Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ບົດຄວາມ

ຮູ້ຈັກ ແລະ ຮັບມື Ransomware

ທີມ​ຕອບສະໜອງ​ການ​ໂຈມ​ຕີ ​ແລະ​ ໄພ​ຄຸກ​ຄາມ (Intelligent Response) ຈາກ ບໍລິສັດ ​ໄອ​-​ຊີ​ຄຽວ       (i-secure) ຈຳ​ກັດ ຂໍ​ນຳ​ສະເໜີ​ຂໍ້​ມູນ​ກ່ຽວກັບ Ransomware ໃນ​ປັດຈຸບັນລວມເຖິງ​ວິທີ​ການ​ຮັບ​ມື ໂດຍ​ແບ່ງ​ຕາມ​ຫົວຂໍ້​ຕໍ່ໄປ​ນີ້

  • Ransomware ແມ່ນຫຍັງ?
  • ຮູ້​ຈັກ human-operated ransomware
  • ສະ​ຖິ​ຕິ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020
  • ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່
  • ການ​ຮັບ​ມື​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່

1.  Ransomware ແມ່ນຫຍັງ? 

Ransomware ຫຼື ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ເປັນ​ມັນ​ແວ ​​ທີ່​ເມື່ອ​ແຜ່ກະ​ຈາຍ​ໄປ​ຍັງ​ເຄື່ອງ​ເຫຍື່ອ​ປາຍ​ທາງ​ຈະ​​ເຂົ້າ​ລະຫັດ​ໄຟ​ລ໌ ຫາກ​ຜູ້​ໃຊ້​ງານ​ຕ້ອງ​ການ​ຈະ​ເຂົ້າ​ເຖິງ​ໄຟ​ລ໌ ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ ຈຳ​ເປັນ​ຕ້ອງ​ຈ່າຍ​ຄ່າ​ໄຖ່​ໃຫ້​ກັບ​ຜູ້​ໂຈມ​ຕີ ຊຶ່ງ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ດັ່ງ​ກ່າວ ​ບໍ່​ຮັບປະກັນການ​ໄດ້ຮັບ​ໄຟ​ລ໌​ຄືນ ເຫຍື່ອ​ອາດ​ພົບ​ການ​ຂົ່ມ​ຂູ່​ໃຫ້​ຈ່າຍ​ຄ່າ​ໄຖ່​ຫຼາຍ​ຂຶ້ນ​ ຫຼື ມັນ​ແວ​​ດັ່ງ​ກ່າວ​ ອາດ​ມີຂະ​ບວນ​ການ​ເຂົ້າ​ລະຫັດ​ ຫຼື ​ຖອດ​ລະ​ຫັດ ​ທີ່​ຜິດ​ພາດ​ຈົນ​ເຮັດໃຫ້​ບໍ່​ສາມາດເຮັດໃຫ້ໄຟ​ລ໌ກັບສູ່ໃນ​ສະພາບ​ເດີມ​ໄດ້.

ປະຫວັດ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ສາມາດ​ຍ້ອນ​ກັບ​ໄປ​ໄດ້​ເຖິງ​ຊ່ວງ​ປີ 1989 โດຍ​ປັດຈຸບັນ​ ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ ​ຜູ້​ໂຈມ​ຕີ​ທີ່​ຢູ່​ເບື້ອງ​ຫຼັງ​ການ​ໂຈມ​ຕີ​ມີ​ການ​ພັດທະນາ​ໄປ​ຢ່າງ​ຫຼາຍ ເປົ້າ​ໝາຍ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ບໍ່​ສະເພາະ​ເຈາະ​ຈົ່ງ​ແຕ່ເຄື່ອງ​ຄອມພິວເຕີ​ອີກ​ຕໍ່ໄປ ມີ​ການ​ພົບມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ມຸ່ງ​ໂຈມ​ຕີໂທລະສັບມືຖື android ແລະ ​ມີມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ມຸ່ງ​ໂຈມ​ຕີ NAS ອີກດ້ວຍ.

2.  ຮູ້​ຈັກ human-operated ransomware 

ເມື່ອ​ເດືອນ​ມີ​ນາ​ 2020 ທີ່​ຜ່ານມາ Microsoft ອອກ​ບົດ​ຄວາມ Human-operated ransomware attacks: A preventable disaster ຊຶ່ງເວົ້າ​ເຖິງ​ການ​ນິ​ຍາມ Ransomware ເປັນ​ສອງ​ແບບ​ຄື: Auto-spreading ransomware ຢ່າງ Wannacry ທີ່​ມີ​ຄວາມ​ສາມາດ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ໃນ SMBv1 ໂດຍອັດຕະໂນມັດ ແລະ human-operated ransomware ທີ່​ມີ​ມະນຸດ​ຢູ່​ເບື້ອງ​ຫຼັງ ເປັນ​ການ​ໂຈມ​ຕີ​ ທີ່​ມີ​ກາ​ນວາງ​ແຜນ ມີ​ການ​ພຸ່ງ​ເປົ້າ​ໂຈມ​ຕີ​ຢ່າງ​ຊັດເຈນ​ໄປ​ຍັງ​ອົງ​ກອນ​ຕ່າງ​ໆ ໂດຍ​ມຸ່ງ​ຫວັງ​ໃຫ້​ເກີດ​ລາຍ​ໄດ້​ສູງ​ສຸດ.

ໃນ​ການ​ມຸ່ງ​ຫວັງ​ໃຫ້​ເກີດ​ລາຍ​ໄດ້​ສູງ​ສຸດ​ຂອງ human-operated ransomware ນັ້ນ ຜູ້​ໂຈມ​ຕີ​ຈະ​ມີ​ກາ​ນວາງ​ແຜນ​ໂຈມ​ຕີ​ອົງ​ກອນ​ຫຼາຍກວ່າ​ການ​ໂຈມ​ຕີ​ເຫຍື່ອ​ລາຍ​ບຸກ​ຄົນ ​ເພາະ​ອົງ​ກອນ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ຈ່າຍ​ເງີນ​ສູງ​ກວ່າ ສາມາດ​ຮຽກ​ຄ່າ​ໄຖ່​ໄດ້​ຫຼາຍກວ່າ​ເຫຍື່ອ​ລາຍ​ບຸກ​ຄົນ ມີ​ການ​ໃຊ້​ເຕັກ​ນິກ​ຕ່າງ​ໆ ເພື່ອ​ຊ່ວຍ​ໃນ​ການ​ໂຈມ​ຕີ ບໍ່​ວ່າ​ຈະ​ເປັນການຊື້ credential ຈາກຕະຫຼາດມືດ, ການ​ໃຊ້ spearphishing email, ການ​ໃຊ້​ໂປຣ​ແກຣມ​ ທີ່​ມີ​ຢູ່​ໃນ​ເຄື່ອງ​ແລ້ວ​ ເພື່ອ​ບໍ່​ໃຫ້​ຜິດ​ສັງເກດ (Living Off The Land) ຫຼື ​ເຕັກ​ນິກ​ອື່ນ​ໆ ຕາມ​ຄວາມ​ສາມາດ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ເຫຼົ່າ​ນັ້ນ.

ທັງ​ນີ້​ຜູ້ໂຈມ​ຕີ​ ທີ່​ເລືອກ​ໃຊ້ Ransomware ບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ພັດທະນາ​ມັນ​ແວ​ ຫຼື ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ໂຈມ​ຕີ ເພາະ​ໃນ​ປັດຈຸບັນ​ ມີ​ສິ່ງ​ທີ່​ຮຽກວ່າ Ransomware-as-a-service (RaaS) ຊຶ່ງ​ປະກອບ​ໄປ​ດ້ວຍ​ຕົວ ransomware, ລະບົບ​ຈັດການ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່, ວິທີ​ການ​ໂຈມ​ຕີ​ ເພື່ອ​ວາງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ແລະ​ ສິ່ງ​ຈຳ​ເປັນ​ອື່ນ​ໆ ທີ່​ກ່ຽວ​ຂ້ອງ ໂດຍ​ຜູ້​ໃຊ້ RaaS ອາດ​ຈ່າຍ​ຄ່າ​ບໍລິການ​ເປັນ​ການ​ແບ່ງ​ລາຍ​ໄດ້​ຈາກ​ການ​ຮຽກ​ຄ່າ​ໄຖ່​ ໃຫ້​ກັບ​ຜູ້​ໃຫ້​ບໍລິການ.

ຕັ້ງ​ແຕ່​ປີ 2019 ເປັນ​ຕົ້ນ​ມາ human-operated ransomware ເລີ່ມຕົ້ນໂດຍ Maze ມີການພັດທະນາເຕັກນິກ ເພື່ອຮັບປະກັນໃຫ້ອົງກອນ​ຈ່າຍເງິນດ້ວຍການລັກຂໍ້ມູນກ່ອນຈະປ່ອຍມັນແວເຂົ້າລະຫັດໄຟ​ລ໌ ເພື່ອ​ຂົ່ມ​ຂູ່​ໃຫ້​ອົງ​ກອນ​ຍອມ​ຈ່າຍ​ເງີນ ບໍ່​ດັ່ງ​ນັ້ນ Maze ຈະ​ກໍ່ການ​ປ່ອຍ​ຂໍ້​ມູນ​ສູ່​ສາທາລະນະ ຊຶ່ງ​ຄ່າ​ປັບ​ຈາກ​ກົດ​ໝາຍ​ ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ຂໍ້​ມູນ​ສ່ວນ​ບຸກ​ຄົນ​ ຫຼື ​ຜົນ​ກະທົບ​ອື່ນ​ໆ ຈາກ​ຂໍ້​ມູນ​ຣົ່ວ​ໄຫຼ ​ອາດ​ສູງ​ກວ່າ​ຄ່າ​ໄຖ່.

ຍຸດທະສາດຂອງ Maze ຖື​ວ່າ​​ປະ​ສົບ​ຜົນ​ສຳ​ເລັດ​ເປັນ​ຢ່າງ​ຫຼາຍ ເພາະ​ມີ​ອົງ​ກອນ ​ທີ່​ສາມາດ​ກູ້​ຄືນ​ລະບົບ​ຈາກ​ເຂົ້າ​ລະຫັດໄຟ​ລ໌​ໄດ້ ແຕ່ຍ​ອມ​ຈ່າຍ​ເງີນ​ຄ່າ​ໄຖ່​ ເພື່ອ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ລົບ​ໄຟ​ລ໌ ​ທີ່​ລັກ​ອອກ​ໄປ ເຮັດໃຫ້​ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ​ອື່ນ​ໆ ຫັນ​ມາ​ລັກ​ຂໍ້​ມູນ​ກ່ອນ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌ເຊັ່ນ​ກັນ.

ສ​ະຖິ​ຕິ​ຈາກ DarkTracer ລວບລວມ​ເຫຍື່ອ ​ທີ່ພົບຢູ່ໃນ​ໜ້າ​ປ່ອຍ​ຂໍ້​ມູນ​ຂອງ ransomware ແຕ່​ລະ​ຊະນິດ https://twitter.com/darktracer_int/status/1301763449194598400/photo/1

ໂດຍ​ເຫຍື່ອ​ລ່າ​ສຸດ​ ທີ່​ມີ​ຂ່າວ​ວ່າຍ​ອມ​ຈ່າຍ​ເງີນ​ເຖິງ​ກູ້​ຄືນ​ລະບົບ​ໄດ້​ຄື ມະຫາວິທະຍາໄລ Utah ອ້າງວ່າຖືກໂຈມຕີດ້ວຍມັນແວຮຽກຄ່າໄຖ່ ສາ​ມາ​ດ​ກູ້​ຄືນ​ລະບົບ​ໄດ້ ແຕ່​ຈ່າຍ​ຄ່າ​ໄຖ່​ໂດຍ​ໃຊ້​ວົງ​ເງີນ​ຈາກ​ບໍລິສັດ​ປະ​ກັນ ເພື່ອ​ປ້ອງ​ກັນ​ບໍ່​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ທຳການ​ປ່ອຍ​ຂໍ້​ມູນ​ນັກ​ສຶກ​ສາ​ ແລະ ບຸກຄະລາກອນ​ ເມື່ອ​ວັນທີ 21 ສິງ​ຫາ​ 2020 ທີ່​ຜ່ານມາ ຊຶ່ງ​ຜູ້​ຊ່ຽວ​ຊານ​ວິ​ເຄາະ​ວ່າ​ ອາດ​ຈະ​ເປັນ​ຜົນ​ງານ​ຂອງ NetWalker ransomware.

3.  ສະ​ຖິ​ຕິ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020 

Coveware ຊຶ່ງ​ເປັນ​ບໍລິສັດ​ ທີ່​ຊ່ຽວ​ຊານ​ໃນ​ການ​ຮັບ​ມື​ກັບ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ​ອອກ​ລາຍ​ງານ​ວິ​ເຄາະ​ປະຈຳໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020 Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase ຊຶ່ງ​ມີ​ຈຸດ​ໜ້າ​ສົນ​ໃຈ​ຫຼາຍ​ຢ່າງ ໄດ້​ແກ່:

  • ຄ່າ​ລະເລ່ຍ​ຂອງ​ຄ່າ​ໄຖ່​​ໃນ​ໄຕ​ມາດ​ທີ່ 2 ຂອງ​ປີ 2020 ຢູ່​ທີ່ 178,254 US ດອນ​ລາ
  • ຊ່ອງ​ທາງ​ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ ມາ​ຈາກ RDP ສູງ​ສຸດ ຕາມ​ດ້ວຍ Email Phishing ແລະ ​ຊ່ອງ​ໂຫວ່ ​ທີ່​ບໍ່​ໄດ້ຮັບ​ການແພັດ (Patch)​ ສອດຄ່ອງກັບ​ການ Work From Home ທີ່​ເພີ່ມ​ຂຶ້ນ ເຮັດໃຫ້​ມີ​ອົງ​ກອນ ທີ່​ເປີດ​ການ​ໃຊ້​ງານ RDP ຫຼາຍ​ຂຶ້ນ.

ຊ່ອງທາງເລີ່ມຕົ້ນການໂຈມຕີຂອງ  ransomware https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

  • ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ທີ່​ເຮັດ​ເງີນ​ໄດ້​ຫລາຍ​ທີ່ສຸດ 3 ອັນ​ດັບ​ຄື Sodinokibi, Maze ແລະ Phobos

ໂດຍ​ໃນ​ລາຍ​ງານ​ດັ່ງ​ກ່າວ Coveware ຍັງ​ລະ​ບຸ​ວ່າ ​ເປົ້າ​ໝາຍ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ພຸ່ງ​ໄປ​ທີ່​ອົງ​ກອນ​ປະ​ເພດ Professional Service ຫຼາຍ​ທີ່ສຸດ ຕາມ​ດ້ວຍ Public Sector ແລະ ​ມີ​ປະ​ເພດ Health Care ເປັນ​ອັນ​ດັບ​ທີ່ 3

ສະຖິຕິເປົ້າໝາຍຂອງມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ແບ່ງຕາມປະເພດທຸລະກິດ https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report

ຊຶ່ງ​ເຖິງ​ແມ່ນ​ວ່າ ​ຈະ​ມີມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ຫຼາຍໆກຸ່ມຈະປະກາດຢຸດໂຈມຕີ ກຸ່ມ Health Care ໃນຊ່ວງ COVID-19 ແຕ່​ບໍ່​ແມ່ນ​ທັງ​ໝົດ ເນື່ອງ​ຈາກ​ກຸ່ມ Health Care ມັກ​ຈະ​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ​ການ​ຢຸດ​ໃຫ້​ບໍລິການ​ຢ່າງ​ຫຼາຍ ຈຶ່ງ​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ ທີ່​ຈະ​ຈ່າຍ​ຄ່າ​ໄຖ່​ສູງ.

4.  ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຂອງ ransomware 

ການ​ໂຈມ​ຕີ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ລວມ​ເຖິງ​ຜູ້​ໂຈມ​ຕີ​ ທີ່​ຢູ່​ເບື້ອງ​ຫຼັງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ນັ້ນ​ ມີ​ຄວາມ​ຫຼາກ​ຫຼາຍ ​ແລະ ​ແຕກ​ຕ່າງ​ກັນ​ໄປ​ຕາມ​ແຕ່​ລະ​ຊະນິດ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ເຮັດໃຫ້​ຍາກ​ຕໍ່​ການ​ຫາ “ວິທີ​ການ​ດຽວ​ ທີ່​ໄດ້​ຜົນ” ໃນ​ການ​ໃຊ້​ ເຄື່ອງ​ມື ຫຼື ​ວິທີ​ການ​ໃດ​ວິທີ​ການ​ໜຶ່ງ​ພຽງ​ຢ່າງ​ດຽວ​ ໃນ​ການ​ຮັບ​ມື​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ທັງ​ໝົດ ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ວິທີ​ປ້ອງ​ກັນ​ຮ່ວມ​ກັນ​ຫຼາຍ​ຢ່າງ (Defense in depth) ໃນ​ການ​ປ້ອງ​ກັນ​ດັ່ງ​ກ່າວ.

ພາ​ບລວມ​ຂອງ​ການ​ໂຈມ​ຕີ​ດ້ວຍ ransomware ຈາກ https://assets.sentinelone.com/ransom/sentinalone_understa?lb-mode=overlay

ສະຖານະການ​ ການ​ໂຈມ​ຕີ​ຈາກ ransomware ອາດ​ເປັນ​ໄດ້​ທັງ 

  • ຜູ້​ໂຈມ​ຕີ​ສົ່ງ Phishing ໃຫ້​ເຫຍື່ອ​ເປັນ​ອີ​ເມວ​ ທີ່​ມີ​​ໄຟ​ລ໌ເອກະສານ​ແນບ​ມາ ເຫຍື່ອ​ຫຼົງ​ເຊື່ອ​ແລ້ວ​​ເປີດ​ເອກະສານ ມີ​ການ enable content ເພື່ອ​ເບິ່ງ​ເນື້ອໃນ ເຮັດໃຫ້ macro ທີ່​ຖືກ​ຊ່ອນ​ໄວ້​ເຮັດວຽກ​ຮຽກ​ໃຊ້ powershell       ເ​ພື່​ອ​ດາວ​ໂຫຼດ​ມັນ​ແວ​ຂັ້ນ​ຕໍ່ໄປ​ມາຈົນກວ່າ​ເອີ້ນໃຊ້​ມັນ​ແວຮຽກ​​​ຄ່າ​ໄຖ່​ເຂົ້າລະ​ຫັດ​ລະບົບ

ຕົວ​ຢ່າງ​ອີ​ເມວ phishing ທີ່​ສົ່ງ​ໂດຍ Maze ransomware ຈາກ https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

  • ສະ​ແກນ​ຫາ​ເຄື່ອງ​ເ​ຊິ​ເວີ​ ທີ່​ມີ​ການ​ເປີດ RDP ໄວ້ ຜູ້​ໂຈມ​ຕີ brute force ເພື່ອ​ເຂົ້າ​ເຖິງ RDP ຊຶ່ງ​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ໂຈມ​ຕີ​ສຳ​ເລັດ ໄດ້​ບັນ​ຊີ​ຜູ້​ໃຊ້​ລະ​ດັບ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ທີ່​ມີ​ສິດ​ສູງ ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ໃຊ້​ບັນ​ຊີ​ເຫຼົ່າ​ນັ້ນ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ເຄື່ອງ​ໄດ້ ເນື່ອງ​ຈາກ​ມີ​ສິດ​ສູງ ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ປິດ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ຕ່າງ​ໆ, ທຳການ​ລັກ​ຂໍ້​ມູນ credential, ​ລັກ​ຂໍ້​ມູນ​ສຳຄັນ​ໃນ​ເຄື່ອງ, ຕິດ​ຕັ້ງ backdoor ເພື່ອ​ໃຫ້​ສາມາດ​​ຢູ່ໃນ​ລະບົບ​ຕໍ່​ໂດຍ​ງ່າຍ ຈາກນັ້ນກໍ່ຍ້າຍໄປເຄື່ອງອື່ນໆ​ ທີ່​ຢູ່ໃນ​ອົງ​ກອນ​ດຽວ​ກັນ ລົບ backup ຖິ້ມ ເລືອກ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ໃນ​ກາ​ນ ວາງ​ມັນ​ແວ​ ຈາກ​ນັ້ນ​ຮຽກ​ໃຊ້​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ເຂົ້າ​ສູ່​ລະບົບ​ທັງ​ໝົດ ເປັນ​ຕົ້ນ.

ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີ​ຂອງ Doppelpaymer ຈາກ https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/

5.  ການ​ຮັບ​ມື​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ 

ອ້າງ​ອິງ​ຈາກ​​ຂັ້ນ​ຕອນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ NIST Special Publication 800-61 Revision 2 Computer Security Incident Handling Guide (NIST SP 800-61 Rev. 2)

ວົງຈອນ​ຂະ​ບວນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ (Incident Response Life Cycle) ຈາກ https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

ໂດຍຂັ້ນ​ຕອນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ ​ໄດ້​ນິຍາມຂະ​ບວນ​ການ​ຮັບ​ມື​ໄພ​ຄຸກ​ຄາມ​ເປັນວົງຈອນ 4 ຂັ້ນ​ຕອນ ດັ່ງ​ນີ້:

  1. ການ​ກຽມ​ຄວາມ​ພ້ອມ (Preparation)
  2. ການ​ກວດ​ຈັບ​ ແລະ​ ການ​ວິ​ເຄາະ​ຢືນຢັນ​ເຫດ (Detection & Analysis)
  3. ການ​ຄວບ​ຄຸມ ກຳຈັດ ແລະ ​ຟື້ນຟູລະບົບຈາກໄພ​ຄຸກ​ຄາມ (Containment Eradication & Recovery)
  4. ກິດຈະກຳ​ຫຼັງ​ໄພ​ຄຸກ​ຄາມ (Post- incident Activity)

5.1  ການ​ກຽມ​ຄວາມ​ພ້ອມ (Preparation) 

  • ມີ​ການຝຶກ​ອົບຮົມ ​ແລະ ​ປະ​ເມີນ​​ຄວາມ​ພ້ອມ​ໃນ​ການ​ຮັບ​ມື​ ແລະ ​ຕອບສະໜອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຢ່າງ​ສະ​ໝ່ຳສະເໝີ ລວມໄປ​ເຖິງ​ການສ້າງຈິດສຳນຶກໃຫ້ແກ່ບຸກຄະລາກອນພາຍໃນອົງກອນ
  • ມີ​ການ​ຈັດ​ກຽມ​ທີມໃນ​ການ​ຮັບ​ມື ​ແລະ ​ຕອບສະໜອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດໄ​ພ ໂດຍ​ອາດ​ຢູ່ໃນ​ຮູບ​ແບບ​ຂອງ virtual team ທີ່​ສາມາດ​ຂໍ​ຄວາມ​ຊ່ວຍ​ເຫຼືອ​ໄດ້​ເມື່ອ​ເກີດ​ບັນຫາ ຊຶ່ງ​ນອກ​ຈາກ​ຜູ້​ຊ່ຽວ​ຊານ​ທາງ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ​ແລະ ​ລະບົບ​ຄອມພິວເຕີ​ແລ້ວ ທີມ​ຄວນ​ປະກອບ​ດ້ວຍ​ຝ່າຍ​ກົດໝາຍ, ຝ່າຍຊັບພະຍາກອນມະນຸດ, ປະຊາສຳພັນ ແລະ ນະໂຍບາຍ ອີກດ້ວຍ
  • ມີ​ການ​ຈັດກຽມ​ຊ່ອງ​ທາງ​ໃນ​ການ​ແຈ້ງ​ຄວາມ​ຜິດ​ປົກກະຕິ​ຂອງ​ລະບົບ​ຢ່າງ​ມີປະສິດຕິ​ພາບ ເພື່ອ​ຊ່ວຍ​ໃນ​ການ​ກວດ​ຈັບໄ​ພ​ຄຸກ​ຄາມທາງໄຊເບີ
  • ສຶກ​ສາ​ຂໍ້​ມູນ​ກ່ຽວກັບ​ການ​ປະ​ກັນ​ໄພ ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ໄພ​ຄຸກ​ຄາມ​ທາງ​ໄຊ​ເບີ
  • ມີ​ການ​ພັດທະນາ​ແຜນ​ຮັບ​ມື​ ແລະ​ ຕອບສະໜອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດໄ​ພ ໂດຍ​ອາດ​ປະກອບ​ໄປ​ດ້ວຍ
    • ໃນ​ກໍລະນີ​ທີ່​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພຂື້ນ​ແລ້ວ ເງື່ອນ​ໄຂ​ໃດ​ຂອງ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ທີ່​ຈະ​ບັງຄັບ​ໃຫ້​ອົງ​ກອນນັ້ນ​ແຈ້ງ​ຕໍ່​ໜ່ວຍ​ງານ​ຜູ້​ບັງຄັບ​ໃຊ້​ກົດໝາຍ ເຊັ່ນ: ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ນັ້ນ​ສົ່ງ​ຜົນ​ກະທົບ​ຕໍ່​ສາທາລະນະ ຫຼື ມີ​ການ​ຮົ່ວ​ໄຫຼ​ຂອງ​ຂໍ້​ມູນ​ ທີ່​ຕ້ອງ​ປະຕິບັດ​​ຕາມກົດໝາຍ ວ່າດ້ວຍການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ
    • ກຳນົດ​ສາຍ​ການ​ບັງຄັບ​ບັນ​ຊາ​ ແລະ ​ຜູ້​ຮັບ​ຜິດຊອບ​ຕໍ່​ລະບົບ​ແຕ່​ລະ​ລະບົບ​ ເມື່ອ​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ຢ່າງ​ຊັດເຈນ
    • ມີ​ແຜນ​ໃນ​ການ​ຕິດ​ຕໍ່​ ແລະ ​ປະ​ສານ​ງານກັບ​ຜູ້​ທີ່​ກ່ຽວ​ຂ້ອງ​ ເມື່ອ​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ​ຢ່າງ​ເໝາະ​ສົມ, ການ​ຕິດ​ຕໍ່​ກັບ​ຫຸ້ນ​ສ່ວນ​ທາງ​ທຸລະກິດ, ພະ​ນັກ​ງານ​ພາຍ​ໃນ​ບໍລິສັດ ຫຼື​ ຜູ້​ໃຊ້​ບໍລິການ ເປັນ​ຕົ້ນ
  • ການ​ຈັດ​ກຽມ​ຂໍ້​ມູນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​ ເພື່ອ​ອຳ​ນວຍ​ຄວາມສະດວກ ​ຫາກ​ເກີດ​ເຫດການ​ດ້ານ​ຄວາມ​ປອດ​ໄພ ເຊັ່ນ:
    • ເອກະສານ​ ທີ່​ອະທິບາຍ​ເຖິງ​ການ​ເຊື່ອມ​ຕໍ່​ພາຍ​ໃນ​ລະບົບ ທີ່​ລະ​ບຸ​ເຖິງ​ອຸປະກອນ ​ທີ່​ມີ​ຄວາມ​ສຳຄັນ ໝາຍ​ເລກ​ IP address ​ແລະ​ ເຄືອ​ຂ່າຍ​ເນັດ​ເ​ວິກ
    • ຂັ້ນ​ຕອນ​ໃນການ​ຕັ້ງ​ຄ່າ​ ແລະ ​ຈັດການ​ລະບົບ​ປັດຈຸບັນ ໂດຍລະ​ບຸ​ເຖິງ​ການ​ເຊື່ອມ​ຕໍ່ ການຕັ້ງ​ຄ່າ​ທີ່​ສຳຄັນ ​ເພື່ອ​ໃຊ້​ໃນ​ການ​ກູ້​ຄືນ​ລະບົບ
    • ໄຟ​ລ໌​ອິເມດ​ສຳ​ຮອງ (image) ​ສຳລັບ​ລະບົບ​ປະຈຸບັນ​ ເພື່ອ​ໃຊ້​ໃນ​ການ​ກູ້​ຄືນ​ຂໍ້​ມູນ ແລະ ​ການ​ວິ​ເຄາະ ​ເພື່ອ​ລະ​ບຸ​ຫາ​ໄພຄຸກ​ຄາມ
    • ລະ​ຫັດ​ຜ່ານ​ ແລະ ​ຊ່ອງ​ທາງ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ໃນ​ກໍລະນີ​ສຸກ​ເສີນ​ ເພື່ອ​ຮັບ​ມື​ ແລະ​ ຕອບສະໜອງ
  • ອົງ​ກ​ອນຄວນ​ມີ​ການ​ສຳ​ຮອງ​ຂໍ້​ມູນ​ສຳຄັນ​ຢ່າງ​ສະ​ໝ່ຳສະເໝີ ຊຶ່ງ​ຂໍ້​ມູນ​ສຳ​ຮອງ​ນີ້​ຄວນ​ຕັດ​ຂາດ​ແຍກ​ອອກຈາກ​ລະບົບ​ຫຼັກ​ໂດຍ​ສິ້ນ​ເຊີງ
  • ມີ​ການ​ອັບ​ເດດ​ແພັດ (Path)​ ​​ຢ່າງສະ​ໝ່ຳ​ສະເໝີ
  • ຕັ້ງ​ຄ່າ​ຄວາມ​ປອດ​ໄພ​ຂອງ​ລະບົບ​ໃຫ້​ຮັດ​ກຸມ ເຊັ່ນ:
    • ລຸດ attack surface ດ້ວຍ​ການ​ປິດ​ ຫຼື ຈຳ​ກັດ​ການ​ໃຊ້​ງານ​ໂປຣໂຕຄອນ (protocol)  ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ອິນເຕີເນັດ
    • ຕິດ​ຕັ້ງ​ຊ໋ອບແວ​​ປ້ອງ​ກັນ​ມັນ​ແວ ​ແລະ ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ອື່ນ​ໆ
    • ມີ​ການ​ເຝົ້າ​ລະ​ວັງໄ​ພ​ຄຸກ​ຄາມ​ຢ່າງ​ສະ​ໝ່ຳສະເໝີ
    • ຜູ້​ໃຊ້​ງານ​ຄວນ​ເປີດ​ການ​ໃຊ້​ງານ​ຟັ​ງຊັ່ນ (function) Show hidden file-extensions ເພື່ອ​ໃຫ້​ສາມາດ​ສັງເກດ​ເຫັນ​ຄວາມ​ຜິດ​ປົກກະຕິ​ໄດ້​ໃນ​ກໍລະນີ​ທີ່​ມັນ​ແວ​ມີ​ການ​ປອມ​ນາມ​ສ​ະກຸນ​ໄຟ​ລ​໌ ເຊັ່ນ ປອມ​ເປັນ “filename.PDF.EXE”
    • ມີ​ການ​ໃຊ້​ການ​ຢືນຢັນ​ຕົວ​ຕົນ​ຫຼາຍ​ຂັ້ນ​ຕອນ
    • ຈຳ​ກັດ​ບັນຊີ​ຜູ້​ໃຊ້​ງານ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ລະບົບ​ຈາກ​ໄລຍະ​ໄກ​ຜ່ານ​​ໂປຣໂຕຄອນ (protocol)  Remote Desktop Protocol (RDP) ບໍ່​ໃຫ້ເປັນ​ບັນ​ຊີ​ທີ່​ມີ​ສິດ​ສູງ ເປັນ​ຕົ້ນ

5.2  ການ​ກວດ​ຈັບ​ ແລະ ​ການ​ວິ​ເຄາະ​ຢືນຢັນ​ເຫດການ (Detection & Analysis) 

5.2.1   ການ​ກວດ​ຈັບ​ເຫດການ Detection 

ເຮົາ​ສາມາດ​ກວດ​ຈັບ​ການ​ໂຈມ​ຕີ​ຂອງ ransomware ຕ່າງ​ໆ ໄດ້​ຈາກ​ການສຶກສາ​ເຕັກ​ນິກ​ການ​ໂຈມ​ຕີຂອງ ransomware ແຕ່​ລະ​ຊະນິດ ເຊັ່ນ: Auto-spreading ransomware ຄື Wannacry ມີ​ເຕັກ​ນິກ​ໂຈມ​ຕີ​ຊ່ອງ  ​ໂຫວ່​ໃນ SMBv1 ເຮັດໃຫ້​ສາມາດ​ກວດ​ຈັບ​ໄດ້​ຈາກ​ຄວາມ​ຜິດ​ປົກກະຕິ ​ທີ່ເກິດຂື້ນ​ເທິງ SMB.

ສຳລັບ human-operated ransomware Sophos ມີບົດ​ຄວາມ The realities of ransomware: Five signs you’re about to be attacked ຊຶ່ງ​ເວົ້າ​ເຖິງ 5 ສັນ​ຍານ ​ທີ່​ບົ່ງ​ບອກ​ພາ​ບລວມ​ຂອງ​ການ​ຈະ​ຖືກ​ໂຈມ​ຕີ​ດັ່ງ​ນີ້:

  • ພົບ​ໂປຣ​ແກຣມ network scanner ໂດຍ​ສະເພາະ​ໃນ​ເຄື່ອງ server ເຊັ່ນ: ໂປຣ​ແກຣມ AngryIP ຫຼື Advanced Port Scanner

ພາບ​ຈາກ https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/

  • ພົບ​ເຄື່ອງ​ມືທີ່​ສາມາດ​ໃຊ້ ​ເພື່ອ​ປິດ​ການ​ເຮັດ​ວຽກງານ​ຂອງ​ໂປຣ​ແກຣມ​ປ້ອງ​ກັນ​ມັນ​ແວ​ໄດ້ ໂດຍ​ສະເພາະ​ໃນ​ເຄື່ອງ server ເຊັ່ນ: Process Hacker, IOBit Uninstaller, GMER, PC Hunter ຫຼື PsExec ຊຶ່ງ​ເຄື່ອງ​ມື​ເຫຼົ່າ​ນີ້ ​ເປັນ​ເຄື່ອງ​ມື ​ທີ່​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ອາດ​ໃຊ້ ​ເພື່ອ​ເບິ່ງ​ແຍງ​ລະບົບ​ທົ່ວ​ໄປ ແຕ່​ຜູ້​ໂຈມ​ຕີ​ກໍ່​ສາມາດ​ໃຊ້​ປະໂຫຍດ​ໄດ້​ເຊັ່ນ​ກັນ
  • ພົບ​​ມີ​​ເຄື່ອງ​ມື MimiKatz ຊຶ່ງ​ເປັນ​ເຄື່ອງ​ມື​ສຳລັບ​ລັກ​ຂໍ້​ມູນ credential
  • ພົບ​ພຶດຕິກຳ​ຜິດ​ປົກກະຕິ​ຊ້ຳ​ໆ ເປັນ Pattern ເຊັ່ນ: ພົບ​ໄຟ​ລ໌​ອັນຕະລາຍ ​ທີ່​ເຄື່ອງ​ເດີມ​ຊ້ຳ​ໆ ເປັນ​ຕົ້ນ
  • ພົບ​ການ​ທົດລອງ​ໂຈມ​ຕີ ເຊັ່ນ: ພົບ​ການ​ປິດ​ໂປຣ​ແກຣມ​ປ້ອງ​ມັນ​ແວ​ໃນ​ເຄື່ອງ​ຈຳນວນ​ໜຶ່ງ ຊຶ່ງ​ອາດ​ເປັນ​ການຝຶກຊ້ອມ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​ໄດ້


5.2.2   
ການ​ວິ​ເຄາະ​ຢືນຢັນ​ເຫດ​ການເບື້ອງ​ຕົ້ນ Analysis 

ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສາມາດ​ກວດ​ສອບ​ວ່າ​ ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ດັ່ງ​ກ່າວ​ ເປັນ​ຊະນິດ​ໃດ ​ໄດ້​ດ້ວຍ​ການ​ສຳເນົາ​ຕົວ​ຢ່າງ​ຂອງ​ໄຟ​ລ໌ ທີ່​ຖືກ​ເຂົ້າລະ​ຫັດ​ ຊຶ່ງ​ມີ​ຂໍ້​ມູນ​ທີ່​ບໍ່​ເປັນ​ຄວາມ​ລັບ ແລະ​ ສຳເນົາ​ໄຟ​ລ໌​ຂໍ້ຄວາມ​ຮຽກ​ຄ່າ​ໄຖ່ (Ransomware Notes) ຈາກ​ນັ້ນ​ກໍ່ສາມາດກວດ​ສອບ​ສາຍ​ພັນ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ຜ່ານ​ທາງ​ບໍລິການ​ຟ​ຣີ ID Ransomware ຫຼື https://www.nomoreransom.org/ ຊຶ່ງ​ຈະ​ກວດ​ສອບ​ປະ​ເພດ​ ແລະ ​ສາຍ​ພັນ​ຂອງ​ມັນ​ແວ​ຈາກ​ໄຟ​ລ໌​ຂໍ້ຄວາມ​ຮຽກ​ຄ່າ​ໄຖ່ ​ແລະ ​ໄຟ​ລ໌ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ

ຕົວ​ຢ່າງ​ຜົນ​ຈາກ https://id-ransomware.malwarehunterteam.com/

ຊຶ່ງ​ຊະນິດ​ຂອງ ransomware ສາມາດ​ຊ່ວຍ​ໃນ​ການ​ວິ​ເຄາະ ​ແລະ ​ຄົ້ນ​ຫາ​ຂໍ້​ມູນ​ເພິ່ມຕື່ມ ​ເພື່ອ​ຊ່ວຍ​ໃນ​ການ​ວິ​ເຄາະ ສືບ​ຫາ​ຂໍ້​ມູນ ລວມ​ເຖິງ​ຊ່ວຍ​ປະ​ເມີນ​ຄວາມ​ສ່ຽງ​ ທີ່ກ່ຽວກັບ​ປະ​ເດັນ​ການ​ລັກ​ຂໍ້​ມູນ​ໄດ້ ລວມ​ເຖິງ​ໃນ​ບາງເທື່ອ ​ອາດ​ມີ​ການເຮັດ​ເຄື່ອງ​ມື​ ເພື່ອ​ຖອດ​​ຫັດ​ໂດຍ​ບໍ່​ຕ້ອງ​ຈ່າຍ​ຄ່າ​ໄຖ່​ແລ້ວ.

ນອກ​ຈາກ​ການ​ວິ​ເຄາະ​ເບື້ອງ​ຕົ້ນ​ແລ້ວ ຄວນ​ມີ​ການ​ວິ​ເຄາະ​ເຊີງ​ເລິກ​ເພື່ອ​ລະ​ບຸ​ຂອບ​ເຂດ​ຄວາມ​ເສຍ​ຫາຍ​ຢ່າງ​ຊັດເຈນ ໂດຍ​ອາດ​ເຮັດ​ຫຼັງ​ຈາກ​ທີ່​ຄວບ​ຄຸມ​ການ​ແຜ່ກະ​ຈາຍ​ໄດ້​ແລ້ວ

5.3  ການ​ຄວບ​ຄຸມ, ກຳຈັດ ແລະ ​ຟື້ນ​ຟູ​ລະບົບ​ຈາກໄ​ພ​ຄຸກ​ຄາມ (Containment Eradication & Recovery)

5.3.1   ການ​ຄວບ​ຄຸມ​ໄພ​ຄຸກ​ຄາມ Containment 

  • ຄວນ​ຕັດ​ລະບົບ​ອອກຈາກ​ເຄືອ​ຂ່າຍ ເພື່ອ​ປ້ອງ​ກັນ​ການ​ແຜ່​ກະ​ຈາຍ​ໃນ​ລະບົບ​ເຄືອ​ຂ່າຍ ຫຼື ​ການ​ຕິດ​ຕໍ່ໄປ​ຍັງ​ເຄື່ອງ​ພາຍນອກ​ ທີ່​ເປັນ​ອັນຕະລາຍ  ໂດຍ​ສາມາດ​ດຳ​ເນີນ​ການ​ໄດ້​ຄື:
    • ຈາກ​ລະບົບ​ປະຕິບັດການ ເຊັ່ນ: ປິດ​ການ​ໃຊ້​ງານ​ລະບົບ​ເຄືອ​ຂ່າຍ​ຊົ່ວ​ຄາວ
    • ທາງ​ກາຍ​ະພາບ​ໂດຍ​ກົງ ເຊັ່ນ: ການ​ຖອດ​ສາຍ​ແລນ
    • ຫຼື ​ຈາກ​ຜະລິດຕະພັນ Endpoint Detection and Response (EDR) ທີ່​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ Containment
  • ປ່ຽນ​ລະ​ຫັດ​ຜ່ານ​ໃນ​ລະບົບ​ທັງ​ໝົດ ໂດຍ​ສະເພາະ​ລະ​ຫັດ​ຜ່ານ​ ທີ່​ໃຊ້​ຊ້ຳ​ກັບ​ລະບົບ​ທີ່​ພົບ ransomware
  • ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ເຂົ້າ​ດຳ​ເນີນ​ການ​ສຳ​ຮອງ​ຂໍ້​ມູນ ​ທີ່​ຖືກ​ເຂົ້າລະ​ຫັດ​ໄວ້​ໃນ​ກໍລະນີ​ທີ່​ອາດ​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ໃນ​ການ ​ທີ່​ຈະ​ຖອດ​ລະ​ຫັດ​ໄຟ​ລ໌ ແລະ ​ຂໍ້​ມູນ​ທີ່​ຖືກ​ເຂົ້າ​ລະ​ຫັດ​ໃນ​ອະນາຄົດ ທັງ​ນີ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ຄວນ​ຮຽນ​ຮູ້​ວິທີ​ການ​ໃນ​ການ​ຈັດ​ເກັບ​ຂໍ້​ມູນ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ ຊຶ່ງ​ອາດ​ມີ​ຂໍ້​ມູນ ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ກະ​ແຈ​ທີ່​ໃຊ້​ໃນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ຫຼົງ​ເຫຼືອ​ຢູ່​ດ້ວຍ
  • ອາດ​ພິຈາລະນາ​ການ​ຈັດ​ເກັບ​ຫຼັກ​ຖານ​ດິ​ຈິ​ຕອນ​ຈາກ​ເຄື່ອງ​ຄອມພິວເຕີ​ ທີ່​ຕິດ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ເພື່ອ​​ກວດ​ສອບ​ຕື່ມ​ໃນ​ອະນາຄົດ ຊຶ່ງ​ການ​ຈັດ​ເກັບ​ຫຼັກ​ຖານ​ດິ​ຈິ​ຕອນ​ດັ່ງ​ກ່າວ ​ຄວນ​ເກັບ​ຕາມມາດຕະຖານການຈັດການອຸປະກອນ​ດິ​ຈິ​ຕອນໃນການພິສູດພະຍານຫຼັກຖານ version1.0 

5.3.2   ການ​ກຳຈັດ​ໄພ​ຄຸກ​ຄາມ Eradication 

ເມື່ອ​ມີ​ການ​ວິ​ເຄາະ​ ​ເພື່ອ​ລະ​ບຸ​ຂອບ​ເຂດ​ຄວາມ​ເສຍ​ຫາຍ​ຢ່າງ​ຊັດເຈນ ສາມາດ​ລະ​ບຸ​ໄຟ​ລ໌ ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ ransomware ທັງ​ໝົດ​ໄດ້​ແລ້ວ ອົງ​ກອນ​ຈະ​ສາມາດ​ຕັດ​ສິນ​ໃຈ​ໃນ​ການ​ກຳຈັດໄ​ພ​ຄຸກ​ຄາມ​ໄດ້​ທັງ​ການ​ລົບ​ໄຟ​ລ໌ ​ທີ່​ກ່ຽວ​ຂ້ອງ​ທັງ​ໝົດ ຂື້ນ​ລະບົບ​ໃໝ່ ຫຼື ​ກູ້​ຄືນ​ຈາກ​ສຳ​ເນົາ​ຂໍ້​ມູນ​ທີ່​ບໍ່​ຕິດ​ເຊື້ອ

ທັງ​ນີ້​ບໍ່​ແນະ​ນຳ​ໃຫ້​ມີ​ການ​ໃຊ້​ງານ​ລະບົບ​ ທີ່​ມີ​ການ​ແຜ່​ກະ​ຈາຍ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຊ້ຳ​ ໂດຍ​ທີ່​ບໍ່​ມີ​ການ​ລ້າງ ແລະ ​ຕິດ​ຕັ້ງ​ລະບົບ​ໃໝ່ ​ເນື່ອງ​ຈາກ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ອາດ​ຍັງ​ເຮັດວຽກ​ຢູ່ ​ແລະ ​ແຜ່ກະ​ຈາຍ​ໄປ​ຍັງ​ລະບົບ​ອື່ນ​ໆ ໄດ້ ຫຼື ມີ​ການ​ຕິດ​ຕັ້ງ backdoor ຖິ້ມ​ໄວ້

5.3.3   ການ​ຟື້ນ​ຟູ​ລະບົບ​ຈາກ​ໄພ​ຄຸກ​ຄາມ Recovery 

ໃນ​ການ​ກູ້​ຄືນ​ລະບົບ ອົງ​ກອນ​ສາມາດ​ຕັດ​ສິນ​ໃຈ​ຟື້ນ​ຟູ​ລະບົບ​ໄດ້​ຕາມ​ປັດ​ໃຈ ​ທີ່​ພົບ​ຈາກ​ການ​ວິ​ເຄາະ​ຄວາມ​ເສຍ​ຫາຍ ອາດ​ເປັນ

  • ການ​ນຳ​ສຳ​ເນົາ​ຂໍ້​ມູນ​ມາ​ຮຽກ​ຄືນ​ລະບົບ​ໄດ້​ຫຼັງ​ຈາກ​ ທີ່​ມີ​ການ​ຕິດ​ຕັ້ງ​ລະບົບ​ໃໝ່
  • ການ​ຖອດ​ລະ​ຫັດ​ດ້ວຍ​ເຄື່ອງ​ມື​ຖອດ​ລະ​ຫັດ ID Ransomware ຫຼື https://www.nomoreransom.org/ 
  • ການ rebuild ລະບົບ​ໃໝ່​ທັງ​ໝົດ ຫຼື
  • ການ​ຈ່າຍ​ຄ່າ​ໄຖ່ (ບໍ່​ແນະ​ນຳ​ຢ່າງ​ຍິ່ງ)

ທີມ​ຕອບສະໜອງ​ການ​ໂຈມ​ຕີ​ ແລະ​ ໄພ​ຄຸກ​ຄາມ (Intelligent Response) ບໍລິສັດ ​ໄອ​-​ຊີ​ຄຽວ (i-secure) ຈຳ​ກັດ ບໍ່​ແນະ​ນຳ​ໃຫ້​ອົງ​ກອນ​ທີ່​ໄດ້ຮັບ​ຜົນ​ກະທົບ​ຈາກ ransomware ຈ່າຍ​ຄ່າ​ໄຖ່  ເນື່ອງ​ຈາກ​ເຫດຜົນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້:

  1. ບໍ່​ສາມາດ​ຮັບ​ປະ​ກັນ​ໄດ້​ວ່າ ​ຄົນ​ຮຽກ​ຄ່າ​ໄຖ່​ຈະ​ຖອດ​ລະ​ຫັດ​ໄຟ​ລ໌ໃຫ້​ຈິງແທ້ ອາດ​ພົບ​ການ​ຂົ່ມ​ຂູ່​ໃຫ້​ຈ່າຍ​ຄ່າ​ໄຖ່ຫຼາຍ​ຂື້ນ
  2. ມັນ​ແວ​ດັ່ງ​ກ່າວ ​ອາດ​ມີຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ ຫຼື ຖອດ​ລະ​ຫັດ​ ທີ່​ຜິດ​ພາດ​ຈົນ​ເຮັດໃຫ້​ບໍ່​ສາມາດ​ເຮັດໃຫ້ໄຟ​ລ໌ກັບ​ສູ່​ສະພາບ​ເດີມ​ໄດ້​ເຖິງຈ່າຍ​ຄ່າ​ໄຖ່ ​ແລະ ​ໄດ້ຮັບ​ຕົວ​ຖອດ​ລະ​ຫັດ​ຈາກ​ຜູ້​ໂຈມ​ຕີ
  3. ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ບໍ່​ຮັບປະກັນ​ວ່າ​ຜູ້​ໂຈມ​ຕີ​ຈະ​ລົບ​ຂໍ້​ມູນ​ທີ່​ລັກ​ໄປ ແລະ
  4. ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ເປັນ​ການ​ສະໜັບ​ສະໜູນ​ເງິນ​ທືນໃຫ້​ກັບ​ກຸ່ມ​ຜູ້​ໂຈມ​ຕີ​ທຳການ​ໂຈມ​ຕີ​ຕໍ່ໄປ

ອົງ​ກອນຄວນ​ພິຈາລະນາ​ຢ່າງ​ຖີ່​ຖ້ວນ​ກ່ອນ​​ຈ່າຍ​ຄ່າ​ໄຖ່ ຄວນ​ມີ​ການ​ປືກ​ສາ​ຜູ້​ຊ່ຽວ​ຊານ, ທີ່​ປືກ​ສາ​ທາງ​ກົດ​ໝາຍ, ບໍລິສັດ​ປະ​ກັນໄ​ພ​ລວມເຖິງ​ໜ່ວຍ​ງານ​ທາງ​ກົດ​ໝາຍ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກ່ອນ​ຕັດ​ສິນ​ໃຈ ແລະ ຄວນ​ເຮັດ​ການສຶກສາ​ແນວ​ທາງ​ຈາກ Forrester's Guide To Paying Ransomware ຊຶ່ງ​ລະ​ບຸ​ແນວ​ທາງ​ການ​ປະ​ເມີນ​ສະຖານນະການ ລວມເຖິງ​ລະ​ບຸ​ຊື່​ບໍລິສັດ​ທີ່​ຊ່ຽວ​ຊານ​ໃນ​​ດ້ານການ​ຮັບ​ມື ransomware ລວມເຖິງ​ຊ່ຽວ​ຊານ​ໃນ​ການ​ຈ່າຍ​ຄ່າ​ໄຖ່​ໄວ້

ພາບ​ຈາກ Forrester's Guide To Paying Ransomware

ທັງ​ນີ້​ຫຼັງ​ຈາກ​ການ​ກູ້​ຄືນ​ລະບົບ​ດ້ວຍ​ວິທີ​ໃດ​ໆ ກໍ່​ຕາມ ຄວນ​ມີ​ການ​ເຝົ້າ​ລະ​ວັງ​ການ​ຕິດ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຊ້ຳອີກ​ດ້ວຍ

5.4  ກິດຈະກຳ​ຫຼັງ​ໄພຄຸກ​ຄາມ (Post- incident Activity) 

ອົງ​ກອນ​ຄວນ​ມີການ​ຈັດ​ປະ​ຊຸມ lesson learned ໂດຍ​ເປັນ​ການ​ທົບ​ທວນ​ເຫດການ​ລວມ​ເຖິງ​ການ​ເຮັດ​ລາຍ​ງານ​ສະຫຼູບ​ເຫດການ​ໄພ​ຄຸກ​ຄາມ​ ເພື່ອ​ໃຊ້​ອ້າງ​ອິງ​ໃນ​ອະນາຄົດ ຊຶ່ງ​ອາດ​ປະກອບ​ດ້ວຍ​ຫົວຂໍ້​ເຫຼົ່າ​ນີ້

  • ລາຍ​ລະອຽດ​ເຫດການ
  • ເວລາ​ທີ່​ເກີດ​ເຫດການ
  • ບຸກຄະລາກອນຕອບສະໜອງ​ເຫດການ​ແນວໃດ
  • ມີ​ການ​ບັນ​ທຶກ​ຂໍ້​ມູນ​ລະຫວ່າງ​ການ​ຕອບສະໜອງ​ເຫດການ​ ຫຼື ​ບໍ່
  • ແຜນ​ການ​ຮັບ​ມື ​ທີ່​ສ້າງ​ໄວ້​ສາມາດ​ໃຊ້​ໄດ້​ຈິງ​ແທ້ ຫຼື ​ບໍ່
  • ສິ່ງ​ທີ່​ພົບ ​ແລະ ​ຂໍ້​ສະເໜີ
  • ຜົນ​ໄດ້ຮັບ​ຈາກ​ການ​ດຳ​ເນີນ​ການ​ຮັບ​ມື ​ແລະ​ ແກ້​ໄຂ​ເຫດ​ໄພ​ຄຸກ​ຄາມ ເປັນ​ຕົ້ນ

ເອກະສານອ້າງອີງ 

  1. https://www.forrester.com/report/Forresters+Guide+To+Paying+Ransomware/-/E-RES154595
  2. https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
  3. https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/
  4. https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report
  5. https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/
  6. https://www.zdnet.com/article/why-and-when-it-makes-sense-to-pay-the-ransom-in-ransomware-attacks/
  7. https://assets.sentinelone.com/ransom/sentinalone_understa?lb-mode=overlay
  8. https://us-cert.cisa.gov/ncas/tips/ST19-001
  9. https://www.ncsc.gov.uk/guidance/mitigating-malware-and-ransomware-attacks#stepsifinfected

Porher 22 October 2020 5604 reads Print