ผลวิจัยของฟอร์ติเน็ต พบมัลแวร์เรียกค่าไถ่ พุ่งเป้าโจมตีต่อกลุ่มอุตสาหกรรมการผลิตมากขึ้น โดยมีการพบโทรจันชนิดใหม่ชื่อ Nemucod ที่ปลอมเป็นไฟล์แนบในอีเมลล์และที่กำลังจับตาอย่าง DMA Locker แนะต้องให้หาแผนการจัดการภัย
มัลแวร์เรียกค่า-ไถ่ หรือ Ransomware เป็นมัลแวร์ชนิดหนึ่งที่เมื่อติดไว้รัสอันตรายชนิดนี้แล้ว จะเรียกร้องให้จ่ายเงิน ทุกท่านอาจเคยได้บินข่าวมาแล้วว่า Ransomware ได้เคยปิดระบบของธุรกิจดูแลสุขภาพขนาดใหญ่หลายแห่งในปีที่แล้ว และยังคงมีองค์กรต่างๆ จ่ายเงินค่าไถ่จำนวนสูง เพื่อให้ปลดล็อคไวรัสร้ายออกจากระบบของตน ผลจากการวิจัยของฟอร์ติเน็ตเมื่อหลายเดือนที่ผ่านมา พบกว่าองค์กรในกลุ่มอุตสาหกรรมการผลิตกำลังจะตกเป็นเหยื่อของไวรัสร้ายนี้
จากข้อมูลของฟอร์ติเน็ต ระบุว่า ช่วงระหว่างเดือนตุลาคม 2015 ถึง เมษานปี 2016 ฟอร์ติเน็ตได้รวบรวม ทราฟฟิกจากผู้ประกอบการผลิตขนาดกลาง 59 รายใน 9 ประเทศในอเมริกา เอเชียแปซิฟิก และภูมิภาคยูโร เมดิเตอร์เรเนียน พบความพยายามคุกคามมากถึง 8.63 ล้านครั้ง ที่ตั้งเป้าไปที่กลุ่มอุตสาหกรรมการผลิต โดย 78% ในจำนวนนั้นตั้งเป้าไปที่ผู้ประกอบการด้านการผลิต ที่มีพนักงานมากกว่า 1000 คน ซึ่งเป็นตัวเลขที่สูงมาก
นอกจากนี่ การวิจัยยังพบการกลายตัวเป็นเจเนอเรชั่นใหม่ของไวรัสนี้ ที่พัฒนาด้านการทำลายตัวเองได้ ทำไมภัยตั้งเป้าไปที่กลุ่มอุตสาหกรรมการผลิตฯ ในปัจจุบันอุตสาหกรรมการผลิตใช้ระบบออโตเมติกมากขึ้นและใช้นโยบาย Just-in-time inventory มากขึ้น ซึ่งหมายถึงถ้าหากมีเหตุการณ์ที่ทำให้กระบวนการ J-I-T หยุดชะงักลงเกิดขึ้น จะทำให้เกิดผลเสียกับธุรกิจอย่างมากมายแน่นอน
ในขณะที่ ภัยคุกคามส่วนใหญ่ที่มุ่งไปที่อุตสาหกรรมการผลิตนั้น อาจจะมองว่าเป็นเพียงมัลแวร์ลาสยพันธุ์ทั่วไป แต่ฟอร์ติเน็ตพบข้อมูลเชิงลึกว่า มัลแวร์จำนวน 29% นั้น เป็นสายพันธุ์ใหม่ของโทรจันชื่อ Nemucod ซึ่งน่าสนใจตรงที่หลายเดือนที่ผ่านมา Nemucod ได้หลุดออกจากท็อป 10 ของภัยคุกคามในทุกอุตสาหกรรมทั่วโลก ยกเว้นอุตสาหกรรมการผลิต โดย Nemucod เป็นโทรจันเกิดมานานแล้ว เดิมมุ่งเป้าไปที่ข้อมูลด้านการเงิน เช่น ข้อมูลการล็อกอินของลูกค้าธนาคาร ทำงานดดยปลอมเป็นไฟล์แนบในอีเมลล์ ที่เมื่อเหยื่อคลิกบนไฟล์จะดาวน์โหลดและติดตั้งมัลแวร์ลงในเครื่องทันที
เราแปลกใจที่พบสายพันธุ์ของ Nemucod จำนวน 4 ประเภท ติดอันดับท็อป 10 ของมัลแวร์ที่โจมตีอุตสาหกรรมการผลิต โดยที่สายพันธุ์ 3 ประเภทมีพัฒนาการสูง คือมันไม่ต้องการเหยื่อในการลงมือกระทำการ เช่น การเปิดไฟล์แนบเพื่อให้เกิดภัย นี่ไม่ใช่ Ransomware ปกติทั่วไป Ransomware ใหม่มีการปรับปรุงอย่างมีนัยสำคัญ และมีสายพันธุ์ล่าสุดชื่อ Locky ที่เราได้เห็นตัวอย่าง เช่น สามารถเข้ารหัสลับและ Windows APIS และ RSA ได้ ตั้งใจจะขัดขวางองค์กรที่พยายามถอดรหัสไฟล์นั้นโดยจะไม่จ่ายค่าไถ่
มีสายพันธุ์ล่าสุดที่ฟอร์ติเน็ตกำลังตรวจสอบอีก ชื่อ DMA Locker ที่เมื่อติดไปแล้ว จะใช้ Remote Command-and-control servers สร้างกุญแจ Unique encryption keys ซึ่งไม่สามารถถอดกุญแจกลับมาได้ หมายความว่า ถ้าไม่เอา DMA Locker ออกให้หมดจากเครือข่ายที่ติดเชื้อนั้น จะทำให้เกิดการเรียกร้องค่าไถ่มากยิ่งขึ้น
ฟอร์ติเน็ต แนะองค์กรเร่งวางแผนป้องกัน มัลแวร์เรียกค่าไถ่โจมตีธุรกิจ
ดังนั้น องค์กรควรลงมือปฏิบัติหลายประการเพื่อป้องกันตัวเอง อันได้แก่
  • ควบคุมส่วน Network access
  • ใช้ความปลอดภัยสำหรับอีเมลล์ร่วมกับการกรอง Sandbos Filtering
  • ดูแลละปิดซอฟ่ต์แวร์และระบบปฏิบัติการให้ดี
  • จัดส่วนเครือข่ายเพื่อจำกัดการแพร่กระจาย
  • กำจัดหรือแยกโค้ด และอุปกรณ์ประเภท Legacy ที่มีช่องโหว่
  • จัดการแบ็คอัพระบบอย่างสม่ำเสมอและจัดการแบ็กอัพนอกสถานที่
  • ลดจุดเสี่ยงภัย โดยลดซอฟต์แวร์ลุอุปกรณ์ที่ไม่จำเป็นลงโดยเฉพาะอย่างยิ่งแอพพลิเคชั่นประเภท
  • คลาวด์ที่ไม่ดูแลโดยทีมไอทีขององค์กร และจัดการแบ็กอัพ
  • ติดตั้ง Security clients บนอุปกรณ์ Endpoint devices และดูแลให้อัฟเดทอยู๋เสมอ
  • ให้สามารถเห็นสิ่งทีเกิดขึ้นได้ทั้งเครือข่าย่ทั้งหมดถึงแม้เป็นสาขาที่มีการเชื่อมโยงเครือข่าย
  • สมมติว่ถ้าท่านกำลังจะตกเป็นหเยื่อของภัยคุกคามและให้หาแฟนการจัดการภัย (Cyber Threat assessment)
Credit: http://www.thairath.co.th/content/656984