Microsoft เผยข้อแนะนำแนวทางการป้องกันมัลแวร์เรียกค่าไถ่สำหรับองค์กร

Microsoft รายงานการโจมตีจากมัลแวร์เรียกค่าไถ่เพิ่มมากขึ้นในช่วงครึ่งแรกของเดือนเมษายน 2563 โดยกลุ่มเป้าหมายส่วนใหญ่เป็นหน่วยงานด้านสาธารณสุข โรงงานอุตสาหกรรม และหน่วยงานภาครัฐ โดยรูปแบบการแพร่กระจายมัลแวร์เรียกค่าไถ่นั้นมีทั้งแบบที่เป็นการแพร่กระจายแบบอัตโนมัติและแบบที่ใช้คนเป็นผู้สั่งการ ซึ่งการโจมตีในรูปแบบหลังนั้นกลุ่มอาชญากรมักมีพฤติกรรมใกล้เคียงกับการโจมตีแบบเจาะจงเป้าหมาย โดยเริ่มจากการเข้าถึงเครือข่ายภายในให้ได้ก่อน จากนั้นรวบรวมข้อมูล สร้างช่องทางลับสำหรับเชื่อมต่อเข้ามาในภายหลัง แล้วสุดท้ายสั่งติดตั้งมัลแวร์เรียกค่าไถ่

ทาง Microsoft ได้วิเคราะห์พฤติกรรมการโจมตีเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ของกลุ่มอาชญากรจำนวน 6 กลุ่ม ประกอบด้วย RobinHood, Maze, PonyFinal, Vatet loader, REVil, และ NetWalker ซึ่งพฤติกรรมของทั้ง 6 กลุ่มนั้นมีความใกล้เคียงกัน โดยสามารถสรุปขั้นตอนการดำเนินงานได้ดังนี้

Initial access

• การเข้าถึงระบบเครือข่ายภายในของเป้าหมาย โดยหลักๆ แล้วจะใช้ 3 ช่องทางด้วยกัน คือ โจมตีผ่านบริการ Remote Desktop, เจาะผ่านช่องโหว่ของระบบที่เปิดให้เข้าใช้งานได้ผ่านอินเทอร์เน็ต, และการตั้งค่าแอปพลิเคชันที่ไม่ปลอดภัย
• การโจมตีผ่านบริการ Remote Desktop นั้นมักเป็นการ brute force รหัสผ่าน ซึ่งหากระบบไม่ได้มีการจำกัดจำนวนครั้งที่อนุญาตให้ล็อกอินผิดพลาด หรือไม่ได้ตั้งค่าการยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication หรือ MFA) ผู้ประสงค์ร้ายก็สามารถเดารหัสผ่านไปได้เรื่อย ๆ จนกว่าจะสำเร็จ
• บางระบบยังเปิดให้บริการโดยใช้ระบบปฏิบัติการหรือซอฟต์แวร์ที่สิ้นสุดระยะเวลาสนับสนุนด้านความมั่นคงปลอดภัยไปแล้ว เช่น Windows Server 2003 หรือ 2008 ซึ่งซอฟต์แวร์เหล่านี้จะไม่มีแพตช์แก้ไขช่องโหว่ ทำให้มีโอกาสที่จะถูกโจมตีได้ง่าย
• บางระบบมีการตั้งค่าไม่เหมาะสม เช่น ซอฟต์แวร์ที่ใช้สำหรับบริหารจัดการเซิร์ฟเวอร์นั้นใช้รหัสผ่านที่คาดเดาได้ง่ายหรือไม่ได้มีมาตรการป้องกันที่รัดกุมเพียงพอ ทำให้ผู้ประสงค์ร้ายสามารถเข้าถึงระบบหลังบ้านของบริการสำคัญได้

Credential theft

• หลังจากที่สามารถเข้าถึงระบบเครือข่ายภายในได้แล้ว ผู้ประสงค์ร้ายจะรวบรวมข้อมูลบัญชีผู้ใช้ในเครือข่าย โดยอาจมีการรวบรวมข้อมูลของระบบเครือข่ายหรือขโมยข้อมูลสำคัญอื่น ๆ ออกไปด้วย ตัวอย่างเครื่องมือที่ใช้โจมตีในขั้นตอนนี้ เช่น Mimikatz
• หลายครั้งผู้ประสงค์ร้ายจะพยายามให้ได้มาซึ่งข้อมูลบัญชีของผู้ดูแลระบบหรือบัญชีของบริการอื่น ๆ เนื่องจากบัญชีเหล่านี้จะมีสิทธิ์มากกว่าบัญชีผู้ใช้ทั่วไป ทำให้สามารถใช้สร้างความเสียหายได้มากกว่า

Lateral movement

• หลังจากที่ได้ข้อมูลความเชื่อมโยงของระบบเครือข่ายในองค์กร รวมถึงรหัสผ่านของบัญชีที่จำเป็นมาแล้ว ผู้ประสงค์ร้ายจะนำบัญชีดังกล่าวล็อกอินเข้าไปยังเครื่องคอมพิวเตอร์อื่น ๆ ต่อไป ตัวอย่างเครื่องมือที่ใช้โจมตีในขั้นตอนนี้ เช่น Cobalt Strike หรือ PsExec

Persistence

• ขั้นตอนนี้เป็นการติดตั้งเครื่องมือและช่องทางลับสำหรับใช้เชื่อมต่อเข้ามายังเครื่องคอมพิวเตอร์ดังกล่าวอีกในภายหลัง จุดประสงค์เพื่อใช้เป็นช่องทางสำรองในกรณีที่เหยื่อแก้ปัญหาโดยการย้อนคืนระบบแต่ไม่จ่ายค่าไถ่ หรือจ่ายค่าไถ่ไปแล้วแต่อยากกลับเข้ามาโจมตีซ้ำอีกรอบ ก็สามารถเข้ามาโจมตีอีกครั้งผ่านช่องทางที่สร้างไว้ได้
• ตัวอย่างวิธีการโจมตีในขั้นตอนนี้ เช่น สร้างบัญชีผู้ใช้ใหม่ หรือติดตั้งเครื่องมือสำหรับใช้เข้าถึงระบบต่อในภายหลัง

Payload

• ขั้นตอนสุดท้ายของการโจมตีจะเป็นการสั่งติดตั้งมัลแวร์เรียกค่าไถ่ ซึ่งหลายครั้งเป็นการสั่งดาวน์โหลดมัลแวร์มาติดตั้งโดยใช้ PowerShell

สรุปข้อแนะนำแนวทางการตรวจสอบและป้องกัน

• หากพิจารณาจากรูปแบบพฤติกรรมการโจมตีของกลุ่มอาชญากรเหล่านี้ จะพบว่าส่วนใหญ่ไม่ได้เป็นการใช้วิธีการที่ซับซ้อนหรือใช้เทคนิคขั้นสูง แต่เป็นการโจมตีผ่านช่องทางที่เป็นที่รู้จัก และเครื่องมือตรวจจับการโจมตีส่วนใหญ่จะสามารถตรวจพบพฤติกรรมที่ผิดปกติเหล่านี้ได้ ดังนั้นหัวใจสำคัญของการรับมือและป้องกันไม่ให้ตกเป็นเหยื่อคือการรักษาความมั่นคงปลอดภัยของระบบอย่างสม่ำเสมอ รวมทั้งมีมาตรการเฝ้าระวังและแจ้งเตือนพฤติกรรมที่ผิดปกติ เช่น การล็อกอินผิดพลาดเป็นจำนวนหลายครั้ง หรือการแก้ไขไฟล์เป็นจำนวนมาก
• หากพบเครื่องคอมพิวเตอร์ในหน่วยงานติดมัลแวร์เรียกค่าไถ่ ควรรีบแยกเครื่องดังกล่าวออกจากเครือข่าย พร้อมตรวจสอบข้อมูลประวัติการล็อกอินของบัญชีที่เกี่ยวข้องด้วย เพราะอาจเป็นการขโมยบัญชีเพื่อนำมาใช้ติดตั้งมัลแวร์ รวมถึงควรตรวจสอบหาบัญชีผู้ใช้ที่ผิดปกติด้วย
• ระบบที่เปิดให้เข้าถึงได้ผ่านอินเทอร์เน็ตควรได้รับการติดตั้งแพตช์อย่างสม่ำเสมอ หากเป็นไปได้ควรพิจารณาเปิดให้เฉพาะระบบที่จำเป็นเท่านั้น ทั้งนี้รวมถึงระบบบริการจัดการและระบบ VPN ขององค์กรด้วยเพราะมีรายงานการโจมตีเครื่องให้บริการ VPN จำนวนมากที่ยังไม่ได้ติดตั้งแพตช์แก้ไขช่องโหว่

ในบทความฉบับเต็มมีข้อมูลรายละเอียดทางเทคนิคอื่น ๆ อีกพอสมควร ผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากที่มา

ที่มา: Microsoft, Bleeping Computer