‘Royal ransomware’ โจมตีระบบไอทีเมืองแดลลัส
ในวันนี้ผมขอหยิบยกข่าวที่กำลังเป็นประเด็นร้อนในสหรัฐเกี่ยวกับกรณีที่เมืองแดลลัส(Dallas) รัฐเท็กซัส ถูกโจมตีจาก “Royal ransomware” ทำให้ต้องปิดระบบไอทีบางส่วนชั่วคราวเพื่อเป็นการสกัดการแพร่กระจายของการโจมตีในครั้งนี้
อย่างที่ทุกคนทราบกันดีว่า เมืองแดลลัส เป็นเมืองที่ใหญ่เป็นอันดับที่ 9 ของสหรัฐ มีประชากรประมาณ 2.6 ล้านคน ซึ่งจุดนี้เองน่าจะเป็นสาเหตุที่ให้เหล่าบรรดาแฮกเกอร์เลือกเมืองแดลลัสเป็นเป้าหมายในการโจมตี
โดยสื่อท้องถิ่นรายงานว่า ระบบการสื่อสารของตำรวจและระบบไอทีของเมืองถูกชัดดาวน์เนื่องจากมีความสงสัยที่ว่ามีการบุกโจมตีของแรนซัมแวร์
จากสถานการณ์นี้มีผลทำให้เจ้าหน้าที่ของ 911 ต้องจดบันทึกรายงานเหตุต่างๆ ที่ประชาชนแจ้งเข้ามาและส่งต่อให้กับเจ้าหน้าที่ที่เกี่ยวข้องแทนการส่งผ่านระบบสั่งการทางคอมพิวเตอร์โดยตรง และมีการปิดเว็บไซต์ของกรมตำรวจแดลลัสเพื่อความปลอดภัยก่อนกลับมาเปิดใช้งานอีกครั้งในเวลาต่อมา
นายกเทศมนตรีและสภาเทศบาลเมืองได้รับการแจ้งเหตุการณ์การโจมตีตามแผนการตอบสนองภัยคุกคาม (IRP) โดยเครื่องมือตรวจสอบความปลอดภัยของแดลลัสได้แจ้งเตือนไปยังศูนย์ปฏิบัติการความปลอดภัย (SOC) ว่ามีการโจมตีด้วยแรนซัมแวร์และได้รับการยืนยันว่าเซิร์ฟเวอร์จำนวนหนึ่งถูกแฮกซึ่งส่งผลกระทบต่อฟังก์ชันการทำงานต่างๆ รวมถึงเว็บไซต์กรมตำรวจอีกด้วย
โดยเจ้าหน้าที่ที่เกี่ยวข้องเร่งจัดการแยกแรนซัมแวร์เพื่อป้องกันการแพร่กระจาย เริ่มจากการลบแรนซัมแวร์ออกจากเซิร์ฟเวอร์ที่ติดไวรัสและกู้คืนบริการต่างๆ ที่ได้รับผลกระทบให้กลับมาใช้งานได้อย่างปกติ และในขณะเดียวกันเจ้าหน้าที่ก็เร่งประเมินผลกระทบทั้งหมดที่เกิดขึ้นกับประชาชน
กล่าวคือหากประชาชนพบกับปัญหาเกี่ยวกับการให้บริการสามารถโทรติดต่อ 311 แต่ถ้าเป็นกรณีฉุกเฉินให้โทรติดต่อ 911 และมีผลกระทบกับระบบศาลของเมืองแดลลัสที่ต้องยกเลิกการพิจารณาคดีของคณะลูกขุนเพราะระบบไอทีใช้งานไม่ได้
มีรายงานเกี่ยวกับการออกปฏิบัติการของเหล่าบรรดาแฮกเกอร์พบว่า รัฐบาลท้องถิ่นถูกแรนซัมแวร์บุกโจมตีเพิ่มเรื่อยๆ เฉลี่ยมากกว่า 1 ครั้งต่อสัปดาห์ และมีอย่างน้อย 29 เคสที่ถูกโจรกรรมแล้วในปีนี้ ซึ่งมี 16 เคสจาก 29 เคสถูกขโมยข้อมูล
ระบบเครือข่ายของเครื่องพิมพ์ในเมืองแดลลัสมีการพิมพ์ใบปลิวเรียกค่าไถ่ซึ่งรูปภาพของใบปลิวเรียกค่าไถ่ที่แชร์กันทำให้สามารถยืนยันได้ว่าการโจมตีเป็นฝีมือของแก๊ง Royal ransomware ซึ่งเป็นกลุ่มย่อยของกลุ่มอาชญากรรมไซเบอร์ Conti ที่พึ่งเริ่มมีชื่อเสียงหลังจากกลุ่ม Conti หยุดการปฏิบัติการลง
Royal ได้ใช้ตัวเข้ารหัสของแรนซัมแวร์ตัวอื่นๆ อย่าง ALPHV/BlackCat เพื่อหลีกเลี่ยงการเป็นจุดสนใจ และหลังจากนั้นจึงเริ่มเข้ารหัส Zeon เพื่อเปิดการโจมตีโดยการเจาะระบบเครือข่ายและใช้ช่องโหว่ในอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตโดยมักจะเปิดการโจมตีแบบ callback phishing
เพื่อเข้าถึงเครือข่ายองค์กรและทิ้งเบอร์โทรติดต่อกลับโดยการแอบอ้างเป็นผู้ให้บริการจัดส่งอาหาร และแบบที่ใช้ซอฟต์แวร์ในอีเมลหลอกลวงให้ต่ออายุสมาชิกซึ่งแทนที่จะมีลิงค์ไปยังเว็บไซต์ฟิชชิ่งแต่อีเมลดังกล่าวจะมีหมายเลขโทรศัพท์ที่เหยื่อสามารถติดต่อเพื่อยกเลิกการสมัครสมาชิกที่ถูกแอบอ้างได้
แต่ในความเป็นจริงแล้วหมายเลขโทรศัพท์เหล่านี้ได้เชื่อมต่อกับบริการของ Royal เรียบร้อยแล้ว โดยเมื่อเหยื่อโทรไปที่หมายเลขนั้น แฮกเกอร์จะโน้มน้าวให้เหยื่อติดตั้งซอฟต์แวร์การเข้าถึงระยะไกลซึ่งช่วยให้แฮกเกอร์สามารถเข้าถึงเครือข่ายขององค์กรได้
ทั้งนี้ Royal จะเริ่มจากการขโมยข้อมูลในเครือข่ายก่อนที่จะเข้ารหัสอุปกรณ์และนำข้อมูลที่ขโมยมาขู่ว่าจะมีการเปิดเผยข้อมูลต่อสาธารณะหากเหยื่อไม่จ่ายเงินค่าไถ่
ตรงจุดนี้เองที่ทำให้ผมมองว่าแรนซัมแวร์ไม่มีวันที่จะจบลงง่ายๆ เพราะนี่ถือเป็นการขู่กรรโชกแบบซ้ำซ้อน ฉะนั้นทางรอดเดียวขององค์กรคือ การจัดการให้ระบบมีความเสี่ยงที่ต่ำที่สุดทั้งในด้านของเทคโนโลยีและบุคลากรที่ต้องมีความรู้ความเข้าใจและหมั่นอัพเดทเกี่ยวกับเรื่องไซเบอร์ซีเคียวริตี้อยู่เป็นประจำสม่ำเสมอครับ