การโจมตีทางระบบความปลอดภัยไซเบอร์ล่าสุด ซึ่งก็คือ WannaCry Ransomware ได้ส่งผลกระทบทั่วโลก จนมีระบบคอมพิวเตอร์ 200,000 กว่าระบบในกว่า 150 ประเทศ ที่ถูกโจมตี เป็นเหตุให้ทั่วโลกหันมาสนใจเรื่องการป้องกันภัยทางไซเบอร์เพิ่มมากขึ้น 

เมื่อวันที่ 1 มิถุนายน พ.ศ. 2560 บริษัทเคพีเอ็มจีประเทศไทยได้จัดสัมมนาเรื่อง ‘ความเข้าใจเกี่ยวกับ Ransomware และบทเรียนสำคัญจาก WannaCry’ (Understanding Ransomware: Key Lessons from WannaCry) ซึ่งได้มีผู้เชี่ยวชาญทางด้านความปลอดภัยทางไซเบอร์ (cyber security) มาอธิบายและสาธิตตัวอย่างการทำงานของ Ransomware รวมถึงวิธีการป้องกันภัยอย่างเหมาะสม 

แล้ว Ransomware คืออะไร? Ransomware คือมัลแวร์ (Malware) ประเภทหนึ่งที่ทำให้ระบบคอมพิวเตอร์ หรือข้อมูลในระบบคอมพิวเตอร์ใช้การไม่ได้จนกว่าจะมีการจ่ายค่าไถ่ โดยทั่วไปแล้วข้อมูลในระบบคอมพิวเตอร์ที่โดนจู่โจมจะถูกเข้ารหัส และไม่สามารถใช้งานได้จนกว่าจะมีการจ่ายเงินให้แก่ผู้จู่โจม ซึ่ง Ransomware ชนิดล่าสุดสามารถโจมตี และเข้ารหัสข้อมูลทั้งหมดบนเว็บไซต์ ไฟล์สำคัญต่างๆ ในคอมพิวเตอร์ รวมถึงข้อมูล Back up ในระบบคลาวด์อีกด้วย Ransomware บางรูปแบบ นอกจากจะทำให้ผู้ใช้ไม่สามารถเข้าถึงข้อมูลได้แล้ว ยังมีการขู่ที่จะปล่อยให้ข้อมูลที่เป็นความลับรั่วไหลได้อีกด้วย

Ransomware ไม่ใช่ปรากฏการณ์แปลกใหม่ แท้จริงแล้ว Ransomware มีมานานกว่า 20 ปี โดยการจู่โจมครั้งแรกได้เกิดขึ้นในปี พ.ศ. 2532 โดย โจเซฟ ปอปป์ ซึ่งเป็นการแจกจ่าย Floppy-disk ที่มีมัลแวร์กว่า 20,000 แผ่นให้แก่ผู้เข้าร่วมงานสัมมนาเกี่ยวกับเชื้อไวรัส AIDS ขององค์การอนามัยโลก (WHO) ในปี พ.ศ. 2556 CryptoLocker Ransomware ได้จู่โจมระบบคอมพิวเตอร์กว่า 250,000 ระบบทั่วโลก และทำเงินให้แก่ผู้สร้าง Ransomware ชนิดนี้กว่า 3 ล้านเหรียญสหรัฐ* เหตุการณ์ล่าสุด WannaCry เป็น Ransomware ชนิดใหม่ที่โจมตีผ่านทางช่องโหว่ระบบปฏิบัติการวินโดวส์ เพื่อเข้ารหัสข้อมูลและเรียกค่าไถ่เป็นสกุลเงิน bitcoin นอกจากนี้ WannaCry ยังสามารถแพร่กระจายตัวเอง เพื่อโจมตีระบบอื่นได้อีกด้วย 

ถึงแม้ว่าโปรแกรม anti-virus และ anti-malware ต่างๆ ยังจำเป็นในการป้องกันภัยของระบบคอมพิวเตอร์นั้น แต่ Ransomware รูปแบบใหม่ๆ ถูกสร้างขึ้นมาเพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมเหล่านี้ได้ ดังนั้นเมื่อระบบคอมพิวเตอร์ของเราโดนจู่โจมแล้ว เราจะมีวิธีรับมืออย่างไร

ก่อนอื่น เราจำเป็นต้องนำระบบคอมพิวเตอร์ที่ถูกโจมตี แยกออกจากเครือข่ายทั้งหมดเพื่อป้องกันการแพร่กระจายของการโจมตีเครื่องอื่นๆ ที่ตั้งอยู่ในเครือข่ายเดียวกัน เช่น เครื่องคอมพิวเตอร์ที่มีข้อมูล Backup ถ้าเป็นไปได้ ควรเปลี่ยนรหัสบัญชีและรหัสเครือข่ายทั้งหมดหลังจากการนำเครื่องออกจากระบบแล้ว นอกจากนี้การเปลี่ยนรหัสระบบทั้งหมดควรถูกดำเนินการอีกรอบหลังมีการกำจัดมัลแวร์ออกจากระบบ

อย่างไรก็ตาม คุณประธาน พงศ์ทิพย์ฤกษ์ ผู้จัดการ ที่ปรึกษาด้านความปลอดภัยไซเบอร์, เคพีเอ็มจีประเทศไทย เชื่อว่าการป้องกันล่วงหน้าเป็นวิธีที่ดีที่สุดในการต่อกรกับ Ransomware ต่างๆ “องค์กรควรมีการประเมินเรื่องความเสี่ยงโดยให้ความสำคัญกับองค์ประกอบทั้ง 3 ด้าน คือ คน กระบวนการ และเทคโนโลยี องค์กรควรเลือกใช้เทคโนโลยีที่เหมาะสม การให้ความรู้ อัพเดทภัยคุกคามแก่พนักงานภายในองค์กรทั้งในระดับผู้ใช้งานและผู้บริหาร กระบวนการหรือนโยบายด้านความปลอดภัยควรถูกใช้งานอย่างเข้มงวด ” คุณประธานกล่าว

บริษัทเคพีเอ็มจีประเทศไทย เชื่อว่าการป้องกันที่ดีเป็นวิธีรับมือต่อการจู่โจมของ Ransomware ได้ดีที่สุด ซึ่งหน่วยงานที่ปรึกษาด้าน Ransomware ของบริษัทฯ สามารถช่วยหน่วยงานต่างๆ ในด้าน การตรวจสอบระบบการป้องกัน การตรวจจับ และกระบวนการการรับมือจาก Ransomware ได้ ไม่เพียงแต่ Ransomware เท่านั้น ทางบริษัทฯ ยังสามารถให้คำปรึกษาเพื่อป้องกันภัยจากการจู่โจมทางไซเบอร์ และภัยคุกคามด้านอื่นๆ ได้อีกด้วย

English Version:
KPMG explains Ransomware and key lessons from WannaCry

http://www.securityfocus.com/columnists/102

http://www.bbc.com/news/technology-25506020

เคพีเอ็มจี ประเทศไทย เป็นสมาชิกของ เคพีเอ็มจี อินเตอร์เนชั่นแนล ที่มีเครือข่ายทั่วโลก ซึ่งให้บริการด้านตรวจสอบบัญชี ภาษีและกฎหมาย และให้คำปรึกษาทางธุรกิจ ปัจจุบันมีพนักงานมากกว่า 1,500 คน

พลอย พยัฆวิเชียร
เบอร์โทรศัพท์: 02 677 2034
อีเมล: ploi@kpmg.co.th