ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์
จากรายงานล่าสุดของบริษัท Kaspersky พบว่าอุปกรณ์ Fortinet VPN ที่ไม่ได้รับการ Patch ขององค์กรในยุโรปกำลังตกเป็นเป้าหมายในการโจมตีจาก Hacker หรือผู้ไม่ประสงค์ดี เพื่อติดตั้งไวรัสเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่า “Cring” ภายในเครือข่ายขององค์กร รวมไปถึงจะเป็นสาเหตุทำให้เครือข่ายขององค์กรไม่สามารถใช้งานได้
การโจมตีดังกล่าวถูกตรวจพบในระหว่างเดือนมกราคม ถึง มีนาคม 2564 (ซึ่งเป็นช่วงที่ยังมีการแพร่ระบาดของ COVID-19 ในหลายๆ ประเทศ และหลายๆ องค์กรยังมีมาตรการให้ทำงานแบบ Work From Home รวมถึงอาจจะมีแนวโน้มเพิ่มมากขึ้นในไตรมาสที่ 2 เนื่องจากการแพร่ระบาดระลอกใหม่) โดยการโจมตีมีข้อมูลระบุไว้ว่าผู้โจมตีได้วิเคราะห์โครงสร้างพื้นฐานขององค์กรเป้าหมายเป็นอย่างดี และได้เตรียมชุดเครื่องมือที่ใช้ตามข้อมูลที่รวบรวมในขั้นตอนการสำรวจ (Reconnaissance Stage)
สำนักงานสอบสวนกลาง (FBI) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้แจ้งเตือนถึงภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) เกี่ยวกับการโจมตีที่พยายามสแกนหาอุปกรณ์ Fortinet SSL VPN ที่มีช่องโหว่ CVE-2018-13379 และอื่น ๆ ซึ่งผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่เหล่านี้ ในการเข้าถึงบริการของหน่วยงานราชการ, องค์กรเอกชนและหน่วยงานอื่นๆ และใช้เป็นช่องทางในการสร้างการโจมตีในอนาคตต่อไป
ช่องโหว่ CVE-2018-13379 คือ ช่องโหว่การข้ามเส้นทางในเว็บพอร์ทัล (Path Traversal) ของ FortiOS SSL VPN ซึ่งอนุญาตให้ผู้โจมตี สามารถเข้าไปอ่านไฟล์ระบบ, ไฟล์เซสชันซึ่งมีชื่อผู้ใช้และรหัสผ่านที่เก็บไว้แบบ Plaintext ในอุปกรณ์ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
แม้ว่าทาง Fortinet ได้ออก Patch เพื่อปิดช่องโหว่นี้แล้วตั้งแต่เดือน พฤษภาคม 2019 แต่เมื่อเดือนพฤศจิกายน 2020 ที่ผ่านมายังตรวจพบว่ามีอุปกรณ์ Fortinet SSL VPN จำนวนมากที่ยังไม่ได้รับการแพตช์ช่องโหว่นี้ จึงเป็นสาเหตุให้ IP Address ของอุปกรณ์เหล่านี้ถูกนำไปเผยแพร่และขายกันในดาร์คเว็บ (Dark Web)
การโจมตีที่มุ่งเป้าไปที่ธุรกิจในยุโรปที่เกิดขึ้นนั้น พบว่ามีความคล้ายคลึงกันและจะมีการติดตั้ง Cring Ransomware ไว้ในเครือข่ายด้วย หลังจากผู้ไม่ประสงค์ดีโจมตีผ่านช่องโหว่ CVE-2018-13379 เพื่อเข้าถึงเครือข่ายเป้าหมายได้แล้ว (ในบางเคสตรวจพบว่าผู้ไม่ประสงค์ดีได้ลองทำการเชื่อมต่อไปยังอุปกรณ์ VPN เพื่อตรวจสอบว่าข้อมูลของผู้ใช้งานที่ขโมยมาสามารถเชื่อมต่อและใช้งานได้จริง) ผู้ไม่ประสงค์ดีจะใช้ Mimikatz tool ในการเรียกดูบัญชีของผู้ใช้ Windows ที่เคยลงชื่อเข้าใช้ระบบ จากนั้นจะยกระดับสิทธิ์เป็นบัญชีผู้ดูแลระบบของโดเมน แล้วจึงเคลื่อนย้ายไปด้านข้างข้ามเครือข่าย (Lateral Movement) และในที่สุดจะทำการติดตั้ง Cring Ransomware บนเครื่องเซิร์ฟเวอร์เป้าหมายจากระยะไกลโดยใช้ Cobalt Strike Framework ยิ่งไปกว่านั้นผู้ไม่ประสงค์ดียังสามารถซ่อนพฤติกรรมการโจมตีของพวกเขาด้วยการปลอมสคริปต์ PowerShell ที่เป็นอันตรายภายใต้ชื่อ “Kaspersky” เพื่อหลบเลี่ยงการตรวจจับ และตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดของ Ransomware มาจากประเทศในยุโรป และจะเข้ารหัสเซิร์ฟเวอร์เหล่านั้น ซึ่งจะก่อให้เกิดความเสียหายสูงสุดต่อการดำเนินธุรกิจขององค์กร
Cring เป็น Ransomware สายพันธุ์ใหม่ที่พบครั้งแรกในเดือนมกราคม 2564 โดยผู้ให้บริการโทรคมนาคม Swisscom จะทำการเข้ารหัสไฟล์บนอุปกรณ์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง และลบร่องรอยของไฟล์สำรองทั้งหมด และหยุดการทำงานของ Microsoft Office และ Oracle Database หลังจากการเข้ารหัสสำเร็จจะมีการส่งข้อความเรียกค่าไถ่ออกมาโดยเรียกร้องให้ชำระเงินจำนวน 2 Bitcoin
ดังนั้นเพื่อป้องกันองค์กรของท่านไม่ให้ตกเป็นเป้าในการถูกโจมตีในช่วงที่หลายๆ องค์กรมีมาตราการให้ทำงานแบบ Work From Home เรามีข้อแนะนำดังนี้:
- ทำการแพตช์ CVEs 2018-13379, 2020-12812 และ 2019-5591 โดยทันที
หากองค์กรของท่านใช้งานอุปกรณ์ Fortinet SSL VPN - หากองค์กรของท่านไม่ได้ใช้งาน Solution ของบริษัท Fortinet ควรเพิ่มไฟล์ Artifact ที่เกี่ยวข้องกับ FortiOS ใน Deny List เพื่อป้องกันการติดตั้งและทำงานของโปรแกรมและไฟล์ที่จะใช้โจมตี
- ดำเนินการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ, สร้าง Air-gap และทำรหัสผ่านสำหรับป้องกันการสำรองข้อมูลแบบ Offline เพื่อตรวจสอบให้แน่ใจว่าสำเนาของข้อมูลสำคัญไม่สามารถเข้าถึงได้และสามารถแก้ไขหรือลบออกจากระบบหลักได้
- แยกและแบ่งส่วนเครือข่าย (Network Segmentation)
- จำกัดสิทธิ์ให้ผู้ดูแลระบบสามารถติดตั้งซอฟต์แวร์ได้เท่านั้น
- กำหนดแผนการกู้คืน (Recovery Plan) เพื่อกู้คืนข้อมูลที่สำคัญจากแหล่งสำรองข้อมูลที่ปลอดภัย (เช่น ฮาร์ดไดรฟ์, อุปกรณ์จัดเก็บข้อมูล, ระบบคลาวด์)
- ติดตั้ง/อัพเดท แพตช์ของระบบปฏิบัติการ, ซอฟต์แวร์ และเฟิร์มแวร์ทันทีที่มีการปล่อยอัพเดต / แพตช์
- ใช้งาน Multi Factor Authentication
- กำหนดให้มีการเปลี่ยนรหัสผ่านของอุปกรณ์ Network และ บัญชีผู้ใช้งานอย่างสม่ำเสมอ และหลีกเลี่ยงการนำรหัสผ่านมาใช้อีกครั้ง
- ปิด Remote Access/Remote Desktop Protocol (RDP) Port ที่ไม่ได้ใช้งาน และตรวจสอบ Remote Access/RDP Log อย่างสม่ำเสมอ
- ตรวจสอบการใช้งานบัญชีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privilege) และกำหนดสิทธิ์การใช้งานในระดับต่ำสุดที่เพียงพอต่อการใช้งาน
- ติดตั้งใช้งานและอัพเดทซอฟต์แวร์ Antivirus และ Anti-malware บนทุกเครื่องในเครือข่าย
- เพิ่มสัญลักษณ์เพื่อแสดงให้ทราบว่าอีเมลนั้นมาจากภายนอกองค์กร
- ปิดไม่ให้แสดง Hyperlink ในอีเมล
- จัดอบรมและสร้างความรู้ให้กับผู้ใช้งานเกี่ยวกับการรักษาความปลอดภัยข้อมูลและวิธีรับมือภัยคุกคามทางไซเบอร์อย่างสม่ำเสมอ
หากคุณสนใจบริการหรือต้องการคำปรึกษาเพิ่มเติม
ติดต่อเราได้ที่ marketing@tangerine.co.th หรือโทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน
Share on social media
All and More
- All
- Apigee
- Application Development
- Business Transformation
- Cisco
- Converged Infrastructure
- Data Analytics
- Dell EMC
- Dell Technologies
- Dialogflow (Chatbot)
- Event
- G Suite
- Google Cloud
- Google Cloud Platform
- Google Maps Platform
- Google Workspace
- Highlight
- Huawei
- Hybrid Cloud & Multi Cloud
- Knowledge
- Networking
- Productivity & Work Transformation
- Security
- Smart Business Analytics & AI
- Storage & Data Protection
- Success Story
- Tenable
- Thales
- VMware
- All
- Apigee
- Application Development
- Business Transformation
- Cisco
- Converged Infrastructure
- Data Analytics
- Dell EMC
- Dell Technologies
- Dialogflow (Chatbot)
- Event
- G Suite
- Google Cloud
- Google Cloud Platform
- Google Maps Platform
- Google Workspace
- Highlight
- Huawei
- Hybrid Cloud & Multi Cloud
- Knowledge
- Networking
- Productivity & Work Transformation
- Security
- Smart Business Analytics & AI
- Storage & Data Protection
- Success Story
- Tenable
- Thales
- VMware
ป้องกันภัยคุกคามทางไซเบอร์ผ่านเทคโนโลยี Web Browser Isolation
จากสถานการณ์ Covid-19 ในปัจจุบันนี้ทำให้รูปแบบการทำงานของแต่ละองค์กรมีการปรับเปลี่ยนไปเพื่อลดความเสี่ยงในกรณีที่พนักงานจะต้องเข้ามาทำงานร่วมกันที่สำนักงาน จึงเกิดการทำงานแบบ Work from Home กันมากขึ้น และด้วยเหตุนี้เองการทำงานในรูปแบบของ Work from Home นั้นก็มีความเสี่ยงที่จะทำให้เกิดภัยคุกคามบนเครื่อง Endpoint ได้อย่างเช่น เครื่องโน้ตบุ๊ค, อุปกรณ์มือถือ เป็นต้น
Solution Library ตัวช่วยในการออกแบบระบบงานด้านแผนที่เพื่อธุรกิจ
นักพัฒนาโปรแกรมที่เรียกใช้ Google Maps Platform บางท่านอาจจะมีความสงสัยในการออกแบบระบบงานด้านแผนที่ เช่น ถ้าอยากจะได้งานด้านแผนที่ตามที่ได้วางแผนไว้ จะต้องเรียกใช้งาน API Service อะไร หรือเขียน Source Code ยังไง เพื่อให้การทำงานดูสมบูรณ์แบบมากที่สุด
Locator Plus Solution ตัวช่วยสำหรับระบบงานด้านแผนที่ในธุรกิจของคุณเพียงไม่กี่คลิก
สวัสดีผู้ใช้งาน Google Maps Platform ทุกท่าน มาในครั้งนี้ทาง Tangerine กลับมาด้วยบทความที่เป็น Blog Series โดยมีเนื้อหาทั้งหมด 4 บทความที่จะค่อยๆ ปล่อยออกมาให้ทุกท่านได้รับความรู้ และเทรนเทคโนโลยีของ Google Maps Platform ในเรื่องของ Solution Library
เจาะ 3 กลยุทธ์ที่ Transform องค์กรสู่ยุคแห่ง Application Modernization
ปัจจุบัน Kubernetes เป็นเครื่องมือที่แพร่หลาย ช่วยให้องค์กรสามารถสร้างเรียกใช้ และจัดการแอปพลิเคชันบนระบบ Cloud ได้อย่างมีประสิทธิภาพ VMware ได้ผสานรวม Kubernetes เข้ากับ vSphere และมีการริเริ่มที่น่าตื่นเต้นหลายอย่างที่จะช่วยให้องค์กรพัฒนา Modernize Application
Data Studio Tips! รู้งี้ทำนานแล้ว ติดตามพฤติกรรมการเข้าชม Dashboard ของเราด้วย Google Analytics
ต่อยอดจากเทคนิคที่แล้วที่ทำให้เราทราบว่าใครในองค์กรเราบ้างใช้ Data Studio วันนี้ Tangerine มีอีกหนึ่งเทคนิคในการติดตามดูพฤติกรรมการดูรายงานของผู้ใช้ต่างๆ เมื่อเรา public ออกมาให้ทีมอื่นๆ หรือแม้กระทั่งประชาชนทั่วไปให้ทราบถึง demographic ของพวกเขา, device ที่เขาใช้ หรือข้อมูลต่างๆ ซึ่งจะช่วยเราเข้าใจผู้ชมและปรับปรุงรายงานของเราให้ตรงผู้ชมมากขึ้น