Ransomware (ไวรัสเรียกค่าไถ่) จ้องเล่นงานกลุ่มธุรกิจการผลิต

06 ก.ค. 2559 | 04:20 น.
นายพีระพงศ์ จงวิบูลย์ ผู้อำนวยการขาย แห่งภูมิภาคอินโดจีน (ประเทศไทย เมียนมาร์ ลาว กัมพูชาและเวียตนาม)  แห่งฟอร์ติเน็ต ออกบทความเรื่อง Ransomware จ้องเล่นงานกลุ่มธุรกิจการผลิต

Ransomware (ไวรัสเรียกค่าไถ่) เป็นมัลแวร์ชนิดหนึ่งที่เมื่อติดไวรัสอันตรายชนิดนี้แล้ว จะเรียกร้องให้จ่ายเงิน  ทุกท่านอาจเคยได้ยินข่าวมาแล้วว่า  Ransomware ได้เคยปิดระบบของธุรกิจดูแลสุขภาพใหญ่หลายแห่งในปีที่แล้ว  และยังคงมีองค์กรต่างๆ จ่ายเงินค่าไถ่จำนวนสูง เพื่อให้ปลดล็อคไวรัสร้ายออกจากระบบของตน  ผลจากการวิจัยของฟอร์ติเน็ตเมื่อหลายเดือนที่ผ่านมา พบว่า องค์กรในกลุ่มอุตสาหกรรมการผลิตกำลังจะตกเป็นเหยื่อของไวรัสร้ายนี้

โดยระหว่างเดือนตุลาคม ปีคศ. 2015 ถึงเมษายนปีนี้ ฟอร์ติเน็ตได้รวบรวมทราฟฟิคจากผู้ประกอบการด้านการผลิตขนาดกลาง 59 รายใน 9 ประเทศในอเมริกา เอเชียแปซิฟิค และภูมิภาคยูโรเมดิเตอร์เรเนียน พบการคุกคามความพยายามคุกคามมากถึง 8.63 ล้านครั้ง ที่ตั้งเป้าไปที่กลุ่มอุตสาหกรรมการผลิต  ซึง 78% ในจำนวนนั้นตั้งเป้าไปที่ผู้ประกอบการด้านการผลิตที่มีพนักงานมากกว่า 1000 คน ซึ่งเป็นตัวเลขที่สูงมาก

นอกจากนี้ การวิจัยยังพบการกลายตัวเป็นเจเนอเรชั่นใหม่ของไวรัสนี้ที่พัฒนาด้านการทำลายตัวเองได้

ทำไมภัยตั้งเป้าไปที่กลุ่มอุตสาหกรรมการผลิต?  ในปัจจุบัน อุตสาหกรรมการผลิตใช้ระบบออโตเมติคมากขึ้น และใช้นโยบาย  Just-in-time inventory มากขึ้น   ซึ่งหมายถึง ถ้าหากมีเหตุการณ์ที่ทำให้กระบวนการ J-I-Tหยุดชะงักลงเกิดขึ้น จะทำให้ เกิดผลเสียกับธุรกิจอย่างมากมายแน่นอน

ในขณะที่ ภัยคุกคามส่วนใหญ่ที่มุ่งไปที่อุตสาหกรรมการผลิตนั้นอาจจะมองว่าเป็นเพียงมัลแวร์และสายพันธุ์ทั่วไป แต่ฟอร์ติเน็ตพบข้อมูลเชิงลึกว่า มัลแวร์จำนวน 29% นั้นเป็นสายพันธุ์ใหม่ของโทรจันชื่อ Nemucod  ซึ่งน่าสนใจตรงที่ หลายเดือนที่ผ่านมา Nemucod ได้หลุดออกจากท้อป 10 ของภัยคุกคามในทุกอุตสาหกรรมทั่วโลก ยกเว้นอุตสาหกรรมการผลิต

Nemucod เป็นโทรจันเกิดมานานแล้ว เดิมมุ่งเป้าไปที่ข้อมูลด้านการเงิน เช่น ข้อมูลการล็อคอินของลูกค้าธนาคาร ทำงานโดยปลอมเป็นไฟล์แนบในอีเมล์ ซึ่งเมื่อเหยื่อคลิ๊กบนไฟล์ จะดาวน์โหลดและติดตั้งมัลแวร์ลงในเครื่องทันที

เราแปลกใจที่พบสายพันธุ์อง Nemucod จำนวน 4 ประเภทติดอันดับท้อป 10 ของมัลแวร์ที่โจมตีอุตสาหกรรมการผลิต  โดยที่สายพันธุ์ 3 ประเภทมีพัฒนาการสูง คือมันไม่ต้องการเหยื่อในการลงมือกระทำการ เช่น การเปิดไฟล์แนบเพื่อให้เกิดภัย

นี่ไม่ใช่ Ransomware ปกติทั่วไป  Ransomware ใหม่มีการปรับปรุงอย่างมีนัยสำคัญ และมีสายพันธุ์ล่าสุดชื่อ Locky ที่เราได้เห็นตัวอย่าง เช่น สามารถเข้ารหัสลับแบบ Windows APIs  และ RSA ได้ และตั้งใจจะขัดขวางองค์กรที่พยายามถอดรหัสไฟล์นั้นโดยจะไม่จ่ายค่าไถ่

มีสายพันธุ์ล่าสุดที่ฟอร์ติเน็ตกำลังตรวจสอบอีก ชื่อ  DMA Locker ที่เมื่อติดไปแล้ว จะใช้  Remote command-and-control servers สร้างกุญแจ Unique encryption keys ซึ่งไม่สามารถถอดกุญแจกลับมาได้  หมายความว่า ถ้าไม่เอา DMA Locker ออกให้หมดจากเครือข่ายที่ติดเชื้อนั้น  จะทำให้เกิดการเรียกร้องค่าไถ่มากยิ่งขึ้น

ดังนั้น องค์กรควรลงมือปฎิบัติหลายประการเพื่อป้องกันตัวเอง อันได้แก่:

•ควบคุมส่วน Network access

•ใช้ระบบความปลอดภัยสำหรับอีเมล์ร่วมกับการกรอง  Sandbox filtering

•ดูแลและปิดซอฟท์แวร์และระบบปฎิบัติการให้ดี

•จัดส่วนเครือข่าย เพื่อจำกัดการแพร่กระจาย

•กำจัดหรือแยกโค้ดและอุปกรณ์ประเภท Legacy  ที่มีช่องโหว่

•จัดการแบ็คอัพระบบอย่างสม่ำเสมอ และจัดการแบ็คอัพนอกสถานที่

•ลดจุดเสี่ยงภัย โดยลดซอฟท์แวร์และอุปกรณ์ที่ไม่จำเป็นลง โดยเฉพาะอย่างยิ่งแอปพลิเคชั่นประเภทคลาวด์ที่ไม่ดูแลโดยทีมไอทีขององค์กร  และจัดการแบ็คอัพ

•ติดตั้ง Security clients บนอุปกรณ์ Endpoint devices และดูแลให้อัปเดทอยู่เสมอ

•อบรมเจ้าหน้าที่ ให้มีความรู้วิธีการพิจารณาอีเมล์ปกติ ตรวจหาและหลีกเลี่ยงภัยที่มาทางเว็ปอย่างสม่ำเสมอ

•ให้สามารถเห็นสิ่งที่เกิดขึ้นได้ทั้งเครือข่ายทั้งหมด ถึงแม้เป็นสาขาที่มีการเชื่อมโยงเครือข่าย

•สมมติว่าท่านกำลังจะตกเป็นหยื่อของภัยคุกคาม และให้หาแผนการจัดการภัย (Cyber Threat Assessment)

ซึ่งข้อสุดท้ายเป็นข้อที่สำคัญที่สุด ถ้าท่านรู้ชัดว่าท่านกำลังเผชิญหน้ากับภัย ท่านจะมีวิธีปฎิบัติงานต่างไปจากที่ท่านทำอยู่ปัจจุบันนี้ไหม

นายพีระพงศ์ จงวิบูลย์ ผู้อำนวยการขาย แห่งภูมิภาคอินโดจีน (ประเทศไทย เมียนมาร์ ลาว กัมพูชาและเวียตนาม)  แห่งฟอร์ติเน็ตได้ให้ความเห็นว่า “องค์กรต่างๆ ในประเทศไทยกำลังก้าวสู่ยุคที่ใช้ระบบดิจิตอลเป็นกลไกผลักดันธุรกิจให้เติบโตอย่างรวดเร็ว  จึงอยู่ในสถานการณ์ที่มีความเสี่ยงต่อภัยคุกคามใหม่ๆ ด้วยเช่นกัน  และการทำ Cyber Threat Assessment นั้นต้องอาศัยอุปกรณ์ที่ครบครันจึงจะสามารถเห็นช่องโหว่ที่องค์กรมีอยู่ ประเภทและจำนวนภัยคุกคามที่เข้ามา และจะทราบถึงวิธีป้องกันภัยต่างๆ เหล่านั้นได้ตรงจุดและมีประสิทธิภาพ จึงเป็นการลงทุนที่คุ้มค่า ฟอร์ติเน็ตมีความพร้อมที่จะให้คำปรึกษาแก่องค์กรในทุกอุตสาหกรรมและจะช่วยธุรกิจท่านก้าวหน้าโดยใช้อุปกรณ์ด้านความปลอดภัยให้เกิดประโยชน์สูงสุด”