Ransomware Incident: ทำไมไม่ควรรีบกู้ไฟล์ แต่ต้องหยุดการแพร่กระจายก่อน

Ransomware Incident ไม่ได้เป็นเพียงปัญหาเรื่องไฟล์ถูกเข้ารหัสเท่านั้น แต่ยังเป็นสัญญาณว่าผู้โจมตีอาจสามารถเข้าถึงระบบภายในองค์กรได้แล้ว และกำลังเคลื่อนย้าย (Lateral Movement) ไปยังระบบอื่น ๆ ในหลายกรณี ผลกระทบไม่ได้จำกัดอยู่แค่เครื่องเดียว แต่สามารถลุกลามไปยัง File Server, Shared Folder, ระบบสำรองข้อมูล (Backup), Domain Controller และระบบธุรกิจสำคัญอื่น ๆ ได้อย่างรวดเร็ว

เมื่อเกิดการโจมตีจาก Ransomware ทุกนาทีล้วนมีความสำคัญ สิ่งที่ควรให้ความสำคัญเป็นอันดับแรกไม่ใช่การกู้คืนไฟล์ที่ถูกเข้ารหัส แต่คือการหยุดยั้งการแพร่กระจายของการโจมตีและทำความเข้าใจว่าผลกระทบได้ขยายไปไกลเพียงใด การตอบสนองที่ล่าช้าอาจนำไปสู่การเข้ารหัสข้อมูลในวงกว้าง การหยุดชะงักของบริการ และผลกระทบอย่างรุนแรงต่อการดำเนินธุรกิจ

Ransomware คืออะไร?

Ransomware คือมัลแวร์ (Malware) ชนิดหนึ่งที่ทำการล็อกหรือเข้ารหัสไฟล์และระบบ ทำให้ผู้ใช้งานไม่สามารถเข้าถึงข้อมูลของตนเองได้ จากนั้นผู้โจมตีจะเรียกค่าไถ่ ซึ่งมักอยู่ในรูปแบบของสกุลเงินดิจิทัล เพื่อแลกกับกุญแจถอดรหัสหรือเพื่อไม่ให้ข้อมูลที่ถูกขโมยถูกเผยแพร่

การโจมตีด้วย Ransomware ในปัจจุบันไม่ได้มีเพียงการเข้ารหัสไฟล์เท่านั้น แต่ยังรวมถึงการขโมยข้อมูลสำคัญและการแพร่กระจายไปยังอุปกรณ์หลายเครื่อง ทำให้กลายเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ร้ายแรงที่สุดสำหรับองค์กรในปัจจุบัน

ทำไมช่วงไม่กี่นาทีแรกจึงมีความสำคัญ

การโจมตีด้วย Ransomware มักไม่ได้จำกัดอยู่เพียงเครื่องเดียว เมื่อเริ่มเห็นไฟล์ถูกเข้ารหัส ผู้โจมตีอาจเข้าถึงระบบหลายส่วนหรือขโมยข้อมูลบัญชีผู้ใช้งานไปแล้ว

ทีมรักษาความปลอดภัยจำเป็นต้องตอบคำถามสำคัญอย่างรวดเร็ว ได้แก่

• เครื่องใดเป็นจุดเริ่มต้นของการโจมตี
• บัญชีผู้ใช้งานใดถูกบุกรุก
• การโจมตีได้แพร่กระจายไปมากเพียงใด
• ระบบสำรองข้อมูลยังปลอดภัยหรือไม่
• ผู้โจมตียังสามารถเข้าถึงระบบได้อยู่หรือไม่

การหาคำตอบเหล่านี้ได้อย่างรวดเร็วมีความสำคัญต่อการลดความเสียหายและการฟื้นฟูระบบอย่างปลอดภัย

สัญญาณเตือนล่วงหน้าของ Ransomware Incident

องค์กรควรเฝ้าระวังสัญญาณต่าง ๆ เช่น การเปลี่ยนนามสกุลไฟล์ผิดปกติ ข้อความเรียกค่าไถ่ กระบวนการเข้ารหัสที่น่าสงสัย การลบ Shadow Copy การเข้าถึง File Share ที่ผิดปกติ หรือการที่หลายเครื่องแสดงพฤติกรรมผิดปกติพร้อมกัน

การแจ้งเตือนที่เกี่ยวข้องกับการเข้ารหัสข้อมูล การขโมยข้อมูลรับรอง หรือการเคลื่อนย้ายภายในระบบ ควรได้รับการพิจารณาอย่างจริงจัง

การรอจนกว่าจะมั่นใจ 100% ก่อนลงมือ อาจเปิดโอกาสให้การโจมตีแพร่กระจายมากขึ้น ดังนั้นการควบคุมสถานการณ์และการสืบสวนควรเกิดขึ้นพร้อมกัน โดยให้ความสำคัญกับการควบคุมการแพร่กระจายก่อน

การควบคุมการแพร่กระจายต้องมาก่อนการกู้คืน

ตามคำแนะนำของ Microsoft ควรเริ่มกระบวนการควบคุมการโจมตีโดยเร็วที่สุด เพื่อจำกัดผลกระทบให้อยู่เฉพาะผู้ใช้และอุปกรณ์ที่ได้รับผลกระทบ

ด้วย Microsoft Defender XDR ทีมรักษาความปลอดภัยสามารถวิเคราะห์เหตุการณ์และระบุได้ว่า

• บัญชีผู้ใช้งานใดอาจถูกบุกรุก
• อุปกรณ์ใดเป็นต้นตอของการโจมตี
• มัลแวร์หรือ Payload ใดถูกใช้
• แอปพลิเคชันและระบบใดได้รับผลกระทบ
• มีการสื่อสารเครือข่ายที่น่าสงสัยหรือไม่

Defender XDR จะเชื่อมโยงข้อมูลทั้งหมดเข้าด้วยกันเป็นมุมมองเหตุการณ์เดียว ทำให้เข้าใจภาพรวมของการโจมตีได้ชัดเจนยิ่งขึ้น

Microsoft Defender ช่วยจัดการ Ransomware Incident ได้อย่างไร

Microsoft Defender ไม่ได้มีเพียงความสามารถในการแจ้งเตือนเท่านั้น แต่ยังรองรับการสืบสวนและตอบสนองตลอดวงจรของเหตุการณ์

มุมมองเหตุการณ์แบบรวมศูนย์
Microsoft Defender Portal จะรวบรวม Alert, อุปกรณ์, ผู้ใช้, หลักฐาน และการสืบสวนทั้งหมดไว้ในเหตุการณ์เดียว ฟีเจอร์อย่าง Attack Story และ Incident Graph ช่วยให้ทีมรักษาความปลอดภัยเข้าใจลำดับเหตุการณ์และระบบที่ได้รับผลกระทบ

การแยกอุปกรณ์และตอบสนองต่อเหตุการณ์
Microsoft Defender for Endpoint ช่วยให้สามารถแยกอุปกรณ์ที่ถูกบุกรุกออกจากเครือข่ายได้ ในขณะที่ยังสามารถเข้าถึงอุปกรณ์เพื่อสืบสวนและแก้ไขปัญหาได้

ทีมงานยังสามารถเก็บ Investigation Package เปิด Live Response รัน Antivirus Scan และจำกัดการทำงานของแอปพลิเคชันได้

ความสามารถในการสืบสวนแบบ Live Investigation
Live Response ช่วยให้นักวิเคราะห์สามารถตรวจสอบอุปกรณ์ระยะไกลผ่าน Command Line ได้ ทำให้สามารถรวบรวมหลักฐาน ตรวจสอบไฟล์ต้องสงสัย และดำเนินการตามขั้นตอน Incident Response โดยไม่ต้องเข้าถึงอุปกรณ์โดยตรง

การจัดการไฟล์และ Indicators
ทีมรักษาความปลอดภัยสามารถกักกันไฟล์อันตราย และบล็อก Indicators of Compromise เช่น IP Address, Domain, URL และ File Hash เพื่อป้องกันไม่ให้อุปกรณ์อื่นติดมัลแวร์เพิ่มเติม

Automatic Attack Disruption
Microsoft Defender XDR มีฟีเจอร์ Automatic Attack Disruption ซึ่งใช้ข้อมูลจาก Endpoint, Identity, Email, เครื่องมือ Collaboration และ SaaS Applications เพื่อช่วยหยุดการโจมตีโดยอัตโนมัติ

ความสามารถนี้ช่วยจำกัดผลกระทบจาก Ransomware และเปิดโอกาสให้ทีมรักษาความปลอดภัยมีเวลาในการสืบสวนและกู้คืนระบบมากขึ้น

การโจมตีมักเริ่มต้นก่อนการเข้ารหัสไฟล์

การโจมตีด้วย Ransomware จำนวนมากเริ่มต้นขึ้นก่อนที่ไฟล์จะถูกเข้ารหัส ผู้โจมตีอาจเข้าถึงระบบผ่าน VPN Credentials ที่ถูกขโมย Remote Desktop Services ที่ไม่ปลอดภัย ช่องโหว่ของเซิร์ฟเวอร์ Web Shell หรือเครื่องมือ Remote Management ที่ถูกนำมาใช้ในทางที่ผิด

ดังนั้นองค์กรควรตรวจสอบบัญชีและ Session ที่อาจถูกบุกรุก รีเซ็ตรหัสผ่านเมื่อจำเป็น และบล็อกปลายทางเครือข่ายที่น่าสงสัย เพื่อป้องกันไม่ให้ผู้โจมตีกลับเข้าสู่ระบบอีกครั้ง

ปกป้องระบบสำรองข้อมูลก่อนเริ่มกู้คืน

Backup มีความสำคัญอย่างมาก แต่การกู้คืนเร็วเกินไปอาจทำให้ระบบติดมัลแวร์ซ้ำได้ หากต้นเหตุของปัญหายังไม่ได้ถูกกำจัด

ก่อนเริ่มกระบวนการกู้คืน องค์กรควรตรวจสอบว่า Backup ยังสมบูรณ์หรือไม่ Snapshot ถูกลบไปหรือไม่ และมั่นใจว่าผู้โจมตีไม่สามารถเข้าถึงระบบสำรองข้อมูลได้อีก

ในบางกรณี Microsoft แนะนำให้ตัดการเชื่อมต่อระบบ Backup แบบออนไลน์ออกจากเครือข่ายจนกว่าจะควบคุมเหตุการณ์ได้อย่างสมบูรณ์

การกู้คืนระบบควรเริ่มต้นหลังจากมั่นใจแล้วว่าภัยคุกคามถูกกำจัดออกไปทั้งหมด

ข้อผิดพลาดที่ควรหลีกเลี่ยง

ในระหว่างเกิด Ransomware Incident องค์กรควรหลีกเลี่ยงการดำเนินการที่อาจทำลายหลักฐานหรือเพิ่มความเสี่ยง เช่น

• ลบไฟล์ทันทีโดยไม่ผ่านการสืบสวน
• กู้คืนระบบก่อนทราบสาเหตุที่แท้จริง
• ปิดเครื่องทุกเครื่องทันที
• จ่ายค่าไถ่โดยไม่ประเมินผลกระทบทางกฎหมายและธุรกิจ

การแยกเครื่องเพียงเครื่องเดียวไม่ได้หมายความว่าเหตุการณ์ได้สิ้นสุดลง เพราะผู้โจมตีอาจยังมีสิทธิ์เข้าถึงส่วนอื่นของระบบอยู่

สรุป

Ransomware Incident ไม่ใช่เพียงปัญหาด้าน IT แต่เป็นปัญหาด้านความต่อเนื่องทางธุรกิจที่ส่งผลต่อความมั่นคงปลอดภัย การดำเนินงาน และความสามารถในการฟื้นตัวขององค์กรโดยรวม เมื่อเกิดการโจมตีด้วย Ransomware คำถามแรกที่องค์กรควรให้ความสำคัญไม่ใช่การกู้คืนไฟล์ที่ถูกเข้ารหัส แต่ควรเริ่มจากการทำความเข้าใจว่าการโจมตีเริ่มต้นจากที่ใด แพร่กระจายไปมากเพียงใด มีบัญชีผู้ใช้งานหรือระบบใดได้รับผลกระทบบ้าง และผู้โจมตียังมีช่องทางกลับเข้ามาในสภาพแวดล้อมขององค์กรหรือไม่ แม้ว่าการกู้คืนระบบและข้อมูลจะเป็นสิ่งสำคัญ แต่การควบคุมการแพร่กระจายของการโจมตีและการวิเคราะห์หาสาเหตุที่แท้จริงควรได้รับความสำคัญเป็นอันดับแรกเสมอ เพราะยิ่งองค์กรสามารถหยุดยั้งการโจมตีได้เร็วมากเท่าใด ก็ยิ่งมีโอกาสลดความเสียหายและฟื้นฟูการดำเนินงานให้กลับมาได้อย่างปลอดภัยมากขึ้นเท่านั้น

ที่มา: Microsoft Learn

• Responding to ransomware attacks – Microsoft Defender XDR
  https://learn.microsoft.com/…/playbook-responding…
• Take response actions on a device in Microsoft Defender for Endpoint
  https://learn.microsoft.com/…/respond-machine-alerts
• Investigate incidents in the Microsoft Defender portal
  https://learn.microsoft.com/…/def…/investigate-incidents
• Automatic attack disruption in Microsoft Defender
  https://learn.microsoft.com/…/automatic-attack-disruption
• Details and results of an automatic attack disruption action
  https://learn.microsoft.com/…/defender-xdr/autoad-results
• Investigate entities on devices using live response
  https://learn.microsoft.com/…/defender…/live-response
• Take response actions on a file in Microsoft Defender for Endpoint
  https://learn.microsoft.com/…/defen…/respond-file-alerts