ສະຖິຕິຜູ້ເຂົ້າເບີ່ງເວບໄຊທ໌

› ອອນລາຍ :1
› ມື້ນີ້ :6
› ມື້ວານນີ້ :47
› ອາທິດນີ້ :214
› ເດືອນນີ້ :1499

ຈຳນວນຜູ້ເຂົ້າເບີ່ງ : 982238
ເວບໄຊທ໌ເປີດມາໄດ້ 2766 ວັນ
355 ຄົນ / ວັນ

ຮ່ວມມື ASEAN-Japan


ລາວເຊີດ Partners

ເລືອກພາສາ (Language)

ຊ່ອງທາງຕິດຕາມ ລາວເຊີດ

  

Poster ອາຊຽນ-ຍີ່ປຸ່ນ

ປີ 2018

ປີ 2017

ປີ 2016

ເບີ່ງທັງໝົດ

ພຶດຕິກໍາທີ່ເປັນອາຊະຍາກໍາທາງລະບົບຄອມພີວເຕີ ທີ່ໄດ້ລະບຸໄວ້ຢູ່ໃນ ກົດໝາຍ: ວ່າດວ້ຍ ການຕ້ານ ແລະ ສະກັດກັ້ນອາຊະຍາກໍາທາງລະບົບຄອມພີວເຕີ ລວມມີພຶດຕິກໍາດັ່ງນີ້: 1. ການເປີດເຜີຍມາດຕະການປ້ອງກັນການເຂົ້າເຖິງລະບົບຄອມພິວເຕີ; 2. ການເຂົ້າເຖິງລະບົບຄອມພິວເຕີ ໂດຍນບໍ່ໄດ້ຮັບອະນຸຍາດ; 3. ການຕັດຕໍ່ເນື້ອໃນ, ຮູບ, ພາບເຄື່ອນໄຫວ, ສຽງ ແລະ ວີດີໂອ ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ; 4. ການລັດເອົາຂໍ້ມູນໃນລະບົບຄອມພິວເຕີ ໂດຍບໍ່ໄດ້ຮັບອະນຸຍາດ; 5. ການສ້າງຄວາມເສັຍຫາຍຜ່ານສື່ສັງຄົມອອນລາຍ; 6. ການເຜີຍແຜ່ສິ່ງລາມົກຜ່ານລະບົບຄອມພິວເຕີ; 7. ການລົບກວນລະບົບຄອມພິວເຕີ; 8. ການປອມແປງຂໍ້ມູນຄອມພິວເຕີ; 9. ການທຳລາຍຂໍ້ມູນ-ຄອມພິວເຕີ; 10. ການດຳເນີນກິດຈະການ ກ່ຽວກັບເຄື່ອງມືອາຊະຍາກຳທາງລະບົບຄອມພິວເຕີ.

ຮູ້ຈັກ ແລະ ຮັບມື RansomwareShare to Facebook ພິມ

ທີມ​ຕອບສະໜອງ​ການ​ໂຈມ​ຕີ ​ແລະ​ ໄພ​ຄຸກ​ຄາມ (Intelligent Response) ຈາກ ບໍລິສັດ ​ໄອ​-​ຊີ​ຄຽວ       (i-secure) ຈຳ​ກັດ ຂໍ​ນຳ​ສະເໜີ​ຂໍ້​ມູນ​ກ່ຽວກັບ Ransomware ໃນ​ປັດຈຸບັນລວມເຖິງ​ວິທີ​ການ​ຮັບ​ມື ໂດຍ​ແບ່ງ​ຕາມ​ຫົວຂໍ້​ຕໍ່ໄປ​ນີ້

  • Ransomware ແມ່ນຫຍັງ?
  • ຮູ້​ຈັກ human-operated ransomware
  • ສະ​ຖິ​ຕິ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020
  • ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່
  • ການ​ຮັບ​ມື​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່

1.  Ransomware ແມ່ນຫຍັງ? 

Ransomware ຫຼື ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ເປັນ​ມັນ​ແວ ​​ທີ່​ເມື່ອ​ແຜ່ກະ​ຈາຍ​ໄປ​ຍັງ​ເຄື່ອງ​ເຫຍື່ອ​ປາຍ​ທາງ​ຈະ​​ເຂົ້າ​ລະຫັດ​ໄຟ​ລ໌ ຫາກ​ຜູ້​ໃຊ້​ງານ​ຕ້ອງ​ການ​ຈະ​ເຂົ້າ​ເຖິງ​ໄຟ​ລ໌ ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ ຈຳ​ເປັນ​ຕ້ອງ​ຈ່າຍ​ຄ່າ​ໄຖ່​ໃຫ້​ກັບ​ຜູ້​ໂຈມ​ຕີ ຊຶ່ງ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ດັ່ງ​ກ່າວ ​ບໍ່​ຮັບປະກັນການ​ໄດ້ຮັບ​ໄຟ​ລ໌​ຄືນ ເຫຍື່ອ​ອາດ​ພົບ​ການ​ຂົ່ມ​ຂູ່​ໃຫ້​ຈ່າຍ​ຄ່າ​ໄຖ່​ຫຼາຍ​ຂຶ້ນ​ ຫຼື ມັນ​ແວ​​ດັ່ງ​ກ່າວ​ ອາດ​ມີຂະ​ບວນ​ການ​ເຂົ້າ​ລະຫັດ​ ຫຼື ​ຖອດ​ລະ​ຫັດ ​ທີ່​ຜິດ​ພາດ​ຈົນ​ເຮັດໃຫ້​ບໍ່​ສາມາດເຮັດໃຫ້ໄຟ​ລ໌ກັບສູ່ໃນ​ສະພາບ​ເດີມ​ໄດ້.

ປະຫວັດ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ສາມາດ​ຍ້ອນ​ກັບ​ໄປ​ໄດ້​ເຖິງ​ຊ່ວງ​ປີ 1989 โດຍ​ປັດຈຸບັນ​ ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ ​ຜູ້​ໂຈມ​ຕີ​ທີ່​ຢູ່​ເບື້ອງ​ຫຼັງ​ການ​ໂຈມ​ຕີ​ມີ​ການ​ພັດທະນາ​ໄປ​ຢ່າງ​ຫຼາຍ ເປົ້າ​ໝາຍ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ບໍ່​ສະເພາະ​ເຈາະ​ຈົ່ງ​ແຕ່ເຄື່ອງ​ຄອມພິວເຕີ​ອີກ​ຕໍ່ໄປ ມີ​ການ​ພົບມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ມຸ່ງ​ໂຈມ​ຕີໂທລະສັບມືຖື android ແລະ ​ມີມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ມຸ່ງ​ໂຈມ​ຕີ NAS ອີກດ້ວຍ.

2.  ຮູ້​ຈັກ human-operated ransomware 

ເມື່ອ​ເດືອນ​ມີ​ນາ​ 2020 ທີ່​ຜ່ານມາ Microsoft ອອກ​ບົດ​ຄວາມ Human-operated ransomware attacks: A preventable disaster ຊຶ່ງເວົ້າ​ເຖິງ​ການ​ນິ​ຍາມ Ransomware ເປັນ​ສອງ​ແບບ​ຄື: Auto-spreading ransomware ຢ່າງ Wannacry ທີ່​ມີ​ຄວາມ​ສາມາດ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ໃນ SMBv1 ໂດຍອັດຕະໂນມັດ ແລະ human-operated ransomware ທີ່​ມີ​ມະນຸດ​ຢູ່​ເບື້ອງ​ຫຼັງ ເປັນ​ການ​ໂຈມ​ຕີ​ ທີ່​ມີ​ກາ​ນວາງ​ແຜນ ມີ​ການ​ພຸ່ງ​ເປົ້າ​ໂຈມ​ຕີ​ຢ່າງ​ຊັດເຈນ​ໄປ​ຍັງ​ອົງ​ກອນ​ຕ່າງ​ໆ ໂດຍ​ມຸ່ງ​ຫວັງ​ໃຫ້​ເກີດ​ລາຍ​ໄດ້​ສູງ​ສຸດ.

ໃນ​ການ​ມຸ່ງ​ຫວັງ​ໃຫ້​ເກີດ​ລາຍ​ໄດ້​ສູງ​ສຸດ​ຂອງ human-operated ransomware ນັ້ນ ຜູ້​ໂຈມ​ຕີ​ຈະ​ມີ​ກາ​ນວາງ​ແຜນ​ໂຈມ​ຕີ​ອົງ​ກອນ​ຫຼາຍກວ່າ​ການ​ໂຈມ​ຕີ​ເຫຍື່ອ​ລາຍ​ບຸກ​ຄົນ ​ເພາະ​ອົງ​ກອນ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ຈ່າຍ​ເງີນ​ສູງ​ກວ່າ ສາມາດ​ຮຽກ​ຄ່າ​ໄຖ່​ໄດ້​ຫຼາຍກວ່າ​ເຫຍື່ອ​ລາຍ​ບຸກ​ຄົນ ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ຕ່າງ​ໆ ເພື່ອ​ຊ່ວຍ​ໃນ​ການ​ໂຈມ​ຕີ ບໍ່​ວ່າ​ຈະ​ເປັນການຊື້ credential ຈາກຕະຫຼາດມືດ, ການ​ໃຊ້ spearphishing email, ການ​ໃຊ້​ໂປຣ​ແກຣມ​ ທີ່​ມີ​ຢູ່​ໃນ​ເຄື່ອງ​ແລ້ວ​ ເພື່ອ​ບໍ່​ໃຫ້​ຜິດ​ສັງເກດ (Living Off The Land) ຫຼື ​ເຕັກ​ນິກ​ອື່ນ​ໆ ຕາມ​ຄວາມ​ສາມາດ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ເຫຼົ່າ​ນັ້ນ.

ທັງ​ນີ້​ຜູ້ໂຈມ​ຕີ​ ທີ່​ເລືອກ​ໃຊ້ Ransomware ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ພັດທະນາ​ມັນ​ແວ​ ຫຼື ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ໂຈມ​ຕີ ເພາະ​ໃນ​ປັດຈຸບັນ​ ມີ​ສິ່ງ​ທີ່​ຮຽກວ່າ Ransomware-as-a-service (RaaS) ຊຶ່ງ​ປະກອບ​ໄປ​ດ້ວຍ​ຕົວ ransomware, ລະບົບ​ຈັດການ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່, ວິທີ​ການ​ໂຈມ​ຕີ​ ເພື່ອ​ວາງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ແລະ​ ສິ່ງ​ຈຳ​ເປັນ​ອື່ນ​ໆ ທີ່​ກ່ຽວ​ຂ້ອງ ໂດຍ​ຜູ້​ໃຊ້ RaaS ອາດ​ຈ່າຍ​ຄ່າ​ບໍລິການ​ເປັນ​ການ​ແບ່ງ​ລາຍ​ໄດ້​ຈາກ​ການ​ຮຽກ​ຄ່າ​ໄຖ່​ ໃຫ້​ກັບ​ຜູ້​ໃຫ້​ບໍລິການ.

ຕັ້ງ​ແຕ່​ປີ 2019 ເປັນ​ຕົ້ນ​ມາ human-operated ransomware ເລີ່ມຕົ້ນໂດຍ Maze ມີການພັດທະນາເຕັກນິກ ເພື່ອຮັບປະກັນໃຫ້ອົງກອນ​ຈ່າຍເງິນດ້ວຍການລັກຂໍ້ມູນກ່ອນຈະປ່ອຍມັນແວເຂົ້າລະຫັດໄຟ​ລ໌ ເພື່ອ​ຂົ່ມ​ຂູ່​ໃຫ້​ອົງ​ກອນ​ຍອມ​ຈ່າຍ​ເງີນ ບໍ່​ດັ່ງ​ນັ້ນ Maze ຈະ​ກໍ່ການ​ປ່ອຍ​ຂໍ້​ມູນ​ສູ່​ສາທາລະນະ ຊຶ່ງ​ຄ່າ​ປັບ​ຈາກ​ກົດ​ໝາຍ​ ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ຂໍ້​ມູນ​ສ່ວນ​ບຸກ​ຄົນ​ ຫຼື ​ຜົນ​ກະທົບ​ອື່ນ​ໆ ຈາກ​ຂໍ້​ມູນ​ຣົ່ວ​ໄຫຼ ​ອາດ​ສູງ​ກວ່າ​ຄ່າ​ໄຖ່.

ຍຸດທະສາດຂອງ Maze ຖື​ວ່າ​​ປະ​ສົບ​ຜົນ​ສຳ​ເລັດ​ເປັນ​ຢ່າງ​ຫຼາຍ ເພາະ​ມີ​ອົງ​ກອນ ​ທີ່​ສາມາດ​ກູ້​ຄືນ​ລະບົບ​ຈາກ​ເຂົ້າ​ລະຫັດໄຟ​ລ໌​ໄດ້ ແຕ່ຍ​ອມ​ຈ່າຍ​ເງີນ​ຄ່າ​ໄຖ່​ ເພື່ອ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ລົບ​ໄຟ​ລ໌ ​ທີ່​ລັກ​ອອກ​ໄປ ເຮັດໃຫ້​ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ​ອື່ນ​ໆ ຫັນ​ມາ​ລັກ​ຂໍ້​ມູນ​ກ່ອນ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌ເຊັ່ນ​ກັນ.

ສ​ະຖິ​ຕິ​ຈາກ DarkTracer ລວບລວມ​ເຫຍື່ອ ​ທີ່ພົບຢູ່ໃນ​ໜ້າ​ປ່ອຍ​ຂໍ້​ມູນ​ຂອງ ransomware ແຕ່​ລະ​ຊະນິດ https://twitter.com/darktracer_int/status/1301763449194598400/photo/1

ໂດຍ​ເຫຍື່ອ​ລ່າ​ສຸດ​ ທີ່​ມີ​ຂ່າວ​ວ່າຍ​ອມ​ຈ່າຍ​ເງີນ​ເຖິງ​ກູ້​ຄືນ​ລະບົບ​ໄດ້​ຄື ມະຫາວິທະຍາໄລ Utah ອ້າງວ່າຖືກໂຈມຕີດ້ວຍມັນແວຮຽກຄ່າໄຖ່ ສາ​ມາ​ດ​ກູ້​ຄືນ​ລະບົບ​ໄດ້ ແຕ່​ຈ່າຍ​ຄ່າ​ໄຖ່​ໂດຍ​ໃຊ້​ວົງ​ເງີນ​ຈາກ​ບໍລິສັດ​ປະ​ກັນ ເພື່ອ​ປ້ອງ​ກັນ​ບໍ່​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ທຳການ​ປ່ອຍ​ຂໍ້​ມູນ​ນັກ​ສຶກ​ສາ​ ແລະ ບຸກຄະລາກອນ​ ເມື່ອ​ວັນທີ 21 ສິງ​ຫາ​ 2020 ທີ່​ຜ່ານມາ ຊຶ່ງ​ຜູ້​ຊ່ຽວ​ຊານ​ວິ​ເຄາະ​ວ່າ​ ອາດ​ຈະ​ເປັນ​ຜົນ​ງານ​ຂອງ NetWalker ransomware.

3.  ສະ​ຖິ​ຕິ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020 

Coveware ຊຶ່ງ​ເປັນ​ບໍລິສັດ​ ທີ່​ຊ່ຽວ​ຊານ​ໃນ​ການ​ຮັບ​ມື​ກັບ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ​ອອກ​ລາຍ​ງານ​ວິ​ເຄາະ​ປະຈຳໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020 Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase ຊຶ່ງ​ມີ​ຈຸດ​ໜ້າ​ສົນ​ໃຈ​ຫຼາຍ​ຢ່າງ ໄດ້​ແກ່:

  • ຄ່າ​ລະເລ່ຍ​ຂອງ​ຄ່າ​ໄຖ່​​ໃນ​ໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020 ຢູ່​ທີ່ 178,254 US ດອນ​ລາ
  • ຊ່ອງ​ທາງ​ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ ມາ​ຈາກ RDP ສູງ​ສຸດ ຕາມ​ດ້ວຍ Email Phishing ແລະ ​ຊ່ອງ​ໂຫວ່ ​ທີ່​ບໍ່​ໄດ້ຮັບ​ການແພັດ (Patch)​ ສອດຄ່ອງກັບ​ການ Work From Home ທີ່​ເພີ່ມ​ຂຶ້ນ ເຮັດໃຫ້​ມີ​ອົງ​ກອນ ທີ່​ເປີດ​ການ​ໃຊ້​ງານ RDP ຫຼາຍ​ຂຶ້ນ.

ຊ່ອງທາງເລີ່ມຕົ້ນການໂຈມຕີຂອງ  ransomware https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

  • ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ທີ່​ເຮັດ​ເງີນ​ໄດ້​ຫລາຍ​ທີ່ສຸດ 3 ອັນ​ດັບ​ຄື Sodinokibi, Maze ແລະ Phobos

ໂດຍ​ໃນ​ລາຍ​ງານ​ດັ່ງ​ກ່າວ Coveware ຍັງ​ລະ​ບຸ​ວ່າ ​ເປົ້າ​ໝາຍ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ພຸ່ງ​ໄປ​ທີ່​ອົງ​ກອນ​ປະ​ເພດ Professional Service ຫຼາຍ​ທີ່ສຸດ ຕາມ​ດ້ວຍ Public Sector ແລະ ​ມີ​ປະ​ເພດ Health Care ເປັນ​ອັນ​ດັບ​ທີ່ 3

ສະຖິຕິເປົ້າໝາຍຂອງມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ແບ່ງຕາມປະເພດທຸລະກິດ https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

ຊຶ່ງ​ເຖິງ​ແມ່ນ​ວ່າ ​ຈະ​ມີມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ຫຼາຍໆກຸ່ມຈະປະກາດຢຸດໂຈມຕີ ກຸ່ມ Health Care ໃນຊ່ວງ COVID-19 ແຕ່​ບໍ່​ແມ່ນ​ທັງ​ໝົດ ເນື່ອງ​ຈາກ​ກຸ່ມ Health Care ມັກ​ຈະ​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ການ​ຢຸດ​ໃຫ້​ບໍລິການ​ຢ່າງ​ຫຼາຍ ຈຶ່ງ​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ ທີ່​ຈະ​ຈ່າຍ​ຄ່າ​ໄຖ່​ສູງ.

4.  ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຂອງ ransomware 

ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ລວມ​ເຖິງ​ຜູ້​ໂຈມ​ຕີ​ ທີ່​ຢູ່​ເບື້ອງ​ຫຼັງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ນັ້ນ​ ມີ​ຄວາມ​ຫຼາກ​ຫຼາຍ ​ແລະ ​ແຕກ​ຕ່າງ​ກັນ​ໄປ​ຕາມ​ແຕ່​ລະ​ຊະນິດ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ເຮັດໃຫ້​ຍາກ​ຕໍ່​ການ​ຫາ “ວິທີ​ການ​ດຽວ​ ທີ່​ໄດ້​ຜົນ” ໃນ​ການ​ໃຊ້​ ເຄື່ອງ​ມື ຫຼື ​ວິທີ​ການ​ໃດ​ວິທີ​ການ​ໜຶ່ງ​ພຽງ​ຢ່າງ​ດຽວ​ ໃນ​ການ​ຮັບ​ມື​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ທັງ​ໝົດ ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ວິທີ​ປ້ອງ​ກັນ​ຮ່ວມ​ກັນ​ຫຼາຍ​ຢ່າງ (Defense in depth) ໃນ​ການ​ປ້ອງ​ກັນ​ດັ່ງ​ກ່າວ.

ພາ​ບລວມ​ຂອງ​ການ​ໂຈມ​ຕີ​ດ້ວຍ ransomware ຈາກ https://assets.sentinelone.com/ransom/sentinalone_understa?lb-mode=overlay

ສະຖານະການ​ ການ​ໂຈມ​ຕີ​ຈາກ ransomware ອາດ​ເປັນ​ໄດ້​ທັງ 

  • ຜູ້​ໂຈມ​ຕີ​ສົ່ງ Phishing ໃຫ້​ເຫຍື່ອ​ເປັນ​ອີ​ເມວ​ ທີ່​ມີ​​ໄຟ​ລ໌ເອກະສານ​ແນບ​ມາ ເຫຍື່ອ​ຫຼົງ​ເຊື່ອ​ແລ້ວ​​ເປີດ​ເອກະສານ ມີ​ການ enable content ເພື່ອ​ເບິ່ງ​ເນື້ອໃນ ເຮັດໃຫ້ macro ທີ່​ຖືກ​ຊ່ອນ​ໄວ້​ເຮັດວຽກ​ຮຽກ​ໃຊ້ powershell       ເ​ພື່​ອ​ດາວ​ໂຫຼດ​ມັນ​ແວ​ຂັ້ນ​ຕໍ່ໄປ​ມາຈົນກວ່າ​ເອີ້ນໃຊ້​ມັນ​ແວຮຽກ​​​ຄ່າ​ໄຖ່​ເຂົ້າລະ​ຫັດ​ລະບົບ

ຕົວ​ຢ່າງ​ອີ​ເມວ phishing ທີ່​ສົ່ງ​ໂດຍ Maze ransomware ຈາກ https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

  • ສະ​ແກນ​ຫາ​ເຄື່ອງ​ເ​ຊິ​ເວີ​ ທີ່​ມີ​ການ​ເປີດ RDP ໄວ້ ຜູ້​ໂຈມ​ຕີ brute force ເພື່ອ​ເຂົ້າ​ເຖິງ RDP ຊຶ່ງ​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ໂຈມ​ຕີ​ສຳ​ເລັດ ໄດ້​ບັນ​ຊີ​ຜູ້​ໃຊ້​ລະ​ດັບ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ທີ່​ມີ​ສິດ​ສູງ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ໃຊ້​ບັນ​ຊີ​ເຫຼົ່າ​ນັ້ນ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ເຄື່ອງ​ໄດ້ ເນື່ອງ​ຈາກ​ມີ​ສິດ​ສູງ ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ປິດ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ຕ່າງ​ໆ, ທຳການ​ລັກ​ຂໍ້​ມູນ credential, ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ໃນ​ເຄື່ອງ, ຕິດ​ຕັ້ງ backdoor ເພື່ອ​ໃຫ້​ສາມາດ​​ຢູ່ໃນ​ລະບົບ​ຕໍ່​ໂດຍ​ງ່າຍ ຈາກນັ້ນກໍ່ຍ້າຍໄປເຄື່ອງອື່ນໆ​ ທີ່​ຢູ່ໃນ​ອົງ​ກອນ​ດຽວ​ກັນ ລົບ backup ຖິ້ມ ເລືອກ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໃນ​ກາ​ນ ວາງ​ມັນ​ແວ​ ຈາກ​ນັ້ນ​ຮຽກ​ໃຊ້​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ເຂົ້າ​ສູ່​ລະບົບ​ທັງ​ໝົດ ເປັນ​ຕົ້ນ.

ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຂອງ Doppelpaymer ຈາກ https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

5.  ການ​ຮັບ​ມື​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ 

ອ້າງ​ອິງ​ຈາກ​​ຂັ້ນ​ຕອນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ NIST Special Publication 800-61 Revision 2 Computer Security Incident Handling Guide (NIST SP 800-61 Rev. 2)

ວົງຈອນ​ຂະ​ບວນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ (Incident Response Life Cycle) ຈາກ https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

ໂດຍຂັ້ນ​ຕອນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ ​ໄດ້​ນິຍາມຂະ​ບວນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ​ເປັນວົງຈອນ 4 ຂັ້ນ​ຕອນ ດັ່ງ​ນີ້:

  1. ການ​ກຽມ​ຄວາມ​ພ້ອມ (Preparation)
  2. ການ​ກວດ​ຈັບ​ ແລະ​ ການ​ວິ​ເຄາະ​ຢືນຢັນ​ເຫດ (Detection & Analysis)
  3. ການ​ຄວບ​ຄຸມ ກຳຈັດ ແລະ ​ຟື້ນຟູລະບົບຈາກໄພ​ຄຸກ​ຄາມ (Containment Eradication & Recovery)
  4. ກິດຈະກຳ​ຫຼັງ​ໄພ​ຄຸກ​ຄາມ (Post- incident Activity)

5.1  ການ​ກຽມ​ຄວາມ​ພ້ອມ (Preparation) 

  • ມີ​ການຝຶກ​ອົບຮົມ ​ແລະ ​ປະ​ເມີນ​​ຄວາມ​ພ້ອມ​ໃນ​ການ​ຮັບ​ມື​ ແລະ ​ຕອບສະໜອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຢ່າງ​ສະ​ໝ່ຳສະເໝີ ລວມໄປ​ເຖິງ​ການສ້າງຈິດສຳນຶກໃຫ້ແກ່ບຸກຄະລາກອນພາຍໃນອົງກອນ
  • ມີ​ການ​ຈັດ​ກຽມ​ທີມໃນ​ການ​ຮັບ​ມື ​ແລະ ​ຕອບສະໜອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດໄ​ພ ໂດຍ​ອາດ​ຢູ່ໃນ​ຮູບ​ແບບ​ຂອງ virtual team ທີ່​ສາມາດ​ຂໍ​ຄວາມ​ຊ່ວຍ​ເຫຼືອ​ໄດ້​ເມື່ອ​ເກີດ​ບັນຫາ ຊຶ່ງ​ນອກ​ຈາກ​ຜູ້​ຊ່ຽວ​ຊານ​ທາງ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ​ແລະ ​ລະບົບ​ຄອມພິວເຕີ​ແລ້ວ ທີມ​ຄວນ​ປະກອບ​ດ້ວຍ​ຝ່າຍ​ກົດໝາຍ, ຝ່າຍຊັບພະຍາກອນມະນຸດ, ປະຊາສຳພັນ ແລະ ນະໂຍບາຍ ອີກດ້ວຍ
  • ມີ​ການ​ຈັດກຽມ​ຊ່ອງ​ທາງ​ໃນ​ການ​ແຈ້ງ​ຄວາມ​ຜິດ​ປົກກະຕິ​ຂອງ​ລະບົບ​ຢ່າງ​ມີປະສິດຕິ​ພາບ ເພື່ອ​ຊ່ວຍ​ໃນ​ການ​ກວດ​ຈັບໄ​ພ​ຄຸກ​ຄາມທາງໄຊເບີ
  • ສຶກ​ສາ​ຂໍ້​ມູນ​ກ່ຽວກັບ​ການ​ປະ​ກັນ​ໄພ ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ໄຊ​ເບີ
  • ມີ​ການ​ພັດທະນາ​ແຜນ​ຮັບ​ມື​ ແລະ​ ຕອບສະໜອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດໄ​ພ ໂດຍ​ອາດ​ປະກອບ​ໄປ​ດ້ວຍ
    • ໃນ​ກໍລະນີ​ທີ່​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພຂື້ນ​ແລ້ວ ເງື່ອນ​ໄຂ​ໃດ​ຂອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທີ່​ຈະ​ບັງຄັບ​ໃຫ້​ອົງ​ກອນນັ້ນ​ແຈ້ງ​ຕໍ່​ໜ່ວຍ​ງານ​ຜູ້​ບັງຄັບ​ໃຊ້​ກົດໝາຍ ເຊັ່ນ: ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ນັ້ນ​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ສາທາລະນະ ຫຼື ມີ​ການ​ຮົ່ວ​ໄຫຼ​ຂອງ​ຂໍ້​ມູນ​ ທີ່​ຕ້ອງ​ປະຕິບັດ​​ຕາມກົດໝາຍ ວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ
    • ກຳນົດ​ສາຍ​ການ​ບັງຄັບ​ບັນ​ຊາ​ ແລະ ​ຜູ້​ຮັບ​ຜິດຊອບ​ຕໍ່​ລະບົບ​ແຕ່​ລະ​ລະບົບ​ ເມື່ອ​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ຢ່າງ​ຊັດເຈນ
    • ມີ​ແຜນ​ໃນ​ການ​ຕິດ​ຕໍ່​ ແລະ ​ປະ​ສານ​ງານກັບ​ຜູ້​ທີ່​ກ່ຽວ​ຂ້ອງ​ ເມື່ອ​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຢ່າງ​ເໝາະ​ສົມ, ການ​ຕິດ​ຕໍ່​ກັບ​ຫຸ້ນ​ສ່ວນ​ທາງ​ທຸລະກິດ, ພະ​ນັກ​ງານ​ພາຍ​ໃນ​ບໍລິສັດ ຫຼື​ ຜູ້​ໃຊ້​ບໍລິການ ເປັນ​ຕົ້ນ
  • ການ​ຈັດ​ກຽມ​ຂໍ້​ມູນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​ ເພື່ອ​ອຳ​ນວຍ​ຄວາມສະດວກ ​ຫາກ​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ເຊັ່ນ:
    • ເອກະສານ​ ທີ່​ອະທິບາຍ​ເຖິງ​ການ​ເຊື່ອມ​ຕໍ່​ພາຍ​ໃນ​ລະບົບ ທີ່​ລະ​ບຸ​ເຖິງ​ອຸປະກອນ ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ ໝາຍ​ເລກ​ IP address ​ແລະ​ ເຄືອ​ຂ່າຍ​ເນັດ​ເ​ວິກ
    • ຂັ້ນ​ຕອນ​ໃນການ​ຕັ້ງ​ຄ່າ​ ແລະ ​ຈັດການ​ລະບົບ​ປັດຈຸບັນ ໂດຍລະ​ບຸ​ເຖິງ​ການ​ເຊື່ອມ​ຕໍ່ ການຕັ້ງ​ຄ່າ​ທີ່​ສຳຄັນ ​ເພື່ອ​ໃຊ້​ໃນ​ການ​ກູ້​ຄືນ​ລະບົບ
    • ໄຟ​ລ໌​ອິເມດ​ສຳ​ຮອງ (image) ​ສຳລັບ​ລະບົບ​ປະຈຸບັນ​ ເພື່ອ​ໃຊ້​ໃນ​ການ​ກູ້​ຄືນ​ຂໍ້​ມູນ ແລະ ​ການ​ວິ​ເຄາະ ​ເພື່ອ​ລະ​ບຸ​ຫາ​ໄພຄຸກ​ຄາມ
    • ລະ​ຫັດ​ຜ່ານ​ ແລະ ​ຊ່ອງ​ທາງ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ໃນ​ກໍລະນີ​ສຸກ​ເສີນ​ ເພື່ອ​ຮັບ​ມື​ ແລະ​ ຕອບສະໜອງ
  • ອົງ​ກ​ອນຄວນ​ມີ​ການ​ສຳ​ຮອງ​ຂໍ້​ມູນ​ສຳຄັນ​ຢ່າງ​ສະ​ໝ່ຳສະເໝີ ຊຶ່ງ​ຂໍ້​ມູນ​ສຳ​ຮອງ​ນີ້​ຄວນ​ຕັດ​ຂາດ​ແຍກ​ອອກຈາກ​ລະບົບ​ຫຼັກ​ໂດຍ​ສິ້ນ​ເຊີງ
  • ມີ​ການ​ອັບ​ເດດ​ແພັດ (Path)​ ​​ຢ່າງສະ​ໝ່ຳ​ສະເໝີ
  • ຕັ້ງ​ຄ່າ​ຄວາມ​ປອດ​ໄພ​ຂອງ​ລະບົບ​ໃຫ້​ຮັດ​ກຸມ ເຊັ່ນ:
    • ລຸດ attack surface ດ້ວຍ​ການ​ປິດ​ ຫຼື ຈຳ​ກັດ​ການ​ໃຊ້​ງານ​ໂປຣໂຕຄອນ (protocol)  ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນເຕີເນັດ
    • ຕິດ​ຕັ້ງ​ຊ໋ອບແວ​​ປ້ອງ​ກັນ​ມັນ​ແວ ​ແລະ ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ອື່ນ​ໆ
    • ມີ​ການ​ເຝົ້າ​ລະ​ວັງໄ​ພ​ຄຸກ​ຄາມ​ຢ່າງ​ສະ​ໝ່ຳສະເໝີ
    • ຜູ້​ໃຊ້​ງານ​ຄວນ​ເປີດ​ການ​ໃຊ້​ງານ​ຟັ​ງຊັ່ນ (function) Show hidden file-extensions ເພື່ອ​ໃຫ້​ສາມາດ​ສັງເກດ​ເຫັນ​ຄວາມ​ຜິດ​ປົກກະຕິ​ໄດ້​ໃນ​ກໍລະນີ​ທີ່​ມັນ​ແວ​ມີ​ການ​ປອມ​ນາມ​ສ​ະກຸນ​ໄຟ​ລ​໌ ເຊັ່ນ ປອມ​ເປັນ “filename.PDF.EXE”
    • ມີ​ການ​ໃຊ້​ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ຫຼາຍ​ຂັ້ນ​ຕອນ
    • ຈຳ​ກັດ​ບັນຊີ​ຜູ້​ໃຊ້​ງານ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ລະບົບ​ຈາກ​ໄລຍະ​ໄກ​ຜ່ານ​​ໂປຣໂຕຄອນ (protocol)  Remote Desktop Protocol (RDP) ບໍ່​ໃຫ້ເປັນ​ບັນ​ຊີ​ທີ່​ມີ​ສິດ​ສູງ ເປັນ​ຕົ້ນ

5.2  ການ​ກວດ​ຈັບ​ ແລະ ​ການ​ວິ​ເຄາະ​ຢືນຢັນ​ເຫດການ (Detection & Analysis) 

5.2.1   ການ​ກວດ​ຈັບ​ເຫດການ Detection 

ເຮົາ​ສາມາດ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຂອງ ransomware ຕ່າງ​ໆ ໄດ້​ຈາກ​ການສຶກສາ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີຂອງ ransomware ແຕ່​ລະ​ຊະນິດ ເຊັ່ນ: Auto-spreading ransomware ຄື Wannacry ມີ​ເຕັກ​ນິກ​ໂຈມ​ຕີ​ຊ່ອງ  ​ໂຫວ່​ໃນ SMBv1 ເຮັດໃຫ້​ສາມາດ​ກວດ​ຈັບ​ໄດ້​ຈາກ​ຄວາມ​ຜິດ​ປົກກະຕິ ​ທີ່ເກິດຂື້ນ​ເທິງ SMB.

ສຳລັບ human-operated ransomware Sophos ມີບົດ​ຄວາມ The realities of ransomware: Five signs you’re about to be attacked ຊຶ່ງ​ເວົ້າ​ເຖິງ 5 ສັນ​ຍານ ​ທີ່​ບົ່ງ​ບອກ​ພາ​ບລວມ​ຂອງ​ການ​ຈະ​ຖືກ​ໂຈມ​ຕີ​ດັ່ງ​ນີ້:

  • ພົບ​ໂປຣ​ແກຣມ network scanner ໂດຍ​ສະເພາະ​ໃນ​ເຄື່ອງ server ເຊັ່ນ: ໂປຣ​ແກຣມ AngryIP ຫຼື Advanced Port Scanner

ພາບ​ຈາກ https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/

  • ພົບ​ເຄື່ອງ​ມືທີ່​ສາມາດ​ໃຊ້ ​ເພື່ອ​ປິດ​ການ​ເຮັດ​ວຽກງານ​ຂອງ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ມັນ​ແວ​ໄດ້ ໂດຍ​ສະເພາະ​ໃນ​ເຄື່ອງ server ເຊັ່ນ: Process Hacker, IOBit Uninstaller, GMER, PC Hunter ຫຼື PsExec ຊຶ່ງ​ເຄື່ອງ​ມື​ເຫຼົ່າ​ນີ້ ​ເປັນ​ເຄື່ອງ​ມື ​ທີ່​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ອາດ​ໃຊ້ ​ເພື່ອ​ເບິ່ງ​ແຍງ​ລະບົບ​ທົ່ວ​ໄປ ແຕ່​ຜູ້​ໂຈມ​ຕີ​ກໍ່​ສາມາດ​ໃຊ້​ປະໂຫຍດ​ໄດ້​ເຊັ່ນ​ກັນ
  • ພົບ​​ມີ​​ເຄື່ອງ​ມື MimiKatz ຊຶ່ງ​ເປັນ​ເຄື່ອງ​ມື​ສຳລັບ​ລັກ​ຂໍ້​ມູນ credential
  • ພົບ​ພຶດຕິກຳ​ຜິດ​ປົກກະຕິ​ຊ້ຳ​ໆ ເປັນ Pattern ເຊັ່ນ: ພົບ​ໄຟ​ລ໌​ອັນຕະລາຍ ​ທີ່​ເຄື່ອງ​ເດີມ​ຊ້ຳ​ໆ ເປັນ​ຕົ້ນ
  • ພົບ​ການ​ທົດລອງ​ໂຈມ​ຕີ ເຊັ່ນ: ພົບ​ການ​ປິດ​ໂປຣ​ແກຣມ​ປ້ອງ​ມັນ​ແວ​ໃນ​ເຄື່ອງ​ຈຳນວນ​ໜຶ່ງ ຊຶ່ງ​ອາດ​ເປັນ​ການຝຶກຊ້ອມ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ໄດ້

 

5.2.2   ການ​ວິ​ເຄາະ​ຢືນຢັນ​ເຫດ​ການເບື້ອງ​ຕົ້ນ Analysis 

ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສາມາດ​ກວດ​ສອບ​ວ່າ​ ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ດັ່ງ​ກ່າວ​ ເປັນ​ຊະນິດ​ໃດ ​ໄດ້​ດ້ວຍ​ການ​ສຳເນົາ​ຕົວ​ຢ່າງ​ຂອງ​ໄຟ​ລ໌ ທີ່​ຖືກ​ເຂົ້າລະ​ຫັດ​ ຊຶ່ງ​ມີ​ຂໍ້​ມູນ​ທີ່​ບໍ່​ເປັນ​ຄວາມ​ລັບ ແລະ​ ສຳເນົາ​ໄຟ​ລ໌​ຂໍ້ຄວາມ​ຮຽກ​ຄ່າ​ໄຖ່ (Ransomware Notes) ຈາກ​ນັ້ນ​ກໍ່ສາມາດກວດ​ສອບ​ສາຍ​ພັນ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ຜ່ານ​ທາງ​ບໍລິການ​ຟ​ຣີ ID Ransomware ຫຼື https://www.nomoreransom.org/ ຊຶ່ງ​ຈະ​ກວດ​ສອບ​ປະ​ເພດ​ ແລະ ​ສາຍ​ພັນ​ຂອງ​ມັນ​ແວ​ຈາກ​ໄຟ​ລ໌​ຂໍ້ຄວາມ​ຮຽກ​ຄ່າ​ໄຖ່ ​ແລະ ​ໄຟ​ລ໌ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ

ຕົວ​ຢ່າງ​ຜົນ​ຈາກ https://id-ransomware.malwarehunterteam.com/

ຊຶ່ງ​ຊະນິດ​ຂອງ ransomware ສາມາດ​ຊ່ວຍ​ໃນ​ການ​ວິ​ເຄາະ ​ແລະ ​ຄົ້ນ​ຫາ​ຂໍ້​ມູນ​ເພິ່ມຕື່ມ ​ເພື່ອ​ຊ່ວຍ​ໃນ​ການ​ວິ​ເຄາະ ສືບ​ຫາ​ຂໍ້​ມູນ ລວມ​ເຖິງ​ຊ່ວຍ​ປະ​ເມີນ​ຄວາມ​ສ່ຽງ​ ທີ່ກ່ຽວກັບ​ປະ​ເດັນ​ການ​ລັກ​ຂໍ້​ມູນ​ໄດ້ ລວມ​ເຖິງ​ໃນ​ບາງເທື່ອ ​ອາດ​ມີ​ການເຮັດ​ເຄື່ອງ​ມື​ ເພື່ອ​ຖອດ​​ຫັດ​ໂດຍ​ບໍ່​ຕ້ອງ​ຈ່າຍ​ຄ່າ​ໄຖ່​ແລ້ວ.

ນອກ​ຈາກ​ການ​ວິ​ເຄາະ​ເບື້ອງ​ຕົ້ນ​ແລ້ວ ຄວນ​ມີ​ການ​ວິ​ເຄາະ​ເຊີງ​ເລິກ​ເພື່ອ​ລະ​ບຸ​ຂອບ​ເຂດ​ຄວາມ​ເສຍ​ຫາຍ​ຢ່າງ​ຊັດເຈນ ໂດຍ​ອາດ​ເຮັດ​ຫຼັງ​ຈາກ​ທີ່​ຄວບ​ຄຸມ​ການ​ແຜ່ກະ​ຈາຍ​ໄດ້​ແລ້ວ

5.3  ການ​ຄວບ​ຄຸມ, ກຳຈັດ ແລະ ​ຟື້ນ​ຟູ​ລະບົບ​ຈາກໄ​ພ​ຄຸກ​ຄາມ (Containment Eradication & Recovery)

5.3.1   ການ​ຄວບ​ຄຸມ​ໄພ​ຄຸກ​ຄາມ Containment 

  • ຄວນ​ຕັດ​ລະບົບ​ອອກຈາກ​ເຄືອ​ຂ່າຍ ເພື່ອ​ປ້ອງ​ກັນ​ການ​ແຜ່​ກະ​ຈາຍ​ໃນ​ລະບົບ​ເຄືອ​ຂ່າຍ ຫຼື ​ການ​ຕິດ​ຕໍ່ໄປ​ຍັງ​ເຄື່ອງ​ພາຍນອກ​ ທີ່​ເປັນ​ອັນຕະລາຍ  ໂດຍ​ສາມາດ​ດຳ​ເນີນ​ການ​ໄດ້​ຄື:
    • ຈາກ​ລະບົບ​ປະຕິບັດການ ເຊັ່ນ: ປິດ​ການ​ໃຊ້​ງານ​ລະບົບ​ເຄືອ​ຂ່າຍ​ຊົ່ວ​ຄາວ
    • ທາງ​ກາຍ​ະພາບ​ໂດຍ​ກົງ ເຊັ່ນ: ການ​ຖອດ​ສາຍ​ແລນ
    • ຫຼື ​ຈາກ​ຜະລິດຕະພັນ Endpoint Detection and Response (EDR) ທີ່​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ Containment
  • ປ່ຽນ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ລະບົບ​ທັງ​ໝົດ ໂດຍ​ສະເພາະ​ລະ​ຫັດ​ຜ່ານ​ ທີ່​ໃຊ້​ຊ້ຳ​ກັບ​ລະບົບ​ທີ່​ພົບ ransomware
  • ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ເຂົ້າ​ດຳ​ເນີນ​ການ​ສຳ​ຮອງ​ຂໍ້​ມູນ ​ທີ່​ຖືກ​ເຂົ້າລະ​ຫັດ​ໄວ້​ໃນ​ກໍລະນີ​ທີ່​ອາດ​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ໃນ​ການ ​ທີ່​ຈະ​ຖອດ​ລະ​ຫັດ​ໄຟ​ລ໌ ແລະ ​ຂໍ້​ມູນ​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ໃນ​ອະນາຄົດ ທັງ​ນີ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ຮຽນ​ຮູ້​ວິທີ​ການ​ໃນ​ການ​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ ຊຶ່ງ​ອາດ​ມີ​ຂໍ້​ມູນ ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ກະ​ແຈ​ທີ່​ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຫຼົງ​ເຫຼືອ​ຢູ່​ດ້ວຍ
  • ອາດ​ພິຈາລະນາ​ການ​ຈັດ​ເກັບ​ຫຼັກ​ຖານ​ດິ​ຈິ​ຕອນ​ຈາກ​ເຄື່ອງ​ຄອມພິວເຕີ​ ທີ່​ຕິດ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ເພື່ອ​​ກວດ​ສອບ​ຕື່ມ​ໃນ​ອະນາຄົດ ຊຶ່ງ​ການ​ຈັດ​ເກັບ​ຫຼັກ​ຖານ​ດິ​ຈິ​ຕອນ​ດັ່ງ​ກ່າວ ​ຄວນ​ເກັບ​ຕາມມາດຕະຖານການຈັດການອຸປະກອນ​ດິ​ຈິ​ຕອນໃນການພິສູດພະຍານຫຼັກຖານ version1.0 

5.3.2   ການ​ກຳຈັດ​ໄພ​ຄຸກ​ຄາມ Eradication 

ເມື່ອ​ມີ​ການ​ວິ​ເຄາະ​ ​ເພື່ອ​ລະ​ບຸ​ຂອບ​ເຂດ​ຄວາມ​ເສຍ​ຫາຍ​ຢ່າງ​ຊັດເຈນ ສາມາດ​ລະ​ບຸ​ໄຟ​ລ໌ ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ ransomware ທັງ​ໝົດ​ໄດ້​ແລ້ວ ອົງ​ກອນ​ຈະ​ສາມາດ​ຕັດ​ສິນ​ໃຈ​ໃນ​ການ​ກຳຈັດໄ​ພ​ຄຸກ​ຄາມ​ໄດ້​ທັງ​ການ​ລົບ​ໄຟ​ລ໌ ​ທີ່​ກ່ຽວ​ຂ້ອງ​ທັງ​ໝົດ ຂື້ນ​ລະບົບ​ໃໝ່ ຫຼື ​ກູ້​ຄືນ​ຈາກ​ສຳ​ເນົາ​ຂໍ້​ມູນ​ທີ່​ບໍ່​ຕິດ​ເຊື້ອ

ທັງ​ນີ້​ບໍ່​ແນະ​ນຳ​ໃຫ້​ມີ​ການ​ໃຊ້​ງານ​ລະບົບ​ ທີ່​ມີ​ການ​ແຜ່​ກະ​ຈາຍ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຊ້ຳ​ ໂດຍ​ທີ່​ບໍ່​ມີ​ການ​ລ້າງ ແລະ ​ຕິດ​ຕັ້ງ​ລະບົບ​ໃໝ່ ​ເນື່ອງ​ຈາກ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ອາດ​ຍັງ​ເຮັດວຽກ​ຢູ່ ​ແລະ ​ແຜ່ກະ​ຈາຍ​ໄປ​ຍັງ​ລະບົບ​ອື່ນ​ໆ ໄດ້ ຫຼື ມີ​ການ​ຕິດ​ຕັ້ງ backdoor ຖິ້ມ​ໄວ້

5.3.3   ການ​ຟື້ນ​ຟູ​ລະບົບ​ຈາກ​ໄພ​ຄຸກ​ຄາມ Recovery 

ໃນ​ການ​ກູ້​ຄືນ​ລະບົບ ອົງ​ກອນ​ສາມາດ​ຕັດ​ສິນ​ໃຈ​ຟື້ນ​ຟູ​ລະບົບ​ໄດ້​ຕາມ​ປັດ​ໃຈ ​ທີ່​ພົບ​ຈາກ​ການ​ວິ​ເຄາະ​ຄວາມ​ເສຍ​ຫາຍ ອາດ​ເປັນ

  • ການ​ນຳ​ສຳ​ເນົາ​ຂໍ້​ມູນ​ມາ​ຮຽກ​ຄືນ​ລະບົບ​ໄດ້​ຫຼັງ​ຈາກ​ ທີ່​ມີ​ການ​ຕິດ​ຕັ້ງ​ລະບົບ​ໃໝ່
  • ການ​ຖອດ​ລະ​ຫັດ​ດ້ວຍ​ເຄື່ອງ​ມື​ຖອດ​ລະ​ຫັດ ID Ransomware ຫຼື https://www.nomoreransom.org/ 
  • ການ rebuild ລະບົບ​ໃໝ່​ທັງ​ໝົດ ຫຼື
  • ການ​ຈ່າຍ​ຄ່າ​ໄຖ່ (ບໍ່​ແນະ​ນຳ​ຢ່າງ​ຍິ່ງ)

ທີມ​ຕອບສະໜອງ​ການ​ໂຈມ​ຕີ​ ແລະ​ ໄພ​ຄຸກ​ຄາມ (Intelligent Response) ບໍລິສັດ ​ໄອ​-​ຊີ​ຄຽວ (i-secure) ຈຳ​ກັດ ບໍ່​ແນະ​ນຳ​ໃຫ້​ອົງ​ກອນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ ransomware ຈ່າຍ​ຄ່າ​ໄຖ່  ເນື່ອງ​ຈາກ​ເຫດຜົນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້:

  1. ບໍ່​ສາມາດ​ຮັບ​ປະ​ກັນ​ໄດ້​ວ່າ ​ຄົນ​ຮຽກ​ຄ່າ​ໄຖ່​ຈະ​ຖອດ​ລະ​ຫັດ​ໄຟ​ລ໌ໃຫ້​ຈິງແທ້ ອາດ​ພົບ​ການ​ຂົ່ມ​ຂູ່​ໃຫ້​ຈ່າຍ​ຄ່າ​ໄຖ່ຫຼາຍ​ຂື້ນ
  2. ມັນ​ແວ​ດັ່ງ​ກ່າວ ​ອາດ​ມີຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ ຫຼື ຖອດ​ລະ​ຫັດ​ ທີ່​ຜິດ​ພາດ​ຈົນ​ເຮັດໃຫ້​ບໍ່​ສາມາດ​ເຮັດໃຫ້ໄຟ​ລ໌ກັບ​ສູ່​ສະພາບ​ເດີມ​ໄດ້​ເຖິງຈ່າຍ​ຄ່າ​ໄຖ່ ​ແລະ ​ໄດ້ຮັບ​ຕົວ​ຖອດ​ລະ​ຫັດ​ຈາກ​ຜູ້​ໂຈມ​ຕີ
  3. ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ບໍ່​ຮັບປະກັນ​ວ່າ​ຜູ້​ໂຈມ​ຕີ​ຈະ​ລົບ​ຂໍ້​ມູນ​ທີ່​ລັກ​ໄປ ແລະ
  4. ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ເປັນ​ການ​ສະໜັບ​ສະໜູນ​ເງິນ​ທືນໃຫ້​ກັບ​ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ​ທຳການ​ໂຈມ​ຕີ​ຕໍ່ໄປ

ອົງ​ກອນຄວນ​ພິຈາລະນາ​ຢ່າງ​ຖີ່​ຖ້ວນ​ກ່ອນ​​ຈ່າຍ​ຄ່າ​ໄຖ່ ຄວນ​ມີ​ການ​ປືກ​ສາ​ຜູ້​ຊ່ຽວ​ຊານ, ທີ່​ປືກ​ສາ​ທາງ​ກົດ​ໝາຍ, ບໍລິສັດ​ປະ​ກັນໄ​ພ​ລວມເຖິງ​ໜ່ວຍ​ງານ​ທາງ​ກົດ​ໝາຍ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກ່ອນ​ຕັດ​ສິນ​ໃຈ ແລະ ຄວນ​ເຮັດ​ການສຶກສາ​ແນວ​ທາງ​ຈາກ Forrester's Guide To Paying Ransomware ຊຶ່ງ​ລະ​ບຸ​ແນວ​ທາງ​ການ​ປະ​ເມີນ​ສະຖານນະການ ລວມເຖິງ​ລະ​ບຸ​ຊື່​ບໍລິສັດ​ທີ່​ຊ່ຽວ​ຊານ​ໃນ​​ດ້ານການ​ຮັບ​ມື ransomware ລວມເຖິງ​ຊ່ຽວ​ຊານ​ໃນ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ໄວ້

ພາບ​ຈາກ Forrester's Guide To Paying Ransomware

ທັງ​ນີ້​ຫຼັງ​ຈາກ​ການ​ກູ້​ຄືນ​ລະບົບ​ດ້ວຍ​ວິທີ​ໃດ​ໆ ກໍ່​ຕາມ ຄວນ​ມີ​ການ​ເຝົ້າ​ລະ​ວັງ​ການ​ຕິດ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຊ້ຳອີກ​ດ້ວຍ

5.4  ກິດຈະກຳ​ຫຼັງ​ໄພຄຸກ​ຄາມ (Post- incident Activity) 

ອົງ​ກອນ​ຄວນ​ມີການ​ຈັດ​ປະ​ຊຸມ lesson learned ໂດຍ​ເປັນ​ການ​ທົບ​ທວນ​ເຫດການ​ລວມ​ເຖິງ​ການ​ເຮັດ​ລາຍ​ງານ​ສະຫຼູບ​ເຫດການ​ໄພ​ຄຸກ​ຄາມ​ ເພື່ອ​ໃຊ້​ອ້າງ​ອິງ​ໃນ​ອະນາຄົດ ຊຶ່ງ​ອາດ​ປະກອບ​ດ້ວຍ​ຫົວຂໍ້​ເຫຼົ່າ​ນີ້

  • ລາຍ​ລະອຽດ​ເຫດການ
  • ເວລາ​ທີ່​ເກີດ​ເຫດການ
  • ບຸກຄະລາກອນຕອບສະໜອງ​ເຫດການ​ແນວໃດ
  • ມີ​ການ​ບັນ​ທຶກ​ຂໍ້​ມູນ​ລະຫວ່າງ​ການ​ຕອບສະໜອງ​ເຫດການ​ ຫຼື ​ບໍ່
  • ແຜນ​ການ​ຮັບ​ມື ​ທີ່​ສ້າງ​ໄວ້​ສາມາດ​ໃຊ້​ໄດ້​ຈິງ​ແທ້ ຫຼື ​ບໍ່
  • ສິ່ງ​ທີ່​ພົບ ​ແລະ ​ຂໍ້​ສະເໜີ
  • ຜົນ​ໄດ້ຮັບ​ຈາກ​ການ​ດຳ​ເນີນ​ການ​ຮັບ​ມື ​ແລະ​ ແກ້​ໄຂ​ເຫດ​ໄພ​ຄຸກ​ຄາມ ເປັນ​ຕົ້ນ

ເອກະສານອ້າງອີງ 

  1. https://www.forrester.com/report/Forresters+Guide+To+Paying+Ransomware/-/E-RES154595
  2. https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
  3. https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/
  4. https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report
  5. https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/
  6. https://www.zdnet.com/article/why-and-when-it-makes-sense-to-pay-the-ransom-in-ransomware-attacks/
  7. https://assets.sentinelone.com/ransom/sentinalone_understa?lb-mode=overlay
  8. https://us-cert.cisa.gov/ncas/tips/ST19-001
  9. https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks#stepsifinfected