ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์

ป้องกัน Ransomeware
ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์
ในช่วงที่วิกฤตการณ์ COVID-19 กำลังแพร่ระบาดระลอกใหม่ทั้งในประเทศไทยและทั่วโลก หลายๆ องค์กรได้มีมาตรการให้พนักงานทำงานจากที่บ้านหรือภายนอกองค์กร (Work From Home) ดังนั้นการเชื่อมต่อเพื่อใช้งานทรัพยากรขององค์กร (Resource) หรือใช้งานเครือข่ายภายในองค์กร จากที่บ้านหรือจากเครือข่ายสาธารณะ (Internet) โดยผ่านอุปกรณ์ VPN นั้น จึงมีความจำเป็นอย่างยิ่ง และควรให้ความสำคัญกับการป้องกันภัยคุกคามด้วย

          จากรายงานล่าสุดของบริษัท Kaspersky พบว่าอุปกรณ์ Fortinet VPN ที่ไม่ได้รับการ Patch ขององค์กรในยุโรปกำลังตกเป็นเป้าหมายในการโจมตีจาก Hacker หรือผู้ไม่ประสงค์ดี เพื่อติดตั้งไวรัสเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่า “Cring” ภายในเครือข่ายขององค์กร รวมไปถึงจะเป็นสาเหตุทำให้เครือข่ายขององค์กรไม่สามารถใช้งานได้

          การโจมตีดังกล่าวถูกตรวจพบในระหว่างเดือนมกราคม ถึง มีนาคม 2564 (ซึ่งเป็นช่วงที่ยังมีการแพร่ระบาดของ COVID-19 ในหลายๆ ประเทศ และหลายๆ องค์กรยังมีมาตรการให้ทำงานแบบ Work From Home  รวมถึงอาจจะมีแนวโน้มเพิ่มมากขึ้นในไตรมาสที่ 2 เนื่องจากการแพร่ระบาดระลอกใหม่) โดยการโจมตีมีข้อมูลระบุไว้ว่าผู้โจมตีได้วิเคราะห์โครงสร้างพื้นฐานขององค์กรเป้าหมายเป็นอย่างดี และได้เตรียมชุดเครื่องมือที่ใช้ตามข้อมูลที่รวบรวมในขั้นตอนการสำรวจ (Reconnaissance Stage)

          สำนักงานสอบสวนกลาง (FBI) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้แจ้งเตือนถึงภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) เกี่ยวกับการโจมตีที่พยายามสแกนหาอุปกรณ์ Fortinet SSL VPN ที่มีช่องโหว่ CVE-2018-13379 และอื่น ๆ ซึ่งผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่เหล่านี้ ในการเข้าถึงบริการของหน่วยงานราชการ, องค์กรเอกชนและหน่วยงานอื่นๆ และใช้เป็นช่องทางในการสร้างการโจมตีในอนาคตต่อไป

          ช่องโหว่ CVE-2018-13379 คือ ช่องโหว่การข้ามเส้นทางในเว็บพอร์ทัล (Path Traversal) ของ FortiOS SSL VPN ซึ่งอนุญาตให้ผู้โจมตี สามารถเข้าไปอ่านไฟล์ระบบ, ไฟล์เซสชันซึ่งมีชื่อผู้ใช้และรหัสผ่านที่เก็บไว้แบบ Plaintext ในอุปกรณ์ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

          แม้ว่าทาง Fortinet ได้ออก Patch เพื่อปิดช่องโหว่นี้แล้วตั้งแต่เดือน พฤษภาคม 2019 แต่เมื่อเดือนพฤศจิกายน 2020 ที่ผ่านมายังตรวจพบว่ามีอุปกรณ์ Fortinet SSL VPN จำนวนมากที่ยังไม่ได้รับการแพตช์ช่องโหว่นี้ จึงเป็นสาเหตุให้ IP Address ของอุปกรณ์เหล่านี้ถูกนำไปเผยแพร่และขายกันในดาร์คเว็บ (Dark Web)

          การโจมตีที่มุ่งเป้าไปที่ธุรกิจในยุโรปที่เกิดขึ้นนั้น พบว่ามีความคล้ายคลึงกันและจะมีการติดตั้ง Cring Ransomware ไว้ในเครือข่ายด้วย หลังจากผู้ไม่ประสงค์ดีโจมตีผ่านช่องโหว่ CVE-2018-13379 เพื่อเข้าถึงเครือข่ายเป้าหมายได้แล้ว (ในบางเคสตรวจพบว่าผู้ไม่ประสงค์ดีได้ลองทำการเชื่อมต่อไปยังอุปกรณ์ VPN เพื่อตรวจสอบว่าข้อมูลของผู้ใช้งานที่ขโมยมาสามารถเชื่อมต่อและใช้งานได้จริง) ผู้ไม่ประสงค์ดีจะใช้ Mimikatz tool ในการเรียกดูบัญชีของผู้ใช้ Windows ที่เคยลงชื่อเข้าใช้ระบบ จากนั้นจะยกระดับสิทธิ์เป็นบัญชีผู้ดูแลระบบของโดเมน แล้วจึงเคลื่อนย้ายไปด้านข้างข้ามเครือข่าย (Lateral Movement) และในที่สุดจะทำการติดตั้ง Cring Ransomware บนเครื่องเซิร์ฟเวอร์เป้าหมายจากระยะไกลโดยใช้ Cobalt Strike Framework ยิ่งไปกว่านั้นผู้ไม่ประสงค์ดียังสามารถซ่อนพฤติกรรมการโจมตีของพวกเขาด้วยการปลอมสคริปต์ PowerShell ที่เป็นอันตรายภายใต้ชื่อ “Kaspersky” เพื่อหลบเลี่ยงการตรวจจับ และตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดของ Ransomware มาจากประเทศในยุโรป และจะเข้ารหัสเซิร์ฟเวอร์เหล่านั้น ซึ่งจะก่อให้เกิดความเสียหายสูงสุดต่อการดำเนินธุรกิจขององค์กร

          Cring เป็น Ransomware สายพันธุ์ใหม่ที่พบครั้งแรกในเดือนมกราคม 2564 โดยผู้ให้บริการโทรคมนาคม Swisscom จะทำการเข้ารหัสไฟล์บนอุปกรณ์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง และลบร่องรอยของไฟล์สำรองทั้งหมด และหยุดการทำงานของ Microsoft Office และ Oracle Database หลังจากการเข้ารหัสสำเร็จจะมีการส่งข้อความเรียกค่าไถ่ออกมาโดยเรียกร้องให้ชำระเงินจำนวน 2 Bitcoin

          ดังนั้นเพื่อป้องกันองค์กรของท่านไม่ให้ตกเป็นเป้าในการถูกโจมตีในช่วงที่หลายๆ องค์กรมีมาตราการให้ทำงานแบบ Work From Home เรามีข้อแนะนำดังนี้:

  • ทำการแพตช์ CVEs 2018-13379, 2020-12812 และ 2019-5591 โดยทันที
    หากองค์กรของท่านใช้งานอุปกรณ์ Fortinet SSL VPN

  • หากองค์กรของท่านไม่ได้ใช้งาน Solution ของบริษัท Fortinet ควรเพิ่มไฟล์ Artifact ที่เกี่ยวข้องกับ FortiOS ใน Deny List เพื่อป้องกันการติดตั้งและทำงานของโปรแกรมและไฟล์ที่จะใช้โจมตี

  • ดำเนินการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ, สร้าง Air-gap และทำรหัสผ่านสำหรับป้องกันการสำรองข้อมูลแบบ Offline เพื่อตรวจสอบให้แน่ใจว่าสำเนาของข้อมูลสำคัญไม่สามารถเข้าถึงได้และสามารถแก้ไขหรือลบออกจากระบบหลักได้

  • แยกและแบ่งส่วนเครือข่าย (Network Segmentation)

  • จำกัดสิทธิ์ให้ผู้ดูแลระบบสามารถติดตั้งซอฟต์แวร์ได้เท่านั้น

  • กำหนดแผนการกู้คืน (Recovery Plan) เพื่อกู้คืนข้อมูลที่สำคัญจากแหล่งสำรองข้อมูลที่ปลอดภัย (เช่น ฮาร์ดไดรฟ์, อุปกรณ์จัดเก็บข้อมูล, ระบบคลาวด์)

  • ติดตั้ง/อัพเดท แพตช์ของระบบปฏิบัติการ, ซอฟต์แวร์ และเฟิร์มแวร์ทันทีที่มีการปล่อยอัพเดต / แพตช์

  • ใช้งาน Multi Factor Authentication

  • กำหนดให้มีการเปลี่ยนรหัสผ่านของอุปกรณ์ Network และ บัญชีผู้ใช้งานอย่างสม่ำเสมอ และหลีกเลี่ยงการนำรหัสผ่านมาใช้อีกครั้ง 

  • ปิด Remote Access/Remote Desktop Protocol (RDP) Port ที่ไม่ได้ใช้งาน และตรวจสอบ Remote Access/RDP Log อย่างสม่ำเสมอ

  • ตรวจสอบการใช้งานบัญชีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privilege) และกำหนดสิทธิ์การใช้งานในระดับต่ำสุดที่เพียงพอต่อการใช้งาน

  • ติดตั้งใช้งานและอัพเดทซอฟต์แวร์ Antivirus และ Anti-malware บนทุกเครื่องในเครือข่าย

  • เพิ่มสัญลักษณ์เพื่อแสดงให้ทราบว่าอีเมลนั้นมาจากภายนอกองค์กร

  • ปิดไม่ให้แสดง Hyperlink ในอีเมล

  • จัดอบรมและสร้างความรู้ให้กับผู้ใช้งานเกี่ยวกับการรักษาความปลอดภัยข้อมูลและวิธีรับมือภัยคุกคามทางไซเบอร์อย่างสม่ำเสมอ

หากคุณสนใจบริการหรือต้องการคำปรึกษาเพิ่มเติม
ติดต่อเราได้ที่ marketing@tangerine.co.th หรือโทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Expand Interests

All and More

  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Data Analytics
  • Dell EMC
  • Dell Technologies
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • Tenable
  • Thales
  • VMware
All
  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Data Analytics
  • Dell EMC
  • Dell Technologies
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • Tenable
  • Thales
  • VMware
Security

ป้องกันภัยคุกคามทางไซเบอร์ผ่านเทคโนโลยี Web Browser Isolation

จากสถานการณ์ Covid-19 ในปัจจุบันนี้ทำให้รูปแบบการทำงานของแต่ละองค์กรมีการปรับเปลี่ยนไปเพื่อลดความเสี่ยงในกรณีที่พนักงานจะต้องเข้ามาทำงานร่วมกันที่สำนักงาน จึงเกิดการทำงานแบบ Work from Home กันมากขึ้น และด้วยเหตุนี้เองการทำงานในรูปแบบของ Work from Home นั้นก็มีความเสี่ยงที่จะทำให้เกิดภัยคุกคามบนเครื่อง Endpoint ได้อย่างเช่น เครื่องโน้ตบุ๊ค, อุปกรณ์มือถือ เป็นต้น

Google CloudGoogle Maps PlatformHighlight

Solution Library ตัวช่วยในการออกแบบระบบงานด้านแผนที่เพื่อธุรกิจ

นักพัฒนาโปรแกรมที่เรียกใช้ Google Maps Platform บางท่านอาจจะมีความสงสัยในการออกแบบระบบงานด้านแผนที่ เช่น ถ้าอยากจะได้งานด้านแผนที่ตามที่ได้วางแผนไว้ จะต้องเรียกใช้งาน API Service อะไร หรือเขียน Source Code ยังไง เพื่อให้การทำงานดูสมบูรณ์แบบมากที่สุด

GMP API
Google CloudGoogle Maps PlatformHighlight

Locator Plus Solution ตัวช่วยสำหรับระบบงานด้านแผนที่ในธุรกิจของคุณเพียงไม่กี่คลิก

สวัสดีผู้ใช้งาน Google Maps Platform ทุกท่าน มาในครั้งนี้ทาง Tangerine กลับมาด้วยบทความที่เป็น Blog Series โดยมีเนื้อหาทั้งหมด 4 บทความที่จะค่อยๆ ปล่อยออกมาให้ทุกท่านได้รับความรู้ และเทรนเทคโนโลยีของ Google Maps Platform ในเรื่องของ Solution Library

Application_Modernization benefits
HighlightHybrid Cloud & Multi CloudVMware

เจาะ 3 กลยุทธ์ที่ Transform องค์กรสู่ยุคแห่ง Application Modernization

ปัจจุบัน Kubernetes เป็นเครื่องมือที่แพร่หลาย ช่วยให้องค์กรสามารถสร้างเรียกใช้ และจัดการแอปพลิเคชันบนระบบ Cloud ได้อย่างมีประสิทธิภาพ VMware ได้ผสานรวม Kubernetes เข้ากับ vSphere และมีการริเริ่มที่น่าตื่นเต้นหลายอย่างที่จะช่วยให้องค์กรพัฒนา Modernize Application

Check คนเข้าดู Dashboard อย่างละเอียด
Data AnalyticsGoogle CloudHighlight

Data Studio Tips! รู้งี้ทำนานแล้ว ติดตามพฤติกรรมการเข้าชม Dashboard ของเราด้วย Google Analytics

ต่อยอดจากเทคนิคที่แล้วที่ทำให้เราทราบว่าใครในองค์กรเราบ้างใช้ Data Studio วันนี้ Tangerine มีอีกหนึ่งเทคนิคในการติดตามดูพฤติกรรมการดูรายงานของผู้ใช้ต่างๆ เมื่อเรา public ออกมาให้ทีมอื่นๆ หรือแม้กระทั่งประชาชนทั่วไปให้ทราบถึง demographic ของพวกเขา, device ที่เขาใช้ หรือข้อมูลต่างๆ ซึ่งจะช่วยเราเข้าใจผู้ชมและปรับปรุงรายงานของเราให้ตรงผู้ชมมากขึ้น

Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th





      This website uses cookies to ensure you get the best experience on our website. View Privacy Policy