หลังจากที่ Ransomware เริ่มมีการระบาดไปทั่วโลก และเริ่มมีการโจมตีในระดับขององค์กรด้วยวัตถุประสงค์ที่หลากหลาย ไม่ว่าจะเป็นการเรียกค่าไถ่จากการเข้ารหัสไฟล์สำคัญๆ หรือการโจมตีเพื่อทำลายไฟล์ข้อมูลอันมีค่าต่างๆ ก็ตาม รวมถึงเริ่มมีองค์กรในประเทศไทยที่ถูกโจมตีด้วย Ransomware กันเป็นจำนวนมากแล้ว ตอนนี้ Trend Micro จึงได้พยายามหาวิธีการในการโต้ตอบ Ransomware ได้แล้ว ด้วยวิธีการทำ Behavior-based Detection นั่นเอง ซึ่งทางทีมงาน Trend Micro ก็ได้เชิญทาง TechTalkThai ไปรับชมเทคโนโลยีใหม่ๆ นี้ จึงได้ขอหยิบยกมาเล่าให้ฟังกันครับ
ทำไมต้องใช้ Behavior-based Detection?
เนื่องจาก Ransomware นั่นมีรูปแบบการทำงานที่หลากหลาย และมีการ Customized หรือการเปลี่ยน Key ที่ใช้ในการเข้ารหัส ทำให้การสร้าง Signature เพื่อตรวจจับ Ransomware โดยเฉพาะนั้นสามารถทำได้ยาก อีกทั้ง Ransomware ยังมีรูปแบบการทำงานที่คล้ายคลึงกับซอฟต์แวร์เข้ารหัสเพื่อรักษาความปลอดภัยขององค์กรในโซลูชั่นกลุ่ม Data Leakage Prevention อีกด้วย การทำ Signature จึงต้องทำกับ Ransomware แต่ละชุดเป็นแบบครั้งต่อครั้ง ทำให้ขาดประสิทธิภาพในการป้องกันการโจมตีแบบ Zero-day หรือการตรวจจับ Ransomware ตัวเดิมที่มีการปรับแต่งรูปแบบการโจมตีมาเป็นอย่างดี
พฤติกรรมที่สามารถตรวจจับได้จาก Ransomware
การทำงานของ Ransomware คือการอ่านไฟล์และเข้ารหัสไปเรื่อยๆ ดังนั้นการตรวจจับพฤติกรรมการทำงานในลักษณะนี้ที่มีการเปิด่ไฟล์จำนวนมากๆ ขึ้นมาอ่านและเขียนอย่างต่อเนื่อง ก็ทำให้ Trend Micro สามารถที่จะตรวจจับและยับยั้ง Ransomware ได้ในระดับหนึ่ง ซึ่งทาง Trend Micro ก็ได้ทำการทดสอบจาก Ransomware ของจริงให้เห็นด้วยการใช้ OfficeScan ตรววจจับและยับยั้งได้แบบ Real-time เลยทีเดียว
แต่ทั้งนี้ทาง Trend Micro เองก็ยังได้ให้ข้อมูลอย่างตรงไปตรงมาเพิ่มเติมอีกด้วยว่า การตรวจจับแบบ Behavior-based นี้อาจไม่ได้ผลกับ Ransomware ในบางตระกูลที่มีการพยายามปิดบังพฤติกรรมที่น่าสงสัยเหล่านี้ อาจจะด้วยการค่อยๆ ทำการเปิดไฟล์ทีละไฟล์แล้วเข้ารหัสอย่างช้าๆ เพื่อให้พฤติกรรมคล้ายคลึงกับมนุษย์ เป็นต้น รวมถึงอาจจะมี False Positive กับซอฟต์แวร์ที่ทำการอ่านและเปลี่ยนแปลงไฟล์จำนวนมากๆ พร้อมๆ กันได้ แต่กรณีนี้ก็สามารถแก้ไขด้วยการใส่ White List เพิ่มภายหลังได้
องค์กรจะติด Ransomware ได้จากช่องทางไหนบ้าง?
Email ยังคงเป็นช่องทางหลักในการแพร่ระบาดของ Ransomware สู่ผู้ใช้งานในองค์กรด้วยการแนบ Ransomware มากับ Attachment หรือ URL ก็ตาม ดังนั้นการพยายามเพิ่มการรักษาความปลอดภัยของ Email ให้กับองค์กร หรือการจัดการกับ Email ต้องสงสัยให้ปลอดภัยจากมือของ User ผู้รู้เท่าไม่ถึงการณ์ ก็ถือเป็นทางเลือกที่องค์กรควรทำอย่างเร่งด่วน
ในขณะเดียวกัน การโจมตีด้วย Ransomware ก็เริ่มมีการพัฒนาไปในทิศทางใหม่ๆ เช่น การซื้อ Ads ผสมกับการใช้ช่องโหว่ของ Adobe Flash ทำให้การใช้โฆษณาแบบ Flash สามารถแพร่ระบาด Ransomware ไปยังเครื่องลูกข่ายที่ยังไม่ได้ Patch ช่องโหว่ของ Adobe Flash ได้ และทำให้การแพร่กระจายเกิดขึ้นเป็นวงกว้างอย่างรวดเร็ว
ติด Ransomware แล้วทำอะไรได้บ้าง
ถ้าไฟล์ที่ถูกเข้ารหัสนั้นไม่สำคัญ การ Format เครื่องแล้วลงใหม่ก็เพียงพอแล้ว แต่ถ้าหากไฟล์เหล่านั้นสำคัญและจำเป็นต้องใช้งาน องค์กรก็มีทางเลือกดังนี้
1. กู้ข้อมูลคืนจากระบบ Backup – ดังนั้นองค์กรต่างๆ จึงควรจะที่เริ่มวางนโยบายการสำรองข้อมูลให้มีความถี่ที่สุดเท่าที่จะเป็นไปได้ และสำรองข้อมูลไปยัง Storage ที่ไม่ได้ทำการ Map Drive เพื่อไม่ให้ Ransomware ทำความเสียหายกับข้อมูลที่สำรองเอาไว้ได้
2. จ่ายเงินให้ผู้ผลิต Ransomware – ปัจจุบันยังไม่มีเทคโนโลยีที่จะค้นหา Key เพื่อใช้ถอดรหัสของไฟล์ที่ถูก Ransomware โจมตีได้อย่างรวดเร็ว ดังนั้นถ้าไฟล์สำคัญจริงๆ ก็อาจจะต้องยอมเสียค่าใช้จ่ายในส่วนนี้เป็นบทเรียน ซึ่งก็ยังอาจมีความเสี่ยงที่จะไม่ได้รับ Key ถึงแม้จะจ่ายเงินไปแล้วก็ตาม
3. ป้องกันไม่ให้เกิดเหตุการณ์ซ้ำสอง – ไม่ว่าจะเป็นการให้ความรู้แก่ผู้ใช้งาน, การศึกษาวิธีการรับมือเพื่อไม่ให้ Ransomware แพร่ระบาดในองค์กร, การจัดการ Email ให้มีความปลอดภัย หรือการลงทุนใช้ Trend Micro OfficeScan และอัพเกรดเป็นซอฟต์แวร์ล่าสุดเพื่อเริ่มป้องกันการโจมตีด้วย Behavior-based Detection ได้ทันที
สำหรับองค์กรไหนที่ใช้งาน Trend Micro OfficeScan อยู่แล้ว ให้ทำการอัพเกรดเป็นเวอร์ชั่นล่าสุด เพื่อเริ่มป้องกัน Ransomware ได้ทันที ส่วนสำหรับองค์กรที่ยังไม่ได้มีการใช้งาน Trend Micro OfficeScan นั้นก็สามารถติดต่อ Trend Micro ประเทศไทยได้ทันที