ในเดือนมีนาคม 2018 แอตแลนต้าถูกโจมตีด้วยแรนซัมแวร์ที่โจมตีคอมพิวเตอร์ของรัฐบาลเกือบ 3,800 เครื่องซึ่งเป็นของเมืองแอตแลนต้า รวมถึงเซิร์ฟเวอร์ด้วย หลังจากที่ไวรัสถูกนำไปใช้งานแรนซัมแวร์จะล็อกคอมพิวเตอร์ที่ติดไวรัสทั้งหมด ทำให้ไม่สามารถเข้าถึงได้ ระบบศาลของแอตแลนต้าล้มลง ตำรวจตรวจป้ายทะเบียนไม่ได้ ผู้อยู่อาศัยไม่สามารถชำระค่าใช้จ่ายออนไลน์ได้
เพียงสามสัปดาห์ก่อนที่แอตแลนตาจะถูกโจมตี เมืองเล็กๆ อย่างลีดส์ รัฐแอละแบมาก็ประสบกับการโจมตีทางอินเทอร์เน็ตเช่นเดียวกัน และก่อนเมืองลีดส์ในเดือนมกราคมโรงพยาบาลประจำภูมิภาคแฮนค็อกแถบชานเมืองอินเดียแนโพลิส
สิ่งที่การโจมตีทั้งสามนี้มีเหมือนกันคือพวกเขาทั้งหมดโดนSamSam ransomwareหรือที่เรียกว่า MSIL/Samas.A การโจมตีแต่ละครั้งเรียกร้องรอบจำนวนเดียวกัน - ประมาณ $ 50,000ในcryptocurrency โรงพยาบาลภูมิภาคแฮนค็อกและลีดส์ รัฐแอละแบมา จ่ายค่าไถ่ อย่างไรก็ตามเมืองแอตแลนต้าไม่ได้ทำ แต่เลือกที่จะจ่ายเงินหลายล้านเพื่อให้ระบบกลับมาออนไลน์
ในเวลานั้น เมืองแอตแลนตาเป็นหนึ่งในเมืองที่โดดเด่นที่สุดที่ถูกโจมตีโดยแรนซัมแวร์ ซึ่งตามที่ John Hulquist กล่าวคือเมื่ออาชญากรไซเบอร์เข้าถึงเครือข่ายคอมพิวเตอร์ เข้ารหัสข้อมูลทั้งหมด และขู่กรรโชกบริษัทเพื่อปลดล็อก Hulquist เป็นรองประธานฝ่ายวิเคราะห์ Mandiant Threat Intelligence ที่FireEyeบริษัทรักษาความปลอดภัยที่นำโดยข่าวกรอง
Ransomware Is Nothing New
Hulquist กล่าวว่าการโจมตีของแรนซัมแวร์ซึ่งโดยพื้นฐานแล้วทำให้เครือข่ายของบริษัท "เป็นตัวประกัน" จนกว่าจะจ่ายค่าไถ่ที่เรียกร้องนั้นไม่ใช่เรื่องใหม่ มันเกิดขึ้นมาหลายปีแล้ว (ตามที่ระบุทั้งสามกรณีนี้)
ในช่วงครึ่งแรกของปี 2564 จำนวนองค์กรที่ได้รับผลกระทบจากแรนซัมแวร์ทั่วโลกเพิ่มขึ้นกว่าเท่าตัวเมื่อเทียบกับปี 2563 จากการวิจัยของ Check Point Software Technologies รายงาน Mandiant M-Trends 2021ของ FireEye ยังระบุถึงความพยายามกรรโชกมากกว่า 800 ครั้งที่อาจขโมยข้อมูล ตัวเลขเหล่านี้อิงจากการสืบสวนของ Mandiant เกี่ยวกับกิจกรรมการโจมตีแบบกำหนดเป้าหมายที่ดำเนินการตั้งแต่วันที่ 1 ต.ค. 2019 ถึง 30 ก.ย. 2020
เป้าหมายตอนนี้กลายเป็นรายละเอียดที่สูงขึ้นมาก ในสหรัฐอเมริกาประเทศเดียวตั้งแต่เดือนเมษายน บริษัทที่มีชื่อเสียงอย่างColonial Pipeline , JBS Foods , NBAและCox Media Group ต่างก็ได้รับผลกระทบ
โดยทั่วไปแล้ว แฮ็กเกอร์จะเข้าถึงเครือข่ายผ่านการโจมตีแบบฟิชชิ่งซึ่งเป็นอีเมลที่ส่งถึงพนักงานเพื่อหลอกล่อให้บอกรหัสผ่านหรือคลิกลิงก์อันตรายที่จะดาวน์โหลดมัลแวร์ไปยังเครือข่ายของบริษัท Ransomware ยังค้นหารายการอื่นๆ ในเครือข่ายของบริษัทผ่านรหัสผ่านที่ถอดรหัสได้ง่าย เช่น 123qwe เป็นต้น
ทำไมมีมากมายและทำไมตอนนี้?
Hulquist อธิบายดังนี้: เดิมที ransomware ส่วนใหญ่เป็นระบบอัตโนมัติและกำหนดเป้าหมายระบบขนาดเล็ก เขาเรียกว่า "ฉีดพ่นและอธิษฐาน"
"แรนซัมแวร์จะออกไปและโจมตีระบบใด ๆ ก็ตามที่ได้รับ" เขาอธิบาย มองหารหัสผ่านที่มีช่องโหว่ เครือข่ายแบบเปิด และทางเข้าที่ง่าย "[ผู้โจมตี] เป็นที่รู้กันว่าค่อนข้างเป็นมิตร พวกเขาจะปลดล็อกข้อมูล แม้กระทั่งเสนอส่วนลดในบางครั้ง และดำเนินชีวิตต่อไป" Bitcoin เขาเสนอแพลตฟอร์มที่ดีสำหรับการโอนเงินนั้น นั่นคือสิ่งที่เกิดขึ้นในลีดส์ ผู้โจมตีเรียกร้อง $60,000; เมืองจ่าย $8,000 .
แต่แล้วทุกอย่างก็เปลี่ยนไป Hulquist กล่าว แรนซัมแวร์เปลี่ยนจาก "การฉีดพ่นและอธิษฐาน" แบบอัตโนมัติไปเป็นการโจมตีโดยตรงในบริษัทขนาดใหญ่ที่มีเงินมากขึ้น และค่าไถ่ก็พุ่งสูงขึ้น ในปี 2020 บริษัทต่างๆ จ่ายเงินค่าไถ่ให้กับผู้โจมตีมากกว่า 406 ล้านดอลลาร์ในสกุลเงินดิจิทัลตามรายงานล่าสุดจากChainanalysisซึ่งวิเคราะห์บล็อคเชนและสกุลเงินดิจิทัล
"เป้าหมายใหม่เหล่านี้ต้องจ่ายออกไป เพราะบ่อยครั้งเป้าหมายเหล่านี้เป็นโครงสร้างพื้นฐานที่สำคัญ" Hulquist กล่าว "พวกเขาต้องกลับมาออนไลน์อีกครั้ง ที่จริงแล้วผู้บริโภคเป็นปัจจัยหนึ่งเพราะพวกเขากำลังบังคับให้บริษัทเหล่านี้ตัดสินใจอย่างเร่งด่วนในเรื่องการจ่ายเงิน"
จ่ายหรือไม่จ่าย?
นั่นคือกรณีในการโจมตีโคโลเนียลไปป์ไลน์ การแฮ็กดังกล่าวทำลายท่อส่งน้ำมันที่ใหญ่ที่สุดในสหรัฐอเมริกาเมื่อวันที่ 29 เมษายน และกระตุ้นให้เกิดการกักตุนเชื้อเพลิงจำนวนมากทั่วชายฝั่งตะวันออก Joseph Blount ซีอีโอของ Colonial Pipeline บอกกับ The Wall Street Journalว่าบริษัทจ่ายค่าไถ่ — 4.4 ล้านดอลลาร์เป็นbitcoinเพื่อนำไปป์ไลน์กลับมาออนไลน์ แต่คีย์ถอดรหัสที่ฝ่ายตรงข้ามให้มานั้นไม่ได้กู้คืนระบบของไปป์ไลน์ทั้งหมดทันที
และนั่นเป็นเพียงปัญหาหนึ่งของการจ่ายค่าไถ่ คำถามสำคัญอื่น ๆ คือว่าการจ่ายค่าไถ่เพียงแค่สนับสนุนให้เกิดปัญหามากขึ้นหรือไม่ "ฉันคิดว่าการจ่ายค่าไถ่จะนำไปสู่การโจมตีที่ตรงเป้าหมายมากขึ้น" Hulquist กล่าว "แต่ถ้าคุณเป็นบริษัทในสถานการณ์ที่เป็นไปไม่ได้ คุณต้องทำสิ่งที่ถูกต้องสำหรับองค์กรของคุณ"
ข่าวดีสำหรับอาณานิคมคือกระทรวงยุติธรรมสหรัฐประกาศเมื่อวันที่ 7 มิถุนายนว่าสามารถกู้คืน 63.7 bitcoins มูลค่าประมาณ 2.3 ล้านดอลลาร์อาณานิคมที่จ่ายให้กับแฮ็กเกอร์ "การเคลื่อนไหวของกระทรวงยุติธรรมในการกู้คืนการชำระเงินค่าไถ่จากผู้ประกอบการที่ขัดขวางโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ เป็นการพัฒนาที่น่ายินดี" ฮัลควิสต์กล่าว "เป็นที่ชัดเจนว่าเราจำเป็นต้องใช้เครื่องมือหลายอย่างเพื่อสกัดกั้นกระแสของปัญหาร้ายแรงนี้"
แน่นอนว่าการไม่จ่ายค่าไถ่อาจเป็นปัญหาได้เช่นกัน “บริษัทเหล่านี้บางแห่งไม่ต้องการจ่าย ดังนั้นพวกเขาจึงบังคับให้พวกเขาจ่ายโดยการเปิดเผยข้อมูลของตนสู่สาธารณะ” Hulquist กล่าว "นั่นเป็นข้อเสนอที่องค์กรจำนวนมากไม่ต้องการเป็นส่วนหนึ่ง" เขากล่าวว่าอีเมลและข้อมูลกรรมสิทธิ์อื่นๆ ที่รั่วไหลอาจสร้างความเสียหายให้กับบางบริษัทได้มากกว่าเพียงแค่การจ่ายเงิน มันสามารถทำให้พวกเขามีปัญหาทางกฎหมายหรือจบลงด้วยการทำร้ายแบรนด์ของพวกเขา
แฮกเกอร์อื่น ๆ เพียงแค่ต้องการการชำระเงินได้โดยไม่ต้องติดตั้ง ransomware นั่นคือสิ่งที่เกิดขึ้นระหว่างการโจมตี Houston Rockets ในเดือนเมษายน ไม่มีการติดตั้งแรนซัมแวร์บนเครือข่ายของทีม NBA แต่กลุ่มแฮ็คBabuk ขู่ว่าจะเผยแพร่สัญญาและข้อตกลงในการไม่เปิดเผยข้อมูล โดยอ้างว่าได้ขโมยมาจากระบบของทีมหากไม่จ่ายเงิน
รัฐบาลกำลังทำอะไร?
Hulquist กล่าวว่ารัฐบาลสามารถทำอะไรได้อีกมาก “เราทราบดีว่าปัญหานี้มีเพิ่มขึ้นมาระยะหนึ่งแล้ว และในที่สุดพวกเขาก็เอาจริงเอาจังกับมันและเพิ่มความพยายามของพวกเขา” เขากล่าว
แน่นอนว่าเขากำลังพูดถึงความคิดริเริ่มใหม่ๆ หลายอย่างที่ฝ่ายบริหารของ Biden กำหนดขึ้นเพื่อตอบสนองต่อการโจมตีแรนซัมแวร์ที่เพิ่มขึ้นอย่างรวดเร็ว เมื่อวันที่ 12 พฤษภาคม ประธานาธิบดีไบเดนได้ลงนามในคำสั่งของผู้บริหารที่ออกแบบมาเพื่อปรับปรุงความปลอดภัยทางไซเบอร์ในเครือข่ายของรัฐบาลกลาง ท่ามกลางการดำเนินการของผู้บริหาร จะจัดตั้งคณะกรรมการตรวจสอบความปลอดภัยทางไซเบอร์ตามแบบของคณะกรรมการความปลอดภัยในการขนส่งแห่งชาติ (NTSB) คณะผู้พิจารณาจะประกอบด้วยผู้เชี่ยวชาญทั้งภาครัฐและเอกชนที่จะตรวจสอบเหตุการณ์ทางไซเบอร์ที่คล้ายกับที่ NTSB ตรวจสอบอุบัติเหตุ
Anne Neuberger รองผู้ช่วยของ Biden และที่ปรึกษาด้านความมั่นคงแห่งชาติด้านไซเบอร์และเทคโนโลยีที่เกิดขึ้นใหม่ ยังได้ออกจดหมายเปิดผนึกถึง "ผู้บริหารองค์กรและผู้นำธุรกิจ" ในวันที่ 2 มิถุนายน
เธอกล่าวว่าภาคเอกชนมีความรับผิดชอบในการป้องกันภัยคุกคามทางไซเบอร์และองค์กร "ต้องตระหนักว่าไม่มีบริษัทใดปลอดภัยจากการตกเป็นเป้าหมายของแรนซัมแวร์ ไม่ว่าจะมีขนาดหรือสถานที่ใดก็ตาม ... เราขอแนะนำให้คุณจัดการกับอาชญากรรมแรนซัมแวร์อย่างจริงจังและมั่นใจ การป้องกันทางไซเบอร์ขององค์กรของคุณตรงกับภัยคุกคาม"
วิธีการปกป้องบริษัทของคุณ
คุณสามารถทำอะไรได้บ้างเพื่อให้แน่ใจว่าเครือข่ายของคุณปลอดภัย Cybersecurity and Information Security Agency (CISA) และ FBI วันที่ 11 พฤษภาคม ได้เปิดเผยแนวทางปฏิบัติที่ดีที่สุดในการป้องกันการหยุดชะงักของธุรกิจจากการโจมตีของแรนซัมแวร์ ในนั้น มีรายชื่อบริษัทที่บรรเทาผลกระทบ 6แห่งที่สามารถทำได้ในตอนนี้เพื่อลดความเสี่ยงที่จะถูกโจมตีโดยแรนซัมแวร์:
- ต้องมีการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับการเข้าถึงเทคโนโลยีการดำเนินงาน (OT) และเครือข่ายไอทีจากระยะไกล
- เปิดใช้งานตัวกรองสแปมที่แข็งแกร่งเพื่อป้องกันไม่ให้อีเมลฟิชชิ่งเข้าถึงผู้ใช้ปลายทาง กรองอีเมลที่มีไฟล์ปฏิบัติการไม่ให้เข้าถึงผู้ใช้ปลายทาง
- ใช้โปรแกรมการฝึกอบรมผู้ใช้และจำลองการโจมตีสำหรับ spearphishing เพื่อกีดกันผู้ใช้จากการเยี่ยมชมเว็บไซต์ที่เป็นอันตรายหรือเปิดไฟล์แนบที่เป็นอันตราย และบังคับใช้การตอบสนองที่เหมาะสมของผู้ใช้ต่ออีเมลหลอกลวง
- กรองการรับส่งข้อมูลเครือข่ายเพื่อห้ามการสื่อสารขาเข้าและขาออกด้วยที่อยู่ IP ที่เป็นอันตรายที่ทราบ ป้องกันไม่ให้ผู้ใช้เข้าถึงเว็บไซต์ที่เป็นอันตรายโดยใช้รายการ URL ที่บล็อกและ/หรือรายการที่อนุญาต
- อัปเดตซอฟต์แวร์ รวมถึงระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์บนสินทรัพย์เครือข่าย IT ในเวลาที่เหมาะสม พิจารณาใช้ระบบการจัดการแพตช์แบบรวมศูนย์ ใช้กลยุทธ์การประเมินตามความเสี่ยงเพื่อกำหนดว่าสินทรัพย์และโซนเครือข่าย OT ใดควรเข้าร่วมในโปรแกรมการจัดการโปรแกรมแก้ไข
- จำกัดการเข้าถึงทรัพยากรผ่านเครือข่าย โดยเฉพาะอย่างยิ่งโดยการจำกัดโปรโตคอลเดสก์ท็อประยะไกล (RDP) ซึ่งเป็นโปรโตคอลการสื่อสารเครือข่ายที่ปลอดภัยสำหรับการจัดการระยะไกล หลังจากประเมินความเสี่ยงแล้ว หาก RDP มีความจำเป็นในการปฏิบัติงาน ให้จำกัดแหล่งที่มาต้นทางและต้องมีการตรวจสอบสิทธิ์แบบหลายปัจจัย
Hulquist กล่าวว่าวัตถุประสงค์ทั้งหมดของเกมนี้คือการตีเป็นเป้าหมายใหญ่ที่มีแนวโน้มที่จะจ่ายเงิน - และหนึ่งที่มีการจ่ายเงิน และการออฟไลน์โครงสร้างพื้นฐานที่สำคัญก็ไม่มีปัญหา เขาบอกว่าสหรัฐฯ ไม่ได้เตรียมพร้อมสำหรับ
"ความซับซ้อนของเราคือจุดอ่อนของเราในพื้นที่นี้" เขากล่าว “มันทำให้เราเสี่ยงต่อเหตุการณ์ต่างๆ มากขึ้น บทเรียนหนึ่งที่เราควรทำจากสิ่งเหล่านี้คือเราไม่ได้เตรียมพร้อมสำหรับสงครามไซเบอร์ เรารู้ว่าพวกเขามุ่งเป้าไปที่การดูแลสุขภาพและความสามารถที่สำคัญอื่นๆ ทุกคนกำลังเรียนรู้จากสิ่งนี้ "
ตอนนี้มันบ้าไปแล้ว
แล้วใครอยู่เบื้องหลังการโจมตี ransomware เหล่านี้ทั้งหมด? จำ SamSam แรนซัมแวร์ที่ทำลายแอตแลนต้าได้ไหม? ในปี 2018 คณะลูกขุนตัดสินให้ชาวอิหร่านสองคนที่อยู่ในนั้นเพื่อเงิน แรนซัมแวร์อื่นๆ อีกสามตัว — NETWALKER, REvil และDarkside — คือสิ่งที่เรียกว่า RaaS (Ransomware-as-a-Service) ซึ่งหมายความว่าพวกเขาเสนอให้ทุกคนที่แพร่กระจายมัลแวร์ของพวกเขา 10 ถึง 25 เปอร์เซ็นต์ของการจ่ายเงิน กล่าวกันว่าDarksideอยู่เบื้องหลังการโจมตีของ Colonial Pipeline การดำเนินงานเหล่านี้ดูเหมือนจะอยู่ในรัสเซีย
