ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์

ป้องกัน Ransomeware
ระวังภัย Ransomware ที่แฮกเกอร์อาจโจมตีระบบ VPN ที่ไม่ได้แพตช์
ในช่วงที่วิกฤตการณ์ COVID-19 กำลังแพร่ระบาดระลอกใหม่ทั้งในประเทศไทยและทั่วโลก หลายๆ องค์กรได้มีมาตรการให้พนักงานทำงานจากที่บ้านหรือภายนอกองค์กร (Work From Home) ดังนั้นการเชื่อมต่อเพื่อใช้งานทรัพยากรขององค์กร (Resource) หรือใช้งานเครือข่ายภายในองค์กร จากที่บ้านหรือจากเครือข่ายสาธารณะ (Internet) โดยผ่านอุปกรณ์ VPN นั้น จึงมีความจำเป็นอย่างยิ่ง และควรให้ความสำคัญกับการป้องกันภัยคุกคามด้วย

          จากรายงานล่าสุดของบริษัท Kaspersky พบว่าอุปกรณ์ Fortinet VPN ที่ไม่ได้รับการ Patch ขององค์กรในยุโรปกำลังตกเป็นเป้าหมายในการโจมตีจาก Hacker หรือผู้ไม่ประสงค์ดี เพื่อติดตั้งไวรัสเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่ที่เรียกว่า “Cring” ภายในเครือข่ายขององค์กร รวมไปถึงจะเป็นสาเหตุทำให้เครือข่ายขององค์กรไม่สามารถใช้งานได้

          การโจมตีดังกล่าวถูกตรวจพบในระหว่างเดือนมกราคม ถึง มีนาคม 2564 (ซึ่งเป็นช่วงที่ยังมีการแพร่ระบาดของ COVID-19 ในหลายๆ ประเทศ และหลายๆ องค์กรยังมีมาตรการให้ทำงานแบบ Work From Home  รวมถึงอาจจะมีแนวโน้มเพิ่มมากขึ้นในไตรมาสที่ 2 เนื่องจากการแพร่ระบาดระลอกใหม่) โดยการโจมตีมีข้อมูลระบุไว้ว่าผู้โจมตีได้วิเคราะห์โครงสร้างพื้นฐานขององค์กรเป้าหมายเป็นอย่างดี และได้เตรียมชุดเครื่องมือที่ใช้ตามข้อมูลที่รวบรวมในขั้นตอนการสำรวจ (Reconnaissance Stage)

          สำนักงานสอบสวนกลาง (FBI) และหน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ได้แจ้งเตือนถึงภัยคุกคามขั้นสูง (Advanced Persistent Threat: APT) เกี่ยวกับการโจมตีที่พยายามสแกนหาอุปกรณ์ Fortinet SSL VPN ที่มีช่องโหว่ CVE-2018-13379 และอื่น ๆ ซึ่งผู้ไม่ประสงค์ดีอาจใช้ช่องโหว่เหล่านี้ ในการเข้าถึงบริการของหน่วยงานราชการ, องค์กรเอกชนและหน่วยงานอื่นๆ และใช้เป็นช่องทางในการสร้างการโจมตีในอนาคตต่อไป

          ช่องโหว่ CVE-2018-13379 คือ ช่องโหว่การข้ามเส้นทางในเว็บพอร์ทัล (Path Traversal) ของ FortiOS SSL VPN ซึ่งอนุญาตให้ผู้โจมตี สามารถเข้าไปอ่านไฟล์ระบบ, ไฟล์เซสชันซึ่งมีชื่อผู้ใช้และรหัสผ่านที่เก็บไว้แบบ Plaintext ในอุปกรณ์ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์

          แม้ว่าทาง Fortinet ได้ออก Patch เพื่อปิดช่องโหว่นี้แล้วตั้งแต่เดือน พฤษภาคม 2019 แต่เมื่อเดือนพฤศจิกายน 2020 ที่ผ่านมายังตรวจพบว่ามีอุปกรณ์ Fortinet SSL VPN จำนวนมากที่ยังไม่ได้รับการแพตช์ช่องโหว่นี้ จึงเป็นสาเหตุให้ IP Address ของอุปกรณ์เหล่านี้ถูกนำไปเผยแพร่และขายกันในดาร์คเว็บ (Dark Web)

          การโจมตีที่มุ่งเป้าไปที่ธุรกิจในยุโรปที่เกิดขึ้นนั้น พบว่ามีความคล้ายคลึงกันและจะมีการติดตั้ง Cring Ransomware ไว้ในเครือข่ายด้วย หลังจากผู้ไม่ประสงค์ดีโจมตีผ่านช่องโหว่ CVE-2018-13379 เพื่อเข้าถึงเครือข่ายเป้าหมายได้แล้ว (ในบางเคสตรวจพบว่าผู้ไม่ประสงค์ดีได้ลองทำการเชื่อมต่อไปยังอุปกรณ์ VPN เพื่อตรวจสอบว่าข้อมูลของผู้ใช้งานที่ขโมยมาสามารถเชื่อมต่อและใช้งานได้จริง) ผู้ไม่ประสงค์ดีจะใช้ Mimikatz tool ในการเรียกดูบัญชีของผู้ใช้ Windows ที่เคยลงชื่อเข้าใช้ระบบ จากนั้นจะยกระดับสิทธิ์เป็นบัญชีผู้ดูแลระบบของโดเมน แล้วจึงเคลื่อนย้ายไปด้านข้างข้ามเครือข่าย (Lateral Movement) และในที่สุดจะทำการติดตั้ง Cring Ransomware บนเครื่องเซิร์ฟเวอร์เป้าหมายจากระยะไกลโดยใช้ Cobalt Strike Framework ยิ่งไปกว่านั้นผู้ไม่ประสงค์ดียังสามารถซ่อนพฤติกรรมการโจมตีของพวกเขาด้วยการปลอมสคริปต์ PowerShell ที่เป็นอันตรายภายใต้ชื่อ “Kaspersky” เพื่อหลบเลี่ยงการตรวจจับ และตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่โฮสต์เพย์โหลดของ Ransomware มาจากประเทศในยุโรป และจะเข้ารหัสเซิร์ฟเวอร์เหล่านั้น ซึ่งจะก่อให้เกิดความเสียหายสูงสุดต่อการดำเนินธุรกิจขององค์กร

          Cring เป็น Ransomware สายพันธุ์ใหม่ที่พบครั้งแรกในเดือนมกราคม 2564 โดยผู้ให้บริการโทรคมนาคม Swisscom จะทำการเข้ารหัสไฟล์บนอุปกรณ์โดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง และลบร่องรอยของไฟล์สำรองทั้งหมด และหยุดการทำงานของ Microsoft Office และ Oracle Database หลังจากการเข้ารหัสสำเร็จจะมีการส่งข้อความเรียกค่าไถ่ออกมาโดยเรียกร้องให้ชำระเงินจำนวน 2 Bitcoin

          ดังนั้นเพื่อป้องกันองค์กรของท่านไม่ให้ตกเป็นเป้าในการถูกโจมตีในช่วงที่หลายๆ องค์กรมีมาตราการให้ทำงานแบบ Work From Home เรามีข้อแนะนำดังนี้:

  • ทำการแพตช์ CVEs 2018-13379, 2020-12812 และ 2019-5591 โดยทันที
    หากองค์กรของท่านใช้งานอุปกรณ์ Fortinet SSL VPN

  • หากองค์กรของท่านไม่ได้ใช้งาน Solution ของบริษัท Fortinet ควรเพิ่มไฟล์ Artifact ที่เกี่ยวข้องกับ FortiOS ใน Deny List เพื่อป้องกันการติดตั้งและทำงานของโปรแกรมและไฟล์ที่จะใช้โจมตี

  • ดำเนินการสำรองข้อมูลสำคัญอย่างสม่ำเสมอ, สร้าง Air-gap และทำรหัสผ่านสำหรับป้องกันการสำรองข้อมูลแบบ Offline เพื่อตรวจสอบให้แน่ใจว่าสำเนาของข้อมูลสำคัญไม่สามารถเข้าถึงได้และสามารถแก้ไขหรือลบออกจากระบบหลักได้

  • แยกและแบ่งส่วนเครือข่าย (Network Segmentation)

  • จำกัดสิทธิ์ให้ผู้ดูแลระบบสามารถติดตั้งซอฟต์แวร์ได้เท่านั้น

  • กำหนดแผนการกู้คืน (Recovery Plan) เพื่อกู้คืนข้อมูลที่สำคัญจากแหล่งสำรองข้อมูลที่ปลอดภัย (เช่น ฮาร์ดไดรฟ์, อุปกรณ์จัดเก็บข้อมูล, ระบบคลาวด์)

  • ติดตั้ง/อัพเดท แพตช์ของระบบปฏิบัติการ, ซอฟต์แวร์ และเฟิร์มแวร์ทันทีที่มีการปล่อยอัพเดต / แพตช์

  • ใช้งาน Multi Factor Authentication

  • กำหนดให้มีการเปลี่ยนรหัสผ่านของอุปกรณ์ Network และ บัญชีผู้ใช้งานอย่างสม่ำเสมอ และหลีกเลี่ยงการนำรหัสผ่านมาใช้อีกครั้ง 

  • ปิด Remote Access/Remote Desktop Protocol (RDP) Port ที่ไม่ได้ใช้งาน และตรวจสอบ Remote Access/RDP Log อย่างสม่ำเสมอ

  • ตรวจสอบการใช้งานบัญชีผู้ใช้ที่มีสิทธิ์ของผู้ดูแลระบบ (Administrative Privilege) และกำหนดสิทธิ์การใช้งานในระดับต่ำสุดที่เพียงพอต่อการใช้งาน

  • ติดตั้งใช้งานและอัพเดทซอฟต์แวร์ Antivirus และ Anti-malware บนทุกเครื่องในเครือข่าย

  • เพิ่มสัญลักษณ์เพื่อแสดงให้ทราบว่าอีเมลนั้นมาจากภายนอกองค์กร

  • ปิดไม่ให้แสดง Hyperlink ในอีเมล

  • จัดอบรมและสร้างความรู้ให้กับผู้ใช้งานเกี่ยวกับการรักษาความปลอดภัยข้อมูลและวิธีรับมือภัยคุกคามทางไซเบอร์อย่างสม่ำเสมอ

หากคุณสนใจบริการหรือต้องการคำปรึกษาเพิ่มเติม
ติดต่อเราได้ที่ marketing@tangerine.co.th หรือโทร 02 285 5511
ท่านจะได้รับคำตอบจากผู้เชี่ยวชาญที่ได้รับการรับรองมาตรฐาน

Share on social media

Expand Interests

All and More

  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Data Analytics
  • Dell EMC
  • Dell Technologies
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • Tenable
  • Thales
  • VMware
All
  • All
  • Apigee
  • Application Development
  • Business Transformation
  • Cisco
  • Converged Infrastructure
  • Data Analytics
  • Dell EMC
  • Dell Technologies
  • Dialogflow (Chatbot)
  • Event
  • G Suite
  • Google Cloud
  • Google Cloud Platform
  • Google Maps Platform
  • Google Workspace
  • Highlight
  • Huawei
  • Hybrid Cloud & Multi Cloud
  • Knowledge
  • Networking
  • Productivity & Work Transformation
  • Security
  • Smart Business Analytics & AI
  • Storage & Data Protection
  • Success Story
  • Tenable
  • Thales
  • VMware
HighlightHybrid Cloud & Multi CloudVMware

เสริมการปกป้อง Virtual Environment ด้วย Workload Security

ในช่วงที่ผ่านมาเรามักจะได้ยินข่าวการโจมตีข้อมูลภายในองค์กร หรือการเรียกค่าไถ่ข้อมูล โดยที่ Hacker จะหาช่วงโหว่ต่าง ๆ เพื่อเข้าถึงข้อมูลในศูนย์ข้อมูลขององค์กร แล้วสร้างความเสียหายกับระบบงานทำให้ไม่สามารถใช้งานได้ และเรียกค่าไถ่จากองค์กรเพื่อให้ข้อมูล หรือระบบกลับมาใช้งานได้อีกครั้ง ในกรณีที่มีการสำรองข้อมูลไว้ก็จะช่วยให้กู้คืนข้อมูลกลับมาใช้งานได้ แต่อาจจะไม่ใช่ข้อมูลล่าสุด

Google CloudGoogle Cloud PlatformHighlight

รู้จักกับ BigLake ส่วนผสมที่ลงตัวของ Data Lake และ Data Warehouse

นับตั้งแต่โลกให้ความสนใจกับ Big Data คงไม่มีใครไม่เคยได้ยินคำว่า Data Lake นี่ไม่ใช่เรื่องใหม่ และมีมานานกว่า 10 ปีแล้ว หากให้ย้อนเวลาพาท่านผู้อ่านกลับไปราว ๆ 20 ปีก่อนที่ Data Lake จะเกิดขึ้น เราคงคุ้นเคยกับคำว่า “การทำเหมืองข้อมูลหรือ Data Mining” เสียมากกว่า นั่นคือยุคแรกที่เราเริ่มขุดเหมืองเพื่อหา Insight กัน

Google CloudGoogle WorkspaceHighlight

เทคนิคการจัดการสรรหาบุคลากร (Recruitment) ด้วยเครื่องมือ Google Workspace ตอนที่ 2

จากฉบับที่แล้ว ที่เรามีการแนะนำในหัวข้อ “เคล็ดไม่ลับ! เทคนิคการจัดการสรรหาบุคลากร (Recruitment) ด้วย Google Workspace” โดยเราได้ยก Process Workflow ขึ้นมา เป็นทั้งหมด 6 Steps ดังนี้

GCP Pricing 2022
Google CloudGoogle Cloud PlatformHighlight

Google Cloud ประกาศ ปรับเพิ่ม-ลดราคา และเปิดตัวบริการใหม่ มีผลตั้งแต่วันที่ 1 ตุลาคม ปี 2565 นี้!

Google Cloud ประกาศปรับราคาค่าบริการต่าง ๆ รวมไปถึงมีการเปลี่ยนแปลงการให้บริการฟีเจอร์ใหม่ ๆ ในราคาประหยัดของผลิตภัณฑ์ Google Cloud เพื่อเป็นทางเลือกให้แก่ลูกค้าในการเลือกใช้บริการ นอกจากนี้ยังมีการปรับลดราคาในบางฟีเจอร์ลงอีกด้วย

Dell TechnologiesHighlightHybrid Cloud & Multi Cloud

Cyber Recovery Solution เสริมเกราะปกป้องข้อมูลองค์กร ปิดช่องโหว่ Cyber Attack

แทนเจอรีนพร้อมให้คำปรึกษาและบริการการป้องกันภัย Cyber Attack หรือ Ransomware สำหรับองค์กร โดยผู้เชี่ยวชาญที่ได้รับการรับรอง และคู่ค้าชั้นนำระดับโลกอย่าง Dell Technologies ด้วย Cyber Resiliency หรือ Cyber Recovery Solution

Scroll to Top

ติดต่อ tangerine

Tel: +66 2 2855511   |   Email: info@tangerine.co.th





      This website uses cookies to ensure you get the best experience on our website. View Privacy Policy