รายละเอียด Share KM

  • หัวข้อ : กรณีศึกษา Ransomware โจมตีโรงพยาบาลสระบุรี

  • หมวด : หมวดการบริหารจัดการ

  • องค์ความรู้ : การนำเทคโนโลยีสารสนเทศมาใช้ในการบริหารจัดการ

  • โครงการ :

  • จัดวันที่ : 2/2/2564

  • ถึงวันที่ : 2/2/2564

  • สถานที่ :

  • จัดโดย :

  • เนื้อหา :

    กรณีศึกษา Ransomware โจมตีโรงพยาบาลสระบุรี เรียกค่าไถ่ 200,000 บาท

    มัลแวร์เรียกค่าไถ่ (Ransomware) ได้รับการกำหนดโดยกระทรวงยุติธรรมของสหรัฐอเมริกา ในฐานะรูปแบบใหม่ของอาชญากรรมทางไซเบอร์ที่มีศักยภาพ ที่สามารถก่อให้เกิดผลกระทบในระดับโลก นอกจากนี้ยังสามารถสร้างผลกระทบอย่างมาก สามารถขัดขวางการดำเนินธุรกิจ และนำไปสู่การสูญเสียข้อมูลที่สำคัญได้ ทันทีที่หลังจากเครื่องเป้าหมายติดมัลแวร์ดังกล่าว คอมพิวเตอร์จะถูกเข้ารหัส หรือบล็อกการเข้าถึงข้อมูลบนดิสก์ แล้วแจ้งหรือยื่นข้อเสนอให้เหยื่อ สำหรับโอกาสความเป็นไปได้ของการกู้คืน ไม่สามารถทำได้ แต่จะให้เหยื่อทำการโอนเงินไปยังบัญชีที่ระบุของผู้ไม่ประสงค์ดี

    โดยปกติแล้วมัลแวร์เรียกค่าไถ่ มักจะแพร่กระจายผ่านทางสแปม หรือฟิชชิ่งอีเมล แต่ยังมีการค้นพบว่า สามารถแพร่กระจายผ่านทางเว็บไซต์ หรือการดาวน์โหลดโดยไดรฟ์เพื่อติดมัลแวร์ดังกล่าวผ่านอุปกรณ์ปลายทาง และการเจาะเครือข่าย เมื่อมัลแวร์เรียกค่าไถ่ได้เข้ามาแล้ว มันจะทำการล็อคไฟล์ทั้งหมดที่สามารถเข้าถึงได้ โดยใช้การเข้ารหัสที่ค่อนข้างรัดกุม ในที่สุดมัลแวร์ดังกล่าวก็จะทำการเรียกค่าไถ่ (โดยปกติจะให้จ่ายเป็น Bitcoins) เพื่อถอดรหัสไฟล์ที่ถูกเข้ารหัส และกู้คืนการทำงานเต็มรูปแบบไปยังระบบไอทีที่ได้รับผลกระทบ ในบางกรณีซอฟต์แวร์ของมัลแวร์เรียกค่าไถ่จะติดตั้งพร้อมกับโทรจัน เพื่อควบคุมอุปกรณ์ของเหยื่ออีกด้วย

    วิธีการป้องกัน Ransomware

    สำหรับผู้ใช้งานทั่วไป (End user)

    1.       เมื่อพบ website, link, file ที่ไม่น่าไว้ใจ ให้รีบลบทิ้ง ไม่ควรลองคลิกดูเพื่อทดสอบว่าเป็นโปรแกรมอะไร

    2.       ติดตั้ง Antivirus หมั่น update และ scan อยู่เสมอ

    3.       ทำการ backup file สำคัญไว้หลายๆ ที่โดยเฉพาะควรสำรองข้อมูลแบบออฟไลน์ด้วย เช่น copy ไฟล์เก็บไว้ใน Harddisk หรือ แฟลชไดร์ฟ เป็นต้น

    ผู้ดูแลระบบที่ต้องดูแลองค์กร (Admin)

    1.       ทำการ block blacklist IP จากข้อมูล Threat Intelligence เพื่อเป็นการป้องกันเบื้องต้นในการเข้าถึง Server ต่าง ๆ ที่เป็นอันตราย

    2.       ทำการตรวจสอบการเข้าถึงของอุปกรณ์ security โดยเปิดเฉพาะ Port ที่จำเป็นต้องใช้งานเท่านั้น

    3.       ทำการตั้งค่า Group Policy เช่น ไม่ให้ใช้งาน ไฟล์ที่สามารถ execution ได้ , ปิด autoplay ต่าง ๆ และกำหนดให้ติดตั้งเฉพาะ software ที่องค์กรให้ใช้งาน เท่านั้น

    4.       Backup file หรือ Backup ข้อมูล ควรมีการ Backup แยกอีกชุดนึง ออกจากระบบที่ใช้งานอยู่ และควรเข้ารหัสไฟล์ที่ Backup ด้วย

    5.       อบรมความรู้เกี่ยวกับภัยคุกคามทาง Internet เช่น ภัยที่มาจาก E-mail เป็นต้น

    สิ่งที่ควรทำทุกเดือน (End user/Admin)

    1.       ตรวจสอบทุกเดือน เช่น ช่องโหว่ของ OS และ หมั่น Update Patch สม่ำเสมอ

    2.       กำหนดสิทธิ์การเข้าถึงไฟล์ที่สำคัญให้ได้เพียง Read-only เท่านั้น และหมั่นตรวจสอบการเข้าถึงไฟล์หรือ Folder เมื่อไม่มีการใช้งาน ให้ยกเลิกการแชร์ไฟล์ด้วย

    3.       ไฟล์หรือ Folder ที่สำคัญ ให้กำหนดสิทธิ์การเข้าถึงจากบุคคลภายนอกให้เพียง Read only เท่านั้น

     

    อ้างอิง

    https://www.bitdefender.co.th/post/ransomware/

    https://www.catcyfence.com/it-security/article/what-is-ransomware-and-how-to-protect/

*************************************************************************
สร้างบทความโดย :
สร้างบทความวันที่ : 9/6/2564

อัปเดท :
โดย : -
ไฟล์แนบ :
>> ไฟล์แนบที่ 1 <<

รูปภาพที่ : 1

รูปภาพที่ : 2