LockBit Ransomware เป็นมัลแวร์เรียกค่าไถ่ตัวแรกที่สามารถเข้ารหัส Windows Domain และยังคงรูปแบบเป็น Ransomware-as-a-Service ไว้เหมือนเดิม มัลแวร์ตัวนี้สามารถควบคุมเครื่องที่ Join Domain และให้ทำการปิดระบบรักษาความปลอดภัยต่างๆได้อีกด้วย

มัลแวร์เรียกค่าไถ่ (Ransomware) คืออะไร?

มัลแวร์เรียกค่าไถ่ คือมัลแวร์ (Malware) ประเภทหนึ่งที่มีลักษณะการทำงานที่ถูกออกแบบมาให้เข้ารหัสข้อมูลของเหยื่อไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ หรือวิดีโอ ส่งผลทำให้เหยื่อไม่สามารถเปิดใช้งานข้อมูลต่าง ๆ ได้ ซึ่งถ้าเหยื่อต้องการที่จะใช้งานข้อมูลดังกล่าวก็จะต้องจ่ายเงินเพื่อเป็นค่าไถ่

ในปัจจุบันมัลแวร์เรียกค่าไถ่ (Ransomware) มีการทำงานที่ซับซ้อนขึ้นโดยมีมนุษย์เข้ามาเกี่ยวข้องในการควบคุมการทำงานเรียกว่า Human Operate Ransomware ซึ่ง Ransomware จะมีการเคลื่อนตัวไปหาข้อมูลที่สำคัญ (Lateral Movement) และมีการขนข้อมูลออกเพื่อเป็นข้อต่อรองซึ่งถ้าหากเจ้าของข้อมูลไม่ยอมจ่ายค่าไถ่ ก็จะทำการเผยแพร่ข้อมูลทำให้เจ้าข้อมูลเกิดความเสียหายรวมถึงอาจผิดกฎหมายที่เกี่ยวข้องกับ Data Privacy เช่น GDPR หรือ PDPA เป็นต้น

LockBit Ransomware

ค้นพบครั้งแรกเมื่อเดือนกันยายน ปี 2019 โดยมีลักษณะเป็น Ransomware-as-a-Service (RaaS) ที่เปิดให้แฮกเกอร์ทั่วไปดาวน์โหลด LockBit Ransomware ตัวนี้ไปใช้โจมตีได้และจะมีหน้าเว็บไซต์สำหรับการจ่ายเงินค่าไถ่เพื่อแลกกับ Decryption keys ให้ด้วย แต่มีเงื่อนไขว่าถ้าหากได้รับเงินค่าไถ่จะต้องแบ่งเงินค่าไถ่ให้ผู้พัฒนา

นักวิจัยจาก MalwareHunterTeam, BleepingComputer ได้บอกว่า LockBit 2.0 ransomware เวอร์ชั่นใหม่ที่อัพเกรดจากตัวเดิมที่เคยออกมาในปี 2019 นั้นสามารถเข้ารหัส Windows Domain ได้ โดยใช้ Active Directory / Group Policies นับว่าเป็น Ransomware ตัวแรกที่สามารถใช้กระบวนการนี้ได้และยังคงรูปแบบเป็น Ransomware-as-a-Service ไว้เหมือนเดิม

ส่วนผลกระทบคือเมื่อไหร่ที่เครื่อง Active Directory ติด Ransomware ตัวนี้มันจะสามารถควบคุมเครื่องที่ Join Domain และให้ทำการปิดระบบรักษาความปลอดภัยต่างๆ เช่น Window Defender หรืออาจจะใช้ Script ในการหยุด AV หรือ Firewall ในเครื่องปลายทาง โดยสั่งการผ่าน Group Policy จนเป็นสาเหตุของการเรียกค่าไถ่ในที่สุด

ตัวอย่างเหตุการณ์ที่บริษัท Accenture โดน LockBit 2.0 Ransomware

Accenture คือบริษัทที่เป็นรู้จักในด้านการให้บริการอุตสาหกรรมมากมาย ทั้งรถยนต์ ธนาคาร รัฐบาล เทคโนโลยี พลังงาน โทรคมนาคม และยังเป็นบริษัทที่ปรึกษาด้านไอทีระดับโลก ซึ่งมีมูลค่าของบริษัทอยู่ที่ 44.3 พันล้านดอลลาร์ โดยมีพนักงานประมาณ 569,000 คน ใน 50 ประเทศทั่วโลก ถูกกล่าวหาว่าโดยโจมตีทางไซเบอร์ทางด้วย LockBit Ransomware

โดยกลุ่ม Ransomware LockBit 2.0 ทำการขู่ว่าหากไม่จ่ายเงินค่าไถ่ จะดำเนินการเผยแพร่ไฟล์ข้อมูลที่ขโมยมาได้จำนวน 6 TB ของ Accenture จากการโจมตีครั้งล่าสุด โดยได้เรียกค่าไถ่เป็นเงินจำนวน 50 ล้านดอลลาร์ หรือ 1,700 ล้านบาท พร้อมทั้งยังบอกถึงวิธีการเข้าถึงเครือข่ายของบริษัท Accenture ด้วย

ถึงแม้ว่าทาง LockBit จะไม่มีหลักฐานในการขโมยข้อมูลมาแสดง แต่ก็ทำการอ้างว่าพร้อมที่จะขายข้อมูลให้กับผู้ที่ได้ประโยชน์ โดยกล่าวบนเว็บไซต์ LEAKED DATA ว่า “ ข้อมูลผู้ใช้งานไม่มีความเป็นส่วนตัวและไม่มีความปลอดภัย จากที่พวกเราเข้าถึงระบบได้เหมือนกับคนภายในบริษัท พวกเราหวังว่าบริการของพวกเขาจะดีกว่าที่ฉันมองไว้ ดังนั้นหากคุณสนใจที่จะซื้อข้อมูลของพวกเขา ติดต่อเรา”

LockBit Ransomware

LockBit Ransomware มีการนับถอยหลังสู่การเผยแพร่ข้อมูล

โดยทีมวิจัย Cyble ได้เห็นบทสนทนาของกลุ่ม LockBit Ransomware ที่อ้างว่าสามารถเข้าถึงเครือข่ายของบริษัท Accenture ได้โดยใช้วิธีเข้าผ่านบุคคลภายในขององค์กร พร้อมทั้งได้บอกกับ BleepingComputer ว่าทางบริษัท Accenture ได้ยืนยันการถูกโจมตีโดย LockBit 2.0 Ransomware กับผู้ให้บริการ CTI (Cyber Threat Intelligence) และก็กำลังดำเนินการแจ้งลูกค้าเพิ่มเติมต่อไป และนอกจากนี้ Hudson Rock บริษัทด้านข่าวกรองอาชญากรรมทางอินเทอร์เน็ตได้เปิดเผยบน Twitter ว่า Accenture มีเครื่องคอมพิวเตอร์ที่ถูกโจมตีและแทรกแซงกว่า 2,500 เครื่อง ซึ่งเป็นเครื่องของพนักงานและเครื่องของพาร์ทเนอร์

จนในที่สุดทางบริษัท Accenture ก็ได้ออกมายืนยันกับ BleepingComputer ว่าเป็นความจริงที่ถูกโจมตี  แต่ในเชิงเทคนิคแล้วเมื่อพบเหตุการณ์ผิดปกติ การควบคุมความปลอดภัยที่เรามีนั้น ทีมงานของเราสามารถรู้ถึงเหตุการณ์ที่ผิดปกติได้และได้ดำเนินการจำกัดและแยกเซิร์ฟเวอร์ที่ได้รับผลกระทบออกไปและระบบที่ได้รับผลกระทบนั้นได้รับการกู้คืนจากข้อมูลที่สำรองไว้แล้ว ทำให้ไม่มีผลกระทบกับการดำเนินงานของ Accenture หรือระบบของทางลูกค้าของเรา

ก่อนหน้านี้ กลุ่ม LockBit ได้โจมตีเหยื่อจำนวนมาก เช่น เครือข่ายรถไฟ Merseyrail ของสหราชอาณาจักรและเมื่อไม่นานมานี้รัฐบาลออสเตรเลียได้ออกมาเตือนถึงการโจมตีของ LockBit 2.0 Ransomware ที่เพิ่มความรุนแรงมากขึ้น หลังจากที่ตรวจสอบพบว่ากลุ่ม LockBit  นี้ทำการจ้างคนภายในองค์กรที่เป็นเป้าหมายว่าจะทำการขโมยข้อมูล โดยให้รางวัลมูลค่าหลายล้านดอลลาร์กับคนภายในเพื่อแลกกับสิทธิในการเข้าถึงข้อมูลขององค์กรเป้าหมายนั้นๆ

แนวทางการป้องกันและรับมือมัลแวร์เรียกค่าไถ่
  • สำรองข้อมูลและแยกเก็บ เพื่อป้องกันในกรณีที่ข้อมูลที่สำรองไว้ถูกเข้ารหัส
  • ตรวจสอบช่องโหว่ และทดสอบเจาะระบบเพื่อประเมินความเสี่ยงในการถูกโจมตี หรือภัยคุกคามทางไซเบอร์
  • ติดตั้ง Patch เพื่อปิดช่องโหว่เพื่อลดโอกาสในการโจมตีจาก Hacker
  • ใช้บริการศูนย์เฝ้าระวังความปลอดภัยระบบคอมพิวเตอร์ และสาระสนเทศ (Security Operation Center: SOC) รวมถึงจัดทำแผนในการตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cyber Security Incident Response) เพื่อให้สามารถตอบสนองต่อเหตุการณ์ได้อย่างถูกต้อง และรวดเร็ว เพื่อลดความเสียหาย

การตรวจหาจากผู้เชี่ยวชาญเป็นอีกหนึ่งทางเลือกขององค์กร INETMS มีบริการศูนย์เฝ้าระวังรักษาความมั่นคงปลอดภัยระบบเครือข่าย และเทคโนโลยีสารสนเทศ (Security Operation Center) มีทีมผู้เชี่ยวชาญที่มีความรู้และประสบการณ์ด้าน Security ที่พร้อมดูแล เฝ้าระวัง แจ้งเตือน และให้คำแนะนำในกรณีตรวจพบพฤติกรรมที่เป็นภัยคุกคามรูปแบบต่าง ๆ หรือเหตุการณ์ที่ผิดปกติตลอด 24 ชั่วโมง อีกทั้งยังมีระบบ AI ช่วยในการวิเคราะห์พฤติกรรมเพื่อสู้กับ Hacker ในยุคดิจิตอล พร้อมทั้งอัพเดท ช่องโหว่ใหม่ ๆ จากทั่วโลกด้วย Threat intelligence ทำให้ระบบคอมพิวเตอร์ของคุณปลอดภัยอยู่เสมอ

VA เป็นบริการสแกน และตรวจสอบด้านความปลอดภัยของระบบไอที เพื่อค้นหาจุดอ่อนที่มีความเสี่ยง พร้อมประเมินระดับความปลอดภัยและให้คำแนะนำในการแก้ไขปัญหาที่พบ โดยทีมงานผู้เชี่ยวชาญที่มีประสบการณ์ด้านการรักษาความปลอดภัยคอมพิวเตอร์โดยเฉพาะ

Pentest เป็นบริการเจาะระบบตาม Methodology OSSTMM และ OWASP เพื่อช่วยในการประเมินความความเสี่ยงของระบบคอมพิวเตอร์ซึ่งเป็นทรัพย์สินที่สำคัญขององค์กร ทั้ง Web Application และ Mobile Application ทำให้ทราบถึงช่องโหว่และวิธีการเข้าถึง เพื่อให้สามารถป้องกันได้อย่างถูกต้อง และถูกวิธี

สอบถามข้อมูลบริการ Managed Security เพิ่มเติมได้ที่

คุณณัฐริกา 061 387 9186

คุณณัฐพร 065 512 4649

คุณอสมาภรณ์ 063 204 4534

คุณธัญกาญจน์ 061 404 5895

อีเมล์: sales@inetms.co.th

เอกสารอ้างอิง
บริการ Security