LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย
แรนซัมแวร์ LockBit ถูกค้นพบตั้งแต่ในเดือนกันยายน ปี 2019 ซึ่งเดิมมันมีชื่อว่า แรนซัมแวร์ “ABCD” ถูกออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์ของเป้าหมายเพื่อแลกกับการเรียกค่าไถ่ โดยเหล่าอาชญากรไซเบอร์ได้ใช้แรนซัมแวร์ตัวนี้ควบคุมโดเมนของเหยื่อ จากนั้นมันจะแพร่กระจายการติดเชื้อออกไปโดยอัตโนมัติ และทำการเข้ารหัสระบบคอมพิวเตอร์ที่มันเข้าถึงได้ทั้งหมดบนเครือข่ายนั้นๆ
LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) เป็นบริการโครงสร้างพื้นฐานให้แก่ผู้ที่ต้องการใช้มัลแวร์เพื่อโจมตี และรับรายได้เป็นส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมาเหมือนการทำงานร่วมกัน
LockBit มีเทคโนโลยีที่โดดเด่นด้วยความสามารถแพร่กระจายแรนซัมแวร์ออกไปได้ทั่วทั้งเครือข่ายที่มันเข้าถึง เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนของเป้าหมายได้แล้ว ก็จะทำการเข้าไปเรียกใช้มัลแวร์ มันจะเข้าไปปิดการใช้งานเทคโนโลยีด้านความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นก็จะดำเนินการสร้างงานที่กำหนดไว้บนเครื่อง Windows เพื่อเรียกใช้โปรแกรมเรียกค่าไถ่ เป็นการปิดกั้นการเข้าถึงระบบคอมพ์ทั้งหมดของเจ้าของเครื่อง และมันยังจะถูกส่งต่อไปยังอุปกรณ์อื่นๆ แต่ละเครื่องบนเครือข่ายได้อีกด้วย
ด้วยความสามารถในการแพร่กระจาย แรนซัมแวร์นี้จึงมักถูกใช้ในการโจมตีที่กำหนดเป้าหมายเป็นประเภทบริษัทใหญ่ เอ็นเทอร์ไพรซ์และองค์กรอื่นๆ ตัวอย่างเป้าหมายในอดีตได้แก่องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)
ข้อมูลล่าสุด จาก นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ของแคสเปอร์สกี้ กล่าวว่า “ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก โดยเมื่อเร็วๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซัมแวร์ LockBit ก็ได้ประกาศผลงานร้ายและอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB”
การลบและถอดรหัส LockBit โดยเครื่องมือของ Kaspersky
ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Kaspersky Endpoint Security for Business
หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซัมแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ “กุญแจ” เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ
วิธีป้องกันแรนซัมแวร์ LockBit
คุณจะต้องตั้งค่ามาตรการป้องกันเพื่อให้องค์กรของคุณสามารถเตรียมการและปรับตัวต่อการเปลี่ยนแปลงที่เกิดจากแรนซัมแวร์หรือการโจมตีอื่นที่เป็นอันตราย แนวทางปฏิบัติบางประการที่สามารถช่วยในการเตรียมตัว มีดังนี้
- ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ
- ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร
- อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
- เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด
- สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน
- ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิคและขั้นตอนต่างๆ อยู่เสมอ
- ใช้โซลูชั่นด้านความปลอดภัย เช่น Kaspersky Endpoint Detection and Response และ Kaspersky Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่นๆ
- ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร Kaspersky Automated Security Awareness Platform
- ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตรายและเรียกคืนระบบได้ โซลูชั่น Kaspersky Endpoint Security for Business มีกลไกป้องกันตัวเองซึ่งสามารถป้องกันการเอาออกโดยอาชญากรไซเบอร์ เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ Kaspersky Security Solutions for Enterpriseเพื่อการปกป้องธุรกิจและอุปกรณ์ขององค์กร
ผลิตภัณฑ์ของแคสเปอร์สกี้ ซึ่งรวมถึง Kaspersky Endpoint Security และ Kaspersky Endpoint Detection and Response Optimum สามารถตรวจจับและบล็อกแรนซัมแวร์ LockBit ซึ่งมีชื่อการตรวจจับที่แตกต่างกันดังนี้
- Trojan-Ransom.Win32.Lockbit
- HEUR:Trojan-Ransom.Win32.Generic
- PDM:Trojan.Win32.Generic (ด้วยเทคโนโลยี Behavior Detection)
บริการ Kaspersky Endpoint Detection and Response Expert ช่วยตรวจจับกิจกรรมของอาชญากรไซเบอร์ที่น่าสงสัยในระยะแรก วิเคราะห์และตอบสนองต่อการโจมตี จึงป้องกันการเข้ารหัสแรนซัมแวร์ที่อาจเกิดขึ้นได้
สำหรับบริการ Kaspersky Managed Detection and Response ของแคสเปอร์สกี้นั้น ผู้เชี่ยวชาญ SOC ของแคสเปอร์สกี้ซึ่งมีความเชี่ยวชาญอย่างลึกซึ้งในการตรวจจับและตรวจสอบการโจมตีของแรนซัมแวร์ (รวมถึงการโจมตีแรนซัมแวร์ LockBit ล่าสุด) จะช่วยตรวจจับกิจกรรมที่น่าสงสัยในเครือข่าย วิเคราะห์และติดต่อคุณเมื่อเกิดเหตุ