิภาพเพื่อรับมือกับสถานการณ์ที่เลวร้ายที่สุดของการโจมตีด้วยแรนซัมแวร์ทำลายล้างที่ประสบความสำเร็จ
ด้วยการโจมตีกรรโชกสองครั้งการสำรองข้อมูลอาจไร้ประโยชน์ ในความเป็นจริงการคุกคามของข้อมูลรั่วไหลโดยผู้โจมตีสามารถกดดันให้เหยื่อจ่ายค่าไถ่ได้มากขึ้นเนื่องจากความเสียหายทางเศรษฐกิจและชื่อเสียงที่อาจเกิดขึ้นอาจมีความเสียหายอย่างเท่าเทียมกันหรือร้ายแรงกว่าการสูญเสียข้อมูล การโจมตีของ Ransomware
น่าเป็นห่วงเมื่อมีการสร้างรอยเท้าภายในองค์กรที่ถูกละเมิดความคิดสร้างสรรค์ของผู้โจมตีก็ไร้ขีด จำกัด ในบางแคมเปญล่าสุดผู้คุกคามที่อยู่เบื้องหลัง REvil ได้เพิ่มขีดความสามารถให้ดียิ่งขึ้นโดยการสแกนเครือข่ายของเหยื่อเพื่อหาบัตรเครดิตและซอฟต์แวร์จุดขาย (PoS) ทำให้พวกเขาสามารถสร้างรายได้จากการโจมตีเพิ่มเติม
ควบคู่ไปกับการนำกลยุทธ์การขู่กรรโชกสองครั้งมาใช้ผู้โจมตีได้เปลี่ยนวิธีการดำเนินการโดยเปลี่ยนจากรูปแบบการฉวยโอกาสไปสู่แนวทางที่ตรงเป้าหมายมากขึ้น พวกเขาเลือกเหยื่อเพื่อใช้ประโยชน์จากระบบที่เชื่อมต่ออินเทอร์เน็ตที่มีช่องโหว่เพื่อเจาะเข้าไปในเครือข่ายของเป้าหมาย ด้วยวิธีนี้ผู้โจมตีสามารถสร้างรอยเท้าฉีดข้อมูลที่เป็นอันตรายและตรวจสอบให้แน่ใจว่าการระบาดแพร่กระจายไปทั่วทั้งองค์กรอย่างรวดเร็ว
ดูเหมือนว่าผู้โจมตีจะได้รับความช่วยเหลือจากเทคโนโลยีเหล่านั้นที่ควรจะปกป้ององค์กรต่างๆอย่างไม่น่าเชื่อ – ผู้ให้บริการ VPN หลักแทบทุกรายต้องประสบกับช่องโหว่ที่รุนแรงตั้งแต่ปลายปี 2019 จนถึงปัจจุบัน
อุปกรณ์ยุติระบบเครือข่ายหรือ VPN หากใช้ประโยชน์ได้จะเป็นเป้าหมายที่เหมาะสมที่สุดสำหรับผู้คุกคามเนื่องจาก VPN จะเปิดเผยโดยตรงกับอินเทอร์เน็ตและให้การเข้าถึงเครือข่ายไปยังทรัพยากรภายใน CVE-2019-11510 , CVE-2018-13379 , CVE-2019-1579 , CVE-2019-19781 , CVE-2020-2021 , CVE-2020-5902เป็นเพียงตัวอย่างบางส่วนของช่องโหว่ที่มีผลต่ออุปกรณ์เหล่านี้อย่างแข็งขันใช้ประโยชน์ในการฉีด ransomware (แต่ยังใช้ในการทำแคมเปญจารกรรมทางไซเบอร์โดยนักแสดงที่รัฐให้การสนับสนุน )
ช่องโหว่เหล่านี้ทั้งหมดถูกค้นพบทันทีก่อนและระหว่างวิกฤต COVID-19 เมื่อองค์กรต่างๆเพื่อรับประกันความต่อเนื่องทางธุรกิจถูกบังคับให้เปลี่ยนไปใช้การทำงานระยะไกลเกือบข้ามคืนโดยอาศัยเทคโนโลยีการเข้าถึงระยะไกลอย่างมากและสร้างแรงกดดันให้กับพวกเขามากขึ้น
โดยไม่สมัครใจองค์กรเองก็ให้ความช่วยเหลือเพิ่มเติม แก่ผู้โจมตี และหากเราพิจารณาว่าผู้ให้บริการหลายราย ช้เวลาหลายวันในการแก้ไขช่องโหว่ (และองค์กรจำนวนมากก็ใช้เวลานานกว่าในการใช้แพตช์) ก็ง่ายที่จะเข้าใจว่าเหตุใดการโจมตีเหล่านี้จึงประสบความสำเร็จ
อย่างไรก็ตามตัวรวมสัญญาณVPN ที่มีช่องโหว่ไม่ได้เป็นระบบที่ต้องเผชิญ กับอินเทอร์เน็ตที่สำคัญเพียงระบบเดียวที่ผู้โจมตี ransomware ใช้ประโยชน์ได้ เทคโนโลยีการเข้าถึงระยะไกลอีกอย่างที่มีบทบาทสำคัญในระหว่างการแพร่ระบาดคือการให้โอกาสเพิ่มเติมแก่ผู้โจมตี – RDP (Remote Desktop Protocol)
การเปิดการเชื่อมต่อ RDP โดยตรงบนอินเทอร์เน็ตเป็นความคิดที่ไม่ดี แต่สำหรับหลาย ๆ องค์กรในช่วงที่มีการแพร่ระบาด มันเป็นวิธีที่เร็วที่สุดในการเข้าถึงทรัพยากรภายใน จากระยะไกล การเชื่อมต่อเหล่านี้ทำให้องค์กรต่างๆต้องเผชิญกับการโจมตี ที่ดุร้ายและการพ่นรหัสผ่าน บริษัท รักษาความปลอดภัยหลายได้สังเกตเห็น uptickในการโจมตี Brute-Force RDP ตั้งแต่ COVID ในขอบเขตที่ว่าแม้เอฟบีไอได้ส่งการแจ้งเตือนเมื่อเร็ว ๆ นี้ภาคเอกชนอุตสาหกรรมกับ K-12 โรงเรียนเตือนพวกเขาเกี่ยวกับความเสี่ยงของการโจมตี ransomware ใช้ประโยชน์จากการเชื่อมต่อ RDP เปิด
ผู้โจมตีก็มีความคิดสร้างสรรค์ เช่นกันค้นหาวิธีสร้างรายได้จากการละเมิดหลายวิธี ขึ้นอยู่กับความตั้งใจ – พวกเขาสามารถโจมตีแรนซัมแวร์ขโมยข้อมูลภายในหรือแม้แต่ขายข้อมูลรับรองสำหรับการเข้าถึง RDP ในตลาดที่มืดหรือฟอรัมใต้ดิน (เป็นเรื่องธรรมดา การปฏิบัติสำหรับข้อมูลรับรองการเข้าถึง VPN ที่ถูกบุกรุกแม้กระทั่ง โดยนักแสดงที่ได้รับการสนับสนุนจากรัฐ )
การลดพื้นผิวการโจมตีสำหรับการเข้าถึงระยะไกล
หากคุณต้องการให้ระดับเครือข่ายเข้าถึงทรัพยากรภายในผ่าน VPN จริง ๆ ให้ตรวจสอบให้แน่ใจว่าระบบได้รับการอัปเดตด้วยแพตช์ล่าสุดอย่างทันท่วงที (หรืออย่างน้อยก็ให้ใช้มาตรการบรรเทาผลกระทบใด ๆ ที่ผู้จำหน่ายจัดหาให้ทันทีหากยังไม่มีการแก้ไข ใช้ได้).
เพื่อป้องกันการโจมตีแบบดุร้าย และ การพ่นรหัสผ่านให้บังคับใช้นโยบายการเปลี่ยนรหัสผ่านที่มีประสิทธิภาพและหากเป็นไปได้ ให้รวมเข้ากับการตรวจสอบสิทธิ์แบบหลายปัจจัยทั้งที่เลเยอร์ภายนอก และเมื่อเข้าถึงทรัพยากรภายใน แน่นอนปิดการเข้าถึง VPN สำหรับผู้ที่ไม่ต้องการใช้งานเสมอ
ในทำนองเดียวกันในกรณีของ RDP ให้บล็อกการเข้าถึงพอร์ต RDP (3389 TCP / UDP) หากไม่จำเป็น จำกัด การเข้าถึงเฉพาะผู้ที่ต้องการจริงๆและใช้เกตเวย์ไกล่เกลี่ยเพื่อหลีกเลี่ยงการเปิดเผยระบบโดยตรงบนอินเทอร์เน็ต เช่นเดียวกับ VPN ให้บังคับใช้การรับรองความถูกต้องแบบหลายปัจจัยและการตรวจสอบระดับเครือข่ายสำหรับ RDP
จำไว้ว่ามันยากกว่าที่จะละเมิดสิ่งที่คุณมองไม่เห็น เช่นเดียวกับการรับรองความถูกต้องแบบหลายปัจจัยและคำแนะนำ นโยบายการเปลี่ยนรหัสผ่านยังมีประสิทธิภาพมากขึ้นในการนำโซลูชันที่ไม่มีความไว้วางใจมาใช้แทน VPN แบบเดิม โซลูชัน Zero trust ช่วยให้องค์กรสามารถเผยแพร่แทบทุกบริการที่ชั้นแอปพลิเคชัน (รวมถึงเซิร์ฟเวอร์ RDP) โดยไม่มีข้อ จำกัด ในแง่ของความสามารถในการปรับขนาดในแนวนอน
นอกจากนี้ยังต้องมีค่าใช้จ่ายในการจัดการน้อยที่สุด ประโยชน์เพิ่มเติม คือระบบภายในไม่ได้สัมผัสกับอินเทอร์เน็ตโดยตรงและระบบจะตรวจสอบความปลอดภัยของผู้ใช้ก่อนเข้าถึงทรัพยากร สุดท้ายบังคับใช้การรักษาความปลอดภัย ปลายทางที่มีประสิทธิภาพเสมอเพื่อป้องกันไม่ให้อุปกรณ์ของพนักงานระยะไกล ถูกใช้เป็นจุดเริ่มต้นและนำการศึกษาของผู้ใช้ไปใช้กับความเสี่ยง ของสถานที่ทำงานระยะไกล
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.rh
