ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์

ป้องกัน Ransomeware
ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์
ในช่วงที่วิกฤตการณ์ COVID-19 กำลังแพร่ระบาดระลอกใหม่ทั้งในประเทศไทยและทั่วโลก หลายๆ องค์กรได้มีมาตรการให้พนักงานทำงานจากที่บ้านหรือภายนอกองค์กร (Work From Home) ดังนั้นการเชื่อมต่อเพื่อใช้งานทรัพยากรขององค์กร (Resource) หรือใช้งานเครือข่ายภายในองค์กร จากที่บ้านหรือจากเครือข่ายสาธารณะ (Internet) โดยผ่านอุปกรณ์ VPN นั้น จึงมีความจำเป็นอย่างยิ่ง และควรให้ความสำคัญกับการป้องกันภัยคุกคามด้วย

          จากรายงานล่าสุดของบริษัท Kaspersky พบว่าอุปกรณ์ Fortinet VPN ที่ไม่ได้รับการ Patch ขององค์กรในยุโรปกำลังตกเป็นเป้าหมายในการโจมตีจาก Hacker หรือผู้ไม่ประสงค์ดี เพื่อติดตั้งไวรัสเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่า “Cring” ภายในเครือข่ายขององค์กร รวมไปถึงจะเป็นสาเหตุทำให้เครือข่ายขององค์กรไม่สามารถใช้งานได้

          การโจมตีดังกล่าวถูกตรวจพบในระหว่างเดือนมกราคม ถึง มีนาคม 2564 (ซึ่งเป็นช่วงที่ยังมีการแพร่ระบาดของ COVID-19 ในหลายๆ ประเทศ และหลายๆ องค์กรยังมีมาตรการให้ทำงานแบบ Work From Home  รวมถึงอาจจะมีแนวโน้มเพิ่มมากขึ้นในไตรมาสที่ 2 เนื่องจากการแพร่ระบาดระลอกใหม่) โดยการโจมตีมีข้อมูลระบุไว้ว่าผู้โจมตีได้วิเคราะห์โครงสร้างพื้นฐานขององค์กรเป้าหมายเป็นอย่างดี และได้เตรียมชุดเครื่องมือที่ใช้ตามข้อมูลที่รวบรวมในขั้นตอนการสำรวจ (Reconnaissance Stage)

          สำนักงานสอบสวนกลาง (FBI) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้แจ้งเตือนถึงภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) เกี่ยวกับการโจมตีที่พยายามสแกนหาอุปกรณ์ Fortinet SSL VPN ที่มีช่องโหว่ CVE-2018-13379 และอื่น ๆ ซึ่งผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่เหล่านี้ ในการเข้าถึงบริการของหน่วยงานราชการ, องค์กรเอกชนและหน่วยงานอื่นๆ และใช้เป็นช่องทางในการสร้างการโจมตีในอนาคตต่อไป

          ช่องโหว่ CVE-2018-13379 คือ ช่องโหว่การข้ามเส้นทางในเว็บพอร์ทัล (Path Traversal) ของ FortiOS SSL VPN ซึ่งอนุญาตให้ผู้โจมตี สามารถเข้าไปอ่านไฟล์ระบบ, ไฟล์เซสชันซึ่งมีชื่อผู้ใช้และรหัสผ่านที่เก็บไว้แบบ Plaintext ในอุปกรณ์ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

          แม้ว่าทาง Fortinet ได้ออก Patch เพื่อปิดช่องโหว่นี้แล้วตั้งแต่เดือน พฤษภาคม 2019 แต่เมื่อเดือนพฤศจิกายน 2020 ที่ผ่านมายังตรวจพบว่ามีอุปกรณ์ Fortinet SSL VPN จำนวนมากที่ยังไม่ได้รับการแพตช์ช่องโหว่นี้ จึงเป็นสาเหตุให้ IP Address ของอุปกรณ์เหล่านี้ถูกนำไปเผยแพร่และขายกันในดาร์คเว็บ (Dark Web)

          การโจมตีที่มุ่งเป้าไปที่ธุรกิจในยุโรปที่เกิดขึ้นนั้น พบว่ามีความคล้ายคลึงกันและจะมีการติดตั้ง Cring Ransomware ไว้ในเครือข่ายด้วย หลังจากผู้ไม่ประสงค์ดีโจมตีผ่านช่องโหว่ CVE-2018-13379 เพื่อเข้าถึงเครือข่ายเป้าหมายได้แล้ว (ในบางเคสตรวจพบว่าผู้ไม่ประสงค์ดีได้ลองทำการเชื่อมต่อไปยังอุปกรณ์ VPN เพื่อตรวจสอบว่าข้อมูลของผู้ใช้งานที่ขโมยมาสามารถเชื่อมต่อและใช้งานได้จริง) ผู้ไม่ประสงค์ดีจะใช้ Mimikatz tool ในการเรียกดูบัญชีของผู้ใช้ Windows ที่เคยลงชื่อเข้าใช้ระบบ จากนั้นจะยกระดับสิทธิ์เป็นบัญชีผู้ดูแลระบบของโดเมน แล้วจึงเคลื่อนย้ายไปด้านข้างข้ามเครือข่าย (Lateral Movement) และในที่สุดจะทำการติดตั้ง Cring Ransomware บนเครื่องเซิร์ฟเวอร์เป้าหมายจากระยะไกลโดยใช้ Cobalt Strike Framework ยิ่งไปกว่านั้นผู้ไม่ประสงค์ดียังสามารถซ่อนพฤติกรรมการโจมตีของพวกเขาด้วยการปลอมสคริปต์ PowerShell ที่เป็นอันตรายภายใต้ชื่อ “Kaspersky” เพื่อหลบเลี่ยงการตรวจจับ และตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดของ Ransomware มาจากประเทศในยุโรป และจะเข้ารหัสเซิร์ฟเวอร์เหล่านั้น ซึ่งจะก่อให้เกิดความเสียหายสูงสุดต่อการดำเนินธุรกิจขององค์กร

          Cring เป็น Ransomware สายพันธุ์ใหม่ที่พบครั้งแรกในเดือนมกราคม 2564 โดยผู้ให้บริการโทรคมนาคม Swisscom จะทำการเข้ารหัสไฟล์บนอุปกรณ์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง และลบร่องรอยของไฟล์สำรองทั้งหมด และหยุดการทำงานของ Microsoft Office และ Oracle Database หลังจากการเข้ารหัสสำเร็จจะมีการส่งข้อความเรียกค่าไถ่ออกมาโดยเรียกร้องให้ชำระเงินจำนวน 2 Bitcoin

          ดังนั้นเพื่อป้องกันองค์กรของท่านไม่ให้ตกเป็นเป้าในการถูกโจมตีในช่วงที่หลายๆ องค์กรมีมาตราการให้ทำงานแบบ Work From Home เรามีข้อแนะนำดังนี้:

  • ทำการแพตช์ CVEs 2018-13379, 2020-12812 และ 2019-5591 โดยทันที
    หากองค์กรของท่านใช้งานอุปกรณ์ Fortinet SSL VPN

  • หากองค์กรของท่านไม่ได้ใช้งาน Solution ของบริษัท Fortinet ควรเพิ่มไฟล์ Artifact ที่เกี่ยวข้องกับ FortiOS ใน Deny List เพื่อป้องกันการติดตั้งและทำงานของโปรแกรมและไฟล์ที่จะใช้โจมตี

  • ดำเนินการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ, สร้าง Air-gap และทำรหัสผ่านสำหรับป้องกันการสำรองข้อมูลแบบ Offline เพื่อตรวจสอบให้แน่ใจว่าสำเนาของข้อมูลสำคัญไม่สามารถเข้าถึงได้และสามารถแก้ไขหรือลบออกจากระบบหลักได้

  • แยกและแบ่งส่วนเครือข่าย (Network Segmentation)

  • จำกัดสิทธิ์ให้ผู้ดูแลระบบสามารถติดตั้งซอฟต์แวร์ได้เท่านั้น

  • กำหนดแผนการกู้คืน (Recovery Plan) เพื่อกู้คืนข้อมูลที่สำคัญจากแหล่งสำรองข้อมูลที่ปลอดภัย (เช่น ฮาร์ดไดรฟ์, อุปกรณ์จัดเก็บข้อมูล, ระบบคลาวด์)

  • ติดตั้ง/อัพเดท แพตช์ของระบบปฏิบัติการ, ซอฟต์แวร์ และเฟิร์มแวร์ทันทีที่มีการปล่อยอัพเดต / แพตช์

  • ใช้งาน Multi Factor Authentication

  • กำหนดให้มีการเปลี่ยนรหัสผ่านของอุปกรณ์ Network และ บัญชีผู้ใช้งานอย่างสม่ำเสมอ และหลีกเลี่ยงการนำรหัสผ่านมาใช้อีกครั้ง 

  • ปิด Remote Access/Remote Desktop Protocol (RDP) Port ที่ไม่ได้ใช้งาน และตรวจสอบ Remote Access/RDP Log อย่างสม่ำเสมอ

  • ตรวจสอบการใช้งานบัญชีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privilege) และกำหนดสิทธิ์การใช้งานในระดับต่ำสุดที่เพียงพอต่อการใช้งาน

  • ติดตั้งใช้งานและอัพเดทซอฟต์แวร์ Antivirus และ Anti-malware บนทุกเครื่องในเครือข่าย

  • เพิ่มสัญลักษณ์เพื่อแสดงให้ทราบว่าอีเมลนั้นมาจากภายนอกองค์กร

  • ปิดไม่ให้แสดง Hyperlink ในอีเมล

  • จัดอบรมและสร้างความรู้ให้กับผู้ใช้งานเกี่ยวกับการรักษาความปลอดภัยข้อมูลและวิธีรับมือภัยคุกคามทางไซเบอร์อย่างสม่ำเสมอ

หากคุณสนใจบริการหรือต้องการคำปรึกษาเพิ่มเติม
ติดต่อเราได้ที่ marketing@tangerine.co.th หรือโทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Expand Interests

All and More

  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Dell EMC
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • VMware
All
  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Dell EMC
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • VMware
Google CloudGoogle Maps Platform

Coding ยังไงให้ตอบโจทย์? Locator Plus จาก Google Maps Platform มีคำตอบ

สวัสดีผู้ใช้งาน Google Maps Platform ทุกท่าน ถ้าพูดถึงวิธีการเรียกใช้งาน API Service ต่างๆ ของ Google Maps Platform ในการพัฒนาแอปพลิเคชัน เพื่อเรียกความสามารถของ Google Maps ไปใส่ในแอปพลิเคชันที่พัฒนาขึ้นมา ผู้พัฒนาโปรแกรม(Developer) ทุกท่านคงทราบกันดีว่า วิธีการเรียกใช้ คือการ Coding ด้วยภาษา ไม่ว่าจะเป็น JavaScript API หรือ SDK ต่างๆ ซึ่งทุกท่านมีความเชี่ยวชาญในการทำงานตรงส่วนนี้อยู่แล้ว

G SuiteGoogle CloudGoogle Workspace

กำหนดการบังคับเปลี่ยนแปลง Package G Suite เป็น Google Workspace

เมื่อวันที่ 6 ตุลาคม 2563 Google ได้เปิดตัว Google Workspace ใหม่ มาแทนที่ G Suite ระบบเดิม ขณะนี้ Google ได้มีแผนการที่จะปรับ Package ของลูกค้าปัจจุบันที่ใช้งาน G Suite ให้เป็น Google Workspace โดยอัตโนมัติ มีช่วงเวลาตามตารางดังต่อไปนี้

Security

OWASP Top 10 : Update 10 อันดับการโจมตี Web Application ปี 2021

OWASP หรือ Open Web Application Security Project คือ มาตราฐานความปลอดภัยของเว็บแอปพลิเคชัน ได้ทำการจัดอันดับช่องโหว่ที่มีความรุนแรง และพบเจอได้บ่อยในเว็บแอปพลิเคชัน 10 อันดับขึ้นมา และได้รับการตอบรับเป็นอย่างดีจากนักพัฒนาเว็บแอปพลิเคชันทั่วโลก ได้รับการยึดถือเป็นมาตรฐานการตรวจสอบช่องโหว่เว็บแอปพลิเคชัน ที่อธิบายรายละเอียดของช่องโหว่ที่พบได้บ่อยและมีความรุนแรง 10 อันดับแรกขึ้นมา เชิญอัปเดตรายละเอียดแต่ละช่องโหว่ ได้ดังนี้

CiscoSecurity

Slido is Now Integrated with Webex Meeting

ด้วยรูปแบบการทำงานที่เปลี่ยนไปเป็นแบบ Hybrid Work การประชุมแบบ Virtual Meeting ถือเป็นส่วนหนึ่งของการทำงานในปัจจุบัน Webex จึงได้นำเอา Feature ของ Slido ซึ่งเป็น Interactive Platform มาเพิ่มเติมลงบน Webex Meeting เพื่อเพิ่ม User experiences ในการประชุมให้ดียิ่งขึ้น และลดช่องว่างในการสื่อสารระหว่างผู้พูดและผู้ฟัง ทำให้ผู้ใช้งานสามารถทำ Polls, Quizzes หรือ Q&A ได้โดยที่ไม่ต้องเปลี่ยนหน้าจอ หรือสลับเครื่องมือในการทำงาน และยังช่วยให้ผู้ฟังสามารถแสดงความคิดเห็นผ่านทางเครื่องมือต่างๆ ได้ง่ายดายมากยิ่งขึ้น

Dell EMCHighlight

PowerStore All-Flash : Make It Simpler and More Intelligent

เดลล์เทคโนโลยี ได้ออกผลิตภัณฑ์ Dell EMC PowerStore แบบ All-Flash รุ่นใหม่เพื่อตอบสนองความต้องการภายในศูนย์ดาต้าเซนเตอร์ ให้รองรับ Workloads ระบบงาน Virtualize และ Container ได้มากขึ้น

Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th




This website uses cookies to ensure you get the best experience on our website. View Privacy Policy