การโจมตีทางไซเบอร์ต่อระบบ VNDIRECT เมื่อวันที่ 24 มีนาคม ได้รับการระบุว่าเป็นการโจมตีด้วยมัลแวร์เข้ารหัสข้อมูล - แรนซัมแวร์ การโจมตีประเภทนี้เป็นปัญหาสำคัญสำหรับธุรกิจและองค์กรในยุคดิจิทัล เพื่อช่วยให้ผู้อ่านเรียนรู้เพิ่มเติมเกี่ยวกับการโจมตีด้วยแรนซัมแวร์ ระดับของอันตราย และวิธีการป้องกันและตอบสนอง VietNamNet ได้จัดทำชุดบทความ "อันตรายจากการดำรงอยู่จากการโจมตีเข้ารหัสข้อมูล"

การขยาย "ฝันร้าย" ของมัลแวร์เข้ารหัสข้อมูล

การโจมตีทางไซเบอร์ต่อระบบ VNDIRECT ซึ่งเป็นบริษัทใน 3 อันดับแรกของตลาดหุ้นเวียดนาม ซึ่งเกิดขึ้นเมื่อเช้าวันที่ 24 มีนาคม ได้รับการแก้ไขโดยพื้นฐานแล้ว ข้อมูลได้รับการถอดรหัสแล้ว และระบบค้นหาบัญชีของฉันกลับมาใช้งานได้อีกครั้ง

VNDIRECT รายงานว่าเหตุการณ์ที่เกิดขึ้นเมื่อวันที่ 24 มีนาคม เกิดจากการโจมตีของกลุ่มมืออาชีพ ส่งผลให้ข้อมูลของบริษัททั้งหมดถูกเข้ารหัส การโจมตีด้วยมัลแวร์เข้ารหัสข้อมูล - แรนซัมแวร์ มักเป็นฝันร้ายสำหรับธุรกิจและองค์กรต่างๆ ทั่วโลกในช่วงไม่กี่ปีที่ผ่านมา เนื่องจากอาจก่อให้เกิดผลร้ายแรงตามมา ผู้เชี่ยวชาญยังเปรียบเทียบแรนซัมแวร์กับ "ฝันร้าย" และ "โกสต์" ในโลกไซเบอร์อีกด้วย

ผู้เชี่ยวชาญกล่าวว่าจำเป็นต้องใช้เวลาอีกมากในการแก้ไขการโจมตีระบบ VNDIRECT ให้เสร็จสิ้น ภาพ: DL

ตามแผนงานที่ VNDIRECT ประกาศให้กับลูกค้าและพันธมิตร หน่วยปฏิบัติการจะค่อยๆ เปิดระบบ ผลิตภัณฑ์ และสาธารณูปโภคอื่นๆ อีกครั้ง หน่วยนี้มีแผนที่จะตรวจสอบกระแสกับตลาดหลักทรัพย์ในวันที่ 28 มีนาคม

อย่างไรก็ตาม จากการวิเคราะห์ของผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล จะเห็นได้ว่าทีมงานเทคโนโลยี VNDIRECT และผู้เชี่ยวชาญยังคงต้องใช้เวลาอีกนานในการสแกนหาช่องโหว่และแก้ไขปัญหาอย่างละเอียดถี่ถ้วน แรนซัมแวร์ไม่ใช่รูปแบบใหม่ของการโจมตีทางไซเบอร์ แต่มีความซับซ้อนมาก โดยต้องใช้เวลานานในการทำความสะอาดข้อมูล กู้คืนระบบให้สมบูรณ์ และนำการทำงานปกติกลับคืนมา

“เพื่อแก้ไขการโจมตีด้วยแรนซัมแวร์ให้หมดสิ้น บางครั้งหน่วยปฏิบัติการจะต้องเปลี่ยนสถาปัตยกรรมระบบ โดยเฉพาะระบบสำรองข้อมูล ดังนั้น เมื่อเกิดเหตุการณ์ที่ VNDIRECT เผชิญอยู่ เราคิดว่าจะต้องใช้เวลาอีกหลายเดือนกว่าที่ระบบจะฟื้นตัวได้อย่างสมบูรณ์” Vu Ngoc Son ผู้อำนวยการฝ่ายเทคนิคของ NCS กล่าว

นายเหงียน มินห์ ไฮ ผู้อำนวยการฝ่ายเทคนิคของ Fortinet Vietnam กล่าวว่า ขึ้นอยู่กับความร้ายแรงของการโจมตี ความสามารถในการเตรียมการล่วงหน้า และประสิทธิภาพของแผนการตอบสนอง โดยเวลาที่จำเป็นในการกู้คืนระบบหลังจากการโจมตีด้วยแรนซัมแวร์อาจแตกต่างกันอย่างมาก ตั้งแต่ไม่กี่ชั่วโมงไปจนถึงหลายสัปดาห์สำหรับการกู้คืนอย่างสมบูรณ์ โดยเฉพาะในกรณีที่จำเป็นต้องกู้คืนข้อมูลจำนวนมาก

“ส่วนหนึ่งของกระบวนการกู้คืนนี้รวมถึงการตรวจสอบให้แน่ใจว่ามัลแวร์เข้ารหัสข้อมูลได้ถูกลบออกจากเครือข่ายอย่างสมบูรณ์แล้ว และไม่มีประตูหลังใดๆ หลงเหลืออยู่ซึ่งอาจเปิดทางให้ผู้โจมตีเข้าถึงข้อมูลได้อีกครั้ง” เหงียน มินห์ ไฮ กล่าว

ผู้เชี่ยวชาญยังแสดงความคิดเห็นอีกว่า นอกเหนือจากการโจมตีทางไซเบอร์ที่ VNDIRECT ถือเป็นการ "เตือนสติ" ให้กับหน่วยงานที่จัดการและปฏิบัติการระบบสารสนเทศที่สำคัญในเวียดนามแล้ว ยังแสดงให้เห็นถึงระดับความอันตรายของแรนซัมแวร์อีกครั้งหนึ่งด้วย

เมื่อกว่า 6 ปีที่แล้ว WannaCry และมัลแวร์เข้ารหัสข้อมูลรูปแบบต่างๆ ทำให้ธุรกิจและองค์กรจำนวนมาก "ประสบความยากลำบาก" เมื่อแพร่กระจายอย่างรวดเร็วไปยังคอมพิวเตอร์มากกว่า 300,000 เครื่องในเกือบ 100 ประเทศและดินแดนทั่วโลก รวมทั้งเวียดนามด้วย

ในช่วงไม่กี่ปีที่ผ่านมา ธุรกิจต่าง ๆ มักกังวลเกี่ยวกับการโจมตีด้วยแรนซัมแวร์ เมื่อปีที่แล้ว ไซเบอร์สเปซของเวียดนามบันทึกการโจมตีด้วยแรนซัมแวร์จำนวนมากซึ่งส่งผลกระทบร้ายแรง โดยมีบางกรณีที่แฮกเกอร์ไม่เพียงแต่เข้ารหัสข้อมูลเพื่อเรียกค่าไถ่เท่านั้น แต่ยังขายข้อมูลดังกล่าวให้กับบุคคลที่สามเพื่อเพิ่มจำนวนเงินที่รวบรวมได้ให้สูงสุด ตามสถิติของ NCS ในปี 2023 มีการบันทึกคอมพิวเตอร์และเซิร์ฟเวอร์ในเวียดนามมากถึง 83,000 เครื่องที่ถูกโจมตีด้วยแรนซัมแวร์

‘เส้นทาง’ ทั่วไปในการเจาะระบบ

ทีมเทคโนโลยีของ VNDIRECT กำลังทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลเพื่อนำโซลูชันมาใช้เพื่อกู้คืนระบบให้สมบูรณ์พร้อมทั้งรับประกันความปลอดภัยของระบบ สาเหตุของเหตุการณ์และ "เส้นทาง" ที่แฮกเกอร์ใช้ในการเจาะระบบยังอยู่ระหว่างการสืบสวน

นาย Ngo Tuan Anh ซีอีโอของบริษัท SCS Smart Network Security กล่าวว่าเพื่อโจมตีการเข้ารหัสข้อมูล แฮกเกอร์มักเลือกที่จะเจาะเข้าไปในเซิร์ฟเวอร์ที่มีข้อมูลสำคัญและเข้ารหัสข้อมูล แฮกเกอร์มักใช้วิธีเจาะเข้าไปในระบบของหน่วยงาน 2 วิธี คือ เจาะผ่านจุดอ่อนและช่องโหว่ของระบบเซิร์ฟเวอร์โดยตรง หรือเลือกที่จะ "วนไปรอบ ๆ" คอมพิวเตอร์ของผู้ดูแลระบบและเข้าควบคุมระบบจากตรงนั้น

การเดารหัสผ่านและการแสวงประโยชน์จากช่องโหว่แบบซีโร่เดย์เป็น "เส้นทาง" สองทางที่แฮกเกอร์มักใช้ในการเจาะระบบ จากนั้นจึงเข้ารหัสข้อมูลเพื่อแบล็กเมล์ ภาพประกอบ: zephyr_p/Fotolia

ในการพูดคุยกับ VietnamNet คุณ Vu The Hai หัวหน้าแผนกตรวจสอบความปลอดภัยข้อมูล บริษัท VSEC ยังได้ชี้ให้เห็นถึงความเป็นไปได้ที่แฮกเกอร์จะแทรกซึมและติดตั้งมัลแวร์ในระบบ ได้แก่ การใช้ประโยชน์จากจุดอ่อนที่มีอยู่ในระบบเพื่อเข้าควบคุม ติดตั้งมัลแวร์ การส่งอีเมลพร้อมไฟล์แนบที่มีมัลแวร์เพื่อหลอกล่อผู้ใช้ในระบบเปิด การเปิดใช้งานมัลแวร์ การล็อกอินเข้าระบบจากรหัสผ่านที่รั่วไหลหรือรหัสผ่านที่อ่อนแอของผู้ใช้ระบบ

ผู้เชี่ยวชาญ Vu Ngoc Son ได้วิเคราะห์ว่าในการโจมตีด้วยแรนซัมแวร์ แฮกเกอร์มักจะเข้าสู่ระบบผ่านวิธีการต่างๆ เช่น การตรวจสอบรหัสผ่าน การใช้ประโยชน์จากช่องโหว่ของระบบ โดยหลักๆ แล้วคือช่องโหว่แบบ zero-day (ช่องโหว่ที่ผู้ผลิตยังไม่ได้แก้ไข - PV)

"บริษัทการเงินมักต้องปฏิบัติตามมาตรฐานการกำกับดูแล ดังนั้น ความเป็นไปได้ในการค้นพบรหัสผ่านจึงแทบจะเป็นไปไม่ได้ ความเป็นไปได้ที่น่าจะเป็นไปได้มากที่สุดคือการโจมตีผ่านช่องโหว่แบบ zero-day ดังนั้น แฮกเกอร์จึงส่งข้อมูลที่ทำให้เกิดข้อผิดพลาดจากระยะไกล ซึ่งทำให้ซอฟต์แวร์ตกอยู่ในสถานะที่ไม่สามารถควบคุมได้เมื่อประมวลผล"

จากนั้นแฮกเกอร์จะรันโค้ดจากระยะไกลและเข้าควบคุมเซิร์ฟเวอร์บริการ จากเซิร์ฟเวอร์นี้ แฮกเกอร์จะรวบรวมข้อมูลต่อไป ใช้บัญชีผู้ดูแลระบบที่ได้มาเพื่อโจมตีเซิร์ฟเวอร์อื่นในเครือข่าย และสุดท้ายก็รันเครื่องมือเข้ารหัสข้อมูลเพื่อรีดไถ" ผู้เชี่ยวชาญ Vu Ngoc Son วิเคราะห์

ผลการสำรวจใหม่ที่จัดทำโดยบริษัทด้านความปลอดภัย Fortinet ซึ่งทำการสำรวจกับธุรกิจในภูมิภาคเอเชีย แปซิฟิก รวมถึงเวียดนาม แสดงให้เห็นว่า: Ransomware ยังคงเป็นปัญหาสำคัญ การเรียกค่าไถ่ผ่านการโจมตีด้วยแรนซัมแวร์เป็นปัญหาความปลอดภัยทางไซเบอร์อันดับต้นๆ สำหรับผู้ผลิต โดย 36% ขององค์กรที่เข้าร่วมการสำรวจรายงานว่าประสบปัญหาการโจมตีด้วยแรนซัมแวร์ในปีที่ผ่านมา ซึ่งเพิ่มขึ้น 23% จากผลการสำรวจที่คล้ายกันของ Fortinet ในปี 2020

บทที่ 2 - ผู้เชี่ยวชาญแสดงวิธีการตอบสนองต่อการโจมตีด้วยแรนซัมแวร์

วันที่ 15 เมษายน เป็นกำหนดเส้นตายที่บริษัทหลักทรัพย์ต้องดำเนินการตรวจสอบและประเมินความปลอดภัยของข้อมูล และดำเนินมาตรการเพื่อเอาชนะความเสี่ยงและจุดอ่อนของระบบ รวมถึงระบบที่ให้บริการธุรกรรมหลักทรัพย์ออนไลน์