FBI เตือน Dual Ransomware บุกโจมตีอย่างหนัก
การโจมตีของ Dual Ransomware เกิดขึ้นกับเหยื่อรายเดียวกันและในช่วงระยะเวลาที่ใกล้เคียงกัน ซึ่งอาจก่อให้เกิดการเปลี่ยนแปลงที่นำไปสู่กลยุทธ์การทำลายข้อมูลรูปแบบใหม่
สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกประกาศเกี่ยวกับการโจมตีด้วยแรนซัมแวร์โดยหยิบยกประเด็นที่น่าจับตามอง คือมีการโจมตีของ Dual Ransomware เพิ่มขึ้น ซึ่งเกิดขึ้นกับเหยื่อรายเดียวกันและในช่วงระยะเวลาที่ใกล้เคียงกัน ซึ่งอาจก่อให้เกิดการเปลี่ยนแปลงที่นำไปสู่กลยุทธ์การทำลายข้อมูลในรูปแบบใหม่
โดยแฮกเกอร์ได้ปรับใช้แรนซัมแวร์ที่แตกต่างกันทั้ง 2 แบบ อาทิเช่น AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum และ Royal เพื่อโจมตีบริษัทของเหยื่อที่ตกเป็นเป้าหมาย
แนวทางนี้เป็นการผสมผสานระหว่างการเข้ารหัสข้อมูล การกรองข้อมูล และการจ่ายเงินค่าไถ่ แน่นอนว่าวิธีการนี้ได้ก่อให้เกิดอันตรายร้ายแรงต่อระบบที่ถูกบุกรุกและหากการโจมตีด้วยแรนซัมแวร์เกิดขึ้นในครั้งที่ 2 กับหน่วยงานเดิมที่เคยถูกบุกรุกอาจทำให้ผลกระทบนั้นรุนแรงมากขึ้น
จากการตรวจสอบในปี 2565 พบว่า กลุ่มแรนซัมแวร์มีการขโมยข้อมูลและพยายามกดดันเหยื่อเพื่อนำไปสู่การเจรจาเรียกค่าไถ่ต่อไป นอกจากนี้ยังพบว่า ในบางกรณีมีโค้ดฝังอยู่ในอุปกรณ์ที่ใช้ขโมยข้อมูลเพื่อหลบเลี่ยงการตรวจจับ โดยมัลแวร์ต่างๆ จะแฝงตัวอยู่ในระบบและรอจนถึงเวลาที่กำหนดก่อนทำลายข้อมูลให้เสียหาย
คำแนะนำสำหรับการตอบโต้แรนซัมแวร์เหล่านี้ คือ ดำเนินการสำรองข้อมูลแบบออฟไลน์ ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลได้รับการเข้ารหัสและไม่เปลี่ยนรูปแบบ ตรวจสอบมาตรการรักษาความปลอดภัยของผู้ขาย และใช้นโยบายรายการแอปพลิเคชันสำหรับการดำเนินการที่ได้รับการควบคุม
การเสริมความแข็งแกร่งให้กับการบริหารจัดการตัวตนและการเข้าถึง (Identity and Access Management หรือ IAM) โดยการบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) และดำเนินการตรวจสอบบัญชีผู้ใช้ที่มีสิทธิ์ระดับผู้ดูแลระบบ (admin)
ทั้งนี้ องค์กรควรให้ความสำคัญกับการแบ่งส่วนย่อยเครือข่าย การตรวจสอบ และการตรวจจับอุปกรณ์ปลายทางและเครื่องมือตอบสนองเพื่อตรวจจับกิจกรรมที่ผิดปกติ โดยการอัพเดทซอฟต์แวร์เป็นประจำสม่ำเสมอ การปิดใช้งานพอร์ตที่ไม่ได้ใช้ และการเปิดใช้งานฟีเจอร์ด้านความปลอดภัย
มีการสำรวจเกี่ยวกับการคุกคามทางไซเบอร์โดยมากกว่าครึ่งของผู้ตอบแบบสอบถาม ระบุว่า การโจรกรรมข้อมูลคิดเป็น 55% ฟิชชิ่ง 35% และ แรนซัมแวร์ 29% จะเห็นได้ว่าการโจมตีแบบกำหนดเป้าหมายเป็นข้อกังวลที่ใหญ่กว่าแรนซัมแวร์ และต้องยอมรับว่า
การโจมตีด้วย APT ส่วนใหญ่มักมีการกำหนดเป้าหมายไว้แล้วและเหล่าบรรดาแฮกเกอร์ค่อนข้างมีฝีมือดี มีทรัพยากรที่พร้อมเพียงแต่แค่ซึ่งหลบซ่อนตัวอยู่ หรือในหลายกรณีก็ได้รับการสนับสนุนจากรัฐและด้วยคุณสมบัติเหล่านี้ทำให้ ผู้ปฏิบัติงานด้านความปลอดภัยทางไซเบอร์สามารถตรวจจับและป้องกัน APT ได้ยาก
ดังนั้นก่อนที่องค์กรต่างๆ จะกังวลเกี่ยวกับภัยคุกคามขั้นสูงนั้น ควรตรวจสอบให้แน่ใจว่าองค์กรมีระบบรักษาความปลอดภัยทางไซเบอร์ขั้นพื้นฐานที่พร้อมใช้งานแล้ว เพราะ APT ไม่ได้เลือกปฏิบัติว่าจะการโจมตีใครที่ชัดเจน เพียงแต่ก่อนหน้านี้มักจะมุ่งโจมตีไปที่โครงสร้างพื้นฐานที่สำคัญของประเทศหรือสถาบันการเงินที่โฮสต์ข้อมูลที่ละเอียดอ่อนและทรัพย์สินทางปัญญา
แต่หากองค์กรคุณไม่ได้อยู่ในหมวดหมู่นั้น ก็ไม่ควรชะล่าใจเพราะอาจตกเป็นเหยื่อของการโจมตีแบบกำหนดเป้าหมายก็ได้ แต่เพียงแค่ APT จะยังไม่ได้ให้ความสำคัญองค์กรของคุณเป็นอันดับหนึ่งเท่านั้น
ภาครัฐควรส่งเสริมให้หน่วยงานของรัฐและภาคเอกชนรายงานกิจกรรมที่น่าสงสัยหรืออาชญากรรมในรูปแบบต่างๆ มายังหน่วยงานที่มีหน้าที่ดูแลรับผิดชอบ เพื่อปรับปรุงการตอบสนองและร่วมมือกับภาครัฐและเอกชนในการจัดการกับภัยคุกคามที่เพิ่มขึ้นของการโจมตีด้วยแรนซัมแวร์ครับ