ข้อเท็จจริง WannaCry ที่องค์กรต้องเข้าใจ
ผู้ที่ถูกวอนนาครายเล่นงาน สิ่งแรกที่ควรทำคือ แยกทุกเครื่องที่ติดเชื้อออกมาจากเครือข่ายในทันที
โดย...เทรนด์ไมโคร
ผู้นำระดับโลกด้านซอฟต์แวร์และโซลูชั่นการรักษาความปลอดภัย เทรนด์ไมโคร เปิดเผยข้อเท็จจริงเกี่ยวกับการตรวจพบมัลแวร์วอนนาคราย (WannaCry/Wcry) ที่พบเป็นครั้งแรกเมื่อวันที่ 14 เม.ย. 2560 ซึ่งสายพันธุ์แรก (RANSOM_WCRY.C) ถูกเผยแพร่ผ่านการโจมตีแบบอีเมลที่ล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์นี้จากดร็อปบ็อกซ์ แม้ว่าจะไม่ใช่สายพันธุ์ที่สร้างความเสียหายในปัจจุบันก็ตาม
ก่อนหน้านี้ มัลแวร์วอนนาครายถูกพัฒนามาจากสายพันธุ์ที่ระบาดเมื่อเดือน เม.ย.ที่ผ่านมา โดยมีการใช้ประโยชน์จากช่องโหว่ CVE-2017-0144 ที่รู้จักกันในชื่อ EternalBlue หรือ MS17-10 โดยบั๊กนี้เปิดให้แรนซัมแวร์แพร่กระจายตัวเองในลักษณะของเวิร์มทั่วทั้งเครือข่ายที่ไม่มีการป้องกัน โดยเมื่อเย็นวันศุกร์ที่ 12 พ.ค.ที่ผ่านมา ไมโครซอฟท์เพิ่งออกแพตช์สำหรับวินโดวส์รุ่นที่เคยปลดระวางการซัพพอร์ตไปแล้วสำหรับช่องโหว่นี้ สำหรับผู้ใช้งานวินโดวส์ XP วินโดวส์ 8 และวินโดวส์เซิร์ฟเวอร์ 2003 เพื่อช่วยบรรเทาปัญหาที่เกิดขึ้น
ช่องโหว่ดังกล่าวมีการออกแพตช์มาตั้งแต่เดือน มี.ค. สำหรับวินโดวส์ที่ไมโครซอฟท์ยังซัพพอร์ตอยู่แต่ผู้ไม่ประสงค์ดีต่างทราบว่า การที่องค์กรขนาดใหญ่จะแพตช์ช่องโหว่ที่รู้จักนั้นต้องใช้เวลาพอสมควร จึงรีบโจมตีขนานใหญ่ทั่วโลกในครั้งนี้ กระบวนการจัดการแพตช์ที่แข็งแกร่ง ถือเป็นหัวใจสำหรับป้องกันเกิดช่องโหว่อย่าง MS17-010 ซึ่งเป็นบั๊กสำคัญที่ทำให้วอนนาครายมีอันตรายร้ายแรงมากกว่าแรนซัมแวร์ตัวอื่น
เทรนด์ไมโคร แนะนำให้ผู้ใช้งานวินโดวส์เลือกใช้งานโซลูชั่นความปลอดภัยที่แข็งแกร่งสำหรับอีเมล เพื่อช่วยป้องกันการติดเชื้อตั้งแต่เริ่มแรก เพราะ 76% ของการโจมตีด้วยแรนซัมแวร์ในปี 2559 เกิดจากการส่งเมลหลอกลวง พร้อมกับยุทธศาสตร์การสำรองข้อมูลที่แข็งแกร่งร่วมกัน เพื่อช่วยกู้คืนระบบจากการโจมตีของแรนซัมแวร์ด้วย
เครื่องมือสำหรับตรวจสอบแรนซัมแวร์ที่เทรนด์ไมโครจัดทำขึ้นแบบไม่เสียค่าใช้จ่าย เพื่อใช้ระบบแมชีนเลิร์นนิ่งและเทคนิคอื่นๆ ที่คล้ายกับโซลูชั่นใน OfficeScan XG เพื่อแสดงถึงความสามารถในการปกป้องข้อมูลความปลอดภัยบนเอนด์พอยต์ขั้นสูง
แรนซัมแวร์ วอนนาคราย ยังคงมุ่งโจมตีระบบวินโดวส์ที่ใช้ระบบปฏิบัติการณ์รุ่นเก่าอยู่ โดยสร้างความเสียหายอย่างรุนแรงจากช่องโหว่เหล่านี้ จากการประเมินเบื้องต้นพบว่ามีการระบาดของวอนนาครายมากที่สุดในโซนยุโรป ถัดมาจะเป็นประเทศในกลุ่มตะวันออกกลาง ญี่ปุ่น และบางประเทศในเขตเอเชียแปซิฟิกตามลำดับ
ทั้งนี้ ยังลุกลามไปในองค์กรหลายกลุ่มธุรกิจ ไม่ว่าจะเป็นธุรกิจด้านบริการสุขภาพ การผลิต พลังงาน (น้ำมันและแก๊ส) เทคโนโลยี อาหารและเครื่องดื่ม การศึกษา สื่อมวลชนและการสื่อสาร รวมไปถึงหน่วยงานภาครัฐ เพราะพฤติกรรมในการโจมตีลักษณะนี้ ไม่ได้เจาะจงเหยื่อว่าเป็นรายใด หรือกลุ่มธุรกิจไหนเป็นพิเศษ
เมื่อแรนซัมแวร์ วอนนาคราย ติดเข้าไปในเครื่องจะทำการตรวจหาไฟล์เป้าหมายกว่า 176 ประเภทเพื่อเข้ารหัสไฟล์ ประเภทไฟล์ที่ตกเป็นเหยื่อ ได้แก่ ไฟล์ฐานข้อมูล มัลติมีเดีย และไฟล์ที่บีบอัดไว้ เช่นเดียวกับไฟล์เอกสารต่างๆ จากข้อความเรียกค่าไถ่ ซึ่งมีรองรับกว่า 27 ภาษานั้น ได้เรียกร้องค่าไถ่จากเหยื่อครั้งแรกสูงถึง 300 เหรียญสหรัฐ ในรูปแบบของบิตคอยน์ ซึ่งราคาค่าไถ่จะสูงขึ้นเรื่อยๆ เมื่อปล่อยให้เวลาผ่านไป ซึ่งเหยื่อจะมีเวลาเพียง 7 วัน ก่อนที่ไฟล์ที่ถูกเข้ารหัสและถูกลบถาวร ซึ่งเป็นเทคนิคที่สร้างความตื่นกลัวได้เป็นอย่างดี
สำหรับผู้ที่ถูกวอนนาครายเล่นงาน สิ่งแรกที่ควรทำคือ แยกทุกเครื่องที่ติดเชื้อออกมาจากเครือข่ายในทันที พร้อมทั้งจัดหาข้อมูลแบ็กอัพล่าสุดไว้ในที่ที่ปลอดภัย เพื่อป้องกันการเปลี่ยนแปลงมากกว่าเดิม เนื่องจากการโจมตีนี้จะใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เปิดเผยสู่สาธารณะและพิจารณาปิดการทำงานในเครือข่าย ดังนั้น ผู้ที่เจอปัญหาควรติดตั้งแพตช์ MS17-010 หรือใช้ระบบเวอร์ชวลแพตช์ของเทรนด์ไมโคร เพื่อปิดกั้นช่องทางการติดเชื้อไปยังเครื่องอื่น
นอกจากนั้น ควรติดตั้งไฟร์วอลล์และระบบตรวจจับพร้อมป้องกันการบุกรุก เพื่อลดความสามารถในการแพร่กระจายของมัลแวร์ รวมทั้งการติดตั้งระบบตรวจสอบการโจมตีบนเครือข่ายเชิงรุกก็จะช่วยยับยั้งการโจมตีได้อีกแรงหนึ่ง รวมทั้งควรตรวจสอบอีเมลสแปมที่เข้าข่ายหลอกลวง เพื่อจำกัดเมลที่อาจมีไวรัสได้
ขณะที่ฝ่ายไอทีและแอดมินของระบบต่างๆ ควรวางกลไกด้านความปลอดภัยที่สามารถปกป้องเอนด์พอยต์จากมัลแวร์ที่เข้ามากับอีเมลด้วย และควรใช้ระบบไวท์ลิสต์ที่ใช้เทคนิค Application Control เพื่อช่วยป้องกันแอพพลิเคชั่นที่ไม่ต้องการหรือไม่รู้จัก ไม่ให้ทำงานได้ นอกจากนี้ ระบบตรวจสอบพฤติกรรมยังช่วยสามารถสกัดกั้นการปรับแต่งระบบได้ด้วย แรนซัมแวร์มักจะใช้เทคนิคที่หลากหลายในการแพร่กระจาย ซึ่งฝ่ายไอทีควรใช้แนวทางเดียวกันนี้ในการป้องกันอย่างสม่ำเสมอ
การเข้ารหัสไฟล์ที่จัดเก็บบนเครื่องและไฟล์ที่แชร์ผ่านเครือข่ายควรได้รับการคัดแยกชนิดข้อมูลและการเข้าถึง จะช่วยจำกัดความเสียหายที่เกิดจากข้อมูลรั่วไหลและไม่ให้เกิดการโจมตีโดยตรง ซึ่งการแบ่งส่วนของเครือข่ายจะช่วยป้องกันไม่ให้แรนซัมแวร์แพร่กระจายลดผลกระทบที่มีต่อองค์กรโดยรวมได้อีกด้วย และควรปิดการใช้งานโปรโตคอลที่ไม่จำเป็น เพราะการรันระบบที่ไม่จำเป็นทิ้งไว้ มักเป็นการเปิดช่องโหว่ให้ผู้โจมตีเข้าถึงระบบได้ง่ายขึ้น