ลองนึกภาพว่ากำลังเขียนอีเมลงานสำคัญแต่จู่ๆ ก็เข้าถึงทุกอย่างไม่ได้ หรือได้รับข้อความแสดงข้อผิดพลาดที่ร้ายแรงซึ่งเรียกร้อง bitcoin เพื่อถอดรหัสคอมพิวเตอร์ของคุณ อาจมีสถานการณ์ที่แตกต่างกันมากมาย แต่สิ่งหนึ่งที่ยังคงเหมือนเดิมสำหรับการโจมตีด้วยแรนซัมแวร์ทั้งหมด—ผู้โจมตีจะให้คำแนะนำเกี่ยวกับวิธีการเข้าถึงของคุณกลับคืนมาเสมอ แน่นอน สิ่งเดียวที่จับได้คือคุณต้องให้เงินค่าไถ่ล่วงหน้าเป็นจำนวนมหาศาลก่อน
แรนซัมแวร์ประเภททำลายล้างที่รู้จักกันในชื่อ "เขาวงกต" ทำให้เกิดการรักษาความปลอดภัยในโลกไซเบอร์ นี่คือสิ่งที่คุณต้องรู้เกี่ยวกับแรนซัมแวร์ Cognizant Maze
Maze Ransomware คืออะไร
แรนซัมแวร์ Maze มาในรูปแบบของ Windows สายพันธุ์ ซึ่งเผยแพร่ผ่านอีเมลขยะและชุดเจาะระบบที่เรียกร้อง bitcoin หรือสกุลเงินดิจิทัลจำนวนมาก เพื่อแลกกับการถอดรหัสและกู้คืนข้อมูลที่ถูกขโมย
อีเมลดังกล่าวมาพร้อมกับหัวเรื่องที่ดูไร้เดียงสา เช่น "ใบเรียกเก็บเงิน Verizon ของคุณพร้อมที่จะดู" หรือ "ส่งพัสดุที่ไม่ได้รับ" แต่มาจากโดเมนที่เป็นอันตราย มีข่าวลือว่า Maze เป็นแรนซัมแวร์ในเครือซึ่งทำงานผ่านเครือข่ายนักพัฒนาที่แบ่งปันผลกำไรกับกลุ่มต่างๆ ที่แทรกซึมเข้าไปในเครือข่ายขององค์กร
ในการคิดกลยุทธ์ในการป้องกันและจำกัดการเปิดเผยจากการโจมตีที่คล้ายกัน เราควรไตร่ตรองถึง Cognizant Maze...
การโจมตีของ Cognizant Maze Ransomware
ในเดือนเมษายน 2020 Cognizant บริษัทที่ติดอันดับ Fortune 500 และหนึ่งในผู้ให้บริการไอทีระดับโลกรายใหญ่ที่สุด ตกเป็นเหยื่อของการโจมตีทางวงกตอันเลวร้ายซึ่งทำให้บริการหยุดชะงักอย่างมหาศาล
เนื่องจากการลบไดเร็กทอรีภายในที่ดำเนินการโดยการโจมตีครั้งนี้ พนักงานของ Cognizant หลายคนได้รับความเดือดร้อนจากการหยุดชะงักในการสื่อสาร และทีมขายก็รู้สึกงงงันที่ไม่มีวิธีสื่อสารกับลูกค้าและในทางกลับกัน
ความจริงที่ว่าการละเมิดข้อมูลของ Cognizant เกิดขึ้นเมื่อบริษัทเปลี่ยนพนักงานให้ทำงานจากระยะไกลเนื่องจากการแพร่ระบาดของไวรัสโคโรนาทำให้มีความท้าทายมากขึ้น ตามรายงานของ CRN พนักงานถูกบังคับให้หาวิธีอื่นในการติดต่อเพื่อนร่วมงานเนื่องจากการเข้าถึงอีเมลหายไป
Brian Humphries ซีอีโอของ Cognizant กล่าวว่า "ไม่มีใครอยากรับมือกับการโจมตีของแรนซัมแวร์ “โดยส่วนตัวแล้วฉันไม่เชื่อว่าไม่มีใครสามารถหลีกเลี่ยงได้อย่างแท้จริง แต่ความแตกต่างคือวิธีที่คุณจัดการกับมัน และเราพยายามที่จะจัดการมันอย่างมืออาชีพและเป็นผู้ใหญ่”
บริษัททำให้สถานการณ์ไม่มั่นคงอย่างรวดเร็วโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำและทีมรักษาความปลอดภัยด้านไอทีภายใน นอกจากนี้ยังมีการรายงานการโจมตีทางไซเบอร์ของ Cognizant ไปยังหน่วยงานบังคับใช้กฎหมาย และลูกค้าของ Cognizant จะได้รับการอัปเดตอย่างต่อเนื่องเกี่ยวกับตัวบ่งชี้การประนีประนอม (IOC)
อย่างไรก็ตาม บริษัทได้รับความเสียหายทางการเงินจำนวนมากจากการโจมตี ซึ่งรวมรายได้ที่สูญเสียไปมากถึง 50-70 ล้านดอลลาร์
เหตุใด Maze Ransomware จึงเป็นภัยคุกคามสองเท่า
ราวกับว่าการได้รับผลกระทบจาก Ransomware ไม่ได้เลวร้ายพอ นักประดิษฐ์ของการโจมตี Maze ได้ทุ่มสุดตัวเพื่อให้ผู้ที่ตกเป็นเหยื่อต้องเผชิญ กลวิธีที่เป็นอันตรายที่เรียกว่า "การขู่กรรโชกสองครั้ง" ถูกนำมาใช้กับการโจมตีทางวงกตที่เหยื่อถูกคุกคามด้วยการรั่วไหลของข้อมูลที่ถูกบุกรุก หากพวกเขาปฏิเสธที่จะร่วมมือและตอบสนองความต้องการของแรนซัมแวร์
แรนซัมแวร์ที่ฉาวโฉ่นี้ถูกเรียกอย่างถูกต้องว่าเป็น "ภัยคุกคามซ้ำซ้อน" เพราะนอกจากจะปิดการเข้าถึงเครือข่ายสำหรับพนักงานแล้ว ยังสร้างแบบจำลองของข้อมูลเครือข่ายทั้งหมด และใช้ข้อมูลดังกล่าวเพื่อใช้ประโยชน์และหลอกล่อเหยื่อให้พบกับค่าไถ่
น่าเสียดายที่กลยุทธ์กดดันโดยผู้สร้างเขาวงกตไม่ได้จบที่นี่ การวิจัยล่าสุดระบุว่า TA2101 ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังแรนซัมแวร์ Maze ได้เผยแพร่เว็บไซต์เฉพาะที่แสดงรายชื่อผู้ที่ตกเป็นเหยื่อที่ไม่ให้ความร่วมมือทั้งหมด และเผยแพร่ตัวอย่างข้อมูลที่ขโมยมาบ่อยครั้งเพื่อเป็นการลงโทษ
วิธีจำกัดเหตุการณ์ Maze Ransomware
การบรรเทาและขจัดความเสี่ยงของแรนซัมแวร์เป็นกระบวนการที่มีหลายแง่มุม ซึ่งรวมกลยุทธ์ต่างๆ และปรับแต่งตามกรณีของผู้ใช้แต่ละรายและโปรไฟล์ความเสี่ยงของแต่ละองค์กร กลยุทธ์ยอดนิยมที่ช่วยหยุดการโจมตีของ Maze ได้มีดังนี้
บังคับใช้การอนุญาตแอปพลิเคชัน
Application Whitelisting เป็นเทคนิคการบรรเทาภัยคุกคามเชิงรุกที่อนุญาตให้เรียกใช้เฉพาะโปรแกรมหรือซอฟต์แวร์ที่ได้รับอนุญาตล่วงหน้าเท่านั้น ในขณะที่โปรแกรมอื่นๆ ทั้งหมดจะถูกบล็อกโดยค่าเริ่มต้น
เทคนิคนี้ช่วยอย่างมากในการระบุความพยายามที่ผิดกฎหมายในการรันโค้ดที่เป็นอันตราย และช่วยป้องกันการติดตั้งที่ไม่ได้รับอนุญาต
โปรแกรมแก้ไขและข้อบกพร่องด้านความปลอดภัย
ข้อบกพร่องด้านความปลอดภัยควรได้รับการแก้ไขทันทีที่ตรวจพบเพื่อป้องกันการยักย้ายถ่ายเทและการละเมิดโดยผู้โจมตี ต่อไปนี้คือกรอบเวลาที่แนะนำสำหรับการใช้โปรแกรมแก้ไขโดยทันทีตามความรุนแรงของข้อบกพร่อง:
- เสี่ยงมาก :ภายใน 48 ชั่วโมงหลังจากปล่อยแพตช์
- มีความเสี่ยงสูง :ภายในสองสัปดาห์หลังจากออกแพตช์
- ปานกลางหรือมีความเสี่ยงต่ำ :ภายในหนึ่งเดือนหลังจากออกแพตช์
กำหนดการตั้งค่ามาโครของ Microsoft Office
มาโครถูกใช้เพื่อทำให้งานประจำเป็นอัตโนมัติ แต่บางครั้งอาจเป็นเป้าหมายที่ง่ายสำหรับการขนส่งโค้ดที่เป็นอันตรายไปยังระบบหรือคอมพิวเตอร์เมื่อเปิดใช้งาน วิธีที่ดีที่สุดคือปิดการใช้งานพวกเขาถ้าเป็นไปได้หรือให้พวกเขาประเมินและตรวจสอบก่อนใช้
จ้าง Application Hardening
Application Hardening เป็นวิธีการป้องกันแอปพลิเคชันของคุณและใช้ชั้นการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจรกรรม แอปพลิเคชัน Java มักเสี่ยงต่อช่องโหว่ด้านความปลอดภัย และสามารถใช้เป็นจุดเริ่มต้นได้โดยผู้คุกคาม จำเป็นต้องปกป้องเครือข่ายของคุณโดยใช้วิธีการนี้ในระดับแอปพลิเคชัน
จำกัดสิทธิ์การดูแลระบบ
สิทธิ์ของผู้ดูแลระบบควรได้รับการจัดการด้วยความระมัดระวังเป็นอย่างยิ่ง เนื่องจากบัญชีผู้ดูแลระบบสามารถเข้าถึงทุกสิ่งได้ ใช้หลักการของสิทธิพิเศษน้อยที่สุด (POLP) เสมอเมื่อตั้งค่าการเข้าถึงและการอนุญาต เนื่องจากอาจเป็นปัจจัยสำคัญในการบรรเทาแรนซัมแวร์ Maze หรือการโจมตีทางไซเบอร์สำหรับเรื่องนั้น
ระบบปฏิบัติการแพตช์
ตามหลักการทั่วไป แอปพลิเคชัน คอมพิวเตอร์ และอุปกรณ์เครือข่ายใด ๆ ที่มีความเสี่ยงสูงควรได้รับการแก้ไขภายใน 48 ชั่วโมง นอกจากนี้ สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าใช้เฉพาะระบบปฏิบัติการเวอร์ชันล่าสุดเท่านั้น และหลีกเลี่ยงเวอร์ชันที่ไม่รองรับไม่ว่าจะต้องเสียค่าใช้จ่ายใดๆ
ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย
Multi-Factor Authentication (MFA) เพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่ง เนื่องจากต้องใช้อุปกรณ์ที่ได้รับอนุญาตหลายเครื่องในการเข้าสู่ระบบโซลูชันการเข้าถึงจากระยะไกล เช่น ธนาคารออนไลน์ หรือการดำเนินการที่มีสิทธิพิเศษอื่นๆ ที่ต้องใช้ข้อมูลที่ละเอียดอ่อน
รักษาความปลอดภัยเบราว์เซอร์ของคุณ
สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจว่าเบราว์เซอร์ของคุณอัปเดตอยู่เสมอ โฆษณาป๊อปอัปถูกบล็อก และการตั้งค่าเบราว์เซอร์ของคุณป้องกันการติดตั้งส่วนขยายที่ไม่รู้จัก
ตรวจสอบว่าเว็บไซต์ที่คุณกำลังเยี่ยมชมนั้นถูกต้องหรือไม่โดยตรวจสอบแถบที่อยู่ เพียงจำไว้ว่า HTTPS มีความปลอดภัยในขณะที่ HTTP นั้นน้อยกว่ามาก
จ้างความปลอดภัยของอีเมล
วิธีการหลักในการเข้าสู่ Maze ransomware คือทางอีเมล
ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยเพื่อเพิ่มชั้นความปลอดภัยเพิ่มเติมและกำหนดวันหมดอายุสำหรับรหัสผ่าน นอกจากนี้ ให้ฝึกตัวเองและพนักงานไม่ให้เปิดอีเมลจากแหล่งที่ไม่รู้จักหรืออย่างน้อยไม่ดาวน์โหลดไฟล์แนบที่น่าสงสัย การลงทุนในโซลูชันการป้องกันอีเมลช่วยให้ส่งอีเมลของคุณได้อย่างปลอดภัย
ทำการสำรองข้อมูลเป็นประจำ
การสำรองข้อมูลเป็นส่วนสำคัญของแผนการกู้คืนข้อมูลหลังภัยพิบัติ ในกรณีที่มีการโจมตี การกู้คืนข้อมูลสำรองที่สำเร็จจะทำให้คุณสามารถถอดรหัสข้อมูลที่สำรองไว้เดิมซึ่งถูกเข้ารหัสโดยแฮกเกอร์ได้อย่างง่ายดาย เป็นความคิดที่ดีที่จะตั้งค่าการสำรองข้อมูลอัตโนมัติและสร้างรหัสผ่านที่ไม่ซ้ำกันและซับซ้อนสำหรับพนักงานของคุณ
ให้ความสนใจกับปลายทางและข้อมูลรับรองที่ได้รับผลกระทบ
สุดท้ายแต่ไม่ท้ายสุด หากปลายทางเครือข่ายของคุณได้รับผลกระทบจากแรนซัมแวร์ Maze คุณควรระบุข้อมูลประจำตัวทั้งหมดที่ใช้กับอุปกรณ์ดังกล่าวอย่างรวดเร็ว คิดเสมอว่าอุปกรณ์ปลายทางทั้งหมดพร้อมใช้งานและ/หรือถูกแฮ็กเกอร์บุกรุก บันทึกเหตุการณ์ของ Windows จะมีประโยชน์สำหรับการวิเคราะห์การเข้าสู่ระบบหลังการประนีประนอม
งงกับการโจมตีทางวงกตของ Cognizant ไหม
การละเมิดของ Cognizant ทำให้ผู้ให้บริการโซลูชันไอทีต้องดิ้นรนเพื่อฟื้นฟูจากการสูญเสียทางการเงินและข้อมูลจำนวนมหาศาล อย่างไรก็ตาม ด้วยความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำ บริษัทสามารถกู้คืนจากการโจมตีที่เลวร้ายนี้ได้อย่างรวดเร็ว
ตอนนี้พิสูจน์แล้วว่าการโจมตีของแรนซัมแวร์นั้นอันตรายเพียงใด
นอกจากเขาวงกตแล้ว ยังมีการโจมตีแรนซัมแวร์อื่นๆ มากมายที่ดำเนินการโดยผู้คุกคามที่ชั่วร้ายทุกวัน ข่าวดีก็คือ ด้วยความรอบคอบและหลักปฏิบัติด้านความปลอดภัยที่เข้มงวด บริษัทใดๆ ก็สามารถบรรเทาการโจมตีเหล่านี้ได้อย่างง่ายดายก่อนที่จะโจมตี
