วิวัฒนาการของ Ransomware และวิธีรับมือโดย CrowdStrike

ทศวรรษที่ผ่านมานับว่าเป็นยุคทองของ Ransomware ไม่ว่าจะเป็นการพัฒนาอย่างก้าวกระโดด เทคนิคการโจมตีที่หลากหลาย หรือปริมาณผู้ตกเป็นเหยื่อ กล่าวได้ว่า Ransomware เป็นหนึ่งในภัยคุกคามที่เติบโตเร็วที่สุดในโลกไซเบอร์ขณะนี้ คาดการณ์ว่าภายในปี 2021 ความเสียหายจาก Ransomware จะพุ่งสูงถึง 625,000 ล้านบาท เพิ่มจากปี 2015 ซึ่งเป็นจุดเริ่มต้นของยุคทองถึงเกือบ 60 เท่า

บทความนี้ CrowdStrike ผู้ให้บริการ Cloud-native Endpoint Security Platform ชั้นนำระดับโลก ได้ออกมาอธิบายถึงวิวัฒนาการของ Ransomware เทคนิคการโจมตีล่าสุด และแนวทางปฏิบัติสำหรับองค์กรในการรับมือกับภัยคุกคามดังกล่าว สามารถสรุปสาระสำคัญได้ดังนี้

วิวัฒนาการของ Ransomware และแนวโน้มการโจมตีในปัจจุบัน

แม้ว่า Ransomware จะเริ่มแพร่ระบาดบนระบบคอมพิวเตอร์ในช่วง 5 – 10 ปีที่ผ่านมา แต่แนวคิดเรื่องการเอาไฟล์หรือคอมพิวเตอร์ของเหยื่อเป็นตัวประกันผ่านทางการเข้ารหัสข้อมูล หรือการล็อกไม่ให้ใช้งานเครื่อง แล้วเรียกค่าไถ่นั้นมีมานานแล้ว ในช่วงปลายทศวรรษที่ 1980 เคยมีข่าวอาชญากรขโมยคอมพิวเตอร์ แล้วส่งจดหมายมาเรียกค่าไถ่ที่บ้าน และหลังจากนั้นก็พัฒนามาเป็นมัลแวร์ โดย Ransomware ตัวแรกที่ได้รับการจดบันทึกมีชื่อว่า AIDS Trojan (PC Cyborg Virus) ซึ่งแพร่กระจายผ่าน Floppy Disk ในปี 1989 เหยื่อจำเป็นต้องจ่ายค่าไถ่ราว 6,000 บาทผ่านไปรษณีย์เพื่อกู้ไฟล์กลับคืนมา โทรจันดังกล่าวถือเป็นต้นกำเนิดของ Ransomware ในปัจจุบันซึ่งใช้ Symmetric Cryptography ในการเข้ารหัสข้อมูล

แม้ Ransomware จะมีประวัติยาวนานกว่า 30 ปี แต่การโจมตีดังกล่าวก็ไม่ได้เป็นที่แพร่หลายนัก คาดว่ามีสาเหตุมาจากความยากในการเรียกค่าไถ่โดยไม่ถูกตรวจจับ จนมาถึงช่วงปี 2010 ที่สกุลเงินดิจิทัลอย่าง Bitcoin ถือกำเนิดขึ้นมา ด้วยความง่ายในการทำธุรกรรมแต่ยากในการตามรอย ทำให้ Bitcoin กลายเป็นช่องทางที่แสนสะดวกสบายในการเรียกค่าไถ่ เราจึงเริ่มเห็นเหตุการณ์ Ransomware โจมตีเพิ่มมากขึ้นเรื่อยๆ และแพร่กระจายอย่างหนักตั้งแต่ปี 2012 เป็นต้นมา

อย่างไรก็ตาม การเรียกค่าไถ่ของ Ransomware ก็ไม่ได้สมบูรณ์แบบ แม้ Bitcoin จะใช้งานง่ายสำหรับการก่ออาชญากรรม แต่ยังคงยากไปสำหรับบุคคลทั่วไปที่ไม่ได้เชี่ยวชาญเทคโนโลยี เพื่อเพิ่มโอกาสในการเรียกค่าไถ่ อาชญากรไซเบอร์บางกลุ่มถึงขั้นเปิด Call Center เพื่อช่วยเหยื่อลงทะเบียน Bitcoin และตอบคำถามเชิงเทคนิค แต่ก็ทำให้เสียเวลาและต้องลงทุนเพิ่มเติม เพื่อแก้ปัญหาดังกล่าว อาชญากรไซเบอร์จึงเปลี่ยนไปใช้โมเดล “Spray and Pray” และ “Big Game Hunting” ในช่วงไม่กี่ปีมานี้แทน

Spray and Pray คือการกวาดโจมตี Ransomware ไปมั่วๆ เพื่อเน้นปริมาณโดยไม่สนใจกลุ่มเป้าหมาย แล้วคาดหวังว่าจะมีเหยื่อสักคนยอมจ่ายค่าไถ่ ในขณะที่ Big Game Hunting จะใช้เทคนิคและกลยุทธ์สำหรับโจมตีเป้าหมายเฉพาะกลุ่ม (Targeted Attacks) ที่ถึงแม้จะโจมตีสำเร็จได้ยากกว่า แต่ก็มีแนวโน้มว่าจะยอมจ่ายค่าไถ่ในราคาสูง

เช่นเดียวกับการพัฒนาซอฟต์แวร์ Ransomware ในปัจจุบันมีการปรับปรุงและอัปเกรดไปไกลมาก บางชนิดมีการเพิ่มฟีเจอร์นอกเหนือจากการเข้ารหัสข้อมูลเพื่อสนับสนุนการทำงานและทำให้การโจมตีมีโอกาสประสบความสำเร็จมากยิ่งขึ้น เช่น Ryuk Ransomware มีการเพิ่มโมดูล Enumeration เข้าไป โดยโมดูลดังกล่าวจะถูกดาวน์โหลดลงบนเครื่องของเหยื่อเพื่อระบุตำแหน่งของ Credentials และดำเนินการแทรกซึม (Lateral Movement) ไปในระบบเครือข่ายจนสามารถเข้าถึง Domain Controller ได้ เมื่อยึดครอง Domain Controller ได้แล้ว Ryuk Ransomware ก็จะถูกแพร่กระจายไปยังคอมพิวเตอร์ทั้งหมดบนเครือข่ายทันที ที่น่าสนใจคือ Ransomware เหล่านี้ต้องสงสัยว่าถูกนำไปใช้ใน Nation-state Attacks ด้วย

Ransomware แพร่กระจายอย่างไร

มีหลากหลายช่องทางที่ Ransomware ใช้โจมตีเป้าหมาย เช่น Phishing Emails, Website Pop-ups, Exploit Kits หรือ Fileless Attacks

Phishing Emails คือหนึ่งในช่องทางที่พบได้ทั่วไปที่สุดในการลอบส่ง Ransowmare เข้ามาโจมตีเป้าหมาย ยกตัวอย่างเช่น การปลอมอีเมลของผู้บริหารและใช้ Social Engineering ในการหลอกพนักงานให้คลิกลิงค์ที่มากับอีเมลดังกล่าวเพื่อติดตั้ง Ransomware การโจมตีรูปแบบนี้จะสำเร็จได้ อาชญากรรมไซเบอร์จำเป็นต้องศึกษาเกี่ยวกับสายบริหาร พนักงาน และตัวบริษัทเป้าหมายมาเป็นอย่างดี สื่อโซเชียลก็นับเป็นอีกช่องทางหนึ่งที่ช่วยให้อาชญากรไซเบอร์สามารถค้นหาข้อมูลดังกล่าวได้ง่ายยิ่งขึ้น

Website Pop-ups และ Exploit Kits สามารถนำมาใช้รวมกันเพื่อสร้าง “Trojan Pop-ups” หรือโฆษณาที่แฝงโค้ดอันตรายสำหรับแพร่กระจาย Ransomware ถ้าเหยื่อเผลอไปคลิกโดน จะถูกส่งไปยังหน้าเพจที่อาชญากรไซเบอร์วาง Exploit Kits ไว้ จากนั้น Exploit Kits จะทำการค้นหาช่องโหว่บนเครื่องของเหยื่อที่สามารถเจาะเข้าไปได้ แล้วส่ง Ransomware Payload เข้าไป การแพร่ Ransomware ผ่าน Exploit Kits นับว่าเป็นที่นิยมสำหรับกลุ่มอาชญากรรมไซเบอร์ เนื่องจากสามารถทำงานได้โดยอัตโนมัติ นอกจากนี้ Exploits ยังเป็นเทคนิคแบบ Fileless ประสิทธิภาพสูงที่สามารถโจมตีเข้าไปยัง Memory ได้โดยตรงและไม่มีการเขียนข้อมูลใดๆ ลงดิสก์ ส่งผลให้ซอฟต์แวร์ Antivirus แบบดั้งเดิมไม่สามารถตรวจจับได้ ที่สำคัญคือไม่จำเป็นต้องรู้เทคนิคมากในการใช้งาน (ดูรายละเอียดเกี่ยวกับ Fileless Ransomware เพิ่มเติมได้ที่ https://www.crowdstrike.com/resources/infographics/how-fileless-ransomware-works/)

เพื่อยกระดับการปฏิบัติงานและสร้างรายได้ให้มากขึ้น อาชญากรรมไซเบอร์ได้นำโมเดล SaaS มาสร้างเป็นบริการ Ransomware as a Service (RaaS) เพื่อให้บริการคนอื่นต่อ บริการรูปแบบนี้จะประกอบด้วยเครื่องมือทั้งหมดที่จำเป็นในการเริ่มแคมเปญ Ransomware ตั้งแต่ตัวมัลแวร์ไปจนถึงหน้าติดตามสถานะ บางบริการอาจมีแผนกบริการลูกค้าแถมให้อีกด้วย ทำให้แม้แต่อาชญากรไซเบอร์ที่ไม่มีความรู้เชิงเทคนิคก็สามารถเข้าถึง Ransomware ได้ นอกจากนี้ ค่าบริการมักคิดโดยการหักส่วนหนึ่งออกจากค่าไถ่ที่เรียกมาได้ จึงทำให้ RaaS กลายเป็นที่นิยมอย่างมากในปัจจุบัน ตัวอย่าง RaaS ที่โด่งดัง คือ “Hermes” ซึ่งเริ่มปรากฏโฉมในปี 2017 โดยวางขายในฟอรัม Darknet มูลค่าราว 9,500 บาท และ PINCHY SPIDER ปี 2018 ที่ใช้โมเดลแบ่งผลประโยชน์ 60-40

องค์กรสามารถป้องกัน Ransomware ได้อย่างไร

แนวทางปฏิบัติพื้นฐานของการป้องกัน Ransomware คือการสำรองข้อมูล (Backup) ในกรณีที่ถูกโจมตีจนไม่สามารถเข้าถึงข้อมูลได้ จะได้มีข้อมูลสำรองมาใช้งานแทน อย่างไรก็ตาม องค์กรจำเป็นต้องมีกลไกในการปกป้องข้อมูลสำรองด้วยเช่นกัน เนื่องจากข้อมูลสำรองมักเป็นเป้าหมายแรกที่อาชญากรไซเบอร์ต้องการทำลายเพื่อให้การเรียกค่าไถ่ประสบความสำเร็จ ดังนั้น องค์กรจำเป็นต้องแยกข้อมูลสำรองออกมาจากระบบเครือข่ายและจัดเก็บอย่างมั่นคงปลอดภัย

เดือนกันยายน 2019 ที่ผ่านมา Department of Homeland Security ของสหรัฐฯ ได้ออกเอกสารเกี่ยวกับการรับมือ Ransomware สำหรับองค์กร โดยเนื้อหาประกอบด้วย วิธีการป้องกัน Ransomware, การเตรียมตัวรับมือกับสถานการณ์ที่อาจจะเกิดขึ้น และการฟื้นฟูความเสียหายที่เกิดจากการโจมตี รวมไปถึงคำแนะนำเรื่องการแพตช์ช่องโหว่ การอบรมพันกงาน และการสร้าง Incident Response Plan ผู้ที่สนใจสามารถดาวน์โหลดเอกสารมาศึกษาเพิ่มเติมได้ที่นี่ [PDF]

อีกหนึ่งเครื่องมือที่น่าสนใจ คือ MITRE ATT&CK Framework ที่ได้รวบรวมและจัดจำแนกเทคนิคและยุทธวิธีที่อาชญากรรมไซเบอร์ใช้โจมตี โดยในกลุ่ม “Impact” หัวข้อ “Data Encrypted for Impact” จะมีการบรรยายถึงเทคนิคที่เกี่ยวข้องกับ Ransomware ไม่ว่าจะเป็นวิธีการโจมตี การตรวจจับ การยับยั้ง และการวางแผนเพื่อป้องกันซึ่งองค์กรสามารถนำไปประยุกต์ใช้ได้

แนะนำ CrowdStrike Flacon ป้องกัน Ransomware ระดับ Endpoint

CrowdStrike ในฐานะผู้ให้บริการ Cloud-native Endpoint Security Platform ชั้นนำระดับโลก ได้นำเสนอ CrowdStrike Falcon Next-generation Endpoint Protection Platform ที่ผสานรวมเทคนิคหลายประการสำหรับตรวจจับและป้องกัน Ransomware บนอุปกรณ์ Endpoint ได้แก่

  • Machine Learning: ป้องกันทั้ง Known และ Zero-day Ransomware โดยไม่จำเป็นต้องรอการอัปเดต Signatures
  • Exploit Blocking: ยับยั้งการทำงานและการแพร่กระจายของ Ransomware ผ่านช่องโหว่ที่ยังไม่ได้รับการแพตช์
  • Indicators of Attack (IOAs): ตรวจจับและบล็อกพฤติกรรมที่เกี่ยวข้องกับ Ransomware รวมไปถึง Fileless Ransomware และ Ransomware กลุ่มใหม่ๆ
  • Automated Threat Analysis: รับทราบข้อมูลเชิงลึกเกี่ยวกับ Ransomware ที่ตรวจพบ เช่น แหล่งกำเนิด คุณลักษณะ ตระกูลที่ใกล้เคียง และ IOCs (Indicators of Compromise)

CrowdStrike Falcon ยังช่วยจับคู่ Ransomware เข้ากับ MITRE ATT&CK Framework ช่วยให้ทีมรักษาความมั่นคงปลอดภัยสามารถเข้าใจการโจมตีที่เกิดขึ้นบนอุปกรณ์ Endpoint ได้อย่างรวดเร็วและชัดเจน ตั้งแต่ขั้นตอนการโจมตีไปจนถึงกลุ่มอาชญากรรมไซเบอร์ที่อยู่เบื้องหลังหรือมีความเชื่อมโยงกับ Ransomware ดังกล่าว

นอกจากนี้ CrowdStrike มีเครื่องมือที่ช่วยให้สามารถรับมือกับภัยคุกคามอื่นๆ ได้อย่างมีประสิทธิภาพอีกด้วย เช่น ตัดการเชื่อมต่อของอุปกรณ์ Endpoint กับภายนอก, กักกันไฟล์ที่ติดมัลแวร์, ลบ Registry และ Kill Process รวมไปถึงสามารถหยุดการนำอุปกรณ์ USB จากภายนอกเข้ามาใช้งาน โดยอ้างอิงข้อมูลการอนุญาตใช้งานจากชื่อผู้ผลิต ชื่ออุปกรณ์ และ Serial Number

กรณีศึกษา: CrowdStrike Flacon รับมือ WannaCry ได้ตั้งแต่วันแรก

WannaCry เป็นหนึ่งใน Ransomware ที่มีชื่อเสียงโด่งดังมากที่สุด เนื่องจากความสามารถในการแพร่กระจายตัวอย่างรวดเร็วผ่านระบบเครือข่ายจนทำให้หลายๆ ธุรกิจต้องหยุดชะงัก WannaCry ปรากฏโฉมครั้งแรกเมื่อวันที่ 12 พฤษภาคม 2017 และแพร่ระบาดไปทั่วโลกกว่า 100 ประเทศภายในไม่ถึง 24 ชั่วโมงโดยมีอุปกรณ์ถูกโจมตีมากกว่า 100,00 เครื่อง เมื่อ WannaCry เข้ามาในระบบเครือข่ายได้แล้ว มันจะใช้ช่องโหว่บนโปรโตคอล SMB ในการแพร่กระจายตัวจากเครื่องหนึ่งไปสู่อีกเครื่องหนึ่ง ก่อนที่จะเข้ารหัสข้อมูลทั้งหมดและแสดงข้อความเรียกค่าไถ่

นอกจาก CrowdStrike Falcon จะสามารถป้องกันอุปกรณ์คอมพิวเตอร์จากการโจมตีของ WannaCry ตั้งแต่เริ่มได้แล้ว ยังสามารถป้องกันการแพร่กระจายของ WannaCry ไปในระบบเครือข่ายอีกด้วย ที่สำคัญคือ CrowdStrike Intelligence สามารถระบุ Variant ใหม่ของ WannaCry ได้อย่างรวดเร็ว แล้วทำการส่งข้อมูลอัปเดตมายัง CrowdStrike Falcon เพื่อเพิ่มความสามารถในการตรวจจับและป้องกันการโจมตีให้แม่นยำยิ่งขึ้น ส่งผลให้ลูกค้าที่ใช้ CrowdStrike Falcon ในขณะนั้นสามารถรับมือกับ WannaCry ได้ตั้งแต่วันแรกที่เริ่มมีการโจมตี

โดยสรุปแล้ว Ransomware ยังคงเป็นหนึ่งในภัยคุกคามอันตรายที่ทุกองค์กรต้องพึงระวัง เนื่องจากทั้งอาชญากรรมไซเบอร์ รวมไปถึงหน่วยงานรัฐที่อาจอยู่เบื้องหลังมีการพัฒนาเพื่อเพิ่มขีดความสามารถของ Ransomware มากขึ้นเรื่อยๆ แน่นอนว่า CrowdStrike เองก็มีการพัฒนานวัตกรรมและฟังก์ชันการทำงานใหม่ๆ ให้ก้าวล้ำเหนืออาชญากรไซเบอร์ ช่วยให้องค์กรสามารถรับมือกับ Ransomware ได้อย่างมีประสิทธิภาพ และทำให้มั่นใจว่าทั้งพนักงานและข้อมูลสำคัญขององค์กรจะได้รับการปกป้อง

ผู้ที่สนใจใช้โซลูชัน CrowdStrike ในการป้องกัน Ransomware สามารถติดต่อ Exclusive Networks ผู้จัดจำหน่ายผลิตภัณฑ์ของ CrowdStrike อย่างเป็นทางการในประเทศไทยได้ที่อีเมล marketing_th@exclusive-networks.com หรือโทร 0-2694-1421-3 ext. 2512



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tableau & AWS Webinar: ใช้ประโยชน์จากพลังของโปรแกรมวิเคราะห์ข้อมูลแบบคลาวด์อันทันสมัย [27 ต.ค. 2020 เวลา 10.00น.]

TechTalkThai ขอเรียนเชิญ Chief Data Officer, Data Scientist, Data Analyst, Data Engineer, IT Manager, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Tableau & AWS Webinar ในหัวข้อเรื่อง "ใช้ประโยชน์จากพลังของโปรแกรมวิเคราะห์ข้อมูลแบบคลาวด์อันทันสมัย" เพื่อทำความรู้จักกับภาพรวมของการวิเคราะห์ข้อมูลในธุรกิจองค์กรอย่างครบวงจรบน Cloud ด้วยเครื่องมือจาก Amazon Web Services (AWS) และ Tableau ในวันอังคารที่ 27 ตุลาคม 2020 เวลา 10.00 – 11.00 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Microsoft เปิดตัว Azure Space รุกสู่ธุรกิจอวกาศ พร้อมเผยความร่วมมือกับ SpaceX

Microsoft ได้ออกมาประกาศเปิดตัวถึงการนำบริการ Microsoft Azure ไปสู่อุตสาหกรรมด้านอวกาศภายใต้ชื่อ Azure Space พร้อมเผยถึงความร่วมมือกับ SpaceX ในการบริการด้านโครงข่ายเชื่อมต่อ Cloud