ข้อเท็จจริงเกี่ยวกับ แรนซั่มแวร์ WannaCry ที่องค์กรต้องเข้าใจ
ประเด็นสำคัญ
- Trend Micro ตรวจพบมัลแวร์ WannaCry/Wcry เป็นครั้งแรกเมื่อวันที่ 14 เมษายน 2560 ซึ่งสายพันธุ์แรก (RANSOM_WCRY.C) ถูกเผยแพร่ผ่านการโจมตีแบบอีเมล์ที่ล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์นี้จากดรอปบ็อกซ์ แม้ว่าจะไม่ใช่สายพันธุ์ที่สร้างความเสียหายในปัจจุบันก็ตาม
- เมื่อวันศุกร์ที่ 12 พฤษภาคม 2560 ที่ผ่านมา พบ WannaCry สายพันธุ์ใหม่ (RANSOM_WCRY.I / RANSOM_WCRY.A) ซึ่งถูกพัฒนามาจากสายพันธุ์ที่ระบาดเมื่อเมษายน โดยมีการใช้ประโยชน์จากช่องโหว่ CVE-2017-0144 ที่รู้จักกันในชื่อ EternalBlue หรือ MS17-10 โดยบั๊กนี้เปิดให้แรนซั่มแวร์แพร่กระจายตัวเองในลักษณะของเวิร์มทั่วทั้งเครือข่ายที่ไม่มีการป้องกัน โดยเมื่อเย็นวันศุกร์ที่ผ่านมา ไมโครซอฟท์เพิ่งออกแพทช์สำหรับวินโดวส์รุ่นที่เคยปลดระวางการซัพพอร์ตไปแล้วสำหรับช่องโหว่นี้ด้วย (ได้แก่ วินโดวส์ XP, วินโดวส์ 8, และวินโดวส์เซิร์ฟเวอร์ 2003) เพื่อช่วยบรรเทาปัญหาที่เกิดขึ้น
- กระบวนการจัดการแพทช์ที่แข็งแกร่ง ถือเป็นหัวใจสำหรับป้องกันเกิดช่องโหว่อย่าง MS17-010 ซึ่งเป็นบั๊กสำคัญที่ทำให้ WanaCry มีอันตรายร้ายแรงมากกว่าแรนซั่มแวร์ตัวอื่นในขณะนี้ ช่องโหว่ดังกล่าวมีการออกแพทช์มาตั้งแต่เดือนมีนาคมสำหรับวินโดวส์ที่ไมโครซอฟท์ยังซัพพอร์ตอยู่ แต่ผู้ไม่ประสงค์ดีต่างทราบว่าการที่องค์กรขนาดใหญ่จะแพทช์ช่องโหว่ที่รู้จักนั้นต้องใช้เวลาพอสมควร จึงรีบโจมตีขนานใหญ่ทั่วโลกในครั้งนี้ ทาง Trend Micro ได้มีคำแนะนำที่โหลดได้ทาง https://www.trendmicro.com/vinfo/us/security/news/virtualization-and-cloud/virtual-patching-in-mixed-environments-how-it-protects-you เพื่อช่วยให้ธุรกิจต่างๆ ติดตั้งระบบแพทช์ที่สร้างความปลอดภัยให้แก่ระบบของตัวเองได้อย่างแท้จริง
- Trend Micro ได้ให้เครื่องมือสำหรับตรวจสอบแรนซั่มแวร์ WannaCry แบบไม่มีค่าใช้จ่าย ซึ่งทูลนี้ใช้ระบบ Machine Learning และเทคนิคอื่นๆ ที่คล้ายกับในโซลูชั่น OfficeScan XG เพื่อแสดงถึงความสามารถในการปกป้องของทูลความปลอดภัยบนเอนด์พอยต์ขั้นสูง ซึ่งนอกจากการปกป้องเอนด์พอยต์ที่แข็งแกร่งแล้ว Trend Micro ยังได้แนะนำให้ใช้โซลูชั่นความปลอดภัยที่แข็งแกร่งสำหรับอีเมล์ เพื่อช่วยป้องกันการติดเชื้อตั้งแต่เริ่มแรก (76% ของการโจมตีด้วยแรนซั่มแวร์ในปี 2559 เกิดจากการส่งเมล์หลอกลวง) พร้อมกับยุทธศาสตร์การสำรองข้อมูลที่แข็งแกร่งร่วมกัน เพื่อช่วยกู้คืนระบบจากการโจมตีของแรนซั่มแวร์ด้วย
คำถามที่พบบ่อย
คำถาม: ตอนนี้เรารู้อะไรเกี่ยวกับ WannaCry/WCry บ้าง?
คำตอบ: ถือเป็นการติดเชื้อแรนซั่มแวร์ที่ไม่มีสัญญาณแจ้งให้ทราบมาก่อน ซึ่งมีผลกระทบต่อองค์กรจำนวนมหาศาลในหลายกลุ่มธุรกิจทั่วโลก โดยแรนซั่มแวร์ที่เป็นต้นเหตุคือ WannaCry/WCRY (ตรวจพบโดย Trend Micro ในชื่อ RANSOM_WANA.A และ RANSOM_WCRY.I) ซึ่งก่อนหน้านี้ Trend Micro ได้ตรวจพบและเฝ้าติดตาม WannaCry ตั้งแต่การระบาดช่วงแรกเมื่อเมษายน 2560 และให้การปกป้องผู้ใช้งานและองค์กรต่างๆ ผ่านฟีเจอร์ป้องกันแรนซั่มแวร์บนโซลูชั่นความปลอดภัย XGenTM ของ Trend MicroTM ที่ใช้เทคโนโลยี Machine-Learning มาแล้วตั้งแต่ต้น มัลแวร์ WannaCry หรือ WCRY นี้มีการใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เพิ่งมีการเปิดเผยสู่สาธารณะ (ชื่อ MS17-010 – “EternalBlue”) ซึ่งมีความเกี่ยวข้องกับการเปิดเผยทูลของหน่วยข่าวกรองสหรัฐฯ ชื่อ Shadow Brokers การโจมตีครั้งนี้มีผลกระทบต่อองค์กรต่างๆ ทั่วโลก ในทุกภาคส่วน โดยทีมนักวิจัยของเรากำลังวิเคราะห์ข้อมูลเหล่านี้อย่างละเอียด
คำถาม: ผลกระทบที่เกิดขึ้นมีอะไรบ้าง?
คำตอบ: หลายบริษัทในยุโรปเป็นกลุ่มแรกที่รายงานความเสียหาย โดยระบบงานที่สำคัญถูกล็อกไม่ให้ใช้งาน พร้อมแสดงข้อความเรียกค่าไถ่ จากนั้นก็ขยายตัวอย่างรวดเร็วจนกลายเป็นการระบาดของแรนซั่มแวร์ที่ยิ่งใหญ่ที่สุด ส่งผลถึงองค์กรจำนวนมหาศาลทั่วโลกอยู่ในขณะนี้ ซึ่งบางองค์กรถึงขั้นที่ต้องปิดการทำงานของโครงสร้างพื้นฐานไอทีทั้งระบบ รวมทั้งเหยื่อที่อยู่ในวงการสาธารณสุขต้องเผชิญกับความล่าช้าในด้านการรักษาพยาบาล ถูกบีบให้ปฏิเสธการรักษาคนไข้จนกว่าระบบจะกลับเข้าสู่สภาวะปกติ
คำถาม: กระทบใครบ้าง?
คำตอบ: แรนซั่มแวร์ WannaCry สายพันธุ์นี้มุ่งโจมตีระบบวินโดวส์ที่ยังใช้รุ่นเก่าอยู่ โดยสร้างความเสียหายอย่างรุนแรงจากช่องโหว่เหล่านี้ จากการประเมินเบื้องต้นของ Trend Micro พบว่ามีการระบาดของแรนซั่มแวร์ WannaCry มากที่สุดในโซนยุโรป ถัดมาจะเป็นประเทศในกลุ่มตะวันออกกลาง, ญี่ปุ่น, และบางประเทศในเขตเอเชียแปซิฟิกตามลำดับ
พบการติดเชื้อ WannaCry ในองค์กรหลายกลุ่มธุรกิจ ไม่ว่าจะเป็นธุรกิจด้านบริการสุขภาพ, การผลิต, พลังงาน (น้ำมันและแก๊ส), เทคโนโลยี, อาหารและเครื่องดื่ม, การศึกษา, สื่อมวลชนและการสื่อสาร, รวมไปถึงหน่วยงานภาครัฐ เนื่องจากธรรมชาติของพฤติกรรมการโจมตีลักษณะนี้ไม่ได้เจาะจงเหยื่อรายใด หรือกลุ่มธุรกิจไหนเป็นพิเศษ
คำถาม: แรนซั่มแวร์ WannaCry ทำอะไรบนเครื่องเราบ้าง?
คำตอบ: แรนซั่มแวร์ WannaCry จะตรวจหาไฟล์เป้าหมายกว่า 176 ประเภทเพื่อเข้ารหัสไฟล์ ตัวอย่างประเภทไฟล์ที่ตกเป็นเหยื่อของ WannaCry ได้แก่ ไฟล์ฐานข้อมูล, มัลติมีเดีย, และไฟล์ที่บีบอัดไว้ เช่นเดียวกับไฟล์เอกสาร Office ต่างๆ จากข้อความเรียกค่าไถ่ ซึ่งมีรองรับกว่า 27 ภาษานั้น เรียกร้องค่าไถ่จากเหยื่อครั้งแรกสูงถึง 300 ดอลลาร์สหรัฐฯ ในรูปของบิทคอยน์ ซึ่งราคาค่าไถ่จะสูงขึ้นเรื่อยๆ เมื่อปล่อยให้เวลาผ่านไป นอกจากนี้เหยื่อยังมีเวลาเพียงแค่เจ็ดวันก่อนที่ไฟล์ที่ถูกเข้ารหัสจะถูกลบถาวร ซึ่งถือเป็นเทคนิคที่สร้างความตื่นกลัวได้เป็นอย่างดี
WannaCry ใช้ประโยชน์จากช่องโหว่รหัส CVE-2017-0144 ซึ่งเป็นบั๊กบนโปรโตคอลแชร์ไฟล์ชื่อดัง Server Message Block (SMB) ในการแพร่สู่ระบบของเหยื่อ ซึ่งช่องโหว่ที่โดนโจมตีนี้มาจากข้อมูลที่หลุดออกมาจากกลุ่มแฮ็กเกอร์ Shadow Brokers ซึ่งตั้งชื่อบั๊กนี้ว่า “EternalBlue” ซึ่งหลังจากมีการเปิดเผยรายละเอียดสู่สาธารณะแล้ว ทางศูนย์จัดการเหตุการณ์ความปลอดภัยของไมโครซอฟท์หรือ MSRC ก็ได้ออกแพทช์มาอุดช่องโหว่ที่ให้รหัสว่า MS17-010 ตั้งแต่มีนาคม 2560
สิ่งที่ทำให้ WannaCry ส่งผลกระทบในวงกว้างมากก็คือ ความสามารถในการแพร่กระจายตนเอง ด้วยพฤติกรรมที่เหมือนเวิร์มนี้ ทำให้ WannaCry สามารถกระจายตัวเองไปบนเครือข่าย, ติดเชื้อระบบที่เชื่อมต่ออยู่ได้โดยไม่ต้องอาศัยการกระทำของผู้ใช้เพิ่มเติม เพียงแค่ขอให้มีผู้ใช้รายเดียวบนเครือข่ายที่ติดเชื้อ ก็เท่ากับว่าทั้งเครือข่ายตกอยู่ในความเสี่ยงแล้ว พฤติกรรมการแพร่เชื้อตัวเองของ WannaCry มีลักษณะคล้ายแรนซั่มแวร์ในตระกูลอย่าง SAMSAM, HDDCryptor, และ Cerber บางสายพันธุ์ โดยทุกสายพันธุ์นี้สามารถติดเชื้อทั้งระบบและเซิร์ฟเวอร์ต่างๆ ที่เชื่อมต่อผ่านเครือข่ายได้
คำถาม: องค์กรที่โดนเล่นงานแล้ว ควรทำอย่างไร?
คำตอบ: Trend Micro แนะนำให้แยกทุกเครื่องที่ติดเชื้อแล้วออกมาจากเครือข่ายในทันที พร้อมทั้งจัดหาข้อมูลแบ๊กอัพล่าสุดไว้ในที่ที่ปลอดภัยเพื่อป้องกันการเปลี่ยนแปลงมากกว่าเดิม เนื่องจากการโจมตีนี้ใช้ประโยชน์จากช่องโหว่ของไมโครซอฟท์ที่เปิดเผยสู่สาธารณะแล้ว ลูกค้าทุกคนควรพิจารณาปิดการทำงานของ SMB ในเครือข่ายดังกล่าวถ้าเป็นไปได้ ไม่ว่าจะสั่งปิดทั้ง GPO หรือทำตามคำแนะนำของไมโครซอฟท์จาก https://docs.microsoft.com/en-us/msrc/customer-guidance-for-wannacrypt-attacks นอกจากนี้ เรายังแนะนำให้ติดตั้งแพทช์ MS17-010 หรือใช้ระบบเวอร์ช่วลแพทช์ของ Trend Micro เพื่อปิดกั้นช่องทางการติดเชื้อไปยังเครื่องอื่นได้
คำถาม: แล้วเราจะป้องกันภัยเหล่านี้ได้อย่างไร?
คำตอบ: WannaCry ได้สะท้อนให้เห็นถึงผลกระทบที่เกิดขึ้นได้ในชีวิตจริงของแรนซั่มแวร์ ไม่ว่าจะเป็น การทำลายระบบ, ทำให้การปฏิบัติงานหยุดชะงัก, ทำให้ชื่อเสียงเสื่อมเสีย, และสร้างความเสียหายทางการเงิน อันเป็นผลมาจากการที่ไม่สามารถดำเนินธุรกิจได้ตามปกติ ทั้งนี้ยังไม่รวมถึงค่าใช้จ่ายที่เกิดขึ้นจากการจัดการกับเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้น และการกู้คืนระบบอีกด้วย
ต่อไปนี้เป็นแนวทางแก้ไข และแนวทางปฏิบัติที่ดีที่สุด ที่แต่ละองค์กรสามารถนำไปใช้ และวางระบบป้องกันให้ระบบของตัวเองพ้นจากภัยร้ายอย่าง WannaCry ได้:
- เนื่องจากแรนซั่มแวร์นี้อาศัยช่องโหว่ในเซิร์ฟเวอร์ SMB ดังนั้นการติดตั้งแพทช์จึงจำเป็นต่อการป้องกันการโจมตีที่เข้ามาทางช่องโหว่ดังกล่าว ซึ่งแพทช์นี้มีพร้อมให้โหลดมาติดตั้งบนระบบวินโดวส์แล้วที่ https://technet.microsoft.com/en-us/library/security/ms17-010.aspx รวมถึงวินโดวส์รุ่นเก่าที่ไมโครซอฟท์เคยประกาศหยุดการซัพพอร์ตไปแล้วด้วย โดยโหลดได้ที่ https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/ ถ้าองค์กรไม่สามารถติดตั้งแพทช์ได้โดยตรง ให้ใช้ระบบเวอร์ช่วลแพทช์เพื่อช่วยจัดการแทน
- ติดตั้งไฟร์วอลล์ และระบบตรวจจับพร้อมป้องกันการบุกรุก เพื่อลดความสามารถในการแพร่กระจายของมัลแวร์ลักษณะนี้ รวมทั้งการติดตั้งระบบตรวจสอบการโจมตีบนเครือข่ายเชิงรุกก็จะช่วยยับยั้งการโจมตีลักษณะนี้ได้อีกแรงหนึ่ง
- นอกจากใช้ประโยชน์จากช่องโหว่แล้ว ยังมีรายงานว่า WannaCry ใช้เมล์สแปมเป็นช่องทางในการเริ่มต้นเข้ามาติดเชื้อบนเครือข่ายด้วย ดังนั้นจึงควรตรวจสอบอีเมล์สแปมที่เข้าข่ายหลอกลวงทางจิตวิทยา เพื่อจำกัดเมล์ที่อาจมีไวรัสได้ นอกจากนี้ฝ่ายไอทีและแอดมินของระบบต่างๆ ควรวางกลไกด้านความปลอดภัยที่สามารถปกป้องเอนด์พอยต์จากมัลแวร์ที่เข้ามากับอีเมล์ด้วย
- WannaCry มีการฝังโปรแกรมอันตรายหลายตัวลงในระบบ เพื่อรันกระบวนการเข้ารหัสของตนเอง ดังนั้นระบบไวท์ลิสต์ที่ใช้เทคนิค Application Control จะช่วยป้องกันแอพพลิเคชั่นที่ไม่ต้องการหรือไม่รู้จักไม่ให้ทำงานได้ นอกจากนี้ระบบตรวจสอบพฤติกรรมยังช่วยสามารถสกัดกั้นการปรับแต่งระบบได้ด้วย แรนซั่มแวร์มักจะใช้เทคนิคที่หลากหลายในการแพร่กระจายบนระบบ ซึ่งผู้ที่คอยป้องกันอันตรายเหล่านี้ควรใช้แนวทางเดียวกันนี้ในการปกป้องระบบของตัวเองอย่างสม่ำเสมอด้วย
- WannaCry เข้ารหัสไฟล์ที่จัดเก็บบนเครื่องปัจจุบัน และไฟล์ที่แชร์ผ่านเครือข่ายด้วย ดังนั้นการคัดแยกชนิดข้อมูลและการเข้าถึงจะช่วยจำกัดบริเวณความเสียหายที่เกิดจากข้อมูลรั่วไหล หรือการโจมตีได้ด้วยการปกป้องข้อมูลสำคัญไม่ให้โดนการโจมตีโดยตรง
- การแบ่งส่วนของเครือข่าย ยังช่วยสามารถป้องกันการแพร่กระจายของอันตรายลักษณะนี้ได้จากภายใน การออกแบบเครือข่ายที่ดีตั้งแต่ต้น จะช่วยจำกัดบริเวณการแพร่กระจายการติดเชื้อนี้ และลดผลกระทบที่มีต่อองค์กรโดยรวม
- ปิดการใช้งานโปรโตคอล SMB บนระบบที่ไม่จำเป็นต้องใช้ การรันเซอร์วิสที่ไม่จำเป็นทิ้งไว้ มักเป็นการเปิดช่องให้ผู้โจมตีค้นหาช่องโหว่สำหรับโจมตีเข้ามาได้มากขึ้น
คำถาม: เราจะทราบได้อย่างไรว่าองค์กรได้รับการปกป้องดีแล้ว?
คำตอบ: Trend Micro มีทูลฟรีที่โหลดได้จาก https://www.trendmicro.com/product_trials/service/index/us/164 ที่ช่วยให้องค์กรต่างๆ ตรวจหาช่องโหว่บนโซลูชั่นการปกป้องเอนดพอยต์ที่ใช้งานอยู่ในปัจจุบัน โดยให้เทคนิคด้านความปลอดภัยบนเอนด์พอยต์ขั้นสูง ที่จำเพาะสำหรับสกัดกั้นอันตรายได้มากกว่า ไม่ให้เข้ามายังเครือข่ายหรืออยู่บนเอนด์พอยต์ของคุณได้
ลูกค้าของ Trend Micro ได้รับการปกป้องจากภัยร้ายนี้หรือยัง?
เรามีชุดของโซลูชั่นที่ให้การปกป้องอีกระดับจากอันตรายใหม่ๆ เหล่านี้ อันได้แก่:
- เทคโนโลยีการอัพเดตการตั้งค่า และความปลอดภัยแบบ Next-Gen – ลูกค้าของ Trend Micro ที่ใช้โซลูชั่น OfficeScan และ Worry-Free Business Security รุ่นล่าสุด สามารถอุ่นใจได้ว่า จะได้รับฟีเจอร์ใหม่ทั้ง Predictive Machine Learning (บน OfficeScan XG และบริการ Worry-Free) และฟีเจอร์การป้องกันแรนซั่มแวร์ อยู่ในผลิตภัณฑ์ของตนเองเรียบร้อย ซึ่งคุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับการตั้งค่าให้เหมาะสมกับการป้องกันแรนซั่มแวร์ได้มากที่สุดจาก https://success.trendmicro.com/solution/1112223
- Smart Scan Agent Pattern และ Office Pattern Release: Trend Micro ได้เพิ่มข้อมูลสายพันธุ์มัลแวร์ และการตรวจจับโปรแกรมอันตรายใหม่ๆ ลงในข้อมูลแพทเทิร์นดังต่อไปนี้สำหรับทุกผลิตภัณฑ์ที่ใช้ข้อมูลแพทเทิร์นนี้แล้ว
o Smart Scan Agent Pattern – 13.399.00
o Official Pattern Release (conventional) – 13.401.00
- Trend Micro Web Reputation Services (WRS) มีการเพิ่มข้อมูลเซิร์ฟเวอร์สั่งการของแฮ็กเกอร์ หรือ C&C เพิ่มเติม
- Trend Micro Deep Security และ Vulnerability Protection (รู้จักกันก่อนหน้านี้ในชื่อ IDF Plug-in for OfficeScan) ซึ่งลูกค้าที่อัพเดต Rule ล่าสุดแล้ว จะได้รับการปกป้องอีกระดับสำหรับวินโดวส์หลายรุ่นพร้อมกัน ซึ่งรวมถึงรุ่นที่ไมโครซอฟท์สิ้นสุดการซัพพอร์ตแล้วอย่าง XP, 2000, 2003 ด้วย โดย Trend Micro ได้ออก Rule สำหรับป้องกันภัยใหม่ดังกล่าวดังนี้
o IPS Rules 1008224, 1008228, 1008225, 1008227 – ซึ่งรวมเอาแพทช์อย่าง MS17-010 และการปกป้องเพิ่มเติมที่ป้องกันการใช้ประโยชน์จากช่องโหว่ของ SMB บนวินโดวส์ด้วย
- Trend Micro Deep Discovery Inspector ลูกค้าที่ใช้ Rule รุ่นล่าสุดจะได้รับการปกป้องขึ้นมากอีกระดับจากช่องโหว่ที่มีการใช้ประโยชน์ในการโจมตี โดยทาง Trend Micro ได้ออก Rule เพิ่มเป็นทางการสำหรับการป้องกันเชิงรุกดังนี้
o DDI Rule 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
- Trend Micro TippingPoint filter ดังต่อไปนี้ได้รับการปรับปรุงเพื่อการป้องกันที่ดีขึ้น ได้แก่
o Filters 5614, 27433, 27711, 27935, 27928 – ที่ครอบคลุมถึง MS17-010 และการป้องกันการโจมตีด้วยการรันโค้ดผ่าน SMB ของวินโดวส์จากระยะไกล
o ThreatDV Filter 30623 – ช่วยจำกัดการสื่อสารขาออกแบบ C2
o Policy Filter 11403 – ให้การปกป้องมากขึ้นอีกระดับต่อการแบ่งส่วนข้อมูลบน SMB ที่น่าสงสัย