วิธีจัดการกับการโจมตีแรนซัมแวร์ – IBM Blog

เป็นข่าวที่ไม่มีองค์กรใดอยากได้ยิน—คุณตกเป็นเหยื่อของ ransomware โจมตีและตอนนี้คุณกำลังสงสัยว่าจะทำอย่างไรต่อไป 

สิ่งแรกที่ต้องจำไว้คือคุณไม่ได้อยู่คนเดียว การโจมตีทางไซเบอร์มากกว่า 17 เปอร์เซ็นต์เกี่ยวข้องกับแรนซัมแวร์—ประเภทของ มัลแวร์ ที่เก็บข้อมูลหรืออุปกรณ์ของเหยื่อถูกล็อค เว้นแต่เหยื่อจะจ่ายค่าไถ่ให้แฮกเกอร์ จากองค์กร 1,350 แห่งที่สำรวจในการศึกษาล่าสุด 78 เปอร์เซ็นต์ประสบกับการโจมตีด้วยแรนซัมแวร์ที่ประสบความสำเร็จ (ลิงก์อยู่นอก ibm.com)

การโจมตีแรนซัมแวร์ใช้วิธีการหรือพาหะหลายวิธีเพื่อแพร่เชื้อเครือข่ายหรืออุปกรณ์ รวมถึงการหลอกให้บุคคลคลิกลิงก์ที่เป็นอันตรายโดยใช้ ฟิชชิ่ง อีเมลและการใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์และระบบปฏิบัติการ เช่น การเข้าถึงระยะไกล อาชญากรไซเบอร์มักจะร้องขอการชำระค่าไถ่เป็น Bitcoin และสกุลเงินดิจิทัลที่ยากต่อการติดตามอื่น ๆ โดยให้คีย์ถอดรหัสในการชำระเงินแก่เหยื่อเพื่อปลดล็อคอุปกรณ์ของพวกเขา

ข่าวดีก็คือ ในกรณีที่มีการโจมตีด้วยแรนซัมแวร์ มีขั้นตอนพื้นฐานที่องค์กรต่างๆ สามารถปฏิบัติตามได้เพื่อช่วยจำกัดการโจมตี ปกป้องข้อมูลที่ละเอียดอ่อน และรับประกันความต่อเนื่องทางธุรกิจโดยการลดเวลาหยุดทำงานให้เหลือน้อยที่สุด

การตอบสนองเบื้องต้น

แยกระบบที่ได้รับผลกระทบ 

เนื่องจากแรนซัมแวร์รูปแบบต่างๆ ที่พบบ่อยที่สุดจะสแกนเครือข่ายเพื่อหาช่องโหว่ที่จะเผยแพร่ในด้านข้าง จึงจำเป็นอย่างยิ่งที่จะต้องแยกระบบที่ได้รับผลกระทบโดยเร็วที่สุด ยกเลิกการเชื่อมต่ออีเทอร์เน็ตและปิดการใช้งาน WiFi, Bluetooth และความสามารถด้านเครือข่ายอื่นๆ สำหรับอุปกรณ์ที่ติดไวรัสหรืออาจติดไวรัส

อีกสองขั้นตอนที่ต้องพิจารณา: 

• ปิดงานบำรุงรักษา ปิดการใช้งานอัตโนมัติทันที เช่น การลบไฟล์ชั่วคราวหรือการหมุนเวียนบันทึก—ระบบที่ได้รับผลกระทบ งานเหล่านี้อาจรบกวนไฟล์และขัดขวางการสืบสวนและการกู้คืนแรนซัมแวร์ 
• กำลังยกเลิกการเชื่อมต่อการสำรองข้อมูล เนื่องจากแรนซัมแวร์ประเภทใหม่ๆ มากมายมีเป้าหมายในการสำรองข้อมูลเพื่อทำให้การกู้คืนยากขึ้น คุณจึงควรสำรองข้อมูลแบบออฟไลน์ จำกัดการเข้าถึงระบบสำรองข้อมูลจนกว่าคุณจะกำจัดการติดไวรัสออก

ถ่ายภาพบันทึกเรียกค่าไถ่

ก่อนที่จะดำเนินการอย่างอื่นต่อไป ให้ถ่ายภาพบันทึกค่าไถ่ โดยควรถ่ายภาพหน้าจอของอุปกรณ์ที่ได้รับผลกระทบด้วยอุปกรณ์แยกต่างหาก เช่น สมาร์ทโฟนหรือกล้อง ภาพถ่ายจะช่วยเร่งกระบวนการกู้คืนและช่วยในการยื่นแจ้งความของตำรวจหรือเรียกร้องสินไหมทดแทนที่เป็นไปได้กับบริษัทประกันภัยของคุณ

แจ้งทีมงานรักษาความปลอดภัย

เมื่อคุณยกเลิกการเชื่อมต่อระบบที่ได้รับผลกระทบแล้ว ให้แจ้งคุณ ความปลอดภัยด้านไอที ทีมโจมตี ในกรณีส่วนใหญ่ ผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีสามารถให้คำแนะนำเกี่ยวกับขั้นตอนต่อไปและเปิดใช้งานองค์กรของคุณได้ การตอบสนองต่อเหตุการณ์ แผน ซึ่งหมายถึงกระบวนการและเทคโนโลยีขององค์กรของคุณในการตรวจจับและตอบสนองต่อการโจมตีทางไซเบอร์

อย่ารีสตาร์ทอุปกรณ์ที่ได้รับผลกระทบ

เมื่อต้องรับมือกับแรนซัมแวร์ ให้หลีกเลี่ยงการรีสตาร์ทอุปกรณ์ที่ติดไวรัส แฮกเกอร์รู้ว่านี่อาจเป็นสัญชาตญาณแรกของคุณ และแรนซัมแวร์บางประเภทสังเกตเห็นการพยายามรีสตาร์ทและก่อให้เกิดอันตรายเพิ่มเติม เช่น สร้างความเสียหายให้กับ Windows หรือการลบไฟล์ที่เข้ารหัส การรีบูตเครื่องยังทำให้การตรวจสอบการโจมตีของแรนซัมแวร์ทำได้ยากขึ้น—เบาะแสอันมีค่าจะถูกจัดเก็บไว้ในหน่วยความจำของคอมพิวเตอร์ ซึ่งจะถูกล้างข้อมูลระหว่างการรีสตาร์ท 

ให้กำหนดให้ระบบที่ได้รับผลกระทบเข้าสู่โหมดไฮเบอร์เนตแทน การดำเนินการนี้จะบันทึกข้อมูลทั้งหมดในหน่วยความจำเป็นไฟล์อ้างอิงบนฮาร์ดไดรฟ์ของอุปกรณ์ และเก็บไว้สำหรับการวิเคราะห์ในอนาคต

การกำจัด 

ตอนนี้คุณได้แยกอุปกรณ์ที่ได้รับผลกระทบแล้ว คุณคงอยากจะปลดล็อคอุปกรณ์ของคุณและกู้คืนข้อมูลของคุณ แม้ว่าการกำจัดการติดเชื้อแรนซัมแวร์อาจมีความซับซ้อนในการจัดการ โดยเฉพาะอย่างยิ่งสายพันธุ์ขั้นสูง แต่ขั้นตอนต่อไปนี้สามารถเริ่มต้นเส้นทางสู่การกู้คืนได้ 

กำหนดรูปแบบการโจมตี

เครื่องมือฟรีหลายชนิดสามารถช่วยระบุประเภทของแรนซัมแวร์ที่ติดไวรัสในอุปกรณ์ของคุณได้ การทราบความเครียดเฉพาะเจาะจงสามารถช่วยให้คุณเข้าใจปัจจัยสำคัญหลายประการ รวมถึงการแพร่กระจาย ไฟล์ใดบ้างที่ล็อค และวิธีที่คุณสามารถลบออกได้ เพียงอัปโหลดตัวอย่างไฟล์ที่เข้ารหัส และหากคุณมี บันทึกเรียกค่าไถ่และข้อมูลการติดต่อของผู้โจมตี 

แรนซัมแวร์ที่พบบ่อยที่สุดสองประเภทคือล็อกเกอร์หน้าจอและตัวเข้ารหัส ล็อกเกอร์หน้าจอจะล็อคระบบของคุณแต่จะเก็บไฟล์ของคุณไว้อย่างปลอดภัยจนกว่าคุณจะจ่ายเงิน ในขณะที่ตัวเข้ารหัสนั้นจัดการได้ยากกว่า เนื่องจากพวกมันจะค้นหาและเข้ารหัสข้อมูลที่ละเอียดอ่อนทั้งหมดของคุณและถอดรหัสมันหลังจากที่คุณชำระเงินค่าไถ่เท่านั้น 

ค้นหาเครื่องมือถอดรหัส

เมื่อคุณระบุสายพันธุ์แรนซัมแวร์ได้แล้ว ให้พิจารณามองหาเครื่องมือถอดรหัส นอกจากนี้ยังมีเครื่องมือฟรีที่ช่วยในขั้นตอนนี้ รวมถึงไซต์ต่างๆ เช่น ไม่มีค่าไถ่อีกต่อไป. เพียงเสียบชื่อของสายพันธุ์แรนซัมแวร์และค้นหาการถอดรหัสที่ตรงกัน 

ดาวน์โหลดคู่มือขั้นสุดท้ายเกี่ยวกับ Ransomware

การฟื้นตัว 

หากคุณโชคดีพอที่จะลบการติดไวรัสแรนซัมแวร์ออกได้ ก็ถึงเวลาที่จะเริ่มกระบวนการกู้คืน

เริ่มต้นด้วยการอัปเดตรหัสผ่านระบบของคุณ จากนั้นกู้คืนข้อมูลจากการสำรองข้อมูล คุณควรตั้งเป้าที่จะมีสำเนาข้อมูลของคุณสามชุดในสองรูปแบบที่แตกต่างกัน โดยจะมีสำเนาหนึ่งชุดเก็บไว้นอกสถานที่ วิธีการนี้เรียกว่ากฎ 3-2-1 ช่วยให้คุณสามารถกู้คืนข้อมูลของคุณได้อย่างรวดเร็วและหลีกเลี่ยงการจ่ายค่าไถ่ 

หลังการโจมตี คุณควรพิจารณาดำเนินการตรวจสอบความปลอดภัยและอัปเดตระบบทั้งหมดด้วย การดูแลระบบให้ทันสมัยอยู่เสมอจะช่วยป้องกันไม่ให้แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ที่พบในซอฟต์แวร์รุ่นเก่า และการแพตช์เป็นประจำจะทำให้เครื่องของคุณเป็นปัจจุบัน เสถียร และทนทานต่อภัยคุกคามจากมัลแวร์ คุณอาจต้องการปรับแต่งแผนการตอบสนองต่อเหตุการณ์ด้วยบทเรียนที่ได้เรียนรู้ และตรวจสอบให้แน่ใจว่าคุณได้สื่อสารเหตุการณ์ดังกล่าวกับผู้มีส่วนได้ส่วนเสียที่จำเป็นทั้งหมดอย่างเพียงพอแล้ว 

แจ้งเจ้าหน้าที่ 

เนื่องจากแรนซัมแวร์เป็นการขู่กรรโชกและเป็นอาชญากรรม คุณควรรายงานการโจมตีแรนซัมแวร์ต่อเจ้าหน้าที่บังคับใช้กฎหมายหรือ FBI เสมอ 

เจ้าหน้าที่อาจสามารถช่วยถอดรหัสไฟล์ของคุณได้หากการกู้คืนไม่ได้ผล แม้ว่าพวกเขาจะไม่สามารถบันทึกข้อมูลของคุณได้ แต่สิ่งสำคัญสำหรับพวกเขาคือการจัดทำรายการกิจกรรมทางอาญาทางไซเบอร์ และหวังว่าจะช่วยให้ผู้อื่นหลีกเลี่ยงชะตากรรมที่คล้ายคลึงกัน 

เหยื่อของการโจมตีด้วยแรนซัมแวร์บางรายอาจจำเป็นต้องรายงานการติดแรนซัมแวร์ตามกฎหมายด้วย ตัวอย่างเช่น โดยทั่วไปการปฏิบัติตาม HIPAA กำหนดให้หน่วยงานด้านการดูแลสุขภาพรายงานการละเมิดข้อมูลใดๆ รวมถึงการโจมตีแรนซัมแวร์ ไปยัง Department of Health and Human Services

กำลังตัดสินใจว่าจะจ่ายหรือไม่ 

กำลังตัดสินใจ ว่าจะจ่ายค่าไถ่หรือไม่ เป็นการตัดสินใจที่ซับซ้อน ผู้เชี่ยวชาญส่วนใหญ่แนะนำว่าคุณควรพิจารณาชำระเงินเฉพาะในกรณีที่คุณได้ลองใช้ตัวเลือกอื่นๆ ทั้งหมดแล้ว และการสูญหายของข้อมูลจะส่งผลเสียมากกว่าการชำระเงินอย่างมาก

ไม่ว่าคุณจะตัดสินใจอย่างไร คุณควรปรึกษากับเจ้าหน้าที่บังคับใช้กฎหมายและผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เสมอก่อนที่จะดำเนินการต่อ

การจ่ายค่าไถ่ไม่ได้รับประกันว่าคุณจะสามารถเข้าถึงข้อมูลของคุณได้อีกครั้ง หรือผู้โจมตีจะรักษาสัญญา เหยื่อมักจะจ่ายค่าไถ่ แต่กลับไม่ได้รับคีย์ถอดรหัสเลย นอกจากนี้ การจ่ายค่าไถ่จะช่วยยืดเยื้อกิจกรรมทางอาญาทางไซเบอร์และสามารถให้ทุนสนับสนุนอาชญากรรมทางไซเบอร์เพิ่มเติมได้

ป้องกันการโจมตีแรนซัมแวร์ในอนาคต

เครื่องมือรักษาความปลอดภัยอีเมลและซอฟต์แวร์ป้องกันมัลแวร์และป้องกันไวรัสเป็นด่านแรกที่สำคัญในการป้องกันการโจมตีจากแรนซัมแวร์

องค์กรยังพึ่งพาเครื่องมือรักษาความปลอดภัยปลายทางขั้นสูง เช่น ไฟร์วอลล์ VPN และ การตรวจสอบหลายปัจจัย ซึ่งเป็นส่วนหนึ่งของกลยุทธ์การปกป้องข้อมูลที่กว้างขึ้นเพื่อป้องกันการละเมิดข้อมูล

อย่างไรก็ตาม ไม่มีระบบรักษาความปลอดภัยทางไซเบอร์ที่สมบูรณ์แบบหากไม่มีความสามารถในการตรวจจับภัยคุกคามที่ล้ำสมัยและความสามารถในการตอบสนองต่อเหตุการณ์เพื่อจับอาชญากรไซเบอร์แบบเรียลไทม์ และลดผลกระทบจากการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ

IBM Security® QRadar® SIEM ใช้การเรียนรู้ของเครื่องและการวิเคราะห์พฤติกรรมผู้ใช้ (UBA) กับการรับส่งข้อมูลเครือข่ายควบคู่ไปกับบันทึกแบบเดิมเพื่อการตรวจจับภัยคุกคามที่ชาญฉลาดยิ่งขึ้นและการแก้ไขที่รวดเร็วยิ่งขึ้น ในการศึกษาล่าสุดของ Forrester QRadar SIEM ช่วยให้นักวิเคราะห์ความปลอดภัยประหยัดเวลาได้มากกว่า 14,000 ชั่วโมงในช่วงสามปีด้วยการระบุผลบวกลวง ลดเวลาที่ใช้ในการตรวจสอบเหตุการณ์ลง 90% และลดความเสี่ยงที่จะประสบการละเมิดความปลอดภัยร้ายแรงลง 60%* ด้วย QRadar SIEM ซึ่งเป็นทีมรักษาความปลอดภัยที่ต้องใช้ทรัพยากรมากมีความสามารถในการมองเห็นและการวิเคราะห์ที่จำเป็นในการตรวจจับภัยคุกคามอย่างรวดเร็ว และดำเนินการทันทีโดยมีข้อมูลครบถ้วนเพื่อลดผลกระทบของการโจมตี

เรียนรู้เพิ่มเติมเกี่ยวกับ IBM QRadar SIEM

* The ผลกระทบทางเศรษฐกิจโดยรวมTM ของ IBM Security QRadar SIEM เป็นการศึกษาที่ได้รับมอบหมายให้ดำเนินการโดย Forrester Consulting ในนามของ IBM ในเดือนเมษายน 2023 อิงจากผลลัพธ์ที่คาดการณ์ไว้ขององค์กรแบบรวมที่สร้างแบบจำลองจากลูกค้า IBM 4 คนที่สัมภาษณ์ ผลลัพธ์ที่แท้จริงจะแตกต่างกันไปขึ้นอยู่กับการกำหนดค่าและเงื่อนไขของไคลเอนต์ ดังนั้นจึงไม่สามารถให้ผลลัพธ์ที่คาดหวังโดยทั่วไปได้