ผมเชื่อว่า ใครที่ทำงานในแวดวง Cybersecurity เล็กหรือใหญ่ หรือคนที่สนใจตามอ่านข่าวในด้านนี้ ย่อมไม่พลาด Website นี้ Krebs on Security ข่าวเร็ว ค้นลึก ข้อมูลแน่น และเข้าถึงตัวแหล่งข่าว ต้องเว็บนี้ครับ
ซึ่งเร็ว ๆ นี้ ที่ Krebs on Security ก็มี post เรื่องใหม่ครับ เป็นเนื้อหาประมาณว่า ธุรกิจที่ตกเป็นเหยื่อ Ransomware เดี๋ยวนี้ไม่ค่อยจะยอมจ่ายค่าไถ่กันแล้ว เพราะต่างก็ให้ความสำคัญเรื่อง Backup กัน จนไม่กลัวข้อมูลถูกเข้ารหัส อย่างมากก็แค่ปิดระบบไปซักวันสองวันเท่านั้น พอ Restore เสร็จก็ทำงานต่อ Ransomware มันเรื่องขี้ผง….อ่ะโด่
มองจากมุมของผู้ร้าย มันคือเหนื่อยฟรีครับ อุตส่าห์นั่งทำ Ransomware แล้วกว่าจะฝังมาที่เครื่องของเหยื่อ พอซอฟต์แวร์เข้ารหัสไฟล์ได้สำเร็จ ขึ้นหน้าจอเรียกค่าไถ่ กลับโดนเหยื่อหัวเราะเยาะ Format ฮาร์ดดิสก์แบบไม่มีเยื่อใย จากเมื่อก่อนที่เคยมีเหยื่อจากทั่วโลกโอนค่าไถ่เข้ามาให้ทุกวัน แต่เดี๋ยวนี้เงินเข้ามันเริ่มน้อยลง รายได้หดหายไปอย่างเห็นได้ชัด ผู้ร้ายย่อมไหวตัวและหาวิธีใหม่
ผู้ร้ายไม่ยอมแพ้ครับ มาด้วยมุขใหม่ เรียกค่าไถ่ไม่ได้ งั้นเอาความลับของธุรกิจมาแฉดีกว่า ไม่เรียกค่าไถ่ละ “ขอเป็นค่าปิดปากแทน” …..
https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/
ผมคงไม่เอาเนื้อหาในข่าวมาคุยมากกว่านี้ ไปตามอ่านกันเอาเองครับ ผมมาคิดต่อยอดว่า จะเกิดอะไรขึ้น ถ้าคนร้ายเปลี่ยนมาคิดค่าปิดปากมากกว่าค่าไถ่ มันได้เงินมากกว่าเห็น ๆ มันไม่ใช่ Ransomware แล้ว มันคือการข่มขู่/ขูดรีด มันคือ “Blackmail” ดี ๆ นี่เอง น่ากลัวกว่า Ransomware หลายเท่า
DATA หาย ยังมี Backup
REPUTATION ถูกทำลาย ชีวิตพัง ธุรกิจป่นปี้ กู้กลับคืนไม่ได้
จะเกิดอะไรขึ้นถ้าเรื่องลับ ๆ ที่พูดคุยกันระหว่างผู้ใหญ่วงในของธุรกิจ ถูกเปิดเผยต่อสาธารณะ มันสุดกู่เกินคำบรรยายครับ
ดังเช่นคำคมในละครหลังข่าวได้ว่าไว้ “ฆ่าผมให้ตาย ดีกว่าให้เมียผมรู้เรื่องนี้”
คิดดูง่าย ๆ ครับ Ransomware ก็คือซอฟต์แวร์ของผู้ร้ายที่แอบมาทำงานในเครื่องของเรา โดยที่เราไม่รู้ตัว ซึ่งง่ายมากเลยครับที่ซอฟต์แวร์นั้นจะเปลี่ยนเป้า จากการเข้ารหัส กลายเป็นการค่อย ๆ ส่งไฟล์กลับไปให้ผู้ร้าย วันละนิดวันละหน่อย ไม่นานผู้ร้ายก็จะได้ข้อมูลไปทั้งระบบ ไฟล์เอกสารรั่วออกไปมันเป็นเรื่องเล็กครับ แต่ Credential ที่ใช้ต่อยอดเอาไปล้วงความลับส่วนบุคคล เรื่องลึกเบื้องหลังที่ไม่ควรเอามาสาธยายกันตรงหน้า อันนี้คือเรื่องใหญ่
เรื่องการขโมยข้อมูล ไม่ใช่เรื่องใหม่นะครับ ในปี 2014 Sony pictures ก็ถูกขโมยข้อมูลไป 100 Terabytes โดยที่ไม่มีใครบอกได้ว่า Data transfer เริ่มเมื่อไหร่ รู้แต่ว่าข้อมูลถูกเปิดเผยออกมาปลายปี 2014 ซึ่งเชื่อว่าเป็นการล้างแค้นจากเกาหลีเหนือที่ทาง Sony ไปทำหนังเกี่ยวกับผู้นำของเขาในเชิงตลกโปกฮา ซึ่งเกาหลีเหนือเขาไม่ตลกด้วย เลยจัดให้ทาง Sony ไปซะหนึ่งดอก เรื่องซุบซิบนินทาลับหลัง หนังกำลังจะเปิดตัว โดนเอามาเปิดเผยหมด ทั้งบุคลากร ทั้งองค์กร ชื่อเสียงเสียหายป่นปี้ตามเก็บกันไม่จบ
จากการสอบสวนในเคส Sony เชื่อว่า Malware น่าจะทำงานบน SMB protocol ซึ่งหลายธุรกิจในบ้านเราก็ยังคงเปิด Any protocol อ้าซ่าไว้บน Firewall ให้ใครต่อใครทั่วโลก เข้าถึง SMB บนเซิร์ฟเวอร์ของเราได้อย่างสนุกสนาน
เรื่อง Black mailing ไม่ใช่เรื่องใหม่ในวงการ Cybersecurity และมาตรการป้องกันก็ไม่ใช่เรื่องใหม่เช่นกัน ถ้าใครที่วาง Security framework โดยใช้อ้างอิงหลักการบันไดโจร Cyber kill chain (ลองไปค้น “ภาพ” จากคำนี้ใน Google ดูครับ) จะพบว่า Cybersecurity ที่เราให้น้ำหนักกันมาเป็นส่วนใหญ่ จะเน้นไปที่การป้องกันด้าน Infiltration คือป้องกันไม่ให้โจรเข้าบ้าน
จากเรื่องนี้ ผมอยากให้เห็นส่วนที่เหลือของ Cyber kill chain ให้รู้ว่า Exfiltration หรือขบวนการหนีออกของผู้ร้าย (พร้อมกับเอาข้อมูลออกไปด้วย) นั้น สำคัญไม่แพ้กันครับ นึกภาพง่าย ๆ โจรงัดเข้าบ้านได้แล้ว แต่ทรัพย์อยู่ในตู้เซฟที่หนักมาก แบกออกไปไม่ได้ โจรก็หนีไปแต่ตัว ข้อมูลก็ปลอดภัยได้เช่นกัน ใน Cybersecurity เราก็มีหลักการทำงานคล้าย ๆ กัน คือ เราป้องกันไม่ให้ผู้ร้ายเข้ามาในระบบ และต้องป้องกันไม่ให้ผู้ร้ายสามารถเอาข้อมูลสำคัญออกจากระบบไปด้วย
Data security เป็นเรื่องที่ต้องทำเดี๋ยวนี้ เพราะผู้ร้ายนั้นเล่นแรง และไม่ลดราวาศอก มาตรการที่เราเคยบอกว่า “เอาไว้ทีหลัง” มันจะกลายเป็นเรื่อง “ทำไม่ทันผู้ร้าย” ไปซะงั้น เตรียมตัวกันเอาไว้ครับ
เราคงได้ทำเรื่องพวกนี้กันในไม่ช้า Data encryption, Private key wallet,
และเรื่องบ้า ๆ อย่าง Electronic Data Self destructing scheme ที่เราเคยเห็นแต่ในหนัง อีกหน่อยมันอาจจะกลายเป็นเรื่องใกล้ตัว กลายเป็นเรื่องปกติบนมือถือของเราก็ได้
ผู้ร้ายมีโอกาสเปลี่ยนวิธีการเรียกเงิน เราต้องหันมาสำรวจระบบของเราว่า เรามีการป้องกัน Exfiltration หรือไม่ ถ้าตอนนี้ Malware กำลัง transfer ข้อมูลออกจากระบบของเรา เราจะรู้ตัวหรือเปล่า ขอให้บทความนี้เป็นความรู้กระตุ้นให้เราป้องกัน ลงมือสำรวจและตั้งคำถามเอาไว้ ก่อนจะสายเกินไปครับ