Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / Trend Micro เปิดเผยข้อเท็จจริงเกี่ยวกับ แรนซั่มแวร์ WannaCry ที่องค์กรต้องเข้าใจ

Trend Micro เปิดเผยข้อเท็จจริงเกี่ยวกับ แรนซั่มแวร์ WannaCry ที่องค์กรต้องเข้าใจ

เปิดเผยข้อเท็จจริงเกี่ยวกับ แรนซั่มแวร์ WannaCry ที่องค์กรต้องเข้าใจ

Infection Chain

,

ประเด็นสำคัญ

•  Trend Micro ตรวจพบมัลแวร์ WannaCry/Wcry เป็นครั้งแรกเมื่อวันที่ 14 เมษายน 2560 ซึ่งสายพันธุ์แรก (RANSOM_WCRY.C) ถูกเผยแพร่ผ่านการโจมตีแบบอีเมล์ที่ล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์นี้จากดรอปบ็อกซ์ แม้ว่าจะไม่ใช่สายพันธุ์ที่สร้างความเสียหายในปัจจุบันก็ตาม

•  เมื่อวันศุกร์ที่ 12 พฤษภาคม 2560 ที่ผ่านมา พบ WannaCry สายพันธุ์ใหม่ (RANSOM_WCRY.I / RANSOM_WCRY.A) ซึ่งถูกพัฒนามาจากสายพันธุ์ที่ระบาดเมื่อเมษายน โดยมีการใช้ประโยชน์จากช่องโหว่ CVE-2017-0144 ที่รู้จักกันในชื่อ EternalBlue หรือ MS17-10 โดยบั๊กนี้เปิดให้แรนซั่มแวร์แพร่กระจายตัวเองในลักษณะของเวิร์มทั่วทั้งเครือข่ายที่ไม่มีการป้องกัน โดยเมื่อเย็นวันศุกร์ที่ผ่านมา ไมโครซอฟท์เพิ่งออกแพทช์สำหรับวินโดวส์รุ่นที่เคยปลดระวางการซัพพอร์ตไปแล้วสำหรับช่องโหว่นี้ด้วย (ได้แก่ วินโดวส์ XP, วินโดวส์ 8, และวินโดวส์เซิร์ฟเวอร์ 2003) เพื่อช่วยบรรเทาปัญหาที่เกิดขึ้

•  กระบวนการจัดการแพทช์ที่แข็งแกร่ง ถือเป็นหัวใจสำหรับป้องกันเกิดช่องโหว่อย่าง MS17-010 ซึ่งเป็นบั๊กสำคัญที่ทำให้ WanaCry มีอันตรายร้ายแรงมากกว่าแรนซั่มแวร์ตัวอื่นในขณะนี้ ช่องโหว่ดังกล่าวมีการออกแพทช์มาตั้งแต่เดือนมีนาคมสำหรับวินโดวส์ที่ไมโครซอฟท์ยังซัพพอร์ตอยู่ แต่ผู้ไม่ประสงค์ดีต่างทราบว่าการที่องค์กรขนาดใหญ่จะแพทช์ช่องโหว่ที่รู้จักนั้นต้องใช้เวลาพอสมควร จึงรีบโจมตีขนานใหญ่ทั่วโลกในครั้งนี้ ทาง Trend Micro ได้มีคำแนะนำที่โหลดได้ทาง https://www.trendmicro.com/vinfo/us/security/news/virtualization-and-cloud/virtual-patching-in-mixed-environments-how-it-protects-you เพื่อช่วยให้ธุรกิจต่างๆ ติดตั้งระบบแพทช์ที่สร้างความปลอดภัยให้แก่ระบบของตัวเองได้อย่างแท้จริง

•  Trend Micro ได้ให้เครื่องมือสำหรับตรวจสอบแรนซั่มแวร์ WannaCry แบบไม่มีค่าใช้จ่าย ซึ่งทูลนี้ใช้ระบบ Machine Learning และเทคนิคอื่นๆ ที่คล้ายกับในโซลูชั่น OfficeScan XG เพื่อแสดงถึงความสามารถในการปกป้องของทูลความปลอดภัยบนเอนด์พอยต์ขั้นสูง ซึ่งนอกจากการปกป้องเอนด์พอยต์ที่แข็งแกร่งแล้ว Trend Micro ยังได้แนะนำให้ใช้โซลูชั่นความปลอดภัยที่แข็งแกร่งสำหรับอีเมล์ เพื่อช่วยป้องกันการติดเชื้อตั้งแต่เริ่มแรก (76% ของการโจมตีด้วยแรนซั่มแวร์ในปี 2559 เกิดจากการส่งเมล์หลอกลวง) พร้อมกับยุทธศาสตร์การสำรองข้อมูลที่แข็งแกร่งร่วมกัน เพื่อช่วยกู้คืนระบบจากการโจมตีของแรนซั่มแวร์ด้วย

คำถามที่พบบ่อย

คำถาม: ตอนนี้เรารู้อะไรเกี่ยวกับ WannaCry/WCry บ้าง?

คำตอบ: ถือเป็นการติดเชื้อแรนซั่มแวร์ที่ไม่มีสัญญาณแจ้งให้ทราบมาก่อน ซึ่งมีผลกระทบต่อองค์กรจำนวนมหาศาลในหลายกลุ่มธุรกิจทั่วโลก โดยแรนซั่มแวร์ที่เป็นต้นเหตุคืWannaCry/WCRY (ตรวจพบโดย Trend Micro ในชื่อ RANSOM_WANA.A และ RANSOM_WCRY.I) ซึ่งก่อนหน้านี้ Trend Micro ได้ตรวจพบและเฝ้าติดตาม WannaCry ตั้งแต่การระบาดช่วงแรกเมื่อเมษายน 2560 และให้การปกป้องผู้ใช้งานและองค์กรต่างๆ ผ่านฟีเจอร์ป้องกันแรนซั่มแวร์บนโซลูชั่นความปลอดภัย XGenTM ของ Trend MicroTM ที่ใช้ Machine-Learning มาแล้วตั้งแต่ต้น มัลแวร์WannaCry หรือ WCRY นี้มีการใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เพิ่งมีการเปิดเผยสู่สาธารณะ (ชื่อ MS17-010 – “EternalBlue”) ซึ่งมีความเกี่ยวข้องกับการเปิดเผยทูลของหน่วยข่าวกรองสหรัฐฯ ชื่อ Shadow Brokers การโจมตีครั้งนี้มีผลกระทบต่อองค์กรต่างๆ ทั่วโลก ในทุกภาคส่วน โดยทีมนักวิจัยของเรากำลังวิเคราะห์ข้อมูลเหล่านี้อย่างละเอียด

คำถาม: ผลกระทบที่เกิดขึ้นมีอะไรบ้าง?

คำตอบ: หลายบริษัทในยุโรปเป็นกลุ่มแรกที่รายงานความเสียหาย โดยระบบงานที่สำคัญถูกล็อกไม่ให้ใช้งาน พร้อมแสดงข้อความเรียกค่าไถ่ จากนั้นก็ขยายตัวอย่างรวดเร็วจนกลายเป็นการระบาดของแรนซั่มแวร์ที่ยิ่งใหญ่ที่สุด ส่งผลถึงองค์กรจำนวนมหาศาลทั่วโลกอยู่ในขณะนี้ ซึ่งบางองค์กรถึงขั้นที่ต้องปิดการทำงานของโครงสร้างพื้นฐานไอทีทั้งระบบ รวมทั้งเหยื่อที่อยู่ในวงการสาธารณสุขต้องเผชิญกับความล่าช้าในด้านการรักษาพยาบาล ถูกบีบให้ปฏิเสธการรักษาคนไข้จนกว่าระบบจะกลับเข้าสู่สภาวะปกติ

คำถาม: กระทบใครบ้าง?

คำตอบ: แรนซั่มแวร์ WannaCry สายพันธุ์นี้มุ่งโจมตีระบบวินโดวส์ที่ยังใช้รุ่นเก่าอยู่ โดยสร้างความเสียหายอย่างรุนแรงจากช่องโหว่เหล่านี้ จากการประเมินเบื้องต้นของ Trend Micro พบว่ามีการระบาดของแรนซั่มแวร์ WannaCry มากที่สุดในโซนยุโรป ถัดมาจะเป็นประเทศในกลุ่มตะวันออกกลาง, ญี่ปุ่น, และบางประเทศในเขตเอเชียแปซิฟิกตามลำดับ

พบการติดเชื้อ WannaCry ในองค์กรหลายกลุ่มธุรกิจ ไม่ว่าจะเป็นธุรกิจด้านบริการสุขภาพ, การผลิต, พลังงาน (น้ำมันและแก๊ส), เทคโนโลยี, อาหารและเครื่องดื่ม, การศึกษา, สื่อมวลชนและการสื่อสาร, รวมไปถึงหน่วยงานภาครัฐ เนื่องจากธรรมชาติของพฤติกรรมการโจมตีลักษณะนี้ไม่ได้เจาะจงเหยื่อรายใด หรือกลุ่มธุรกิจไหนเป็นพิเศษ

คำถาม: แรนซั่มแวร์ WannaCry ทำอะไรบนเครื่องเราบ้าง?

คำตอบ: แรนซั่มแวร์ WannaCry จะตรวจหาไฟล์เป้าหมายกว่า 176 ประเภทเพื่อเข้ารหัสไฟล์ ตัวอย่างประเภทไฟล์ที่ตกเป็นเหยื่อของ WannaCry ได้แก่ ไฟล์ฐานข้อมูล, มัลติมีเดีย, และไฟล์ที่บีบอัดไว้ เช่นเดียวกับไฟล์เอกสาร Office ต่างๆ จากข้อความเรียกค่าไถ่ ซึ่งมีรองรับกว่า 27 ภาษานั้น เรียกร้องค่าไถ่จากเหยื่อครั้งแรกสูงถึง 300 ดอลลาร์สหรัฐฯ ในรูปของบิทคอยน์ ซึ่งราคาค่าไถ่จะสูงขึ้นเรื่อยๆ เมื่อปล่อยให้เวลาผ่านไป นอกจากนี้เหยื่อยังมีเวลาเพียงแค่เจ็ดวันก่อนที่ไฟล์ที่ถูกเข้ารหัสจะถูกลบถาวร ซึ่งถือเป็นเทคนิคที่สร้างความตื่นกลัวได้เป็นอย่างดี

WannaCry ใช้ประโยชน์จากช่องโหว่รหัส CVE-2017-0144 ซึ่งเป็นบั๊กบนโปรโตคอลแชร์ไฟล์ชื่อดัง Server Message Block (SMB) ในการแพร่สู่ระบบของเหยื่อ ซึ่งช่องโหว่ที่โดนโจมตีนี้มาจากข้อมูลที่หลุดออกมาจากกลุ่มแฮ็กเกอร์ Shadow Brokers ซึ่งตั้งชื่อบั๊กนี้ว่า “EternalBlue” ซึ่งหลังจากมีการเปิดเผยรายละเอียดสู่สาธารณะแล้ว ทางศูนย์จัดการเหตุการณ์ความปลอดภัยของไมโครซอฟท์หรือ MSRC ก็ได้ออกแพทช์มาอุดช่องโหว่ที่ให้รหัสว่า MS17-010 ตั้งแต่มีนาคม 2560

สิ่งที่ทำให้ WannaCry ส่งผลกระทบในวงกว้างมากก็คือ ความสามารถในการแพร่กระจายตนเอง ด้วยพฤติกรรมที่เหมือนเวิร์มนี้ ทำให้ WannaCry สามารถกระจายตัวเองไปบนเครือข่าย, ติดเชื้อระบบที่เชื่อมต่ออยู่ได้โดยไม่ต้องอาศัยการกระทำของผู้ใช้เพิ่มเติม เพียงแค่ขอให้มีผู้ใช้รายเดียวบนเครือข่ายที่ติดเชื้อ ก็เท่ากับว่าทั้งเครือข่ายตกอยู่ในความเสี่ยงแล้ว พฤติกรรมการแพร่เชื้อตัวเองของWannaCry มีลักษณะคล้ายแรนซั่มแวร์ในตระกูลอย่าง SAMSAM, HDDCryptor, และ Cerber บางสายพันธุ์ โดยทุกสายพันธุ์นี้สามารถติดเชื้อทั้งระบบและเซิร์ฟเวอร์ต่างๆ ที่เชื่อมต่อผ่านเครือข่ายได้

คำถาม: องค์กรที่โดนเล่นงานแล้ว ควรทำอย่างไร?

คำตอบ: Trend Micro แนะนำให้แยกทุกเครื่องที่ติดเชื้อแล้วออกมาจากเครือข่ายในทันที พร้อมทั้งจัดหาข้อมูลแบ๊กอัพล่าสุดไว้ในที่ที่ปลอดภัยเพื่อป้องกันการเปลี่ยนแปลงมากกว่าเดิม เนื่องจากการโจมตีนี้ใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เปิดเผยสู่สาธารณะแล้ว ลูกค้าทุกคนควรพิจารณาปิดการทำงานของ SMB ในเครือข่ายดังกล่าวถ้าเป็นไปได้ ไม่ว่าจะสั่งปิดทั้ง GPO หรือทำตามคำแนะนำของไมโครซอฟท์จาก https://docs.microsoft.com/en-us/msrc/customer-guidance-for-wannacrypt-attacks นอกจากนี้ เรายังแนะนำให้ติดตั้งแพทช์ MS17-010 หรือใช้ระบบเวอร์ช่วลแพทช์ของ Trend Micro เพื่อปิดกั้นช่องทางการติดเชื้อไปยังเครื่องอื่นได้

คำถาม: แล้วเราจะป้องกันภัยเหล่านี้ได้อย่างไร?

คำตอบ: WannaCry ได้สะท้อนให้เห็นถึงผลกระทบที่เกิดขึ้นได้ในชีวิตจริงของแรนซั่มแวร์ ไม่ว่าจะเป็น การทำลายระบบ, ทำให้การปฏิบัติงานหยุดชะงัก, ทำให้ชื่อเสียงเสื่อมเสีย, และสร้างความเสียหายทางการเงิน อันเป็นผลมาจากการที่ไม่สามารถดำเนินธุรกิจได้ตามปกติ ทั้งนี้ยังไม่รวมถึงค่าใช้จ่ายที่เกิดขึ้นจากการจัดการกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น และการกู้คืนระบบอีกด้วย

ต่อไปนี้เป็นแนวทางแก้ไข และแนวทางปฏิบัติที่ดีที่สุด ที่แต่ละองค์กรสามารถนำไปใช้ และวางระบบป้องกันให้ระบบของตัวเองพ้นจากภัยร้ายอย่าง WannaCry ได้:

•  เนื่องจากแรนซั่มแวร์นี้อาศัยช่องโหว่ในเซิร์ฟเวอร์ SMB ดังนั้นการติดตั้งแพทช์จึงจำเป็นต่อการป้องกันการโจมตีที่เข้ามาทางช่องโหว่ดังกล่าว ซึ่งแพทช์นี้มีพร้อมให้โหลดมาติดตั้งบนระบบวินโดวส์แล้วที่ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx รวมถึงวินโดวส์รุ่นเก่าที่ไมโครซอฟท์เคยประกาศหยุดการซัพพอร์ตไปแล้วด้วย โดยโหลดได้ที่https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ ถ้าองค์กรไม่สามารถติดตั้งแพทช์ได้โดยตรง ให้ใช้ระบบเวอร์ช่วลแพทช์เพื่อช่วยจัดการแทน

•  ติดตั้งไฟร์วอลล์ และระบบตรวจจับพร้อมป้องกันการบุกรุก เพื่อลดความสามารถในการแพร่กระจายของมัลแวร์ลักษณะนี้ รวมทั้งการติดตั้งระบบตรวจสอบการโจมตีบนเครือข่ายเชิงรุกก็จะช่วยยับยั้งการโจมตีลักษณะนี้ได้อีกแรงหนึ่

•  นอกจากใช้ประโยชน์จากช่องโหว่แล้ว ยังมีรายงานว่า WannaCry ใช้เมล์สแปมเป็นช่องทางในการเริ่มต้นเข้ามาติดเชื้อบนเครือข่ายด้วย ดังนั้นจึงควรตรวจสอบอีเมล์สแปมที่เข้าข่ายหลอกลวงทางจิตวิทยา เพื่อจำกัดเมล์ที่อาจมีไวรัสได้ นอกจากนี้ฝ่ายไอทีและแอดมินของระบบต่างๆ ควรวางกลไกด้านความปลอดภัยที่สามารถปกป้องเอนด์พอยต์จากมัลแวร์ที่เข้ามากับอีเมล์ด้วย

•  WannaCry มีการฝังโปรแกรมอันตรายหลายตัวลงในระบบ เพื่อรันกระบวนการเข้ารหัสของตนเอง ดังนั้นระบบไวท์ลิสต์ที่ใช้เทคนิค Application Control จะช่วยป้องกันแอพพลิเคชั่นที่ไม่ต้องการหรือไม่รู้จักไม่ให้ทำงานได้ นอกจากนี้ระบบตรวจสอบพฤติกรรมยังช่วยสามารถสกัดกั้นการปรับแต่งระบบได้ด้วย แรนซั่มแวร์มักจะใช้เทคนิคที่หลากหลายในการแพร่กระจายบนระบบ ซึ่งผู้ที่คอยป้องกันอันตรายเหล่านี้ควรใช้แนวทางเดียวกันนี้ในการปกป้องระบบของตัวเองอย่างสม่ำเสมอด้วย

•  WannaCry เข้ารหัสไฟล์ที่จัดเก็บบนเครื่องปัจจุบัน และไฟล์ที่แชร์ผ่านเครือข่ายด้วย ดังนั้นการคัดแยกชนิดข้อมูลและการเข้าถึงจะช่วยจำกัดบริเวณความเสียหายที่เกิดจากข้อมูลรั่วไหล หรือการโจมตีได้ด้วยการปกป้องข้อมูลสำคัญไม่ให้โดนการโจมตีโดยตรง

•  การแบ่งส่วนของเครือข่าย ยังช่วยสามารถป้องกันการแพร่กระจายของอันตรายลักษณะนี้ได้จากภายใน การออกแบบเครือข่ายที่ดีตั้งแต่ต้น จะช่วยจำกัดบริเวณการแพร่กระจายการติดเชื้อนี้ และลดผลกระทบที่มีต่อองค์กรโดยรวม

•  ปิดการใช้งานโปรโตคอล SMB บนระบบที่ไม่จำเป็นต้องใช้ การรันเซอร์วิสที่ไม่จำเป็นทิ้งไว้ มักเป็นการเปิดช่องให้ผู้โจมตีค้นหาช่องโหว่สำหรับโจมตีเข้ามาได้มากขึ้น

คำถาม: เราจะทราบได้อย่างไรว่าองค์กรได้รับการปกป้องดีแล้ว?

คำตอบ: Trend Micro มีทูลฟรีที่โหลดได้จาก https://www.trendmicro.com/product_trials/service/index/us/164 ที่ช่วยให้องค์กรต่างๆ ตรวจหาช่องโหว่บนโซลูชั่นการปกป้องเอนดพอยต์ที่ใช้งานอยู่ในปัจจุบัน โดยให้เทคนิคด้านความปลอดภัยบนเอนด์พอยต์ขั้นสูง ที่จำเพาะสำหรับสกัดกั้นอันตรายได้มากกว่า ไม่ให้เข้ามายังเครือข่ายหรืออยู่บนเอนด์พอยต์ของคุณได้

ลูกค้าของ Trend Micro ได้รับการปกป้องจากภัยร้ายนี้หรือยัง?

เรามีชุดของโซลูชั่นที่ให้การปกป้องอีกระดับจากอันตรายใหม่ๆ เหล่านี้ อันได้แก่:

•  เทคโนโลยีการอัพเดตการตั้งค่า และความปลอดภัยแบบ Next-Gen – ลูกค้าของ Trend Micro ที่ใช้โซลูชั่น OfficeScan และ Worry-Free Business Security รุ่นล่าสุด สามารถอุ่นใจได้ว่า จะได้รับฟีเจอร์ใหม่ทั้ง Predictive Machine Learning (บน OfficeScan XG และบริการ Worry-Free) และฟีเจอร์การป้องกันแรนซั่มแวร์ อยู่ในผลิตภัณฑ์ของตนเองเรียบร้อย ซึ่งคุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับการตั้งค่าให้เหมาะสมกับการป้องกันแรนซั่มแวร์ได้มากที่สุดจาก https://success.trendmicro.com/solution/1112223

•  Smart Scan Agent Pattern และ Office Pattern Release: Trend Micro ได้เพิ่มข้อมูลสายพันธุ์มัลแวร์ และการตรวจจับโปรแกรมอันตรายใหม่ๆ ลงในข้อมูลแพทเทิร์นดังต่อไปนี้สำหรับทุกผลิตภัณฑ์ที่ใช้ข้อมูลแพทเทิร์นนี้แล้ว

o  Smart Scan Agent Pattern – 13.399.00

o  Official Pattern Release (conventional) – 13.401.00

•  Trend Micro Web Reputation Services (WRS) มีการเพิ่มข้อมูลเซิร์ฟเวอร์สั่งการของแฮ็กเกอร์ หรือ C&C เพิ่มเติม

•  Trend Micro Deep Security และ Vulnerability Protection (รู้จักกันก่อนหน้านี้ในชื่อ IDF Plug-in for OfficeScan) ซึ่งลูกค้าที่อัพเดต Rule ล่าสุดแล้ว จะได้รับการปกป้องอีกระดับสำหรับวินโดวส์หลายรุ่นพร้อมกัน ซึ่งรวมถึงรุ่นที่ไมโครซอฟท์สิ้นสุดการซัพพอร์ตแล้วอย่าง XP, 2000, 2003 ด้วย โดย Trend Micro ได้ออก Rule สำหรับป้องกันภัยใหม่ดังกล่าวดังนี้

o  IPS Rules 1008224, 1008228, 1008225, 1008227 – ซึ่งรวมเอาแพทช์อย่าง MS17-010 และการปกป้องเพิ่มเติมที่ป้องกันการใช้ประโยชน์จากช่องโหว่ของ SMB บนวินโดวส์ด้วย

•  Trend Micro Deep Discovery Inspector ลูกค้าที่ใช้ Rule รุ่นล่าสุดจะได้รับการปกป้องขึ้นมากอีกระดับจากช่องโหว่ที่มีการใช้ประโยชน์ในการโจมตี โดยทาง Trend Micro ได้ออก Rule เพิ่มเป็นทางการสำหรับการป้องกันเชิงรุกดังนี้

o  DDI Rule 2383:  CVE-2017-0144 – Remote Code Execution – SMB (Request)

•  Trend Micro TippingPoint  filter ดังต่อไปนี้ได้รับการปรับปรุงเพื่อการป้องกันที่ดีขึ้น ได้แก่

o  Filters 5614, 27433, 27711, 27935, 27928ที่ครอบคลุมถึง MS17-010 และการป้องกันการโจมตีด้วยการรันโค้ดผ่าน SMB ของวินโดวส์จากระยะไกล

o  ThreatDV Filter 30623ช่วยจำกัดการสื่อสารขาออกแบบ C2

o  Policy Filter 11403ให้การปกป้องมากขึ้นอีกระดับต่อการแบ่งส่วนข้อมูลบน SMB ที่น่าสงสัย

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

เทรนด์ ไมโคร ชี้ Cyber Propaganda และ Ransomware จะเป็นภัยที่น่ากลัว และจะคุกคามองค์กรอย่างต่อเนื่อง

เทรนด์ ไมโคร ชี …