Ransomware ถือเป็นอันตรายที่สร้างความเสียหายแก่ผู้ใช้อินเทอร์เน็ตมากที่สุดในปัจจุบัน โดยการเข้ารหัสและเปลี่ยนชื่อไฟล์ใหม่ พร้อมกับขึ้นหน้าจอให้ผู้ใช้ซื้อคีย์แก้รหัสในราคาแบบขูดรีด
ผู้แต่ง : Justin Peters, Technology Solutions Director for Asia Pacific at Sophos
จากการศึกษาของ SophosLabs ที่ผ่านมาพบแนวโน้มของอาชญากรไซเบอร์ที่เติบโตขึ้น และพุ่งเป้าไปยังบางประเทศ โดยออกแบบแรนซั่มแวร์และการโจมตีทางไซเบอร์อื่นๆ ให้เหมาะสมกับประเทศนั้นๆ นอกจากนี้ยังพบแนวโน้มการแพร่กระจายของแรนซั่มแวร์ที่มีสายพันธุ์แตกต่างกันในแต่ละพื้นที่ นั่นคือ อันตรายทางไซเบอร์ดังกล่าวสามารถปรับแต่งภาษา การสวมแบรนด์สินค้า ใช้โลโก้หรือแม้กระทั่งวิธีการชำระเงินที่เข้ากับท้องถิ่น เพื่อให้มีความเป็นไปได้ในการโจมตีมากที่สุด
เทคนิคล่าสุดที่อาชญากรไซเบอร์เลือกใช้
แฮ็กเกอร์ได้หันมาใช้ JavaScript ในการกระจายมัลแวร์ผ่านเว็บ ซึ่ง JavaScript สามารถแนบไปกับเว็บไซต์ต่างๆ ได้ง่ายในฐานะที่เป็นภาษาโปรแกรมมิ่งที่ใช้กันแพร่หลายในปัจจุบัน เว็บบราวเซอร์ต่างก็มีฟีเจอร์ที่รันสคริปต์จาวาเพื่อสนับสนุนการแสดงผลด้านอินเทอร์เฟซรวมทั้งเว็บไซต์แบบไดนามิก โดยเฉพาะการใช้มาตรฐาน Web 2.0 ทำให้เดี๋ยวนี้เป็นไปไม่ได้ที่จะท่องเว็บโดยไม่ใช้ JavaScript ซึ่งแน่นอนว่ามัลแวร์ได้ฉวยโอกาสจากช่องโหว่นี้
อาชญากรไซเบอร์จะเจาะกลุ่มเว็บไซต์ยอดนิยม ทราฟิกสูงและดูน่าเชื่อถือ เพื่อรีไดเร็กต์ผู้ใช้ไปยังเว็บไซต์อันตรายโดยที่ไม่ทันรู้ตัว นี่คือจุดเริ่มต้นของการแพร่กระจายตัวเอง ซึ่งนำไปสู่การเจาะเข้าระบบเมื่อผู้ใช้เข้าถึงเว็บไซต์อันตรายเหล่านั้น
มีมัลแวร์สายพันธ์ที่ใช้จาวาสคริปต์ตัวล่าสุดที่รู้จักในชื่อ “RAA” ซึ่งเป็นแรนซั่มแวร์ที่เขียนโดยใช้จาวาสคริปต์ทั้งหมด นั่นคือ ไม่จำเป็นต้องเขียนให้จาวาสคริปต์โหลดมัลแวร์เข้ามาอีกทีหนึ่ง เพราะตัวจาวาสคริปต์เองสามารถเป็นแรนซั่มแวร์ได้ด้วยแล้วตอนนี้
แรนซั่มแวร์ RAA นี้ พบการกระจายตัวผ่านทางไฟล์แนบของอีเมล์ที่แฝงตัวในรูปไฟล์เอกสารเวิร์ดชื่อ Invoice.txt.js ซึ่งแสดงชื่อไฟล์ให้เห็นแค่ “Invoice.txt” บนแพลตฟอร์มวินโดวส์ส่วนใหญ่ แค่เพียงเปิดไฟล์ก็ทำให้กระบวนการปั่นล็อกไฟล์บนเครื่องเหยื่อเกิดขึ้นอย่างรวดเร็ว พร้อมทั้งมีการดาวน์โหลดมัลแวร์อื่นเพิ่มเติมเข้ามาบนเครื่องด้วย เมื่อเหยื่อกำลังวุ่นกับขั้นตอนการจ่ายค่าไถ่ไฟล์ แรนซั่มแวร์ที่เพิ่งโหลดเข้ามาใหม่ก็จะรันโทรจันที่ขโมยรหัสผ่านของผู้ใช้ ที่ใช้ล็อกอินบนเว็บไซต์ที่อ่อนไหว เช่น อินเทอร์เน็ตแบงกิ้ง เพื่อเข้าไปโอนเงินเปลี่ยนเป็นรูปบิทคอยน์ หรือเงินในรูปดิจิตอลที่สร้างขึ้นและใช้จ่ายได้ด้วยวิธีดิเล็กทรอนิกส์
แรนซั่มแวร์ RAA ถือว่าใช้วิธีที่เรียบง่ายกว่าที่พบทั่วไปมาก เพียงแค่ใช้ไฟล์เอกสารเวิร์ดที่มีมาโครที่เป็นอันตราย นำมาแนบในอีเมล์เท่านั้น
วิธียกระดับความปลอดภัย
ทีมงานฝ่ายไอทีจำเป็นต้องตระหนักว่า โซลูชั่นความปลอดภัยเดิมที่เคยใช้ไม่สามารถป้องกันไวรัสแรนซั่มแวร์แบบใหม่ที่ไม่เคยพบมาก่อนได้ การใช้วิธีอิงกับข้อมูล Signature ไม่สามารถตรวจจับแรนซั่มแวร์ที่พัฒนาขึ้นอย่างรวดเร็วในปัจจุบันได้อีก
เพื่อให้สามารถตรวจจับและเข้าจัดการได้ทันท่วงที ทั้งเครือข่ายและจุดปลายการเชื่อมต่อต้องมีการสื่อสารแบบเรียลไทม์ เพื่อประสานซิงค์ข้อมูลได้ครอบคลุมทุกพื้นที่ความเสี่ยง Sophos เรียกวิธีจัดการแบบนี้ว่า “Synchronised Security” ซึ่งเป็นระบบความปลอดภัยที่ใช้การทำงานอัตโนมัติโดยส่วนใหญ่ จัดการแบบบูรณาการ ทำให้ได้ความสามารถขั้นสูง จัดการระบบได้อย่างอัจฉริยะ และเหมาะกับธุรกิจทุกขนาด
การป้องกันตัวเองจาก RAA
แนะนำให้ผู้ใช้ตั้งค่าวินโดวส์ให้แสดงสกุลไฟล์ตลอดเวลา เพื่อให้รู้เท่าทัน RAA วิธีนี้ทำให้ผู้ใช้มีโอกาสสังเกตไฟล์ต้องสงสัยได้ดีกว่า เนื่องจากรู้ชนิดของไฟล์
และถ้าจำเป็นต้องเปิดไฟล์จาวาสคริปต์ ผู้ใช้สามารถตั้งค่าให้ Notepad เป็นโปรแกรมดีฟอลต์ เพื่อให้ไฟล์ถูกเปิดในรูปแบบข้อความล้วน แทนที่จะเป็นการรันโปรแกรมในพื้นหลัง
แนวทางปฏิบัติที่ดีสุดในการรับมือแรนซั่มแวร์
จากแนวโน้มการโจมตีผ่านแรนซั่มแวร์ที่ดุเดือดขึ้นทุกวัน จึงแนะนำแนวทางการปฏิบัติเพื่อปกป้องทรัพยากรขององค์กรดังต่อไปนี้:
- สำรองไฟล์เป็นประจำ และเก็บไฟล์สำรองเอาไว้นอกองค์กร เข้ารหัสไฟล์สำรองอีกครั้งเพื่อให้ได้ความปลอดภัยมากขึ้นอีกระดับ
- อย่าเปิดใช้มาโครเมื่อเปิดไฟล์แนบที่มากับอีเมล์ เนื่องจากเป็นกลไกการแพร่กระจายของไวรัส
- มีสติในการสังเกตและระวังไฟล์แนบที่น่าสงสัย หลีกเลี่ยงการเปิดไฟล์ดังกล่าว
- อย่าล็อกอินในฐานะแอดมินทิ้งไว้นานเกิดความจำเป็น และหลีกเลี่ยงการท่องเว็บและเปิดไฟล์เอกสารขณะล็อกอินในฐานะแอดมิน
- ลองพิจารณาติดตั้งโปรแกรม Microsoft Office Viewer เพื่อช่วยพรีวิวเอกสารโดยไม่จำเป็นต้องเปิดไฟล์
- ติดตั้งแพ็ตช์อย่างรวดเร็ว และเป็นประจำ เนื่องจากแรนซั่มแวร์ตัวอื่นที่ไม่ได้แพร่เชื้อผ่านมาโครในไฟล์เอกสาร มักจะอาศัยบั๊กด้านความปลอดภัยในแอพพลิเคชั่นยอดนิยม เช่น ออฟฟิศ และแฟลช
- อบรมพนักงานเป็นประจำ ให้หลีกเลี่ยงการตกเป็นเหยื่อของไฟล์เอกสาร และอีเมล์อันตราย
- แยกส่วนบริเวณการทำงานภายในเครือข่ายของบริษัทด้วยไฟร์วอลล์ เพื่อให้ระบบและเซอร์วิสต่างๆ สามารถเข้าถึงได้เมื่อจำเป็นเท่านั้น
เกี่ยวกับ Sophos
ผู้ใช้กว่า 100 ล้านรายใน 150 ประเทศต่างเลือกใช้โซลูชั่นความปลอดภัยสมบูรณ์แบบของ Sophos เพื่อการปกป้องที่ดีที่สุดจากอันตรายที่ซับซ้อนและการรั่วไหลของข้อมูล ด้วยความง่ายในการติดตั้ง จัดการและใช้งาน โดยโซลูชั่นที่ได้รับรางวัลของ Sophos ทั้งด้านการเข้ารหัส ความปลอดภัยที่เครื่องเอ็นด์พอยท์ บนเว็บ อีเมล อุปกรณ์พกพาและความปลอดภัยบนเครือข่าย ต่างได้รับการซัพพอร์ตจาก SophosLabs ซึ่งเป็นศูนย์บริการข้อมูลอันตรายแบบอัจฉริยะ Sophos มีสำนักงานใหญ่ตั้งอยู่ในเมืองออกฟอร์ด สหราชอาณาจักร สำหรับข้อมูลเพิ่มเติมสามารถเข้ามาดูได้ที่ www.sophos.com
Related