การโจมตีด้วยแรนซัมแวร์ Lockbit 3.0 อันตรายต่อ VNDIRECT มากแค่ไหน?

เผยแพร่รายงานการวิเคราะห์แรนซัมแวร์ LockBit 3.0

ระหว่างวันที่ 24 มีนาคมถึงสัปดาห์แรกของเดือนเมษายนปีนี้ โลกไซเบอร์ของเวียดนามเผชิญกับการโจมตีด้วยมัลแวร์เรียกค่าไถ่แบบเจาะจงเป้าหมายหลายครั้ง โดยมุ่งเป้าไปที่ธุรกิจขนาดใหญ่ของเวียดนามที่ดำเนินงานในภาคส่วนสำคัญ เช่น การเงิน หลักทรัพย์ พลังงาน และโทรคมนาคม การโจมตีเหล่านี้ทำให้ระบบหยุดชะงักเป็นระยะเวลาหนึ่ง ส่งผลให้เกิดความสูญเสีย ทางเศรษฐกิจ อย่างมากและชื่อเสียงขององค์กรที่ตกเป็นเป้าหมายเสียหาย

จากการวิเคราะห์และสืบสวนสาเหตุและกลุ่มที่โจมตีระบบสารสนเทศของธุรกิจในเวียดนามเมื่อเร็วๆ นี้ ทางการพบว่าเหตุการณ์เหล่านี้เป็น "ผลผลิต" ของกลุ่มโจมตีต่างๆ เช่น LockBit, BlackCat, Mallox เป็นต้น โดยเฉพาะอย่างยิ่ง ในกรณีการโจมตีด้วยมัลแวร์เรียกค่าไถ่ (ransomware) บนระบบของ VNDIRECT เมื่อเวลา 10:00 น. ของวันที่ 24 มีนาคม ซึ่งเข้ารหัสข้อมูลทั้งหมดของบริษัทที่ติดอันดับ 3 ในตลาดหลักทรัพย์เวียดนาม ทางการระบุว่า LockBit และมัลแวร์ LockBit 3.0 เป็นผู้กระทำความผิด

กลุ่ม LockBit ได้ทำการโจมตีด้วยมัลแวร์เรียกค่าไถ่หลายครั้ง ทั่วโลก โดยมุ่งเป้าไปที่ธุรกิจและองค์กรขนาดใหญ่ ตัวอย่างเช่น ในเดือนมิถุนายนและตุลาคมปี 2023 กลุ่มมัลแวร์เรียกค่าไถ่ชื่อดังนี้ได้โจมตีบริษัทผู้ผลิตเซมิคอนดักเตอร์ TSMC (ไต้หวัน จีน) และบริษัทผลิตภัณฑ์และบริการด้านไอที CDW โดยเรียกร้องค่าไถ่สูงถึง 70-80 ล้านดอลลาร์สหรัฐจากธุรกิจเหล่านี้

ด้วยจุดประสงค์ที่จะช่วยให้หน่วยงาน องค์กร และธุรกิจต่างๆ ในเวียดนามเข้าใจระดับความอันตราย วิธีการป้องกัน และลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์โดยทั่วไป รวมถึงการโจมตีโดยกลุ่ม LockBit โดยเฉพาะ ศูนย์เฝ้าระวังความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ภายใต้กรมความมั่นคงสารสนเทศ (กระทรวงสารสนเทศและการสื่อสาร) ได้รวบรวมข้อมูลจากแหล่งข้อมูลออนไลน์และเผยแพร่ 'รายงานวิเคราะห์เกี่ยวกับแรนซัมแวร์ LockBit 3.0'

กลุ่มแรนซัมแวร์ที่อันตรายที่สุดในโลก

รายงานฉบับใหม่จาก NCSC มุ่งเน้นไปที่ประเด็นหลักสี่ประการ ได้แก่ ข้อมูลเกี่ยวกับกลุ่มโจมตีด้วยแรนซัมแวร์ LockBit; คลัสเตอร์ LockBit ที่กำลังทำงานอยู่; รายชื่อตัวบ่งชี้การโจมตีทางไซเบอร์ที่เกี่ยวข้องกับ LockBit 3.0 ที่บันทึกไว้; และวิธีการป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์

รายงานของ NCSC ระบุว่า LockBit เป็นหนึ่งในกลุ่มแรนซอมแวร์ชั้นนำของโลก และนับตั้งแต่ปรากฏตัวครั้งแรกในปี 2019 LockBit ได้ทำการโจมตีธุรกิจและองค์กรต่างๆ ในหลากหลายภาคส่วนมาแล้วหลายครั้ง กลุ่มนี้ดำเนินงานในรูปแบบ 'แรนซอมแวร์ในรูปแบบบริการ (Ransomware-as-a-Service หรือ RaaS)' ซึ่งอนุญาตให้ผู้โจมตีสามารถติดตั้งแรนซอมแวร์และแบ่งปันผลกำไรกับผู้ให้บริการได้

ที่น่าสังเกตคือ ในเดือนกันยายน 2022 รหัสต้นฉบับของ LockBit 3.0 ซึ่งรวมถึงชื่อหลายชื่อที่อาจใช้ในการพัฒนาแรนซอมแวร์นี้ ถูกบุคคลชื่อ 'ali_qushji' ปล่อยออกมาบนแพลตฟอร์ม X (เดิมคือ Twitter) การรั่วไหลนี้ทำให้ผู้เชี่ยวชาญสามารถวิเคราะห์แรนซอมแวร์ LockBit 3.0 ได้อย่างละเอียดมากขึ้น แต่หลังจากนั้น ผู้ก่อภัยคุกคามได้สร้างแรนซอมแวร์เวอร์ชันใหม่จำนวนมากโดยอิงจากรหัสต้นฉบับของ LockBit 3.0

นอกจากจะวิเคราะห์วิธีการโจมตีของกลุ่มแรนซัมแวร์ LockBit ที่ยังคงทำงานอยู่ เช่น TronBit, CriptomanGizmo และ Tina Turnet แล้ว รายงานของ NCSC ยังได้ให้รายชื่อตัวบ่งชี้การโจมตี IOC (Intelligent Operational Crime) ที่บันทึกไว้ซึ่งเกี่ยวข้องกับ LockBit 3.0 แก่หน่วยงานที่เกี่ยวข้องด้วย ผู้เชี่ยวชาญจาก NCSC กล่าวว่า “เราจะอัปเดตตัวบ่งชี้ IOC อย่างต่อเนื่องบนหน้าเว็บ alert.khonggianmang.vn ของพอร์ทัลความปลอดภัยทางไซเบอร์แห่งชาติ”

ส่วนที่สำคัญอย่างยิ่งของ 'รายงานการวิเคราะห์แรนซัมแวร์ LockBit 3.0' คือคำแนะนำที่ให้กับหน่วยงาน องค์กร และธุรกิจต่างๆ เกี่ยวกับวิธีการป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์ ข้อควรปฏิบัติที่สำคัญเพื่อสนับสนุนหน่วยงานในเวียดนามในการป้องกันและรับมือกับการโจมตีด้วยแรนซัมแวร์ ตามที่กรมความมั่นคงทางไซเบอร์ได้ระบุไว้ใน 'คู่มือมาตรการป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์' ซึ่งเผยแพร่เมื่อวันที่ 6 เมษายน ยังคงได้รับการแนะนำให้ปฏิบัติโดยผู้เชี่ยวชาญของ NCSC อย่างต่อเนื่อง

ผู้เชี่ยวชาญระบุว่า การโจมตีด้วยแรนซัมแวร์ในปัจจุบันมักมีต้นกำเนิดมาจากช่องโหว่ด้านความปลอดภัยภายในองค์กร ผู้โจมตีจะแทรกซึมเข้าไปในระบบ รักษาการเข้าถึง ขยายขอบเขตการควบคุม ควบคุมโครงสร้างพื้นฐานด้านไอทีขององค์กร และทำให้ระบบใช้งานไม่ได้ โดยมีเป้าหมายเพื่อบังคับให้องค์กรที่ตกเป็นเหยื่อจ่ายค่าไถ่เพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส

ตัวแทนจากกรมความมั่นคงสารสนเทศ ซึ่งเป็นหน่วยงานที่ประสานงานการรับมือเหตุการณ์ กล่าวกับผู้สื่อข่าว ของ VietNamNet เมื่อห้าวันหลังจากการโจมตีระบบ VNDIRECT ว่า "เหตุการณ์นี้เป็นบทเรียนสำคัญในการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ในหมู่องค์กรและธุรกิจต่างๆ ในเวียดนาม"

ดังนั้น หน่วยงาน องค์กร และธุรกิจต่างๆ โดยเฉพาะอย่างยิ่งธุรกิจที่ดำเนินงานในภาคส่วนสำคัญ เช่น การเงิน การธนาคาร หลักทรัพย์ พลังงาน และโทรคมนาคม จำเป็นต้องทบทวนและเสริมสร้างระบบรักษาความปลอดภัยและบุคลากรที่มีอยู่ให้แข็งแกร่งขึ้นอย่างเร่งด่วนและเชิงรุก พร้อมทั้งพัฒนากลยุทธ์การรับมือกับเหตุการณ์ฉุกเฉินด้วย

ตัวแทนจาก แผนกความปลอดภัยสารสนเทศเน้นย้ำว่า "องค์กรต่างๆ จำเป็นต้องปฏิบัติตามกฎระเบียบ ข้อกำหนด และแนวทางปฏิบัติเกี่ยวกับความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์ที่ได้ประกาศใช้อย่างเคร่งครัด นี่เป็นความรับผิดชอบของแต่ละองค์กรและธุรกิจในการปกป้องตนเองและลูกค้าจากความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีทางไซเบอร์"

เหตุใดระบบ PVOIL จึงสามารถฟื้นตัวได้อย่างรวดเร็วหลังจากการโจมตีด้วยแรนซัมแวร์?

นอกจากขนาดระบบที่ค่อนข้างเล็กแล้ว ปัจจัยสำคัญที่ทำให้ PVOIL สามารถแก้ไขปัญหาการโจมตีด้วยแรนซัมแวร์และกู้คืนการดำเนินงานได้อย่างรวดเร็วภายในเวลาเพียงไม่กี่วัน ก็คือข้อมูลสำรองของระบบ

สร้างวัฒนธรรมด้านความปลอดภัยเพื่อเสริมสร้างการป้องกันการโจมตีด้วยแรนซัมแวร์

จากข้อมูลของ CDNetworks Vietnam การลงทุนในการฝึกอบรมพนักงาน การส่งเสริมวัฒนธรรมด้านความปลอดภัย และการส่งเสริมความร่วมมือระหว่างบุคลากรและทีมรักษาความปลอดภัย จะช่วยเสริมสร้างการป้องกันภัยคุกคามทางไซเบอร์ รวมถึงการโจมตีด้วยแรนซัมแวร์ ให้แก่ธุรกิจต่างๆ ได้

การจ่ายค่าไถ่เพื่อแลกกับข้อมูลจะยิ่งกระตุ้นให้แฮกเกอร์เพิ่มการโจมตีด้วยมัลแวร์เรียกค่าไถ่มากขึ้น

ผู้เชี่ยวชาญเห็นพ้องกันว่าองค์กรที่ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ไม่ควรจ่ายค่าไถ่ให้กับแฮกเกอร์ การทำเช่นนั้นจะยิ่งกระตุ้นให้แฮกเกอร์โจมตีเป้าหมายอื่น หรือกระตุ้นให้กลุ่มแฮกเกอร์อื่นโจมตีระบบขององค์กรนั้นอีกครั้ง