Ransomware Lockbit 3.0 ที่โจมตี VNDIRECT อันตรายแค่ไหน?

เผยแพร่รายงานการวิเคราะห์ Ransomware LockBit 3.0

ในช่วง 3 สัปดาห์ตั้งแต่วันที่ 24 มีนาคมถึงสัปดาห์แรกของเดือนเมษายนปีนี้ ไซเบอร์สเปซของเวียดนามได้บันทึกการโจมตีอย่างต่อเนื่องในรูปแบบของแรนซัมแวร์ต่อบริษัทขนาดใหญ่ของเวียดนามที่ดำเนินงานในด้านที่สำคัญ เช่น การเงิน หลักทรัพย์ พลังงาน โทรคมนาคม เป็นต้น การโจมตีเหล่านี้ทำให้ระบบของบริษัทต่างๆ ถูกระงับเป็นระยะเวลาหนึ่ง ส่งผลให้เกิดความเสียหายทางเศรษฐกิจและชื่อเสียงอย่างมากแก่หน่วยงานที่มีระบบที่ถูกกลุ่มอาชญากรทางไซเบอร์กำหนดเป้าหมาย

ในระหว่างกระบวนการวิเคราะห์และสืบสวนสาเหตุและกลุ่มบุคคลที่โจมตีระบบข้อมูลของบริษัทในเวียดนามเมื่อเร็ว ๆ นี้ ทางการพบว่าเหตุการณ์เหล่านี้เป็น "ผลิตภัณฑ์" ของกลุ่มโจมตีหลายกลุ่ม เช่น LockBit, BlackCat, Mallox... โดยเฉพาะอย่างยิ่งกับการโจมตีด้วยแรนซัมแวร์บนระบบ VNDIRECT เมื่อเวลา 10.00 น. ของวันที่ 24 มีนาคม ซึ่งเข้ารหัสข้อมูลทั้งหมดของบริษัทใน 3 บริษัทชั้นนำของตลาดหุ้นเวียดนาม ทางการได้ระบุว่ากลุ่ม LockBit ที่มีมัลแวร์ LockBit 3.0 อยู่เบื้องหลังเหตุการณ์นี้

กลุ่ม LockBit ทั่วโลกได้เปิดตัวการโจมตีด้วยแรนซัมแวร์ที่มุ่งเป้าไปที่ธุรกิจและองค์กรขนาดใหญ่หลายแห่ง ตัวอย่างเช่น ในปี 2023 ในเดือนมิถุนายนและตุลาคมตามลำดับ กลุ่มแรนซัมแวร์ที่น่าอับอายนี้ได้โจมตีบริษัทการผลิตเซมิคอนดักเตอร์ TSMC (ไต้หวัน จีน) และบริษัทผลิตภัณฑ์และบริการด้านเทคโนโลยีสารสนเทศ CDW ด้วยค่าไถ่ข้อมูลที่กลุ่ม Lockbit เรียกร้องให้ธุรกิจต่างๆ จ่ายเงินสูงถึง 70 - 80 ล้านเหรียญสหรัฐ

ด้วยความปรารถนาที่จะช่วยให้หน่วยงาน องค์กร และธุรกิจต่างๆ ในเวียดนามเข้าใจระดับของอันตรายได้ดีขึ้น รวมถึงวิธีป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์โดยทั่วไป รวมถึงการโจมตีโดยกลุ่ม LockBit ศูนย์ติดตามความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ภายใต้กรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) จึงได้รวบรวมแหล่งข้อมูลบนไซเบอร์สเปซและเผยแพร่ 'รายงานการวิเคราะห์เกี่ยวกับแรนซัมแวร์ LockBit 3.0'

กลุ่มแรนซัมแวร์ที่อันตรายที่สุดในโลก

รายงานฉบับใหม่ที่จัดทำโดย NCSC มุ่งเน้นไปที่การให้เนื้อหาหลัก 4 ประการ ได้แก่: ข้อมูลเกี่ยวกับกลุ่มโจมตีด้วยแรนซัมแวร์ LockBit; คลัสเตอร์ LockBit กำลังใช้งานอยู่ มีการจดรายการตัวบ่งชี้การโจมตีทางไซเบอร์ที่เกี่ยวข้องกับ LockBit 3.0 แล้ว วิธีป้องกันและลดความเสี่ยงจากการโจมตีของแรนซัมแวร์

รายงานของ NCSC ระบุว่า LockBit เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่อันตรายที่สุดในโลก และยังระบุด้วยว่านับตั้งแต่ปรากฏตัวครั้งแรกในปี 2019 เป็นต้นมา LockBit ก็ได้ดำเนินการโจมตีที่มุ่งเป้าไปที่ธุรกิจและองค์กรในหลายสาขามากมาย กลุ่มนี้ดำเนินการภายใต้รูปแบบ 'Ransomware-as-a-Service (RaaS)' โดยอนุญาตให้ผู้ก่อภัยคุกคามสามารถใช้งานแรนซัมแวร์และแบ่งปันผลกำไรกับผู้ที่อยู่เบื้องหลังบริการดังกล่าว

ที่น่าสังเกตคือในเดือนกันยายน 2022 ซอร์สโค้ดของ LockBit 3.0 ซึ่งรวมถึงชื่อบางส่วนที่อาจใช้พัฒนาแรนซัมแวร์นี้ ได้ถูกรั่วไหลโดยบุคคลที่มีชื่อว่า 'ali_qushji' บนแพลตฟอร์ม X (เดิมคือ Twitter) การรั่วไหลดังกล่าวทำให้ผู้เชี่ยวชาญสามารถวิเคราะห์ตัวอย่างแรนซัมแวร์ LockBit 3.0 ได้ต่อไป แต่ตั้งแต่นั้นเป็นต้นมา ผู้ก่อให้เกิดภัยคุกคามก็ได้สร้างแรนซัมแวร์รูปแบบใหม่ ๆ ขึ้นมาโดยอิงจากโค้ดต้นฉบับของ LockBit 3.0

นอกจากการวิเคราะห์วิธีการโจมตีของคลัสเตอร์แรนซัมแวร์ LockBit ที่ใช้งานอยู่ เช่น TronBit, CriptomanGizmo หรือ Tina Turnet แล้ว รายงาน NCSC ยังให้รายชื่อตัวบ่งชี้การโจมตีทางไซเบอร์ที่เกี่ยวข้องกับ LockBit 3.0 ที่ได้รับการบันทึกไว้แก่หน่วยงานต่างๆ อีกด้วย “เราจะอัปเดตข้อมูลตัวบ่งชี้ IOC อย่างต่อเนื่องในหน้า alert.khonggianmang.vn ของพอร์ทัลไซเบอร์สเปซแห่งชาติ” ผู้เชี่ยวชาญ NCSC กล่าว

ส่วนที่สำคัญโดยเฉพาะอย่างยิ่งที่กล่าวถึงใน 'รายงานการวิเคราะห์ Ransomware LockBit 3.0' คือเนื้อหาที่แนะนำหน่วยงาน องค์กร และธุรกิจต่างๆ เกี่ยวกับวิธีป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์ กรมความปลอดภัยข้อมูลได้ระบุหมายเหตุสำคัญเพื่อสนับสนุนหน่วยงานในเวียดนามในการป้องกันและตอบสนองต่อการโจมตีด้วยแรนซัมแวร์ใน "คู่มือมาตรการบางประการเพื่อป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์" ที่เผยแพร่เมื่อวันที่ 6 เมษายน และยังคงได้รับคำแนะนำให้ผู้เชี่ยวชาญของ NCSC นำไปปฏิบัติ

ตามที่ผู้เชี่ยวชาญระบุว่า การโจมตีด้วยแรนซัมแวร์ในปัจจุบันมักเริ่มต้นจากจุดอ่อนด้านความปลอดภัยของหน่วยงานหรือองค์กร ผู้โจมตีจะแทรกซึมเข้าระบบ รักษาสถานะ ขยายขอบเขต ควบคุมโครงสร้างพื้นฐานด้านไอทีขององค์กร และทำให้ระบบหยุดทำงาน โดยมีจุดมุ่งหมายเพื่อบังคับให้องค์กรที่เป็นเหยื่อจริงจ่ายค่าไถ่หากต้องการกู้คืนข้อมูลที่เข้ารหัส

จากการแบ่งปันกับผู้สื่อข่าว ของ VietNamNet ในช่วงที่เกิดการโจมตีระบบ VNDIRECT เมื่อ 5 วันที่แล้ว จากมุมมองของหน่วยงานที่เข้าร่วมในการประสานงานกิจกรรมสนับสนุนการตอบสนองต่อเหตุการณ์ ผู้แทนจากกรมความปลอดภัยข้อมูลได้แสดงความคิดเห็นว่า เหตุการณ์นี้เป็นบทเรียนสำคัญในการสร้างความตระหนักรู้เกี่ยวกับความปลอดภัยของเครือข่ายและความมั่นคงขององค์กรและธุรกิจในเวียดนาม

ดังนั้น หน่วยงาน องค์กร และธุรกิจต่างๆ โดยเฉพาะธุรกิจที่ดำเนินการในสาขาที่สำคัญ เช่น การเงิน การธนาคาร หลักทรัพย์ พลังงาน โทรคมนาคม ฯลฯ จำเป็นต้องทบทวนและเสริมสร้างระบบความปลอดภัยและบุคลากรมืออาชีพที่มีอยู่โดยเร่งด่วนและเชิงรุก พร้อมกันนั้นก็ต้องพัฒนาแผนการตอบสนองต่อเหตุการณ์ด้วย

“องค์กรต่างๆ จะต้องปฏิบัติตามกฎ ระเบียบ ข้อกำหนด และแนวปฏิบัติเกี่ยวกับความปลอดภัยของข้อมูลและความปลอดภัยของเครือข่ายที่ได้ออกไว้อย่างเคร่งครัด นี่เป็นความรับผิดชอบขององค์กรและธุรกิจแต่ละแห่งที่จะปกป้องตนเองและลูกค้าจากการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น" ตัวแทนจากแผนกความปลอดภัยข้อมูลเน้นย้ำ

เหตุใดระบบ PVOIL จึงสามารถฟื้นตัวได้อย่างรวดเร็วหลังถูกโจมตีด้วยแรนซัมแวร์?

นอกจากขนาดระบบที่ไม่ใหญ่มากนัก ปัจจัยสำคัญที่ทำให้ PVOIL สามารถแก้ไขการโจมตีด้วยแรนซัมแวร์ได้อย่างรวดเร็ว และกู้คืนการทำงานภายในเวลาเพียงไม่กี่วัน ก็คือการสำรองข้อมูล

การสร้างวัฒนธรรมความปลอดภัยเพื่อเพิ่มการป้องกันต่อการโจมตีด้วยแรนซัมแวร์

ตามที่ CDNetworks Vietnam ระบุ ธุรกิจต่างๆ สามารถเพิ่มการป้องกันตนเองต่อการโจมตีทางไซเบอร์ รวมถึงการโจมตีด้วยแรนซัมแวร์ได้ โดยการลงทุนด้านการฝึกอบรมพนักงาน การสร้างวัฒนธรรมด้านความปลอดภัย และการส่งเสริมความร่วมมือระหว่างพนักงานและทีมงานด้านความปลอดภัย

การจ่ายค่าไถ่จะทำให้แฮกเกอร์เพิ่มการโจมตีด้วยแรนซัมแวร์

ผู้เชี่ยวชาญเห็นด้วยว่าองค์กรที่ถูกโจมตีด้วยแรนซัมแวร์ไม่ควรจ่ายค่าไถ่ให้กับแฮกเกอร์ เพราะสิ่งนี้จะกระตุ้นให้แฮกเกอร์โจมตีเป้าหมายอื่น ๆ หรือกระตุ้นให้กลุ่มแฮกเกอร์อื่นโจมตีระบบของหน่วยงานของตนต่อไป