November 10, 2024

เปิดเบื้องหลังเหตุโจมตีสถาบันการเงิน “มาเลเซีย” ด้วย Ransom DDoS

หน่วยงานด้านการรักษาความปลอดภัยดิจิตอล มาเลเซีย (CyberSecurity Malaysia) ออกมายอมรับว่า เมื่อต้นเดือนกรกฎาคมที่ผ่านมา ได้เกิด DDoS (distributed denial of service) Attack โดยพุ่งเป้าโจมตีสถาบันการเงิน 4 แห่งของมาเลเซียที่เป็นผู้ให้บริการนายหน้าออนไลน์เป็นการเฉพาะด้วย

การโจมตีดังกล่าวเกิดขึ้นตามหลังการโจมตีของมัลแวร์ WannyCry และ Petya ไม่นาน และมุ่งโจมตีธุรกิจบางประเภทเป็นการเฉพาะ ในจุดนี้ ดาโต๊ะ ดร.Haji Amirudin Abdul Wahab ซีอีโอของ  CyberSecurity Malaysia เผยว่า ทางการมาเลเซียอยู่ระหว่างการแกะรอย โดยร่วมทำงานอย่างใกล้ชิดกับหน่วยงานต่าง ๆ เพื่อลดระดับความรุนแรงของการโจมตี ซึ่งในวันศุกร์ที่ 7 กรกฎาคมนั้น ทางการได้รับรายงานการโจมตีทั้งสิ้น 4 ชิ้น

shutterstock_599408072-2

โดย 3 ใน 4 เป็นการโจมตีไปที่ธุรกิจนายหน้าออนไลน์ และอีก 1 รีพอร์ตเป็นธนาคาร ซึ่งผู้ที่ทำการสืบสวนเรื่องดังกล่าวอยู่คือ The national regulator Malaysian Communications and Multimedia Commission (MCMC)

ผู้บริหารของ MCMC อย่าง Fong Choong Fook กล่าวว่า เป็นไปได้ที่การโจมตีครั้งนี้มาจากกลุ่มที่มีชื่อว่า  Armada Collective โดยผู้โจมตีต้องการแลกกับเงินบิทคอยน์จำนวน 10 บิทคอยน์ หรือมีมูลค่าเท่ากับ 110,500 ริงกิต (ประมาณ 865,903 บาท) และได้กำหนดเส้นตายในการจ่ายเงินเอาไว้ ณ วันที่ 13 กรกฎาคมที่ผ่านมา ซึ่งหากสถาบันการเงินไม่สามารถจ่ายได้ ก็มีการขู่ว่าจะเกิดการโจมตีรอบใหม่ขึ้นด้วย

ต่อมาในตอนเย็นของวันที่ 9 กรกฎาคม Fong กล่าวให้สัมภาษณ์ว่า ยังไม่พบว่ามีการจ่ายเงินให้กับ Armada Collective แต่อย่างใด และพบว่าบริษัทที่ถูกโจมตีนั้นน่าจะปลอดภัยแล้ว โดยเขาได้กล่าวว่า ที่ผ่านมา บริษัทที่ถูกโจมตีให้ความสำคัญกับซีเคียวริตี้น้อยเกินไป นี่จึงเปรียบได้กับสัญญาณเตือนให้ทุกคนต้องระมัดระวังมากขึ้น

โดย มร.Fong ยังได้เตือนภาคส่วนอื่น ๆ ให้ระมัดระวังการโจมตีด้วย ได้แก่ ธุรกิจเฮลท์แคร์ ธุรกิจการให้บริการ ตลอดจนผู้ให้บริการสาธารณูปโภคพื้นฐาน เช่น โทรคมนาคม, น้ำประปา, ไฟฟ้า, ขนส่ง ฯลฯ

ในภาคการบริการ IATA หรือ  International Air Transport Association ได้กำหนดให้สมาชิกหันมาใช้มาตรฐานการชำระเงินแบบมีระบบรักษาความปลอดภัยแล้ว

Krishna Rajagopal ผู้เชี่ยวชาญกฎหมายคอมพิวเตอร์กล่าวว่า การโจมตีแบบ Ransom DDOS ไม่ใช่เรื่องใหม่ และพบได้มากขึ้นในช่วงที่ผ่านมา

CWSS_-_Keynote_Dato_Dr_Ami_cJDXzDM_large

โดยเมื่อหลายปีก่อน ได้มีการทำสำรวจความคิดเห็นของผู้เชี่ยวชาญด้านไอทีโดย Corero States พบว่า 80% ของผู้เชี่ยวชาญเชื่อว่าองค์กรของตนเองจะถูกโจมตีโดย Ransom DDoS ภายใน 12 เดือนข้างหน้า

Azril Rahim ที่ปรึกษาด้านภัยคุกคามบนอินเทอร์เน็ตเผยว่า การโจมตีของกลุ่ม Armada Collective ที่ประสบความสำเร็จมากที่สุดเกิดขึ้นเมื่อเดือนพฤศจิกายน 2015 ที่โจมตี ProtonMail ของสวิสเซอร์แลนด์ โดยสามารถปิดระบบได้นาน 15 นาที  และมีการจ่ายค่าไถ่อย่างบิทคอยน์ให้กับอาชญากรไซเบอร์ในการโจมตีครั้งที่ 2 ด้วย

ดังนั้น ในสถานการณ์เช่นนี้ สิ่งที่แอดมินฝ่ายไอทีและผู้บริหารระดับสูงควรทำก็คือ การไม่ประมาท เพราะการโจมตี DDoS นั้นสามารถแบ่งออกได้เป็น 3 ระดับ คือ Volumetric based, Application based และ Protocol based ซึ่งจากการสำรวจของ IDC เอเชียแปซิฟิกพบว่าการโจมตีแบบ Application based นั้นอันตรายที่สุด

“ปัจจุบัน เราพบว่า ธุรกิจหลายรายใช้เวลากว่า 3 ชั่วโมงในการตรวจจับภัยคุกคาม ซึ่งในความเป็นจริงแล้วมีเครื่องมือช่วยมากมายที่ทำให้ธุรกิจค้นหามัลแวร์ได้เจอเร็วกว่านั้น เราจึงอยากให้แนะนำให้ธุรกิจเลือกใช้งานสักตัวหนึ่ง เช่น GRE (Generic Route Encapsulation) ที่จะช่วยรักษาความปลอดภัยของท่อส่งข้อมูลให้ไม่มีมัลแวร์หรือโค้ดลับอื่น ๆ เข้ามาทำอันตรายได้”

CyberSecurity Malaysia ยังได้เสนอแนวทางในการรับมือกับมัลแวร์เหล่านี้ด้วย ดังนี้

  1. ให้องค์กรเริ่มวางแผนว่าจะทำอย่างไร ในกรณีที่ถูก DDoS Attack อย่ารอจนกว่าเกิดเรื่องขึ้นก่อน เพราะยากที่ธุรกิจจะตอบสนองได้ทันกับสิ่งที่แฮกเกอร์เรียกร้อง
  2. หากเกิดการโจมตี DDoS ให้แจ้งผู้ให้บริการอินเทอร์เน็ตทันทีเพื่อขอความช่วยเหลือ
  3. องค์กรอาจเลือกผู้ให้บริการอินเทอร์เน็ตที่มีโซลูชันป้องกัน DDoS Attack หรือหากไม่มี ก็ควรมองหาองค์กรที่มีแผนให้ความช่วยเหลือกรณีที่บริษัทถูกโจมตี
  4. ควรเลือก ISP ที่มีประสบการณ์ในการรับมือกับ DDoS มาก่อน ซึ่งบริษัทที่มีประสบการณ์จะรู้ว่าควรจัดการกับ DDoS Attack อย่างไร
  5. ตรวจเช็คความเป็นไปได้ของการใช้ Geo-IP blocking
  6. แจ้ง Cyber999 ถึงเหตุการณ์ที่เกิดขึ้น และรายงานให้หน่วยงานที่เกี่ยวข้องกับ Cyberattacks ได้ทราบ
  7. อย่าจ่ายเงินให้กับแฮกเกอร์เหล่านี้เด็ดขาด

ที่มา https://www.computerworld.com.sg/print-article/111840/