Cloud Ransomware คืออะไร และจะหลบเลี่ยงได้อย่างไร

การโจมตีด้วย ransomware เริ่มพุ่งเป้าไปที่การเข้าถึงแอปพลิเคชันและข้อมูลในคลาวด์มากขึ้น รวมถึงบริษัทที่ใช้คลาวด์เป็นฐานข้อมูล วันนี้เราจะอธิบายให้คุณฟังว่าจะปกป้องธุรกิจของคุณเองได้อย่างไร

ในช่วงไม่กี่ปีมานี้ การเพิ่มขึ้นของ ransomware เป็นหนึ่งในความเสี่ยงที่พบเห็นได้บ่อยที่สุดในทุกบริษัทและกลุ่มธุรกิจหลายประเภท จำนวนการใช้งานที่พุ่งทะยานนี้ เมื่อรวมกับการใช้งานการประมวลผลด้วยคลาวด์ที่แพร่หลายในหมู่องค์กร ยิ่งส่งผลให้เกิดความท้าทายที่กลุ่มธุรกิจต้องรับมือ หลายคนในที่นี้อาจสงสัยว่า อะไรคือ cloud ransomware? และภัยที่ว่านี้ร้ายแรงขนาดไหนกันแน่

การใช้งานการประมวลผลคลาวด์นั้นไม่ได้เป็นสิ่งที่ยากเหมือนเดิมแล้ว โรคระบาดโควิด-19 มีส่วนในการเร่งปรับเปลี่ยนเทคโนโลยีให้เข้าสู่ยุคสมัยของคลาวด์เร็วขึ้น อย่างน้อยๆ ตอนนี้ก็มีหลายองค์กรที่ส่วนหนึ่งได้ปรับการดำเนินการไปเป็นการทำงานบนระบบคลาวด์สาธารณะเรียบร้อยแล้ว

นั่นหมายความว่าการโจมตีด้วย ransomware บนคลาวด์จะเกิดบ่อยยิ่งขึ้น และมีแนวโน้มว่าจะลามไปสู่เป้าหมายที่มีคุณค่าอย่างมีนัยสำคัญต่อองค์กร

อย่างไรก็ตาม สำหรับผู้คุกคามถือว่าเป็นความท้าทายเช่นกัน เหตุการณ์เหล่านี้ยังคงมีเห็นไม่มากนัก เนื่องจากการโจมตีด้วย ransomware ไม่ได้ถูกพัฒนามาเพื่อใช้กับโครงสร้างระบบคลาวด์ แต่โดยทั่วไปแล้วถูกพัฒนาเพื่อให้รองรับการโจมตีกับ PC และคอมพิวเตอร์มากกว่า

ถึงอย่างนั้น บริษัทด้านความปลอดภัยอย่าง Uni42 ก็กล่าวว่า เป็นเวลาที่จะต้องก้าวนำและเริ่มสร้างระบบรักษาความปลอดภัยบนคลาวด์ ก่อนที่ผู้โจมตีจะหากลยุทธ์และเทคนิคมาโจมตีระบบคลาวด์ได้ เพราะยังมีตัวอย่างของผู้ให้บริการคลาวด์ที่ตกเป็นเป้าหมายของ ransomware อยู่

เหตุการณ์ที่เกิดขึ้นกับ Cloudstar ในเดือนกรกฎาคม 2022 เป็นตัวอย่างสำคัญที่เตือนใจสำหรับองค์กรต่างๆ และยังมีข้อสังเกตว่ากลุ่มมัลแวร์เช่น TeamTNT เคยกำหนดเป้าหมายเป็น Kubernetes แล้วในอดีต

ซึ่งหมายความว่า ตอนนี้ถึงเวลาที่ต้องเริ่มทำความคุ้นเคยกับจุดอ่อนที่อาจกลายเป็นเป้าให้คลาวด์ของคุณและข้อมูลล้ำค่าทั้งหมดที่อยู่ในนั้นโดนโจมตีไปด้วย ไม่ว่าจะเป็นข้อมูลลูกค้า ข้อมูลสำคัญทางธุรกิจ และกระบวนการสำคัญ ทั้งหมดนี้ล้วนเป็นเป้าหมายที่น่าดึงดูดสำหรับอาชญากรไซเบอร์ ดังนั้นการเตรียมการล่วงหน้าไปก่อนหนึ่งก้าวอาจมีความสำคัญอย่างมากในแง่ของการดำเนินธุรกิจและชื่อเสียงในระยะยาว

Cloud Ransomware: อาชญากรไซเบอร์เข้าคลาวด์ได้อย่างไร

Ian Farquhar, CTO ทีมสถาปัตยกรรมความปลอดภัยของ Gigamon กล่าวว่า เมื่อองค์กรส่วนใหญ่เริ่มเปลี่ยนไปใช้ระบบคลาวด์ กลุ่มผู้ขโมยข้อมูลก็เริ่มมุ่งเป้าไปที่โครงสร้างพื้นฐานระบบคลาวด์ ซึ่งการกระทำดังกล่าวนี้ยังมาจากการที่ความปลอดภัยของโครงสร้างพื้นฐานระบบคลาวด์เป็นความท้าทายที่โดดเด่นสำหรับหลายองค์กร Farquhar กล่าวว่าความสามารถในการรักษาความปลอดภัยที่ว่านี้ คือความท้าทายที่หลายองค์กรพยายามหาทางแก้ในปัจจุบัน

“การจ้างผู้เชี่ยวชาญด้านความปลอดภัยไอทีเป็นเรื่องยากแล้ว แต่การจ้างผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ที่มีประสบการณ์ระบบคลาวด์นั้นยากยิ่งกว่า”

Gavin Knapp หัวหน้าด้านเทคนิคการป้องกันทางไซเบอร์ของ Bridewell Consulting กล่าวว่า มีหลายวิธีที่อาชญากรไซเบอร์สามารถเข้าถึงทรัพยากรและข้อมูลที่อยู่บนคลาวด์ได้ โดยพวกเขาอาจใช้วิธีมุ่งเป้าไปที่ช่องโหว่ในระบบคลาวด์เพื่อเจาะเข้าไปก่อน หรือไม่ก็มุ่งเป้าไปที่แอปพลิเคชันบนหน้าเว็บเพื่อใช้ web shells และมัลแวร์

“เทคนิคอื่นๆ รวมถึงการขโมยข้อมูลประจำตัวเพื่อใช้ในการเข้าสู่ระบบคลาวด์ ตลอดจนเทคนิค phishing เพื่อขอคำยินยอมจากแอป OAuth ตลอดจนการโจมตีตัวตนในลักษณะอื่นๆ ซึ่งอาจส่งผลให้พื้นที่จัดเก็บไฟล์หรือบริการที่ใช้ร่วมกันถูกแอปเป็นอันตรายทำการเข้ารหัสได้”

Knapp ชี้ว่า การโจมตีด้วย RansomCloud มักลอบเข้ามาในบริการที่มีการเข้าถึงอ่อนแอผ่านบริการที่เชื่อมต่อกับอินเทอร์เน็ต ก่อนปล่อยแรนซัมแวร์เข้าไปในโครงสร้างระบบภายใน (IaaS) นั้นๆ โดยเขาอ้างอิงกรณีตอนที่เจอช่องโหว่ zero-day ใน Apache Log4j “ไม่นานมานี้ มีผู้ไม่หวังดีฉวยโอกาสจาก payloads รวมถึงแรนซัมแวร์ด้วย” เขากล่าว “ภัยคุกคามนี้มีความรุนแรงมากยิ่งขึ้นเมื่อพวกเขาปล่อยรหัสของ Log4Shell ลงในพื้นที่สาธารณะ”

ผู้โจมตีระบบคลาวด์มักจะได้รหัสการเข้าถึงมาจาก API ของบริการคลาวด์ที่ตั้งค่าไว้ไม่ดีและข้อมูลประจำตัวที่ถูกแชร์โดยไม่ได้ตั้งใจ

“ผู้คุกคามอาจใช้วิธีเข้าไปในบริการอย่าง Github และค้นหาคีย์เข้าถึงคลาวด์ที่ดันโดนโพสต์ไว้ในที่สาธารณะโดยไม่ตั้งใจ” Rob Demain CEO ของบริษัทรักษาความปลอดภัยอย่าง e2e-assure กล่าว “แฮกเกอร์อาจทำเพียงแค่หยิบเอาคีย์รหัสที่เปิดเผยไว้ในโค้ดมาใช้”

ผู้เขียนมัลแวร์และกลุ่มอาชญากรเหล่านี้ทำงานเหมือนธุรกิจสมัยใหม่ทั่วไป พวกเขาหาทางปรับเปลี่ยนกลยุทธ์และเทคนิครวมถึงระบบคลาวด์ด้วย Knapp กล่าวเตือนว่า “การโจมตีทางคลาวด์โดยอัตโนมัติกำลังเพิ่มขึ้นเรื่อยๆ ระยะเวลานับตั้งแต่ช่องโหว่ถูกค้นพบตามมาด้วยการนำมัลแวร์ที่รวมถึงแรนซัมแวร์มาใช้นั้นสั้นลงเรื่อยๆ”

Nick O’Kelly หุ้นส่วนสายงานความเสี่ยงทางไซเบอร์ของ Deloitte กล่าวว่า โมเดลธุรกิจแรนซัมแวร์เริ่มมีความเป็น 'มืออาชีพ' มากขึ้นเรื่อยๆ อาชญากรไซเบอร์จ้างนักพัฒนามัลแวร์โดยเฉพาะ เพื่อให้ดำเนินงานได้อย่างมีประสิทธิภาพและคุ้มทุน

“นักพัฒนาเหล่านี้มักจะทำการโฆษณาผ่านตลาดของอาชญากรไซเบอร์ บริการของพวกเขาอาจมีตั้งแต่มัลแวร์ 'dropper' ที่ใช้ประโยชน์จากช่องโหว่เฉพาะทาง ไปจนถึง ransomware ที่ออกแบบมาเพื่อตอบสนองความต้องการของลูกค้าและข้อกำหนดเฉพาะของเหยื่อ เช่น โครงสร้างพื้นฐานระบบคลาวด์”

สิ่งนี้เริ่มเกิดขึ้นบ้างแล้ว อย่างน้อยก็ในทางทฤษฎี บริษัทรักษาความปลอดภัย KnowBe4 โพสต์ลงบล็อกในเดือนมกราคม เกี่ยวกับแฮ็กเกอร์หมวกขาวที่พัฒนา RansomCloud ที่ใช้งานได้จริง โดยเข้าบัญชีอีเมลบนคลาวด์ที่ถูกเข้ารหัสไว้ รวมถึงบัญชี Microsoft Office 365 แบบเรียลไทม์ได้

Knapp เตือนว่า ธุรกิจใดก็ตามที่ใช้ระบบคลาวด์มีความเสี่ยง แต่ธุรกิจที่ขาดความพร้อมในการมีโครงสร้างบริการคลาวด์ที่ปลอดภัยนั้น “มีความเสี่ยงเป็นพิเศษ” เช่นเดียวกับธุรกิจที่ขาดการควบคุมความปลอดภัยในการป้องกันไม่ให้ผู้ใช้ทำการให้สิทธิผู้อื่นเข้าถึงแอปพลิเคชันด้วยเช่นกัน องค์กรที่ไม่เข้าใจแนวคิดการรับผิดชอบด้านความปลอดภัยร่วมกัน ซึ่งหมายถึงกลุ่มธุรกิจและผู้ให้บริการบนระบบคลาวด์มีความรับผิดชอบร่วมกันในด้านความปลอดภัย ก็มีความเสี่ยงด้วยเช่นกัน

Cloud ransomware: ธุรกิจของคุณจะสามารถป้องกันภัยคุกคามนี้ได้อย่างไร

เมื่อปริมาณและขอบเขตการโจมตีแรนซัมแวร์เริ่มขยายกว้าง ก็ไม่มีสิ่งใดที่รับประกันได้ว่าคุณจะไม่โดนลูกหลงไปด้วยจากการโจมตีระบบคลาวด์ แต่อย่างน้อยธุรกิจของคุณก็อาจหาทางป้องกันตัวไว้ได้บ้าง

การสำรองข้อมูลไว้ก่อนอาจเป็นสิ่งสำคัญ ซึ่งรวมถึงการที่ต้องทดสอบระบบป้องกันของคุณด้วย ควรมีการประเมินและตรวจสอบเป็นประจำเพื่อตรวจสอบความยืดหยุ่นในการรับมือการโจมตีของ ransomware ในองค์กร Phil Robinson ที่ปรึกษาหลักและผู้ก่อตั้งบริษัทที่ปรึกษาด้านความปลอดภัยทางไซเบอร์ Prim Infosec กล่าว

การตรวจสอบนี้ควรรวมถึงการดูข้อมูลที่ถูกเก็บไว้ในบริการคลาวด์และการกำหนดว่าจะสามารถกู้คืนข้อมูลได้หากถูกลบหรือถูกเข้ารหัสไหม โดย Robinson สนับสนุนให้ธุรกิจตรวจสอบว่าข้อมูลที่ว่านี้ถูกนำไปทำเวอร์ชันใหม่ ถูกแคปหน้าจอไป หรือถูกนำไปสำรองไว้ที่แพลตฟอร์มอื่นหรือไม่ เกิดขึ้นบ่อยแค่ไหน และครั้งสุดท้ายที่มีการทดสอบการสูญหายของข้อมูลและการกู้คืนมีการทดสอบคือเมื่อไร

โปรดอย่าคิดว่า การที่องค์กรของคุณใช้บริการคลาวด์ที่มีผู้ให้บริการชั้นนำ เช่น Microsoft, Amazon หรือ Google แล้วจะปลอดภัย Robinson กล่าวว่า “การใช้งาน IaaS มักจะหมายความว่านี่คือความรับผิดชอบของคุณเองที่จะต้องมั่นใจได้ว่าองค์กรมีความยืดหยุ่นในการรับมือต่อการโจมตีประเภทเหล่านี้ได้”

แม้แต่การให้บริการแพลตฟอร์มอย่าง SaaS ก็ยังไม่มีการป้องกันอัตโนมัติ โดย Robinson เตือนว่า “Microsoft Onedrive และ Sharepoint มีการป้องกัน ransomware ด้วยฟีเจอร์ Versioning อยู่ แต่องค์กรของคุณอาจไม่ได้เปิดใช้งานสิ่งนี้ หรือผู้โจมตีที่ได้รับสิทธิ์ดูแลระบบอาจปิดการใช้งานฟีเจอร์นี้ได้”

Knapp กล่าวว่า การเรียนรู้ก็นับเป็นหนึ่งปัจจัยสำคัญที่จะช่วยลดความเสี่ยงจาก RansomCloud “ฝ่ายไอที รักษาความปลอดภัย และผู้ใช้ปลายต้องตระหนักถึงการโจมตีที่เน้นไปที่ระบบคลาวด์ ไว่าจะเป็นวิธีการป้องกันหรือวิธีการรายงานสถานการณ์ฉุกเฉิน”

แม้จะมีกระบวนการรักษาความปลอดภัยที่เข้มงวด เช่น การยืนยันตัวตนแบบหลายปัจจัย (MFA) และอัปเดตระบบเป็นประจำ การใช้เทคโนโลยี ยังเป็นปัจจัยสำคัญในการลดความเสี่ยงได้ แนะนำให้ธุรกิจนำเอาการตรวจจับและตอบสนอง endpoint อีเมล และแอปพลิเคชันคลาวด์มีประสิทธิภาพ รวมถึงมีความสามารถในการรับมือภัยคุกคามเข้ามาใช้

ในระยะยาว การทำเช่นนี้จะช่วยให้นักพัฒนาระบบและวิศวกรระบบคลาวด์หลีกเลี่ยงการตกเป็นเหยื่อของกลยุทธ์ทางวิศวกรรม ทั้งนี้ การแจ้งเตือนทั้งหมดควรถูกส่งไปยังระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM) หรือระบบการจัดการความปลอดภัยแบบอัตโนมัติ และการตอบกลับ (SOAR) ซึ่งจะทำให้มั่นใจได้ว่ามีการเฝ้าระวังภัยที่อาจเกิดขึ้นอยู่ตลอด 24 ชั่วโมง

บริการตรวจสอบภัยคุกคามอัจฉริยะ ยังเป็นประโยชน์ในการแจ้งเตือนก่อนการโจมตีเกิดขึ้น และช่วยให้องค์กรได้ปรับปรุงระบบการรักษาความปลอดภัยได้เหมาะสมมากยิ่งขึ้นด้วย

ที่มา: https://bit.ly/424CANg