เมื่อวันที่ 8 กุมภาพันธ์ เมืองโอ๊คแลนด์ สหรัฐอเมริกาเกิดเหตุการณ์เครือข่ายระบบขัดข้องจากการโจมตีด้วยแรนซั่มแวร์ ส่งผลให้เทศมนตรีของเมืองต้องประกาศให้นี่เป็นสถานการณ์ฉุกเฉินขณะเร่วมือทำการฟื้นฟูซ่อมแซมระบบ
เพื่อการนี้ ทางเมืองได้ทำการปิดการให้บริการสาย 311 หรือสายที่ประสานคำขอต่อบริการของเมือง ซึ่งเป็นระบบภายในสำหรับการทำสัญญาและการสนับสนุนผู้ขายภายนอก, ป็นศูนย์ขอความอนุมัติสำหรับการพัฒนาท้องถิ่น, และเป็นระบบที่จัดการเรื่องของภาษีธุรกิจและค่าธรรมเนียมที่จอดรถ
ตั้งแต่การโจมตีครั้งแรก ข้อมูลส่วนตัวและข้อมูลทางการเงินที่ตัวไฟล์หลุดไปได้ถูกกลุ่มแรนซัมแวร์ Play นำไปปล่อยลงใน dark web ซึ่งทางเทศบาลได้ออกมายืนยันแล้วว่ากลุ่มแฮ็กเกอร์นี้เป็นกลุ่มเดียวกับที่ทำการปล่อยข้อมูลจำนวน 600 gb เกี่ยวกับหมายเลขประกันสังคม, ที่อยู่, และข้อมูลทางการแพทย์ของเหล่าคนทำงานของเมืองทั้งในปัจจุบันและในอดีต
ที่จริง เมืองโอ๊คแลนด์ไม่ใช่ที่แรกที่รัฐบาลท้องถิ่นถูกเพ่งเล็งโดยกลุ่มแรนซัมแวร์ที่มีชื่อว่า PlayCrypt แต่ยังมีเหยื่อเป็นเทศบาลและธุรกิจอื่น ๆ อีกมากมาย
วิธีป้องกันการโจมตีเหล่านี้
การตรวจจับและการตอบโต้ทางไซเบอร์นั้นมีความต่างจากการป้องกันและการกำจัดเป็นอย่างมาก การตรวจจับและการตอบโต้ทางไซเบอร์จะมีปฏิกิริยาตอบสนองในการปกป้องเมื่อภัยคุกคามเข้ามาในเครือข่ายเรียบร้อยแล้วเพื่อการใช้ประโยชน์จากระบบและเพื่อกำจัดข้อมูล ส่วนการป้องกันและการกำจัดนั้นทำงานในเชิงรุก โดยกำจัดจุดอ่อนไปก่อนที่ผู้ไม่หวังดีจะค้นพบ
การโจมตีทางแรนซัมแวร์แบบนี้สามารถป้องกันได้ด้วยกระบวนการพื้นฐานทาง cybersecurity เช่น
- การทำ penetration testing แบบอัตโนมัติ
- อัพเดทซอฟต์แวร์เสมอ
- ใช้พาสเวิร์ดที่แข็งแรงและการยืนยันตัวตน 2 ขั้นตอน
- การสำรองข้อมูลอย่างสม่ำเสมอนอกสถานที่
- การเทรนพนักงานให้สังเกตุอีเมลฟิชชิ่งและกลวิธีทางวิศวกรรมสังคมอื่น ๆ เป็น
- การจำกัดการเข้าถึงต่อข้อมูลเซ็นซิทีฟและระบบ
- การใช้ firewall และซอฟต์แวร์รักษาความปลอดภัยปลายทาง
การทำ pentest แบบอัตโนมัตินั้นมีประสิทธิภาพอย่างมาก
แม้การหยุดยั้งการโจมตีของแรนซัมแวร์โดยสิ้นเชิงจะเป็นไปได้ยาก การทำ pentest แบบอัตโนมัตินั้นถูกทดสอบแล้วว่าเป็นวิธีการทางความปลอดภัยเชิงรุกที่มีประสิทธิภาพ ซึ่งสามารถช่วยให้หน่วยงานราชการและธุรกิจการค้าพลิกจากบทเหยื่อในสนามเป็นผู้ล่าได้
RidgeBot คือหุ่นยนต์ penetration testing สำหรับการจัดการจุดอ่อนตามความเสี่ยง โดยที่มาคือการที่องค์กรต่าง ๆ มักจัดให้มีการฝึกซ้อมแบบแบ่งทีมเป็นทีมแดงและทีมฟ้า ทีมแดงจะประกอบไปด้วยผู้เชี่ยวชาญการโจมตีทางความปลอดภัยที่จะพยายามโจมตีการป้องกันทาง cybersecurity ขององค์กร ส่วนทีมฟ้าก็จะป้องกันและตอบโต้การโจมตีของทีมแดง
Ridge Security ได้ทำระบบนี้ให้เป็นอัตโนมัติด้วย bot ที่เรียกว่า RidgeBot ซึ่งทำหน้าที่เป็นทีมผู้โจมตีโดยการตามหาช่องโหว่อย่างไม่ลดละและบันทึกสิ่งที่ค้นพบ ต่างจากมนุษย์ RidgeBot นั้นมีกลยุทธ์การโจมตีแบบไดนามิคที่สามารถเคลื่อนที่จากเป้าหมายหนึ่งไปอีกเป้าได้ นอกจากนี้ การทำ pentest แบบอัตโนมัติของ RidgeBot นั้นมีราคาไม่แพงและทำงานในระดับองค์กร .
RidgeBot มีขั้นตอนการทำงาน 4 ขั้นตอน:
- ทำการตรวจค้นหาทรัพยากรที่องค์กรใช้อยู่ อย่าง เซอร์เวอร์, อุปกรณ์เครือข่าย, ระบบปฏิบัติการณ์, และเว็บไซต์
- แสกนและรายงานว่าค้นพบทรัพยากรและพื้นผิวการโจมตีอะไรบ้าง ซึ่งรวมถึง URL ที่อ่อนแอ, พอร์ตเปิด, และจุดอ่อนของระบบ การแสกนนั้น นอกจากจะช่วยในเรื่องของการแมปซอฟต์แวร์แล้วก็ยังใช้เพย์โหลดจริงมาตรวจหาช่องโหว่อีกด้วย
- ใช้ประโยชน์จากความสามารถในการแฮ็คอย่างมีจริยธรรม ที่ได้เรียนรู้มาจากผู้ทดสอบที่เป็นมนุษย์ เพื่อทำการโจมตีที่ซับซ้อน, ซ้ำซ้อน, และสัมพันธ์กัน
- ดำเนินการตรวจสอบเพิ่มเติมเพื่อบ่งชี้ว่ามีการกำหนดค่าใดไหมที่ช่วยให้แฮ็คเกอร์สามารถเคลื่อนที่ลึกขึ้นไปรอบ ๆ สภาพแวดล้อมได้ โดยใช้เทคนิคการทดสอบอย่างการยกระดับสิทธิ์, การทำ pass-the-hash และอื่น ๆ
RidgeBot มีเท็มเพลตแรนซัมแวร์ที่ถูกออกแบบมาเพื่อการต่อสู้กับการโจมตีของแรนซัมแวร์โดยเฉพาะ โดยมีความสามารถอย่างการแสกนหาจุดอ่อนของจุดเข้าใช้งานแรนซัมแวร์ที่ high-profile จำนวน 27 รายการ แล้วจึงทำการโจมตีเพื่อหาทางใช้ประโยชน์จากช่องโหว่เหล่านี้ และจัดการรายงานโดยละเอียดว่าการทดสอบที่สำเร็จนี้เกิดจากกรรมวิธีใด
