ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์

ป้องกัน Ransomeware
ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์
ในช่วงที่วิกฤตการณ์ COVID-19 กำลังแพร่ระบาดระลอกใหม่ทั้งในประเทศไทยและทั่วโลก หลายๆ องค์กรได้มีมาตรการให้พนักงานทำงานจากที่บ้านหรือภายนอกองค์กร (Work From Home) ดังนั้นการเชื่อมต่อเพื่อใช้งานทรัพยากรขององค์กร (Resource) หรือใช้งานเครือข่ายภายในองค์กร จากที่บ้านหรือจากเครือข่ายสาธารณะ (Internet) โดยผ่านอุปกรณ์ VPN นั้น จึงมีความจำเป็นอย่างยิ่ง และควรให้ความสำคัญกับการป้องกันภัยคุกคามด้วย

          จากรายงานล่าสุดของบริษัท Kaspersky พบว่าอุปกรณ์ Fortinet VPN ที่ไม่ได้รับการ Patch ขององค์กรในยุโรปกำลังตกเป็นเป้าหมายในการโจมตีจาก Hacker หรือผู้ไม่ประสงค์ดี เพื่อติดตั้งไวรัสเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่า “Cring” ภายในเครือข่ายขององค์กร รวมไปถึงจะเป็นสาเหตุทำให้เครือข่ายขององค์กรไม่สามารถใช้งานได้

          การโจมตีดังกล่าวถูกตรวจพบในระหว่างเดือนมกราคม ถึง มีนาคม 2564 (ซึ่งเป็นช่วงที่ยังมีการแพร่ระบาดของ COVID-19 ในหลายๆ ประเทศ และหลายๆ องค์กรยังมีมาตรการให้ทำงานแบบ Work From Home  รวมถึงอาจจะมีแนวโน้มเพิ่มมากขึ้นในไตรมาสที่ 2 เนื่องจากการแพร่ระบาดระลอกใหม่) โดยการโจมตีมีข้อมูลระบุไว้ว่าผู้โจมตีได้วิเคราะห์โครงสร้างพื้นฐานขององค์กรเป้าหมายเป็นอย่างดี และได้เตรียมชุดเครื่องมือที่ใช้ตามข้อมูลที่รวบรวมในขั้นตอนการสำรวจ (Reconnaissance Stage)

          สำนักงานสอบสวนกลาง (FBI) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้แจ้งเตือนถึงภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) เกี่ยวกับการโจมตีที่พยายามสแกนหาอุปกรณ์ Fortinet SSL VPN ที่มีช่องโหว่ CVE-2018-13379 และอื่น ๆ ซึ่งผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่เหล่านี้ ในการเข้าถึงบริการของหน่วยงานราชการ, องค์กรเอกชนและหน่วยงานอื่นๆ และใช้เป็นช่องทางในการสร้างการโจมตีในอนาคตต่อไป

          ช่องโหว่ CVE-2018-13379 คือ ช่องโหว่การข้ามเส้นทางในเว็บพอร์ทัล (Path Traversal) ของ FortiOS SSL VPN ซึ่งอนุญาตให้ผู้โจมตี สามารถเข้าไปอ่านไฟล์ระบบ, ไฟล์เซสชันซึ่งมีชื่อผู้ใช้และรหัสผ่านที่เก็บไว้แบบ Plaintext ในอุปกรณ์ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

          แม้ว่าทาง Fortinet ได้ออก Patch เพื่อปิดช่องโหว่นี้แล้วตั้งแต่เดือน พฤษภาคม 2019 แต่เมื่อเดือนพฤศจิกายน 2020 ที่ผ่านมายังตรวจพบว่ามีอุปกรณ์ Fortinet SSL VPN จำนวนมากที่ยังไม่ได้รับการแพตช์ช่องโหว่นี้ จึงเป็นสาเหตุให้ IP Address ของอุปกรณ์เหล่านี้ถูกนำไปเผยแพร่และขายกันในดาร์คเว็บ (Dark Web)

          การโจมตีที่มุ่งเป้าไปที่ธุรกิจในยุโรปที่เกิดขึ้นนั้น พบว่ามีความคล้ายคลึงกันและจะมีการติดตั้ง Cring Ransomware ไว้ในเครือข่ายด้วย หลังจากผู้ไม่ประสงค์ดีโจมตีผ่านช่องโหว่ CVE-2018-13379 เพื่อเข้าถึงเครือข่ายเป้าหมายได้แล้ว (ในบางเคสตรวจพบว่าผู้ไม่ประสงค์ดีได้ลองทำการเชื่อมต่อไปยังอุปกรณ์ VPN เพื่อตรวจสอบว่าข้อมูลของผู้ใช้งานที่ขโมยมาสามารถเชื่อมต่อและใช้งานได้จริง) ผู้ไม่ประสงค์ดีจะใช้ Mimikatz tool ในการเรียกดูบัญชีของผู้ใช้ Windows ที่เคยลงชื่อเข้าใช้ระบบ จากนั้นจะยกระดับสิทธิ์เป็นบัญชีผู้ดูแลระบบของโดเมน แล้วจึงเคลื่อนย้ายไปด้านข้างข้ามเครือข่าย (Lateral Movement) และในที่สุดจะทำการติดตั้ง Cring Ransomware บนเครื่องเซิร์ฟเวอร์เป้าหมายจากระยะไกลโดยใช้ Cobalt Strike Framework ยิ่งไปกว่านั้นผู้ไม่ประสงค์ดียังสามารถซ่อนพฤติกรรมการโจมตีของพวกเขาด้วยการปลอมสคริปต์ PowerShell ที่เป็นอันตรายภายใต้ชื่อ “Kaspersky” เพื่อหลบเลี่ยงการตรวจจับ และตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดของ Ransomware มาจากประเทศในยุโรป และจะเข้ารหัสเซิร์ฟเวอร์เหล่านั้น ซึ่งจะก่อให้เกิดความเสียหายสูงสุดต่อการดำเนินธุรกิจขององค์กร

          Cring เป็น Ransomware สายพันธุ์ใหม่ที่พบครั้งแรกในเดือนมกราคม 2564 โดยผู้ให้บริการโทรคมนาคม Swisscom จะทำการเข้ารหัสไฟล์บนอุปกรณ์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง และลบร่องรอยของไฟล์สำรองทั้งหมด และหยุดการทำงานของ Microsoft Office และ Oracle Database หลังจากการเข้ารหัสสำเร็จจะมีการส่งข้อความเรียกค่าไถ่ออกมาโดยเรียกร้องให้ชำระเงินจำนวน 2 Bitcoin

          ดังนั้นเพื่อป้องกันองค์กรของท่านไม่ให้ตกเป็นเป้าในการถูกโจมตีในช่วงที่หลายๆ องค์กรมีมาตราการให้ทำงานแบบ Work From Home เรามีข้อแนะนำดังนี้:

  • ทำการแพตช์ CVEs 2018-13379, 2020-12812 และ 2019-5591 โดยทันที
    หากองค์กรของท่านใช้งานอุปกรณ์ Fortinet SSL VPN

  • หากองค์กรของท่านไม่ได้ใช้งาน Solution ของบริษัท Fortinet ควรเพิ่มไฟล์ Artifact ที่เกี่ยวข้องกับ FortiOS ใน Deny List เพื่อป้องกันการติดตั้งและทำงานของโปรแกรมและไฟล์ที่จะใช้โจมตี

  • ดำเนินการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ, สร้าง Air-gap และทำรหัสผ่านสำหรับป้องกันการสำรองข้อมูลแบบ Offline เพื่อตรวจสอบให้แน่ใจว่าสำเนาของข้อมูลสำคัญไม่สามารถเข้าถึงได้และสามารถแก้ไขหรือลบออกจากระบบหลักได้

  • แยกและแบ่งส่วนเครือข่าย (Network Segmentation)

  • จำกัดสิทธิ์ให้ผู้ดูแลระบบสามารถติดตั้งซอฟต์แวร์ได้เท่านั้น

  • กำหนดแผนการกู้คืน (Recovery Plan) เพื่อกู้คืนข้อมูลที่สำคัญจากแหล่งสำรองข้อมูลที่ปลอดภัย (เช่น ฮาร์ดไดรฟ์, อุปกรณ์จัดเก็บข้อมูล, ระบบคลาวด์)

  • ติดตั้ง/อัพเดท แพตช์ของระบบปฏิบัติการ, ซอฟต์แวร์ และเฟิร์มแวร์ทันทีที่มีการปล่อยอัพเดต / แพตช์

  • ใช้งาน Multi Factor Authentication

  • กำหนดให้มีการเปลี่ยนรหัสผ่านของอุปกรณ์ Network และ บัญชีผู้ใช้งานอย่างสม่ำเสมอ และหลีกเลี่ยงการนำรหัสผ่านมาใช้อีกครั้ง 

  • ปิด Remote Access/Remote Desktop Protocol (RDP) Port ที่ไม่ได้ใช้งาน และตรวจสอบ Remote Access/RDP Log อย่างสม่ำเสมอ

  • ตรวจสอบการใช้งานบัญชีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privilege) และกำหนดสิทธิ์การใช้งานในระดับต่ำสุดที่เพียงพอต่อการใช้งาน

  • ติดตั้งใช้งานและอัพเดทซอฟต์แวร์ Antivirus และ Anti-malware บนทุกเครื่องในเครือข่าย

  • เพิ่มสัญลักษณ์เพื่อแสดงให้ทราบว่าอีเมลนั้นมาจากภายนอกองค์กร

  • ปิดไม่ให้แสดง Hyperlink ในอีเมล

  • จัดอบรมและสร้างความรู้ให้กับผู้ใช้งานเกี่ยวกับการรักษาความปลอดภัยข้อมูลและวิธีรับมือภัยคุกคามทางไซเบอร์อย่างสม่ำเสมอ

หากคุณสนใจบริการหรือต้องการคำปรึกษาเพิ่มเติม
ติดต่อเราได้ที่ marketing@tangerine.co.th หรือโทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Expand Interests

All and More

  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Dell EMC
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Highlight
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • VMware
  • Workspace
All
  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Dell EMC
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Highlight
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • VMware
  • Workspace
ML Certificate
Google CloudGoogle Cloud PlatformHighlight

รีวิวสอบ Google Professional Machine Learning Engineer Certification 2021

ต้องเกริ่นแบบนี้ก่อน ข้อสอบออกไม่ลึกแต่กว้างเป็นทะเล มีส่วนที่เป็น tools ของ Google และ ความรู้ concept Machine Learning คละๆ กันไป

workload optimize
Business TransformationCiscoSmart Business Analytics & AI

เพิ่มประสิทธิภาพของ Application ในองค์กร ด้วย AppDynamics

ในยุคสถานการณ์ Covid-19 กลับมาระบาดอีกครั้ง ทำให้ผู้ใช้งาน Application ต่างๆ มีการปรับพฤติกรรมการใช้งาน ทั้งในช่วงเวลาเข้าใช้งาน สถานที่เข้าใช้งาน ทำให้การวิเคราะห์เสถียรภาพของ Application เป็นเรื่องที่สำคัญอย่างยิ่ง เพื่อให้สามารถตอบสนองความต้องการการเข้าใช้งานได้อย่างทันท่วงที และปรับโครงสร้างของระบบ Infrastructure ให้สอดคล้องกับปริมาณการใช้งานของ Application ให้แต่ละช่วงเวลา ซึ่งจะสามารถทำให้ควบคุมค่าใช้จ่าย และผลตอบแทนได้อย่างเหมาะสม

cisco-anyconnect-mobility-client
CiscoHighlight

Secure Remote Worker : ช่วยให้ Work from Anywhere ปลอดภัยเพิ่มขึ้นได้อย่างไร?

ช่วง Covid ก่อนหน้านี้ องค์การเริ่มมีการปรับรูปแบบการทำงานเป็นแบบ Work From Home (WFH) โดยพยายามปรับจาก Environment ที่มีอยู่เพื่อให้สามารถใช้งานได้ก่อน ซึ่งอาจจะยังไม่ได้วางแผนเรื่องความปลอดภัยของการทำงานจากภายนอก (Work Anywhere) ให้เหมาะสม เช่น ความปลอดภัยของ Device ที่เข้าใช้งาน หรือ Network ที่เชื่อมต่อ เป็นต้น

ป้องกัน Ransomeware
Security

ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์

ในช่วงที่วิกฤตการณ์ COVID-19 กำลังแพร่ระบาดระลอกใหม่ทั้งในประเทศไทยและทั่วโลก หลายๆ องค์กรได้มีมาตรการให้พนักงานทำงานจากที่บ้านหรือภายนอกองค์กร (Work From Home) ดังนั้นการเชื่อมต่อเพื่อใช้งานทรัพยากรขององค์กร (Resource) หรือใช้งานเครือข่ายภายในองค์กร จากที่บ้านหรือจากเครือข่ายสาธารณะ (Internet) โดยผ่านอุปกรณ์ VPN นั้น จึงมีความจำเป็นอย่างยิ่ง และควรให้ความสำคัญกับการป้องกันภัยคุกคามด้วย

VDO Conference
G SuiteGoogle CloudHighlightWorkspace

Google Meet : Breakout room & Attendance report ช่วยจัดอบรมได้ง่ายๆ ไม่มีสะดุด

สถานการณ์โควิด-19 ในขณะนี้ไม่มีวี่แววว่าจะดีขึ้นในประเทศไทย การเกิดจากคลัสเตอร์รอบใหม่ในหลายพื้นที่ ทำให้มีจำนวนผู้ติดเชื้อเพิ่มขึ้นอย่างทวีคูณ ส่งผลให้บางบริษัทประกาศให้พนักงานทำงานที่บ้านกันอีกครั้ง ทำให้หลายธุรกิจต้องปรับตัว ปรับเปลี่ยนวิธีการทำงานตามความเหมาะสม

Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th


ประกาศ

บริษัท แทนเจอรีน จำกัด ขอแจ้งว่า บริษัทฯ ยังเปิดดำเนินการตามปกติ
แต่มีมาตรการให้พนักงาน Work from Home

ท่านสามารถติดต่อเจ้าหน้าที่ ดังนี้

ประกาศ

บริษัท แทนเจอรีน จำกัด
ขอแจ้งว่า บริษัทฯ ยังเปิดดำเนินการตามปกติ
แต่มีมาตรการให้พนักงาน Work from Home
ท่านสามารถติดต่อเจ้าหน้าที่ ดังนี้

ฝ่ายบัญชี และ ฝ่ายธุรการ

ฝ่ายขายผลิตภัณฑ์  Google

 สั่งซื้อ/สอบถาม เกี่ยวกับผลิตภัณฑ์
google.sales@tangerine.co.th 
โทร. 086-788-4690

ฝ่าย Support

ผลิตภัณฑ์ Google
google.support@tangerine.co.th
โทร. 02 285 5511 ต่อ 755

ผลิตภัณฑ์ อื่นๆ
servicedesk@tangerine.co.th
โทร. 
02 2855511 ต่อ 427 
หรือ 086 999 2800

This website uses cookies to ensure you get the best experience on our website. View Privacy Policy