TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
CISA และ FBI ได้ออกมาแจ้งเตือนถึงกิจกรรมที่เป็นอันตรายของแรนซันแวร์ Ghost หรือที่รู้จักกันว่า Cring ซึ่งพุ่งเป้าไปยังโครงสร้างพื้นฐานองค์กรและธุรกิจในกว่า 70 ประเทศทั่วโลก ไม่ว่าจะเป็นโครงสร้างพื้นฐานหรือเน็ตเวิร์กในองค์กร โรงเรียน สาธารณสุข ภาครัฐ ซึ่งทำไปเพื่อผลประโยชน์ทางการเงิน
แรนซัมแวร์ Ghost จะดำเนินการด้วยการใช้ประโยชน์ในช่องโหว่ในซอฟต์แวร์ที่มีการใช้งานในวงกว้างแต่ไม่ได้มีการ Patch อัปเดตใด ๆ เพื่อให้สามารถเข้าถึงระบบปลายทางโดยที่ไม่ได้รับอนุญาต (Unauthorized) ได้ และเมื่อสามารถเข้าถึงได้แล้วก็จะดำเนินการใส่ Web Shell เข้าไป และใช้เครื่องมือ Command Line ในการยกสิทธิ (Privileges) แล้วขยายวงในเน็ตเวิร์กต่อไป
โดย Ghost มักจะนิยมใช้ประโยชน์จากช่องโหว่ที่รับรู้แล้วแต่ยังไม่ได้รับการแก้ไข อย่างเช่น Fortinet (CVE-2018-13379), Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960), Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) เป็นต้น
แรนซัมแวร์นี้เป็นที่รู้กันว่าสามารถทำงานอย่างรวดเร็ว เข้ารหัสไฟล์ได้ภายในหลักชั่วโมงหลังเข้าถึงได้ครั้งแรก และเมื่อได้รับสิทธิในการควบคุมก็จะใส่มัลแวร์ตัวอื่นเข้าไปและใช้เครื่องมือในการปิดระบบ Security ต่าง ๆ เพื่อทำให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์สำคัญได้
วันพุธที่ผ่านมา ทั้ง CISA, FBI จึงได้ออกมาแจ้งเตือนให้องค์กรเร่งดำเนินการอัปเดต Security Patch ต่าง ๆ โดยด่วน โดยเฉพาะช่องโหว่ที่รับรู้แล้วและมีโอกาสที่จะถูกใช้ประโยชน์ได้ ส่วนช่องโหว่ที่ยังมีแต่ยังไม่ได้รับการแก้ไข แนะนำให้มีการสร้างระบบสำรองข้อมูลแบบ Off-site เป็นประจำเพื่อไม่ให้ข้อมูลถูกเข้ารหัสโดยแรนซัมแวร์ได้ พร้อมกับสำรวจช่องโหว่ที่ Ghost กำลังพุ่งเป้า แล้วแบ่ง Segment ในเน็ตเวิร์กเพื่อจำกัดวงที่อาจขยายผลได้ต่อไป
