รับมือ ‘แรนซัมแวร์’ รูปแบบการโจมตีที่กำลังเพิ่มสูงในไทย

12 ก.พ. 2568 - 06:27

  • หน่วยงาน-องค์กร ไม่ตกเป็นเหยื่อภัยคุกคามทางไซเบอร์ ต้องทำอย่างไร?

  • หลังข้อมูลชี้ การโจมตีแบบ ‘แรนซัมแวร์’ หรือการเรียกค่าไถ่ กำลังเพิ่มสูงขึ้นในไทย

  • ชวนรู้ วิธีป้องกันที่ไม่ง่าย แต่ก็ไม่ใช่เรื่องยาก

ransomware-cyber-threat-cybersecurity-thailand-SPACEBAR-Hero.jpg

หลังทั่วโลกเข้าสู่ยุคดิจิทัล เราก็พบการโจมตีทางไซเบอร์ ซึ่งเป็นภัยคุกคามที่เพิ่มขึ้นอย่างต่อเนื่อง ทั้งในระดับโลกและในประเทศไทย โดยมีรูปแบบการโจมตีที่หลากหลายและซับซ้อนมากขึ้น ส่งผลกระทบต่อทั้งหน่วยงานภาครัฐและเอกชน

ภัยไซเบอร์ กับ ‘รูปแบบการโจมตี’ ที่พบบ่อย

ทั้งนี้ กล่าวได้ว่า ภัยไซเบอร์กับรูปแบบการโจมตีที่พบบ่อย ซึ่งมักจะถูกเรียกให้เราได้ยินได้ฟังกันบ่อยครั้งนั้น มี 5 ชนิด ซึ่งล้วนมีวิธีการโจมตีที่แตกต่างกันออกไป ประกอบไปด้วย

1. มัลแวร์ (Malware) : ซอฟต์แวร์ที่ถูกออกแบบมาเพื่อทำลายหรือเข้าถึงข้อมูลในระบบคอมพิวเตอร์ เช่น ไวรัส เวิร์ม และโทรจัน

2. แรนซัมแวร์ (Ransomware) : มัลแวร์ที่เข้ารหัสไฟล์ของเหยื่อและเรียกค่าไถ่เพื่อปลดล็อกไฟล์เหล่านั้น

3. ฟิชชิ่ง (Phishing) : การหลอกลวงผ่านอีเมลหรือเว็บไซต์ปลอมเพื่อขโมยข้อมูลส่วนตัว

4. การโจมตีแบบดักกลางทาง (Man-in-the-Middle Attack) : การที่ผู้โจมตีแทรกตัวเข้ามาระหว่างการสื่อสารของสองฝ่ายเพื่อขโมยหรือเปลี่ยนแปลงข้อมูล

5. การโจมตีโดยปฏิเสธการให้บริการ (DDoS) : การส่งคำขอจำนวนมากไปยังเซิร์ฟเวอร์เป้าหมายเพื่อทำให้ระบบไม่สามารถให้บริการได้

จญาชรี เอส ผู้เชี่ยวชาญ จากบริษัท ManageEngine กล่าวว่า ในช่วงหลายปีที่ผ่านมา ความถี่และความรุนแรงของการโจมตีทางไซเบอร์ได้เพิ่มขึ้นอย่างมากทั่วโลก โดยรูปแบบการโจมตีที่พบเห็นได้มากที่สุดก็คือRansomware As A Service (RaaS) หรือ ‘การเรียกค่าไถ่’ ในรูปแบบของบริการ ซึ่งเป็นภัยคุกคามที่สร้างผลกระทบอย่างร้ายแรงแก่องค์กรทุกขนาด นอกจากนี้ ความประมาทของพนักงานและการขาดโซลูชันการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพทำให้องค์กรมีความเสี่ยงต่อการถูกโจมตี

ransomware-cyber-threat-cybersecurity-thailand-SPACEBAR-Photo01.jpg

ชวนสำรวจรูปแบบ ‘แรนซัมแวร์’ และโมเดลของ RaaS

การเพิ่มขึ้นของการโจมตีเรียกค่าไถ่ในช่วงหลายปีที่ผ่านมา เน้นให้เห็นเด่นชัดถึงความเร่งด่วนที่องค์กรต่างๆ ต้องนำมาตรการเชิงรุกมาใช้เพื่อปกป้องตนเอง ภัยคุกคามที่เพิ่มขึ้นนี้ปรากฏให้เห็นอย่างชัดเจนในประเทศไทย โดยเฉพาะในขณะที่ธุรกิจกำลังเผชิญกับความเสี่ยงจากภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้น อันเป็นผลมาจากการเปลี่ยนแปลงการดำเนินงานไปสู่ดิจิทัล

รายงาน โดยสำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ  (สกมช.) ระบุว่า ที่ผ่านมาการโจมตีทางอินเทอร์เน็ตเพิ่มจำนวนขึ้นอย่างมีนัยยะสำคัญ โดยมุ่งเป้าหมายไปที่ภาคการบริการทางการเงินเป็นหลัก และรวมถึง ‘กลุ่มธุรกิจ’ ที่ยังต่างต้องเผชิญกับการโจมตีทางไซเบอร์หลากหลายรูปแบบ ไม่ว่าจะเป็นฟิชชิ่ง มัลแวร์ หรือแรนซัมแวร์ และการขโมยข้อมูลทางการเงินและข้อมูลส่วนบุคคล หลายบริษัทในประเทศไทย ยกเว้นธนาคารขนาดใหญ่ มีมาตรการรักษาความปลอดภัยที่ไม่ครอบคลุม ทำให้มีความสามารถในการรับมือกับภัยคุกคามทางไซเบอร์หรือ Cyber Resilient อยู่ในระดับที่ไม่สูงมากนัก

การตระหนักรู้ด้านความมั่นคงทางไซเบอร์ในองค์กร คือการสร้างความตระหนักถึงความสำคัญอย่างยิ่งของความปลอดภัยทางไซเบอร์ โดยได้มีการส่งเสริมให้ทั้งพนักงานและองค์กรเริ่มใช้มาตรการป้องกันเชิงรุกเพื่อปกป้องทรัพย์สินดิจิทัล (Digital Asset)รวมถึงสนับสนุนให้บริษัทหันมาสร้างความตระหนักให้แก่พนักงานอย่างจริงจังเกี่ยวกับแนวทางการปฏิบัติที่ดีที่สุด (Best Practice) ในด้านความปลอดภัยทางไซเบอร์ พร้อมทั้งจัดการฝึกอบรมที่ครอบคลุม และสร้างวัฒนธรรมแห่งการเฝ้าระวังต่อภัยคุกคามทางไซเบอร์

การมีส่วนร่วมอย่างแข็งขัน ในการสร้างความตระหนักรู้ด้านความมั่นคงทางไซเบอร์ จะช่วยให้องค์กรสามารถรับมือกับความปลอดภัยทางไซเบอร์ และเพิ่มขีดความสามารถให้กับพนักงานให้เกิดความเข้าใจและสามารถรับมือต่อภัยคุกคามที่อาจเกิดขึ้นในสภาพแวดล้อมทางดิจิทัลที่ทวีความซับซ้อนเพิ่มมากขึ้น

จากดัชนี Global Cybersecurity Index 2024 ของสหภาพโทรคมนาคมระหว่างประเทศ (ITU)ประเทศไทยได้สร้างการเปลี่ยนแปลงครั้งสำคัญและก้าวขึ้นมาสู่อันดับที่ 7 ของโลกด้านความมั่นคงปลอดภัยทางไซเบอร์ โดยก้าวขึ้นมาจากอันดับที่ 44 ในปี 2563 ซึ่งแสดงให้เห็นถึงความมุ่งมั่นของประเทศในการเสริมสร้างความมั่นคงทางไซเบอร์ผ่านความร่วมมือระหว่างหน่วยงานและพันธมิตรทั้งในประเทศและต่างประเทศ

ภาครัฐได้เน้นย้ำให้เห็นถึงความสำคัญของพัฒนาการดังกล่าวที่จะช่วยขับเคลื่อนเศรษฐกิจดิจิทัลและพัฒนาประเทศ ขณะเดียวกันยังพร้อมยกระดับมาตรการด้านความมั่นคงทางไซเบอร์เพื่อต่อสู้กับภัยคุกคามที่เกิดขึ้นใหม่อยู่ตลอดเวลาอย่างมีประสิทธิภาพ ก่อนที่จะเจาะลึกถึงกลยุทธ์ด้านการป้องกัน แต่สิ่งสำคัญที่แรนซัมแวร์ คืออะไรและทำงานอย่างไร

‘แรนซัมแวร์’ คือ ซอฟต์แวร์อันตรายที่สามารถเข้ารหัส หรือ encrypt ไฟล์บนเซิร์ฟเวอร์และเครื่องคอมพิวเตอร์ส่วนบุคคล ทำให้องค์กรไม่สามารถเข้าถึงข้อมูลของตนได้ ซึ่งอาจส่งผลให้เกิดการสูญเสียทางการเงินอย่างมาก สร้างเสียหายต่อชื่อเสียงของบริษัท และการหยุดชะงักในการดำเนินงานโดยสิ้นเชิง ผู้โจมตีมักจะเข้าถึงระบบผ่านช่องทางต่างๆ เช่น อีเมลฟิชชิง เว็บไซต์ที่ถูกโจมตี หรือผ่านการดาวน์โหลดไฟล์ที่เป็นอันตราย เมื่อเข้าไปในระบบแล้ว พวกเขาจะเรียกร้องค่าไถ่ ซึ่งมักจะเป็นสกุลเงินดิจิทัล (Cryptocurrency ) เพื่อคืนสิทธิ์ในการการเข้าถึงไฟล์ที่ถูกเข้ารหัส (encrypt) เอาไว้

รูปแบบการโจมตีด้วยแรนซัมแวร์แบบเดิมได้พัฒนาเปลี่ยนแปลงไปแล้ว โดยกลุ่มอาชญากรตระหนักดีว่าการโจมตีด้วยตัวเองนั้นอาจเกิดความเสี่ยงและอาจถูกจับกุมได้ ด้วยเหตุนี้นี้จึงทำให้เกิด RaaS หรือ (Ransomware as a Service) ขึ้น

RaaS เป็นรูปแบบธุรกิจใต้ดินที่อาชญากรผู้ใช้แรนซัมแวร์ ตระเตรียมเครื่องมือและการสนับสนุนให้ให้กับพันธมิตรที่ดำเนินการโจมตี รูปแบบนี้ทำให้ผู้ให้บริการสามารถทำกำไรโดยไม่ต้องมีส่วนร่วมในการโจมตีโดยตรง โดยจะเรียกเก็บค่าธรรมเนียมการบริการจากพันธมิตรเพื่อเข้าถึงรหัสโปรแกรมเรียกค่าไถ่ และรับส่วนแบ่งจากค่าไถ่ที่ได้มา ข้อตกลงนี้ช่วยลดความเสี่ยงให้แก่อาชญากรอีกทั้งยังช่วยให้โจมตีได้สำเร็จมากขึ้นกว่าเดิม เนื่องจากสามารถสรรหาพันธมิตรได้จำนวนมากเพื่อมุ่งเป้าไปยังองค์กรได้หลากหลาย

กลยุทธ์ที่ช่วยลดความเสี่ยงจากการโจมตีทางไซเบอร์

‘แรนซัมแวร์’ เป็นภัยคุกคามที่เกิดขึ้นในวงกว้าง แต่ก็มีหลายกลยุทธ์ที่องค์กรสามารถนำไปใช้เพื่อป้องกันการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพ ประกอบด้วย

1. การให้ความรู้และการฝึกอบรมพนักงาน แนวทางป้องกันขั้นแรกต่อการโจมตีในโลกไซเบอร์ก็คือ พนักงานต้องมีความรู้ความเข้าใจที่เพียงพอองค์กรควรจัดการฝึกอบรมเกี่ยวกับแนวปฏิบัติที่ดีที่สุด (Best Practice) ในด้านการรักษาความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ รวมไปถึงการจำลองการโจมตีแบบฟิชชิ่ง เพื่อสอนพนักงานให้รู้จักภัยคุกคาม ให้ข้อมูลเกี่ยวกับนโยบาย Cybersecurity ล่าสุดแก่พนักงาน และต้องประเมินทักษะด้านความปลอดภัย ทั้งหมดที่กล่าวมาจะสามารถลดความเสี่ยงของการโจมตีที่สำเร็จได้อย่างมาก

2. การจำกัดการเข้าถึงข้อมูลของผู้ใช้ การจำกัดการเข้าถึงข้อมูลสำคัญตามบทบาทของผู้ใช้สามารถลดโอกาสที่จะเกิดการรั่วไหลได้ การใช้ Role-Based Access Control (การควบคุมการเข้าถึงตามบทบาทที่กำหนดตามหน้าที่และความรับผิดชอบ) พร้อมด้วยการใช้แนวท Zero Trust รวมถึงการระบุตัวตนแบบ Two-Aactor Authentication (2FA) หรือ Multi-Factor Authentication (MFA) จะช่วยยกระดับความปลอดภัย เพื่อให้มั่นใจได้ว่ามีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลสำคัญได้

 3. การสำรองข้อมูลเป็นประจำ การสำรองข้อมูลสำคัญอยู่เป็นประจำจะช่วยให้กู้ข้อมูลได้เมื่อถูกโจมตีแบบแรนซัมแวร์ องค์กรควรนำกลยุทธ์ 3-2-1 backup มาใช้ ซึ่งประกอบด้วยการเก็บสำเนาข้อมูลสามชุดในสองรูปแบบที่แตกต่างกัน โดยเก็บสำรองไว้หนึ่งชุดนอกสถานที่ เราจึงมั่นใจได้ว่าแม้ว่าข้อมูลจะถูกโจมตี องค์กรก็ยังสามารถทำงานต่อไปได้โดยเกิด Downtime สั้นที่สุด

4. การอัปเดตระบบและการกำหนดค่าไฟร์วอลล์ท การอัปเดตซอฟต์แวร์และระบบอย่างสม่ำเสมอเป็นสิ่งสำคัญที่จะป้องกันช่องโหว่ การอัปแพตช์ของแอปพลิเคชันอย่างสม่ำเสมอและการใช้เครื่องมือรักษาความปลอดภัยขั้นสูง เช่น โซลูชันการตรวจจับและตอบสนองขั้นสูง (Extended Detection And Response หรือ XDR) และแพลตฟอร์มการป้องกันที่ปลายทาง (Endpoint Protection  หรือ EPP) สามารถช่วยป้องกันการถูกโจมตีได้ นอกจากนี้ การกำหนดค่าไฟร์วอลล์เพื่อคัดกรองกิจกรรมที่น่าสงสัยจะสามารถยกระดับระดับการป้องกันอีกชั้นหนึ่ง

5.การทำ Network Segmentation สามารถจำกัดการแพร่กระจายของ Malware ได้ หากเครือข่ายหนึ่งถูกโจมตี ก็สามารถช่วยป้องกันภัยคุกคามและให้เวลากับทีม IT Security รับมือได้อย่างมีประสิทธิภาพ

ทั้งหมดนี้ เป็นวิธีการลดความเสี่ยงของการตกเป็นเหยื่อของแรนซัมแวร์ และภัยคุกคามทางไซเบอร์อื่นๆ ได้อย่างมีนัยยะสำคัญ นอกจากนี้ การลงทุนฝึกอบรมพนักงาน ประกอบกับการมีเครื่องมือด้านการรักษาความมั่นคงทางไซเบอร์ ที่แข็งแกร่งมีประสิทธิภาพ และการใช้มาตรการเชิงรุกเป็นสิ่งจำเป็นในการปกป้องข้อมูลที่มีความละเอียดอ่อนและรักษาความน่าเชื่อถือในสภาพแวดล้อมทางดิจิทัลยุคปัจจุบัน

เรื่องเด่นประจำสัปดาห์