การวิเคราะห์การโจมตีจากแรนซัมแวร์ (Ransomware Attacks)

การตอบสนองต่อการโจมตีจากแรนซัมแวร์

จำนวนการโจมตีจากแรนซัมแวร์ยังคงมีเพิ่มขึ้นทุกปี ตามรายงานการสืบสวนการละเมิดข้อมูลของ Verizon ปี 2022 พบว่ามีการเพิ่มขึ้นถึง 13% และการโจมตีด้วยแรนซัมแวร์มีส่วนร่วมในการละเมิดข้อมูลถึง 25%

เมื่อบริษัทตกเป็นเหยื่อของการโจมตีจากแรนซัมแวร์ ผลลัพธ์ที่เกิดขึ้นคือผู้โจมตีจะใช้แรนซัมแวร์ ทำลายหลักฐานของการละเมิดข้อมูลหลังจากที่พวกเขาได้ดึงข้อมูลออกจากเครือข่ายแล้ว การตอบสนองที่โดยทั่วไปคือการลบข้อมูลจากเครื่องที่ถูกโจมตีและทำการกู้คืนระบบคอมพิวเตอร์กลับมาใช้งานใหม่อีกครั้งให้เร็วที่สุด

ดังนั้น จึงเป็นสิ่งสำคัญมากที่บริษัทต่าง ๆ ควรจะทำการสืบสวนอย่างละเอียด แม้ว่าข้อมูลนั้นจะถูกเข้ารหัสและอาจจะไม่สามารถกู้คืนได้ก็ตาม

วัตถุประสงค์ของการสืบสวนคือเพื่อรักษาหลักฐานเท่าที่จะเป็นไปได้

• ค้นหาและระบุว่าระบบโดนโจมตีจากแรนซัมแวร์ได้อย่างไร
• ค้นหาและระบุว่ามีการขโมยข้อมูลออกจากระบบหรือไม่
• มีการชี้แจงให้กับหน่วยงานกำกับดูแล เพื่อแสดงให้เห็นว่าคุณได้ดำเนินการด้วยความรอบคอบ เพื่อป้องกันการเกิดซ้ำในอนาคต
• ทำการเก็บรักษาข้อมูลไว้ เพื่อในกรณีที่มีการปล่อยกุญแจถอดรหัส (Decryption Keys) ในภายหลัง

หากคุณตกเป็นเหยื่อของการโจมตีจากแรนซัมแวร์ควรทำอย่างไร?

• อย่าปิดเครื่องที่ถูกโจมตีจากแรนซัมแวร์
• ตัดการเชื่อมต่อเครื่องที่ถูกโจมตีจากแรนซัมแวร์ ออกจากเครือข่ายขององค์กร
• เก็บรักษาบันทึก Logs ต่างๆ เช่น บันทึกไฟวอลล์ (Firewall log) บันทึก VPN log บันทึก Antivirus log หรือบันทึกอื่น ๆ ที่สามารถบันทึกได้
• จัดทำเอกสารที่เกี่ยวข้องกับการถูกโจมตีจากแรนซัมแวร์
  • ถ่ายรูปหรือบันทึกหน้าจอที่มีข้อความเรียกร้องเงินค่าไถ่
  • ชื่อของประเภทแรนซัมแวร์ หากทราบ
  • นามสกุลของไฟล์ที่ถูกเข้ารหัส
  • วันที่และเวลาของการโจมตี
  • การตั้งชื่อไฟล์สำหรับข้อความของใบแจ้งเงินค่าไถ่/ไฟล์ Readme ที่ถูกทิ้งไว้โดยผู้โจมตี
  • ที่อยู่อีเมลหรือ URL หรือวิธีการอื่น ๆ ที่ให้โดยผู้โจมตีสำหรับการสื่อสาร
  • วิธีการชำระเงิน/ที่อยู่ของบิตคอยน์ (Bitcoin Address) ที่ให้โดยผู้โจมตี
  • จำนวนเงินที่เรียกร้องค่าไถ่ หากทราบ