คลังเก็บป้ายกำกับ: RANSOMWARE

ผู้เชี่ยวชาญเตือน Amazon S3 เสี่ยงถูก Ransomware โจมตีในอนาคตอันใกล้นี้

Kevin Beaumont ผู้เชี่ยวชาญด้าน InfoSec ออกมาแจ้งเตือนผู้ใช้ Amazon S3 ซึ่งเป็นบริการ Cloud Storage ของ AWS เสี่ยงถูก Ransomware โจมตีเพื่อเรียกค่าไถ่เหมือนที่ MongoDB หลายหมื่น Databases ถูกโจมตีตลอดปี 2017 เนื่องจากการตั้งค่าไม่มั่นคงปลอดภัย

Credit: Nicescene/ShutterStock

ในปี 2017 ที่ผ่านมานี้ เราได้เห็นข่าวข้อมูลใน Amazon S3 รั่วไหลออกสู่สาธารณะเป็นจำนวนมาก ไม่ว่าจะเป็น NSA, กองทัพสหรัฐฯ, ผู้ให้บริการการทำ Data Analytics และอื่นๆ ซึ่งส่วนใหญ่มีสาเหตุมาจากการตั้งค่าให้ Amazon S3 เป็นแบบ Publicly-readable โดยไม่รู้ตัว อย่างไรก็ตาม พบว่ามีผู้ใช้บริการบางรายเผลอตั้งค่าแย่ยิ่งกว่านั้น คือเป็น Publicly-writable ซึ่งช่วยให้ใครก็ตาม ต่อให้ไม่มีบัญชี AWS ก็สามารถเขียนหรือลบข้อมูลออกจาก Amazon S3 ได้ทันที จากการสำรวจของ Skyhigh Networks ในเดือนกันยายน 2017 พบว่ามี Amazon S3 ถึง 7% ที่ตั้งค่าแบบ Publicly-writable

ด้วยเหตุนี้ทำให้ผู้เชี่ยวชาญหลายรายเชื่อว่า กลุ่มแฮ็กเกอร์ที่อยู้เบื้องหลังจากโจมตีเพื่อเรียกค่าไถ่จาก MongoDB, ElasticSearch, Hadoop, CouchDB, Cassandra และ MySQL servers ในปี 2017 จะเริ่มหันมาพุ่งเป้าที่ Amazon S3 แบบ Publicly-writable ในปี 2018 นี้ อย่างไรก็ตาม เนื่องจาก Amazon S3 เก็บข้อมูลปริมาณมหาศาล การลบข้อมูลทิ้งทั้งหมดแล้วเรียกค่าไถ่แลกกับการนำข้อมูลกลับคืนมาจึงเป็นไปได้ยาก เนื่องจากแฮ็กเกอร์ส่วนใหญ่คงไม่มีระบบ Storage ที่ใหญ่เพียงพอสำหรับสำรองข้อมูลของเหยื่อหลายๆ ราย ส่งผลให้เป็นไปได้สูงที่เหยื่อจะจ่ายค่าไถ่ฟรีๆ

Mike Gualtieri นักวิจัยด้านความมั่นคงปลอดภัยระบุว่า ในเชิงเทคนิคแล้ว การโจมตีเพื่อเรียกค่าไถ่ Amazon S3 เป็นเรื่องที่เป็นไปได้ โดยเขาประสบความสำเร็จในการเขียนสคริปต์ POC เพื่อเข้าถึง Amazon S3 ที่เปิดให้เขียนข้อมูลลงไปได้ โดยสคริปต์จะทำการลิสต์ไฟล์ทั้งหมดใน S3, ดาวน์โหลดไฟล์มาทำแฮชด้วย MD5, จากนั้นลบไฟล์ทิ้ง แล้วอัปโหลดไฟล์แฮชกลับขึ้นไปพร้อมต่อท้ายด้วย .enc เพื่อหลอกผู้ใช้บริการว่าข้อมูลถูกเข้ารหัสเรียบร้อย

นอกจากนี้ยังพบว่ามีนักวิจัยด้านความมั่นคงปลอดภัยบางราย เช่น Robbie Wiggins ได้ทำการสแกน Amazon S3 ที่ตั้งค่าเป็น Publicly-writable พบว่ามีจำนวนมากถึง 5,260 เครื่อง ซึ่ง 50 เครื่องดำเนินการโดย BBC โดยเขาได้ทำการแนบไฟล์ลงไปใน Amazon S3 ที่ค้นพบด้วยข้อความแจ้งเตือนว่า “Anyone can write to this bucket. Please fix this before a bad guy finds it.”

ที่สำคัญคือ Amazon S3 บางส่วนมีการเก็บข้อมูลสำคัญหรือความลับที่พร้อมถูกเรียกค่าไถ่อีกด้วย ไม่ว่าจะเป็นข้อมูลทางการแพทย์ ข้อมูลด้านการทหาร ข้อมูลทรัพย์สินทางปัญญา ข้อมูลสำรอง ไฟล์ Bitcoin Wallet และอื่นๆ ส่งผลให้ต่อให้ Amazon S3 ไม่ได้เป็นแบบ Publicly-writable การที่แฮ็กเกอร์สามารถเข้าถึงข้อมูลเหล่านี้ได้อาจนำไปสู่การ Blackmail เพื่อเรียกค่าไถ่ โดยเฉพาะอย่างยิ่งการมาถึงของ GDPR ในเดือนพฤษภาคมนี้อาจทำให้เหยื่อยอมจ่ายค่าไถ่แทนที่จะเสียค่าปรับหลายสิบล้านยูโร

อย่างไรก็ตาม ทางด้าน AWS เองก็ได้ออกมาแจ้งเตือนผู้ใช้บริการเกี่ยวกับการตั้งค่า Amazon S3 ให้มั่นคงปลอดภัย พร้อมเปิดให้ใช้ AWS Trusted Advisor S3 Bucket Permissions Check Tool พรี สำหรับตรวจสอบว่า Amazon S3 ที่รันอยู่นั้นมีการตั้งค่า Permission อย่างเหมาะสมหรือไม่ หรือจะใช้ S3 Inspector ซึ่งเป็นสคริปต์ Python จาก Kromtech ในการตรวจเช็คก็ได้

ที่มา: https://www.bleepingcomputer.com/news/security/amazon-aws-servers-might-soon-be-held-for-ransom-similar-to-mongodb/

from:https://www.techtalkthai.com/amazon-s3-tends-to-be-ransomed-soon/

Advertisements

เว็บราชการทั่วโลกโดนแฮ็ก ถูกฝังโค้ดขุดเหมืองเงินคริปโต

จากเทรนด์สมัยก่อนที่แฮ็กเว็บหน่วยงานภาครัฐแค่เพื่อฉีกหน้าให้อับอาย จนต่อมาเริ่มตักตวงผลประโยชน์เพิ่มขึ้นด้วยการใช้เป็นฐานแพร่เชื้อโทรจันและแรนซั่มแวร์ จนล่าสุดพบการแฮ็กเว็บราชการเพื่อแอบใส่โค้ดขุดเหมืองบิทคอยน์ให้ตัวเองแทนอย่างแพร่หลายทั่วโลกนับหลายพันเว็บ

นั่นคือ ผู้เยี่ยมชมเว็บหน่วยงานภาครัฐที่ดูน่าเชื่อถือหลายแห่ง จะโดนผลาญทรัพยากรประมวลผลในการขุดเหมืองเงินคริปโตให้แฮ็กเกอร์โดยไม่รู้ตัวไปด้วย จากเว็บราชการที่โดนหางเลขกว่า 4,000 เว็บไซต์นั้น มีเว็บที่มีชื่อเสียงอย่าง สำนักบริการสุขภาพแห่งชาติของอังกฤษหรือ NHS, บริษัทให้กู้ยืมเงินเพื่อการศึกษา, ไปจนถึงหน่วยงานที่ดูแลคุ้มครองข้อมูลอย่าง Information Commissioner’s Office (ICO), เว็บรัฐบาลรัฐควีนส์แลนด์, ไปจนถึงเว็บศาลยุติธรรมของสหรัฐฯ

การแฮ็กครั้งนี้ ใช้เทคนิคการแก้ไขโค้ดปลั๊กอินจากเธิร์ดปาร์ตี้ชื่อดังที่ช่วยอำนวยความสะดวกให้บุคคลทุพพลภาพทางสายตาอย่าง “Browsealoud” ที่ใช้กันบนเว็บราชการทั้งหลาย ด้วยการแฝงสคริปต์ขุดเงินคริปโตลงไป

ปลั๊กอินที่คอยอ่านข้อความเป็นเสียงให้ผู้เยี่ยมชมฟังนี้ ได้ถูกฝังโค้ดของ CoinHive ซึ่งเป็นบริการขุดเหมืองเงินสกุล Monero ที่เปิดให้เว็บแอดมินที่สนใจสามารถนำไปใช้สร้างรายได้ให้ตัวเองด้วยการแอบผลาญทรัพยากรซีพียูของผู้เข้าชมเว็บ ทั้งนี้ เจ้าของปลั๊กอินดังกล่าวอย่าง Texthelp ได้ออกมาอัพเดตและปิดการทำงานของปลั๊กอินชั่วคราวบนทุกเว็บไซต์ให้แล้ว พร้อมยืนยันว่าไม่ได้มีการแฮ็กข้อมูลลูกค้าจากเหตุการณ์นี้แต่อย่างใด

ที่มา : https://thehackernews.com/2018/02/cryptojacking-malware.html

from:https://www.enterpriseitpro.net/website-hack-cryptocurrency-ransomware/

นักวิจัยค้นพบวิธี Bypass ฟีเจอร์ป้องกัน Ransomware ของ Windows ระบุ MS ไม่ยอมรับว่าเป็นช่องโหว่

Yago Jesus นักวิจัยด้าน Security แห่งบริษัท SecurityByDefault จากสเปนได้ออกมาเปิดเผยถึงการค้นพบวิธีการ Bypass ระบบ Windows Controlled Folder Access ซึ่งเป็นฟีเจอร์ที่ Microsoft ออกแบบมาเพื่อป้องกัน Ransomware บน Windows 10 ได้แล้ว

 

Credit: ShutterStock.com

 

Windows Controlled Folder Access นี้เป็นความสามารถที่เปิดให้ผู้ใช้งาน Windows 10 Fall Creators Update สามารถทำการเลือกได้ว่าไฟล์ในโฟลเดอร์ใดจะมีการควบคุมให้เปิดแก้ไขข้อมูลได้บ้าง และสามารถระบุได้ว่ามี Application ใดสามารถทำการแก้ไขไฟล์ในโฟลเดอร์นั้นๆ ได้บ้าง เพื่อลดความเสี่ยงที่ Ransomware จะมาทำการเข้ารหัสไฟล์ในโฟลเดอร์นั้นๆ

Yago Jesus ได้พบว่า Microsoft นั้นได้ทำการกำหนดให้ Microsoft Office Application ทั้งหมดอยู่ใน Whitelist ของ Application ที่สามารถเปิดอ่านไฟล์ในทุกๆ โฟลเดอร์ที่กำหนดให้ถูกป้องกันอยู่ภายใต้ Windows Controlled Folder Access ในแบบ Default ทำให้การโจมตีใดๆ ที่อาศัย Microsoft Office เป็นช่องทางนั้นก็สามารถทำการแก้ไขไฟล์ในโฟลเดอร์เหล่านั้นได้

หลังจากที่เขาค้นพบความจริงข้อนี้แล้ว เขาก็ได้ทำการพัฒนาตัวอย่างการโจมตีขึ้นมาโดยใช้ OLE Object ใน Microsoft Office เพื่อทำการเปลี่ยนแปลงแก้ไขไฟล์ที่อยู่ภายใต้โฟลเดอร์ซึ่งปกป้องด้วย Controlled Folder Access, ทำการกำหนดค่า Password-protect ให้เจ้าของไฟล์ไม่สามารถเข้าถึงไฟล์นั้นๆ ได้, ทำการ Copy เนื้อหาจากไฟล์ต่างๆ ออกมาอยู่ในโฟลเดอร์อื่นๆ ที่ไม่ได้อยู่ภายใต้ Controlled Folder Access แล้วทำการเข้ารหัสก่อนที่จะลบไฟล์ต้นฉบับทิ้งไป

Yago Jesus ได้ติดต่อทีมงาน Microsoft เพื่อแจ้งถึงประเด็นดังกล่าว แต่ทาง Microsoft ได้ตอบเขากลับมาว่ากรณีนี้ไม่ใช่ช่องโหว่ทางด้าน Security แต่อย่างใด แต่ทาง Microsoft ก็จะปรับปรุง Windows Controlled Folder Access ให้ดีขึ้นในอนาคตเพื่อป้องกันการ Bypass ในลักษณะนี้ในทางใดทางหนึ่ง

การที่ Microsoft ตอบมาในลักษณะนี้หมายความว่าทาง Microsoft ไม่ยอมรับว่าปัญหานี้เป็นช่องโหว่ ทำให้ Yago Jesus นั้นจะไม่ได้รับเครดิตใดๆ และจะไม่ได้รางวัลจากโครงการ Bug Bounty ด้วย

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติม สามารถศึกษาข้อมูลได้ที่ http://www.securitybydefault.com/2018/01/microsoft-anti-ransomware-bypass-not.html ครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/researcher-bypasses-windows-controlled-folder-access-anti-ransomware-protection/

from:https://www.techtalkthai.com/researcher-found-windows-controlled-folder-access-bypassing-method/

3 ปัจจัยที่ภัย Ransomware จะยังอยู่เข้ากับเราไปตลอดปี 2018

แรนซั่มแวร์นั้นมีประวัติศาสตร์อันยาวนานถึง 11 ปี ย้อนไปตั้งแต่สมัย 2548 ซึ่งปัจจุบัน Ransomware ก็ยังประสบความสำเร็จในการหาตังค์เข้ากระเป๋าอาชญากรไซเบอร์อยู่ตลอด โดยเฉพาะเมื่อมีเหยื่อฐานะดี เป็นองค์กรเงินหนามากขึ้นเรื่อยๆ

ทั้งนี้ Trend Micro ได้วิเคราะห์สาเหตุและปัจจัยสำคัญที่ทำให้แรนซั่มแวร์จะยังคงวนเวียนหลอกหลอนเราอย่างต่อเนื่องไปอีกอย่างน้อยหนึ่งปีเต็ม ดังนี้

1. มีการพัฒนาให้อันตรายขึ้นอย่างต่อเนื่อง
แม้แรนซั่มแวร์ส่วนใหญ่ที่พบจะใช้กลไกการเข้ารหัสไฟล์เป็นหลัก แต่ก็มีเทคนิคที่ถูกพัฒนาให้แสบขึ้นเรื่อยๆ เริ่มตั้งแต่สมัย CryptoLocker ที่แค่เข้ารหัสไฟล์บางส่วนที่ทำได้ ไปจนถึง Locker หรือทายาทอสูรอย่าง Petya ที่ถึงขั้นล็อกระบบปฏิบัติการจนทำให้ทุกไฟล์และข้อมูลทุกอย่างไม่สามารถเข้าถึงได้ นอกจากนี้ ยังมีการยกระดับเทคนิคการแพร่เชื้อตัวเองให้ซับซ้อนขึ้นเรื่อยๆ ตั้งแต่การสแปมเมล์ที่มีลิงค์หรือไฟล์แนบอันตราย ไปจนถึงการใช้ประโยชน์จากช่องโหว่ที่ยังไม่ได้แพ็ตช์ หรือความสามารถในการกระจายตัวเองไปบนเครือข่ายที่เชื่อมต่อทั้งหมด แม้กระทั่งเทคนิคที่พบเร็วๆ นี้ ที่แฮ็กเว็บไซต์ที่มีชื่อเสียงหรือน่าเชื่อถือเพื่อฝังโค้ดอันตรายหรือเปลี่ยนลิงค์ให้ดาวน์โหลดแรนซั่มแวร์แทน เป็นต้น

2. เป็นแหล่งทำเงินที่สะพัดมากที่สุดสำหรับแฮ็กเกอร์
นอกจากขูดรีดค่าไถ่โดยตรงแล้ว ยังสามารถดูดข้อมูลเอามาทำเงินได้อย่างต่อเนื่องด้วย โดยเฉพาะการแฮ็กดูข้อมูลรหัสผ่านหรือข้อมูลส่วนตัวที่อ่อนไหวมาขายในตลาดมืด ซึ่งถือว่าแรนซั่มแวร์เป็นตัวทำเงินได้ง่ายที่สุด และเงินถือเป็นแรงผลักดันให้มีการโจมตีด้วยแรนซั่มแวร์เพิ่มขึ้นมากที่สุด มากกว่ามานั่งเสียเวลาหาเทคนิคโฉดอื่นๆ เพื่อหลอกล่อหาข้อมูลรหัสผ่านจากเหยื่อทางอ้อม จากตัวเลขของ FBI ที่ชี้ว่าจากค่าไถ่ที่เหยื่อยอมจ่ายในปี 2558 กว่า 24 ล้านดอลลาร์สหรัฐฯ เพิ่มขึ้นมาเป็นมากกว่าหนึ่งพันล้านดอลลาร์ในปี 2559

เป็นการพิสูจน์ความสำเร็จของโมเดลธุรกิจแรนซั่มแวร์ได้เป็นอย่างดี ยิ่งเหยื่อยอมจ่ายค่าไถ่มากเท่าไร แฮ็กเกอร์ก็ยิ่งมั่นใจในการรีดค่าไถ่แพงขึ้นมากเท่านั้น โดยเพิ่มมากขึ้นเป็นครั้งละ 1,000 ดอลลาร์ฯ ในปี 2559 หรือเรียกมากกว่ากรณีเหยื่อมีโปรไฟล์หรือกำลังทรัพย์มาก หรือข้อมูลมีความสำคัญมากอย่างเช่นวิทยาลัยแคลิฟอร์เนียที่โดนไป 28,000 ดอลลาร์ฯ หรือคลินิกแห่งหนึ่งที่ยอมจ่ายมากถึง 17,000 ดอลลาร์

ransomware

3. เหยื่อมีมากมายไร้ที่สิ้นสุด
ตั้งแต่เหยื่อรายบุคคลไปจนถึงองค์กรขนาดใหญ่ ซึ่งแฮ็กเกอร์ย่อมมองเห็นช่องทางการตลาดที่กว้างมากจนตักตวงได้ไม่มีที่สิ้นสุด โดยจากรายงานคาดการณ์ด้านความปลอดภัยของ Trend Micro ในปี 2018 นี้ ระบุว่าแฮ็กเกอร์จะเพิ่มการส่งอีเมล์หลอกลวงที่แนบแรนซั่มแวร์อย่างมหาศาล โดยเฉพาะกับเหยื่อที่เป็นองค์กรหรือโรงงานที่ใช้ระบบ IoT สำหรับอุตสาหกรรม ที่แรนซั่มแวร์สามารถออกฤทธิ์จนถึงขั้นหยุดการผลิตทั้งโรงงานได้

ที่มา : Trendmicro

from:https://www.enterpriseitpro.net/3-factor-ransomware-attack/

Kaspersky ออกโรงเตือน! ดูหนังโป๊บน Android เสี่ยงโดน Malware และ Ransomware

ยุคนี้มีแค่มือถือแค่เครื่องเดียว ก็ทำเอาหลายๆ คนแทบจะไม่ได้เปิด PC ใช้กันแล้ว เพราะมือถือก็ทำอะไรได้หลายอย่างเหมือนกับ PC เครื่องนึงเลย รวมไปถึงการใช้งานทั้งดูหนัง ดูซีรีส์ หรือเล่นเน็ตก็ตาม และเชื่อได้เลยว่าเหล่าท่านชายทั้งหลายต้องเคยดูหนังโป๊ผ่านเว็บหรือแอปทางมือถือแน่ๆ (ใครไม่เคยดูก็ขออนุโมทนาด้วย) ซึ่งการย้ายจาก PC มาดูในมือถือนี้ ถึงแม้ว่าอาจจะดูมีความเสี่ยงน้อยกว่า แต่ตอนนี้เหล่าแฮ็คเกอร์ทั้งหลาย เริ่มหันมาทำการโจมตีระบบ Android กันมากขึ้นด้วยการใช้ “เว็บหนังโป๊และแอปแนว 18+” เป็นเหยื่อล่อนี่เอง

บริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อดังจากรัสเซีย อย่าง Kaspersky ออกโรงเตือนผู้ใช้มือถือ Android ว่า เมื่อปีที่แล้วมีผู้ตกเป็นเหยื่อของ Malware ที่แฝงตัวมาในรูปแบบของแอปสำหรับดูหรือดาวน์โหลดหนังโป๊ต่างๆ กว่า 1.2 ล้านราย (ถือเป็นอัตราส่วน 1 ใน 4 ของผู้ใช้งานมือถือ Android ที่โดน Malware เล่นงานจากวิธีอื่นๆ ทั้งหมด 4.9 ล้านรายทั่วโลก)

เป็นที่รู้ๆ กันอยู่แล้ว สำหรับผู้ที่ใช้ PC ในการเข้าดูเว็บโป๊ต่างๆ ว่าพอเข้าไปแล้วจะต้องเจอพวกเว็บ pop-up เด้งขึ้นมาให้กดเข้าเว็บนู้นเว็บนี้ หรือจะมีตัวล่อขึ้นมาว่าให้กดดาวน์โหลดแอปสำหรับเล่นไฟล์วิดีโอเฉพาะของเว็บนี้ ฯลฯ ถ้าเราหลงกลกดเข้าไปดู และไม่มี Antivirus เวอร์ชั่นที่ใหม่พอ ก็มีสิทธิที่จะติดไวรัสหรือมัลแวร์ทั้งหลายสูงมากเลยทีเดียว

สำหรับเหล่าสมาร์ทโฟนทั้งหลายซึ่งมีน้อยคนนักที่จะติดตั้งแอป Antivirus เอาไว้ เพราะยังนิ่งนอนใจว่าเหล่าไวรัสหรือมัลแวร์ต่างๆ ยังไม่ค่อยแพร่หลายในระบบ Android ซักเท่าไหร่ ถ้าโดนเข้าก็แค่ Remove แอปแปลกๆ หรือไม่ก็ Factory Reset เอา แป๊บเดียวก็หาย

แต่จากข้อมูลของเมื่อปี 2017 ที่ผ่านมาพบว่า มีเหยื่อที่ใช้มือถิือ Android โดนทั้งมัลแวร์และแรนซัมแวร์ (Ransomware) ที่ปลอมตัวมาเป็นแอปหนังโป๊ จนเสียทรัพย์กันไปกว่า 892,000 ดอลลาร์ แถมยังโดนบอทอีกกว่า 90,000 ตัว เข้าไปสแปมเว็บโป๊ใน Twitter กันเละเทะอีกตะหาก

ซึ่งการโจมตีของแอปปลอมพวกนี้มีทั้งแบบ Clicker ที่จะคลิก หรือเข้าเว็บไซท์โฆษณาต่างๆ ด้วยตัวเอง โดยเราสามารถสังเกตได้จากการที่มือถือแบตหมดไว หรือมีการใช้ data มากผิดปกติแม้ในช่วงเวลาที่เราไม่ได้ใช้งาน ส่วน Ransomware ส่วนมากจะพบว่ามันแฝงตัวมากับแอปดูหนังโป๊ปลอม เมื่อเราหลงกลติดตั้งไปแล้วมันก็จะเปลี่ยนพาสเวิร์ดเครื่องของเราเอง และทำการเรียกค่าไถ่เพื่อให้ปลดล็อคเครื่อง ถ้าใครไม่มีข้อมูลสำคัญอะไรก็แค่ Factory Reset เอา แต่ถ้าเกิดมีข้อมูลสำคัญก็ทำอะไรไม่ได้นอกจากต้องยอมจ่ายให้มันไป

โชคยังดีที่แอปหนังโป๊ หรือแอป 18+ พวกนี้จะไม่ได้รับอนุญาตให้มีอยู่ใน Google Play Store อยู่แล้ว แต่มันจะไปอยู่ตามเว็บไซท์ต่างๆ แล้วหลอกให้โหลดไฟล์ APK มาติดตั้งเอาเอง ถ้าใครที่โหลดไฟล์ผ่าน Google Play Store ที่เดียวก็หมดห่วงไปได้บ้างล่ะ

 

ที่มา : CNET

from:https://droidsans.com/android-porn-virus-hack-attack/

คำว่า Ransomware ได้บรรจุในพจนานุกรม Oxford แล้ว

Ransomware หรือมัลแวร์เรียกค่าไถ่ที่เราได้ยินกันมาระยะเวลาหนึ่ง คำนี้เป็นที่รู้จักมากขึ้นไปอีกเมื่อเกิดเหตุการณ์ WannaCrypt เข้าโจมตีระบบประกันสุขภาพของรัฐบาลอังกฤษจนเป็นข่าวใหญ่โตเมื่อปีที่แล้ว ล่าสุดคำว่า Ransomware ได้บรรจุเป็นคำศัพท์ในพจนานุกรม Oxford แล้ว

พจนานุกรม Oxford อธิบายคำจำกัดความของ Ransomware ว่า เป็นคำนาม หมายความว่า “A type of malicious software designed to block access to a computer system until a sum of money is paid.” หรือซอฟต์แวร์อันตรายประเภทหนึ่ง ที่ออกแบบมาเพื่อสกัดกั้นการเข้าสู่ระบบคอมพิวเตอร์ จนกว่าผู้กระทำจะได้รับเงิน

No Description
ภาพจาก Facebook Oxford Dictionaries

ที่มา – Naked Security

from:https://www.blognone.com/node/99512

Maersk เผยต้องติดตั้ง PC/Server ใหม่เกือบ 50,000 เครื่องหลังเหตุ NotPetya ชี้ไม่มี IT ก็ยังทำงานได้อยู่ 80%

A.P. Møller-Maersk หรือ Maersk ธุรกิจขนส่งที่ใหญ่ที่สุดในโลกได้ออกมาเผยถึงการกอบกู้บริษัทคืนหลังจากเหตุ NotPetya Ransomware ที่ทำให้ต้องติดตั้งระบบ IT ใหม่แทบทั้งหมดภายในเวลาเพียง 10 วัน แต่ธุรกิจก็ยังคงดำเนินต่อไปได้กว่า 80% แม้ไม่มีระบบ IT

 

Jim Hagemann Snabe แห่ง Maersk Credit: World Economic Forum

 

Jim Hagemann Snabe ผู้ดำรงตำแหน่ง Chairman แห่ง Maersk ได้ออกมาเผยถึงวิกฤติที่ต้องเผชิญในครั้งที่บริษัทถูก NotPetya Ransomware โจมตีไปในช่วงปลายเดือนมิถุนายนถึงต้นกรกฎาคม 2017 ที่ผ่านมา ในงาน World Economic Forum ที่จัดขึ้นใน Davos ประเทศ Switzerland

 

ตอนนี้ Maersk ได้เดินมาถึงจุดที่การรับมือทางด้าน Cybersecurity ของบริษัทนั้นได้กลายเป็นจุดแข็งในการแข่งขันเชิงธุรกิจไปแล้ว

 

เขาถูกโทรปลุกตั้งแต่ตอนตีสี่ของวันที่ 27 มิถุนายน 2017 โดยพนักงานในสาขาที่เริ่มถูก NotPetya Ransomware เข้าโจมตี และหลังจากที่ทำการตรวจสอบเรียบร้อยแล้วเขาก็พบว่า Maersk นั้นต้องทำการติดตั้งระบบใหม่ทั้งหมดเพื่อล้าง NotPetya ออกไป นับเป็น Server 4,000 เครื่อง, PC 45,000 เครื่อง และ Application อีก 2,500 รายการ และกระบวนการทั้งหมดนี้ก็เกิดขึ้นจนแล้วเสร็จใน 10 วันเท่านั้น

Snabe นั้นทึ่งมากกับสิ่งที่พนักงานของเขาทำได้ เพราะตัวเขาเองนั้นเคยดำรงตำแหน่ง CEO ใน SAP มาก่อน และการติดตั้งระบบใหญ่ขนาดนี้โดยปกติอาจต้องใช้เวลาถึง 6 เดือน แต่งานนี้กลับใช้เวลาเพียงแค่ 10 วันเท่านั้น

อย่างไรก็ดี ประเด็นที่น่าทึ่งนั้นไม่ใช่แค่เรื่องของเวลาที่ใช้ในการกอบกู้ระบบกลับคืนมา แต่เหล่าพนักงานในฝ่าย Operation ของ Maersk เองก็สามารถแก้ไขปัญหาเฉพาะหน้าทำให้ธุรกิจยังคงดำเนินต่อไปได้ในภาวะที่บริษัทนั้นไม่มีระบบ IT อยู่เลย โดยในระหว่างที่ระบบ IT หายไป 10 วันนั้น บริษัทก็ยังคงดำเนินธุรกิจขนส่งได้ถึง 80% ของธุรกิจทั้งหมด

บางคนอาจจะยังไม่เข้าใจว่าเรื่องนี้ยิ่งใหญ่แค่ไหน Maersk นั้นเป็นธุรกิจที่มีส่วนแบ่งตลาดด้านการขนส่งกว่า 20% ของธุรกิจนี้ทั่วโลก และมี Container ของลูกค้า Maersk ถูกส่งเข้าถึงท่าเรือมากถึง 20,000 Container ในทุกๆ 15 นาที และ Maersk ต้องจัดการงานทั้งหมดนี้แบบ Manual ให้ได้ใน 10 วันที่ระบบ IT ไม่พร้อมให้ใช้งาน

ถึงแม้ Maersk จะผ่านพ้นวิกฤติในครั้งนั้นมาได้ แต่ช่วงเวลา 10 วันกับลูกค้าอีก 20% ที่ Maersk ไม่สามารถตอบสนองได้ในช่วงเวลานั้นก็ทำให้ NotPetya สร้างความเสียหายให้กับ Maersk เป็นมูลค่า 250 – 300 ล้านเหรียญหรือราวๆ 8,750 – 10,500 ล้านบาทเลยทีเดียว แต่ถ้าเทียบกับธุรกิจอื่นๆ อย่าง Merck ที่เป็นผู้ผลิตยานั้น Merck เองยังกู้สายการผลิตบางส่วนกลับมาไม่ได้แม้เวลาจะผ่านไปแล้วถึง 1 เดือน ส่วน FedEx เองก็เกิดความเสียหายในแบบที่ไม่สามารถกู้คืนมาได้อีกเลย

Snabe ได้กล่าวปิดท้ายว่าตอนนี้ Maersk ได้เดินมาถึงจุดที่การรับมือทางด้าน Cybersecurity ของบริษัทนั้นได้กลายเป็นจุดแข็งในการแข่งขันเชิงธุรกิจไปแล้ว

ส่วนด้านล่างนี้คือคลิปฉบับเต็มจาก World Economic Forum ครับ

 

ที่มา: https://www.bleepingcomputer.com/news/security/maersk-reinstalled-45-000-pcs-and-4-000-servers-to-recover-from-notpetya-attack/

from:https://www.techtalkthai.com/maersk-had-to-install-almost-50000-pcs-and-servers-after-notpetya-incident/