ฟอร์ติเน็ตแนะวิธีที่หน่วยงานด้านสาธารณสุขสามารถป้องกันตนเองให้พ้นภัยเรียกค่าไถ่ Ransomware

ในปัจจุบัน ข้อมูลถือเป็นหัวใจสำคัญขององค์กรธุรกิจไม่ว่าจะเป็นขนาดเล็ก ขนาดกลางไปจนถึงองค์กรขนาดใหญ่ พบว่า 90% ของข้อมูลทั่วโลกถูกสร้างขึ้นมาอย่างมากมายในช่วงสองปีที่ผ่านมา และมีการละเมิดข้อมูลเพิ่มขึ้นถึง 54% เช่นกัน อาชญากรไซเบอร์เองเห็นมูลค่าของข้อมูลจึงหันมาใช้ไวรัสเรียกค่าไถ่ที่เรียกว่าแรนซัมแวร์ (Ransomware) เป็นช่องทางในการสร้างรายได้มากขึ้นเช่นกัน ผู้ไม่หวังดีเข้าแทรกซึมเข้าสู่ระบบไอทีและเข้าถึงข้อมูลผ่านการแฮ็กการเข้ารหัส การล็อกและการกรองไฟล์ต่างๆ องค์กรที่ถูกแฮ็กจะถูกบังคับให้จ่ายเงินเพื่อแลกกับการที่สามารถเข้าถึงข้อมูลที่มีความสำคัญต่อธุรกิจของตนอีกครั้ง

ภัยแรนซัมแวร์ขยายตัวเพิ่มขึ้น

พบว่ามีการโจมตีด้วยภัยแรนซัมแวร์เพิ่มมากขึ้นกว่า 2 เท่าในปีที่แล้ว โดยแฮ็กเกอร์ได้ปรับเปลี่ยนวิธีการโจมตีเพื่อมุ่งการจ่ายเงินที่มีจำนวนสูงมากขึ้น ในขณะที่มีเพียง 1 ใน 3 องค์กรจากทั่วโลกเท่านั้นที่มั่นใจว่าตนเองสามารถติดตามและแก้ไขการโจมตีเหล่านั้นได้ ทั้งนี้ คาดว่าจะมีผลกระทบทั่วโลกที่เกิดจากภัยแรนซัมแวร์สูงถึง 20 พันล้านเหรียญสหรัฐภายในปีค.ศ. 2021 โดยทั่วไปแล้ว แรนซัมแวร์เรียกร้องค่าไถ่ที่มูลค่ารวมกันถึง 6 หลักด้วยกัน และเนื่องจากการชำระเงินค่าไถ่มักจะทำโดยใช้ตระกูลเงินบิตคอยน์ จึงทำให้อาชญากรไซเบอร์สามารถฟอกเงินได้โดยไม่ร่องรอยให้ติดตาม ความเสียหายทางอ้อมคือการที่ธุรกิจถูกทำให้หยุดชะงักลง ซึ่งพบว่า 42% ขององค์กรในภาคธุรกิจเอกชน ได้รับผลกระทบจากไวรัสเรียกค่าไถ่แรนซัมแวร์ในช่วง 12 เดือนที่ผ่านมา โดยในจำนวนนั้นมีองค์กร 73% ประสบปัญหาระบบหยุดทำงานสองวันหรือมากกว่านั้น

ผลกระทบทางธุรกิจที่เกิดจากแรนซัมแวร์

ในปัจจุบัน ความเสียหายที่เกิดจากการที่ระบบหยุดทำงานและการไม่สามารถเข้าถึงข้อมูลเนื่องจากการโจมตีของแรนซัมแวร์มีมูลค่าสูงถึงหลายพันล้านเหรียญสหรัฐ ซึ่งอาจเพิ่มขึ้นเป็นหลายหมื่นล้านเหรียญได้เนื่องจากแฮ็กเกอร์ส่งไวรัสแรนซัมแวร์ผ่านอุปกรณ์ไอโอที Internet-of-Things (IoT) ที่มีจำนวนมากขึ้น

• ใช้การข่มขู่ Doxxing แทนที่ขู่ว่าจะลบข้อมูลที่ถูกล็อกนั้น อาชญากรไซเบอร์บางรายเริ่มขู่ว่าจะปล่อยข้อมูลขององค์กรที่เป็นข้อมูลส่วนตัวและข้อมูลลูกค้าที่ละเอียดอ่อนมากๆ เช่น องค์กรให้บริการทางการเงิน โรงพยาบาล สำนักงานกฎหมายและอื่นๆ หรือที่เรียกว่า “ด็อกซิ่ง” (Doxxing) ซึ่งอาจส่งผลกระทบต่อชื่อเสียงขององค์กร เช่น หน่วยงาน Health Insurance Portability and Accountability Act (HIPAA) ได้ออกการแจ้งเตือนให้กับลูกค้าและมีกิจกรรมที่มีความเสียหายนับล้านเหรียญดอลลาร์
• การเก็บบิตคอยน์เรียก "ค่าไถ่" ผลกระทบของแรนซัมแวร์มีมากกว่าองค์กรที่ถูกแฮ็ก เช่น หากธุรกิจธนาคารถูกเรียกค่าไถ่ จะส่งผลให้ธุรกิจประสบปัญหาข้อมูลสูญหายหรือไม่สามารถเข้าถึงข้อมูล แม้จะช้าเพียงหลักวินาทีหรือนาที ธุรกิจต่างๆ จึงไม่สามารถรอให้อาชญากรไซเบอร์เข้าถึงข้อมูลที่ถูกแฮ็กได้นานหลายวัน จึงเกิดการเริ่มสะสมบิตคอยน์ไว้บ้าง
• เหตุการณ์โจมตีที่เกิดขึ้นจริง ในช่วงปี 2019 ที่ผ่านมา อุตสาหกรรมในทุกภาคและองค์กรในทุกขนาดได้รับผลกระทบจากแรนซัมแวร์ พบการโจมตีที่หน่วยงานของรัฐ 113 แห่งรวมถึงสำนักงานเทศบาลและองค์กรรัฐวิสาหกิจ ผู้ให้บริการด้านสาธารณสุข 764 แห่ง และมหาวิทยาลัย วิทยาลัยและสถาบันการศึกษาในเขต 89 แห่ง โรงเรียนอีก 1,233 แห่ง
• หน่วยงานด้านสาธารณสุข หน่วยงานด้านสาธารณสุขอันรวมถึงโรงพยาบาลในทุกขนาดเป็นเหยื่อที่แรนซัมแวร์มุ่งเป้าหมายมา เนื่องจากเป็นหน่วยงานมีระบบไอทีและข้อมูลในการดูแลสุขภาพจำนวนมากของผู้ป่วย หากถ้าระบบหยุดทำงานหรือบุคลากรไม่สามารถเข้าถึงข้อมูลได้อาจทำให้ชีวิตตกอยู่ในความเสี่ยง อาชญากรอาจใช้วิธี Doxxing ในการเรียกค่าไถ่คือขู่ว่าจะปล่อยข้อมูลสำคัญออกมาแทนที่จะลบข้อมูลส่วนตัวเหล่านั้น และหากผู่ไม่หวังดีเข้าควบคุมอุปกรณ์ไอโอทีที่ใช้ในการดูแลผู้ป่วย อาจส่งผลกระทบและกลายเป็นอันตรายถึงชีวิตได้เช่นกัน

ในไตรมาสที่ 4 ของปี 2019 พบการโจมตีของแรนซัมแวร์เพิ่มขึ้น 350% โดยพบการโจมตีทีอุปกรณ์ไอทีที่ส่งผลให้บริการในสถานให้บริการทันตกรรมและการพยาบาลหลายร้อยแห่งหยุดชะงักลง ในขณะที่มีรายงานจากโรงพยาบาล ระบบสุขภาพและหน่วยงานอื่นๆ หลายแห่งว่าธุรกิจหยุดชะงักลง

นอกจากนี้ ในช่วงไม่กี่ปีที่ผ่านมา ยังมีตัวอย่างการคุกคามมากมาย รวมถึงวิธีที่แฮ็กเกอร์แอบเข้าถึงฐานข้อมูลของ MongoDB อันเป็นแหล่งบันทึกข้อมูลด้านสุขภาพของผู้ป่วย 200,000 รายที่เข้ารับการรักษาที่ศูนย์สุขภาพใหญ่แห่งหนึ่ง ซึ่งแฮกเกอร์ได้ลบข้อมูลไปจนหมดและเรียกค่าไถ่เป็นเงิน 180,000 เหรียญสหรัฐในบิตคอยน์

นอกจากนี้ ศูนย์การแพทย์ใหญ่อีกแห่งในฮอลลีวูด รัฐแคลิฟอร์เนียได้ประกาศภาวะฉุกเฉิน หลังจากที่ระบบติดไวรัสแรนซัมแวร์ตระกูล Locky โดยที่แพทย์และผู้ดูแลคนอื่นๆ ถูกล็อกบัญชี ไม่สามารถบันทึกข้อมูลสุขภาพอิเล็กทรอนิกส์ได้ เจ้าหน้าที่ได้ใช้ปากกาและกระดาษในการบันทึกข้อมูลผู้ป่วยและใช้วิธีแฟกซ์แทนอีเมลในการสื่อสารกัน แฮกเกอร์เรียกร้องเงิน 40 บิตคอยน์ (หรือประมาณ 17,000 เหรียญสหรัฐ) เพื่อแลกกับกุญแจในการถอดรหัสไฟล์ที่ถูกล็อกซึ่งทางโรงพยาบาลยอมจ่ายให้ แต่ทั้งนี้ อาชญากรไซเบอร์ไม่ได้ให้สิทธิ์เหยื่อเข้าถึงข้อมูลของพวกเขาเสมอไป ซึ่งพบในกรณีของโรงพยาบาลในแคนซัส ที่โรงพยาบาลได้ยอมจ่ายเงินค่าไถ่เบื้องต้น แต่แฮ็คทิวิสต์ไม่ได้ปลดล็อกไฟล์ทั้งหมดและเรียกร้องเงินเพิ่มขึ้น แต่ทางโรงพยาบาลเลือกที่จะปฏิเสธการเรียกค่าไถ่เพิ่มเติม

ประเภทต่างๆ ของแรนซัมแวร์

แรนซัมแวร์แบบดั้งเดิมจะติดตามข้อมูลของเหยื่อและเข้าล็อกไฟล์จนกว่าเหยื่อจะจ่ายค่าไถ่ แต่ด้วยการเติบโตอย่างรวดเร็วของอุปกรณ์ไอโอที ทำให้เกิดแรนซั่มแวร์สายพันธุ์ใหม่ๆ ภัยจะพัฒนาให้สามารถมุ่งเป้าไปที่ระบบควบคุม (เช่น ยานพาหนะ สายการผลิต ระบบไฟฟ้าสาธารณูปโภค) และทำการปิดระบบจนกว่าจะได้เงินค่าไถ่

แรนซัมแวร์ที่แพร่หลายมากที่สุดที่มีอยู่ในปัจจุบัน ได้แก่:

• Off-the-Shelf Ransomware: คือแรนซัมแวร์บางตัวที่มีลักษณะเป็นซอฟต์แวร์ที่อาชญากรไซเบอร์สามารถซื้อได้จากตลาดดาร์กเน็ตและติดตั้งบนเซิร์ฟเวอร์ที่ชั่วร้ายของตนเองได้ หลังจากนั้น จะทำการแฮ็กและเข้ารหัสข้อมูลและระบบโดยตรงจากซอฟต์แวร์ที่ทำงานบนเซิร์ฟเวอร์ของอาชญากรไซเบอร์ เช่น Stampado และ Cerber
• Ransomware-as-a-Service (RaaS): การให้บริการการโจมตีแบบแรนซัมแวร์ RaaS ที่เป็นที่รู้จักมากที่สุด คือ CryptoLocker หลังจากเซิร์ฟเวอร์ของ CryptoLocker ถูกทำให้ดาวน์ไป (taken down) จะพบ RaaS ประเภท CTBLocker บ่อยที่สุดแทน ทั้งนี้ อีกสายพันธุ์ที่เติบโตอย่างรวดเร็วคือ Tox ซึ่งเป็นชุดที่อาชญากรไซเบอร์สามารถใช้ดาวน์โหลดได้ไปติดตั้งหรือแจกจ่ายได้ โดยจะแบ่ง 20% ของค่าไถ่ทั้งหมดให้ Tox เป็นในรูปแบบบิตคอยน์
• แรนซัมแวร์แบบใช้เครือข่าย: เป็นลักษณะที่ผู้ให้บริการ RaaS จะใช้แฮกเกอร์ในเครือข่ายที่มีประวัติในการแพร่กระจายมัลแวร์ของตนออกไป
• แรนซัมแวร์ที่โจมตีที่อุปกรณ์ไอโอที: แรนซัมแวร์ประเภทนี้จะแทรกภัยคุกคามไปยังอุปกรณ์ไอโอทีที่ควบคุมระบบที่สำคัญต่อธุรกิจ และจะเข้าปิดระบบเหล่านั้นจนกว่าจะมีการจ่ายค่าไถ่เพื่อปลดล็อก

ฟอร์ติการ์ตแล็ปส์อันเป็นศูนย์วิเคราะห์ภัยของฟอร์ติเน็ตพบตระกูลและสายพันธ์ของแรนซัมแวร์เกิดขึ้นในปีค.ศ. 2016 มากขึ้นถึงสิบเท่า ซึ่งมีวิวัฒนาการเป็นรูปแบบใหม่ๆ มากมายทุกวันตลอดปีอย่างต่อเนื่อง ทำให้โซลูชันป้องกันไวรัสที่ใช้ซิคเนเจอร์แบบดั้งเดิมไม่เพียงพอ เมื่อไวรัสใดถูกพบระบุสายพันธุ์แล้ว อาชญากรไซเบอร์จะพัฒนาไปอยู่ในรูปแบบใหม่ เช่น ตระกูล Ryuk และ Sodinokibi ransomware จึงทำให้มูลค่าค่าไถ่ที่ผู้โจมตีต้องการเพิ่มขึ้นในไตรมาสที่ 1 ของปี 2020 ขึ้นอย่างมากมาย

กระบวนการป้องกันแบบต้นทางจนปลายทางจากฟอร์ติเน็ต

• อุปกรณ์ FortiMail ช่วยป้องกันฟิชชิ่ง ฟอร์ติเมล (FortiMail) มีคุณสมบัติป้องกันการสแปมเมลและแอนตี้มัลแวร์ที่มีประสิทธิภาพ ซึ่งเสริมด้วยเทคนิคการป้องกันขั้นสูง เช่น การป้องกันการแพร่ระบาด (Outbreak protection) การปลดภัยออกจากคอนเท้นต์และการสร้างคอนเท้นต์ที่ปลอดภัยใหม่ (Content disarm and reconstruction) การวิเคราะห์แซนด์บ็อกซ์ (Sandbox analysis) และการตรวจจับการแอบอ้างบุคคลอื่น (Impersonation detection)
• บริการ FortiGuard Web Filtering หยุดไม่ให้ผู้ใช้คลิกที่ URL ที่เป็นอันตราย บริการ FortiGuard Web Filtering Service ช่วยเพิ่มศักยภาพความสามารถในการกรองเว็บหลักของไฟร์วอลล์ FortiGate NGFW โดยการจัดเรียงหน้าเว็บหลายพันล้านหน้าออกเป็นหมวดหมู่ต่างๆ ที่ผู้ใช้สามารถอนุญาตหรือบล็อกได้ จึงทำให้เป็นการใช้งานที่ปลอดภัย
• FortiEDR ช่วยตรวจจับและตอบสนองต่อมัลแวร์ก่อนที่จะเกิดการคุกคาม โซลูชันการรักษาความปลอดภัยปลายทางแบบเรียลไทม์ของ FortiEDR จะช่วยลดความเสี่ยงจากการโจมตีในแบบเชิงรุกและปกป้องอุปกรณ์ปลายทางโดยใช้เทคโนโลยีการตรวจจับมัลแวร์และการตรวจจับตามพฤติกรรม ทั้งนี้ เพลย์บุ๊ก (Playbooks) จะตอบสนอง โต้ตอบ และแก้ไขตามขั้นตอนที่วางไว้โดยอัตโนมัติ
• FortiSandbox ระบุภัยคุกคามที่ยังไม่รู้จักและป้องกันการโจมตีขั้นสูง คุณสมบัติการวิเคราะห์ของ FortiSandbox จะใช้ประโยชน์จากการรันเพื่อทดสอบไฟล์ และโมเดลแมชชีนเลิร์นนิงมาปรับปรุงการวิเคราะห์ภัยคุกคามทั้งที่เป็นแบบสเตติคและไดนามิก สามารถทำงานร่วมกับทั้งผลิตภัณฑ์ของฟอร์ติเน็ตและที่ไม่ใช่ผลิตภัณฑ์ของฟอร์ติเน็ต เพื่อให้สามารถตอบสนองต่อภัยคุกคามที่มีรูปแบบซับซ้อน เช่น แรนซัมแวร์ และไวรัสใหม่ได้อย่างรวดเร็ว
• FortiToken ช่วยป้องกันการโจรกรรมข้อมูล ด้วยวิธีการพิสูจน์ตัวตนแบบสองปัจจัย (Two-factor authentication) รหัสผ่านจะถูกใช้ร่วมกับโทเค็นที่ปลอดภัยเพื่อให้มีความปลอดภัยที่ดียิ่งขึ้น ทั้งนี้ พนักงานที่ได้รับอนุญาต จะสามารถใช้และเข้าถึงทรัพยากรของบริษัทได้อย่างปลอดภัย
• FortiGate Intent-Based Segmentation หยุดการเคลื่อนไหวและคุกคามภายในเครือข่าย โดยการแบ่งกลุ่มเครือข่ายตามวัตถุประสงค์ สามารถให้การป้องกันแบบ End-to-end ทั่วทั้งเครือข่าย สามารถแบ่งกลุ่มสินทรัพย์ในเครือข่ายและโครงสร้างพื้นฐานด้วยการกำหนดเองโดยผู้ดูแลระบบและด้วยการตอบสนองแบบอัตโนมัติ ไม่ว่าจะเป็นแบบใช้งานในองค์กรหรือบนระบบมัลติคลาวด์หลายประเภท ทั้งนี้ ความสามารถในการวิเคราะห์และการทำงานที่เป็นแบบอัตโนมัติจะช่วยให้สามารถตรวจจับภัยคุกคามได้อย่างรวดเร็วและมีมาตรฐานสูง

ประเด็นสำคัญ:

ชาญวิทย์ อิทธิวัฒนะ ผู้จัดการประจำประเทศไทย ฟอร์ติเน็ตได้ให้คำแนะนำว่า “แรนซัมแวรมีวิวัฒนาการและกลายพันธุ์เป็นภัยคุกคามที่มีจำนวนเพิ่มขึ้นเรื่อยๆ เป็นอันตรายต่อองค์กรแทบทุกขนาด องค์กรต่างๆ จะต้องปฏิบัติตาม ดังนี้

1. หยุดการคุกคามที่รู้จักแล้ว: ใช้โซลูชันการรักษาความปลอดภัยไซเบอร์ที่สามารถหยุดการคุกคามของแรนซัมแวร์ที่รู้จักกันแล้วทั้งหมด ซึ่งต้องการการรักษาความปลอดภัยแบบมัลติเลเยอร์ที่มีข่าวกรองภัยคุกคามระดับโลก เพื่อให้การป้องกันที่เครือข่าย อุปกรณ์ปลายทาง แอปพลิเคชัน และศูนย์ดาต้าเซ็นเตอร์
2. ตรวจจับภัยคุกคามใหม่: เนื่องจากแรนซัมแวร์มีการพัฒนาเปลี่ยนแปลงอย่างต่อเนื่องและผู้ไม่หวังดีเผยแพร่แรนซัมแวร์ใหม่อยู่ตลอดเวลา จึงจำเป็ยอย่างมากที่จะต้องสร้างแซนด์บ็อกซ์ที่เหมาะสมและเทคนิคการตรวจจับขั้นสูงอื่นๆ เพื่อระบุหาแรนซัมแวร์ในสายพันธุ์เดียวกัน
3. แบ่งปันสิ่งที่มองไม่เห็นให้มากขึ้น: แบ่งปันข้อมูลอัจฉริยะแบบเรียลไทม์ไปให้ทั่วระหว่างชั้นการรักษาความปลอดภัยที่แตกต่างกัน (และหมายรวมถึงในทุกผลิตภัณฑ์ของผู้จำหน่ายทุกค่าย) และยังขยายไปยังกลุ่มที่ทำหน้าที่รักษาความปลอดภัยทางไซเบอร์ที่กว้างขึ้นภายนอกองค์กรของท่าน เช่น Computer Emergency Response Teams (CERTs), Information Sharing and Analysis Centers (ISACs) และกลุ่มพันธมิตรในอุตสาหกรรม เช่น Cyber Threat Alliance ซึ่งการแบ่งปันอย่างรวดเร็วนี้เป็นวิธีที่ดีที่สุดในการตอบสนองต่อการโจมตีที่รวดเร็วและสามารถทำลายเครือข่ายการคุกคามก่อนที่มันจะกลายพันธุ์หรือแพร่กระจายไปยังระบบหรือองค์กรอื่นๆ
4. เตรียมพร้อมสำหรับสิ่งที่ไม่คาดคิด: การแบ่งส่วนการรักษาความปลอดภัยเครือข่าย (Segmentation of network security) ช่วยป้องกันพฤติกรรมที่เหมือนแรนซัมแวร์ เช่น SamSam และ ZCryptor ทั้งนี้ การสำรองและกู้คืนข้อมูลมีความสำคัญเช่นกัน องค์กรที่มีการสำรองข้อมูลล่าสุดสามารถปฏิเสธการเรียกค่าไถ่และกู้คืนระบบได้อย่างรวดเร็วและง่ายดาย
5. สำรองระบบและข้อมูลที่สำคัญ: แม้ว่าอาจเป็นกระบวนการที่ใช้เวลานานในการกู้คืนระบบที่เข้ารหัสรวมถึงการหยุดชะงักของการดำเนินธุรกิจและการเพิ่มผลผลิต แต่การกู้คืนข้อมูลสำรองเป็นทางเลือกที่ดีกว่าการถูกจับเป็นตัวประกัน โดยไม่มีการรับประกันว่าถึงแม้ว่าท่านจ่ายค่าไถ่แล้ว จะมีการปลดล็อกข้อมูลและระบบอย่างแน่นอน ในกรณีนี้ ท่านต้องใช้เทคโนโลยี กระบวนการ และพันธมิตรทางธุรกิจที่เหมาะสม เพื่อให้แน่ใจว่าการสำรองข้อมูลของท่านเป็นไปตามข้อกำหนดทางธุรกิจและการกู้คืนจะทำได้อย่างรวดเร็ว”

• ข่าวรักษาความปลอดภัย
• ข่าวซีเคียวริตี้
• ข่าวความปลอดภัย
• ข่าวฟอร์ติเน็ต
• ข่าวสาธารณสุข