Murray County จ่ายค่าไถ่ $200K จากเงินสำรองฉุกเฉิน

Murray County จ่ายค่าไถ่ $200K จากเงินสำรองฉุกเฉิน

การโจมตีด้วยแรนซัมแวร์ใน Murray County, Georgia ทำให้ผู้เสียภาษีต้องสูญเสีย $200,000 โดยถูกดึงมาจากกองทุนสำรองฉุกเฉินของเคาน์ตีโดยตรง ผู้กำกับการเดี่ยว Noah Bishop ยืนยันการจ่ายเงินดังกล่าว โดยอธิบายว่ามันเป็นหนทางเดียวที่เป็นไปได้ในการแก้ไขการละเมิด เหตุการณ์นี้เป็นตัวอย่างที่ชัดเจนว่าความล้มเหลวด้านความปลอดภัยเครือข่ายของหน่วยงานท้องถิ่นที่ถูกโจมตีด้วยแรนซัมแวร์ แปลงเป็นความเสียหายทางการเงินของสาธารณชนโดยตรง โดยมักมีความรับผิดชอบที่น้อยนิดและความโปร่งใสที่ยิ่งน้อยลงไปอีก

เกิดอะไรขึ้นในการโจมตีด้วยแรนซัมแวร์ที่ Murray County

รายละเอียดเกี่ยวกับเวกเตอร์การบุกรุกเริ่มต้นยังไม่ได้รับการเปิดเผยต่อสาธารณะ ซึ่งนั่นเองก็เป็นสัญญาณอันตราย สิ่งที่ทราบคือระบบของ Murray County ถูกบุกรุกถึงระดับที่ร้ายแรงพอ จนเจ้าหน้าที่ตัดสินใจว่าการจ่ายตามข้อเรียกร้องของผู้โจมตีดีกว่าการพยายามกู้คืนด้วยตนเอง

การจ่ายเงินจำนวน $200,000 มาจากกองทุนสำรองของเคาน์ตี ซึ่งเป็นกองทุนที่จัดสรรไว้อย่างชัดเจนสำหรับเหตุการณ์ทางเศรษฐกิจที่ไม่คาดฝันหรือเหตุฉุกเฉิน การใช้กองทุนนั้นเพื่อจ่ายให้กับองค์กรอาชญากรรมคือผลลัพธ์ที่ชาวเคาน์ตีส่วนใหญ่คาดไม่ถึงเมื่อครั้งที่สะสมเงินสำรองเหล่านั้น ผู้กำกับการ Bishop ให้ภาพว่าเป็นการแก้ไขปัญหา แต่การจ่ายค่าไถ่แรนซัมแวร์นั้นนานครั้งนักที่จะมาพร้อมกับการรับประกัน ผู้โจมตีอาจมอบกุญแจถอดรหัสที่ใช้งานได้เพียงบางส่วน เก็บสำเนาข้อมูลที่ขโมยไปไว้ไม่ว่าจะได้รับการจ่ายเงินหรือไม่ หรือย้อนกลับมาเล่นงานองค์กรเดิมอีกครั้งเมื่อรู้ว่าพวกเขายอมจ่าย

เหตุใดหน่วยงานท้องถิ่นจึงเป็นเป้าหมายหลักของแรนซัมแวร์

Murray County ไม่ใช่ข้อยกเว้น หน่วยงานท้องถิ่นทั่วสหรัฐอเมริกากลายเป็นเป้าหมายของแรนซัมแวร์อย่างต่อเนื่อง ก็เพราะพวกเขามีคุณสมบัติหลายอย่างผสมผสานกันที่ผู้โจมตีเห็นว่าน่าดึงดูดใจ ได้แก่โครงสร้างพื้นฐานด้านไอทีที่เก่า งบประมาณด้านความปลอดภัยไซเบอร์ที่จำกัด ทีมรักษาความปลอดภัยเฉพาะที่มีขนาดเล็กหรือไม่มีเลย และการพึ่งพาการทำงานของระบบในระดับปฏิบัติการที่สูง

การปกครองระดับเคาน์ตีไม่สามารถปิดบริการต่างๆ นานหลายสัปดาห์ในขณะที่ฟื้นฟูจากข้อมูลสำรองได้ ศาล ระบบจัดส่งเหตุฉุกเฉิน ทะเบียนทรัพย์สิน และระบบจ่ายเงินเดือนล้วนต้องทำงานต่อไปได้ ความกดดันด้านเวลาเช่นนี้ทำให้ผู้โจมตีมีอำนาจต่อรองมหาศาล และพวกเขาก็รู้ดี

เคาน์ตีขนาดเล็กมักขาดความเชี่ยวชาญภายในที่จะตรวจจับการบุกรุกได้ตั้งแต่เนิ่นๆ เมื่อถึงคราวที่แรนซัมแวร์ถูกปล่อยและไฟล์เริ่มถูกเข้ารหัส ผู้โจมตีอาจอยู่ภายในเครือข่ายมาแล้วหลายวันหรือหลายสัปดาห์ ทำการสำรวจระบบและขโมยข้อมูลออกไป การเรียกค่าไถ่คือองก์สุดท้ายของปฏิบัติการที่ยาวนานกว่านั้นมาก กลุ่มแรนซัมแวร์ที่มุ่งเป้าหน่วยงานภาครัฐได้ขัดเกลาแผนการนี้มาอย่างดี ดังที่เห็นในกรณีเช่น การเจาะระบบของ Baker Distributing โดยกลุ่ม ShinyHunters ซึ่งมีบันทึก 260,000 รายการถูกเปิดเผยหลังจากการบุกรุกอย่างมีระเบียบแบบแผน

เหตุผลที่การจ่ายค่าไถ่ $200K ถูกให้เหตุผล และทำไมมันจึงสร้างบรรทัดฐานที่อันตราย

จากมุมมองด้านการปฏิบัติการในระยะสั้น การจ่ายเงินนั้นเป็นสิ่งที่เข้าใจได้ การกู้คืนโดยไม่มีกุญแจถอดรหัสอาจใช้เวลาหลายเดือน ต้องอาศัยการตรวจพิสูจน์ทางนิติวิทยาศาสตร์จากภายนอกที่มีค่าใช้จ่ายสูง และยังอาจสูญเสียข้อมูลอย่างถาวร สำหรับเคาน์ตีที่มีเจ้าหน้าที่ไอทีจำกัดและไม่มีผู้รับจ้างตอบสนองต่อเหตุการณ์ประจำอยู่ การจ่ายเงินอาจเป็นทางเลือกที่เร็วกว่าจริงๆ

แต่การจ่ายค่าไถ่แรนซัมแวร์ของภาครัฐทุกครั้งจะส่งสารไปยังระบบนิเวศอาชญากรรมในวงกว้างว่า เป้าหมายประเภทนี้ยอมจ่าย สัญญาณนั้นมีส่วนขับเคลื่อนวัฏจักรที่ดำเนินต่อไป เมื่อสถาบันต่างๆ จ่าย กลุ่มผู้โจมตีจะนำผลตอบแทนไปลงทุนซ้ำกับเครื่องมือที่ซับซ้อนขึ้นและปฏิบัติการที่ใหญ่ขึ้น รูปแบบของการรุกรานที่บานปลายนั้นเห็นได้ชัดเจนทั่วภูมิทัศน์ภัยคุกคาม ซึ่งรวมถึงกรณีที่กลุ่มต่างๆ ก้าวจากการขโมยข้อมูลไปสู่การขัดขวางการทำงานของระบบอย่างจริงจัง ดังที่บันทึกไว้ในรายงานเรื่อง ShinyHunters ทำลายหน้าเว็บพอร์ทัลโรงเรียนระหว่างแคมเปญขยายการเรียกค่าไถ่

ยังมีช่องว่างด้านความรับผิดชอบในทางปฏิบัติอีกด้วย เนื่องจากการจ่ายเงินมาจากกองทุนสำรองมากกว่าที่จะเป็นรายการงบประมาณเฉพาะ จึงเลี่ยงการตรวจสอบในรูปแบบที่อาจนำไปสู่การทบทวนอย่างเป็นทางการเกี่ยวกับสถานะความปลอดภัยของเคาน์ตี ผู้เสียภาษีกำลังรับภาระค่าใช้จ่าย แต่กลับไม่มีกลไกที่ชัดเจนที่จะบีบบังคับให้มีการยกระดับระบบที่เปิดทางให้เกิดการละเมิดตั้งแต่แรก

มาตรการความปลอดภัยเครือข่ายที่สามารถลดความเสี่ยงจากแรนซัมแวร์

เหตุการณ์ Murray County ชี้ให้เห็นจุดล้มเหลวที่ป้องกันได้หลายประการ องค์กรที่ต้องการลดความเสี่ยงต่อแรนซัมแวร์โดยไม่ต้องมีงบประมาณมหาศาล มีตัวเลือกที่ให้ผลกระทบสูงอยู่จำนวนหนึ่ง

การแบ่งส่วนเครือข่าย (Network segmentation) อาจเป็นการป้องกันเชิงโครงสร้างที่มีประสิทธิผลที่สุด หากระบบของเคาน์ตีถูกแบ่งส่วนอย่างเหมาะสม การบุกรุกในแผนกหนึ่ง (เช่น การโจมตีแบบฟิชชิ่งบนเครื่องเวิร์กสเตชันงานธุรการ) จะไม่ให้เส้นทางแก่ผู้โจมตีไปยังโครงสร้างพื้นฐานสำคัญ เช่น ระบบการเงินหรือระบบสำรองข้อมูลโดยอัตโนมัติ เครือข่ายแบนราบซึ่งอุปกรณ์ทุกตัวสามารถสื่อสารกับอุปกรณ์อื่นได้ทุกตัว คือสภาพแวดล้อมในอุดมคติของกลุ่มแรนซัมแวร์

การควบคุมการเข้าถึงที่บังคับใช้ผ่าน VPN เพิ่มชั้นการป้องกันที่มีความหมาย โดยกำหนดให้การเข้าถึงระบบภายในจากระยะไกลต้องผ่านช่องสัญญาณที่เข้ารหัสและผ่านการยืนยันตัวตน สิ่งนี้จำกัดการเปิดเผยอินเทอร์เฟซการจัดการและบริการภายในสู่อินเทอร์เน็ตสาธารณะ ซึ่งบ่อยครั้งคือช่องทางที่ผู้โจมตีใช้เพื่อตั้งหลักในเครือข่ายของหน่วยงานรัฐที่มีความปลอดภัยไม่เพียงพอ

ข้อมูลสำรองออฟไลน์หรือที่ไม่สามารถเปลี่ยนแปลงได้ (Offline or immutable backups) คือเครื่องมือการกู้คืนที่สำคัญที่สุดเพียงอย่างเดียว หากเคาน์ตีมีข้อมูลสำรองที่ทันสมัยซึ่งแรนซัมแวร์ไม่สามารถเข้าถึงหรือเข้ารหัสได้ อำนาจต่อรองที่ผู้โจมตีถืออยู่จะลดลงอย่างมาก การจ่ายเงินจะกลายเป็นทางเลือกมากกว่าความจำเป็น

การจัดการแพทช์และการเฝ้าดูปลายทาง (Patch management and endpoint monitoring) จะปิดช่องโหว่และให้การมองเห็นที่จำเป็นเพื่อตรวจจับการบุกรุกก่อนที่จะลุกลามบานปลาย เหตุการณ์แรนซัมแวร์จำนวนมากเกี่ยวข้องกับช่องโหว่ที่ทราบกันดีอยู่แล้วซึ่งมีแพทช์พร้อมใช้มาหลายเดือนก่อนถูกโจมตี

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

หากคุณอาศัยอยู่ในเคาน์ตีหรือเทศบาล เรื่องนี้เกี่ยวข้องโดยตรงกับคุณ หน่วยงานท้องถิ่นของคุณมีแนวโน้มจะเก็บข้อมูลส่วนบุคคลที่อ่อนไหว รวมถึงทะเบียนทรัพย์สิน ข้อมูลภาษี และเอกสารของศาล การโจมตีด้วยแรนซัมแวร์ต่อโครงสร้างพื้นฐานนั้นไม่เพียงแต่ทำให้เสียเงินจากกองทุนสำรองเท่านั้น แต่ยังอาจเปิดเผยข้อมูลของคุณและขัดขวางบริการที่คุณพึ่งพาอีกด้วย

สำหรับผู้เชี่ยวชาญด้านไอทีและความปลอดภัยที่ทำงานในภาครัฐ กรณี Murray County คือข้อโต้แย้งที่เป็นรูปธรรมสำหรับการลงทุนด้านสุขลักษณะเครือข่ายขั้นพื้นฐานก่อนที่เหตุการณ์จะบีบบังคับให้ต้องทำ ค่าใช้จ่ายของการแบ่งส่วนเครือข่าย การควบคุมการเข้าถึง และระบบสำรองข้อมูลที่เหมาะสมเป็นเพียงเศษเสี้ยวของค่าไถ่ $200,000 และไม่ได้นำเงินไปสนับสนุนปฏิบัติการอาชญากรรมในระหว่างนั้น

การเข้าใจว่ากลุ่มแรนซัมแวร์ทำงานอย่างไรและเลือกเป้าหมายอย่างไร คือจุดเริ่มต้นในทางปฏิบัติ กลยุทธ์ที่ใช้กับองค์กรอย่าง Baker Distributing มีรูปแบบคล้ายกับที่ใช้กับหน่วยงานท้องถิ่น การทบทวนกรณีเหล่านั้นสามารถช่วยให้ทีมรักษาความปลอดภัยคาดการณ์ได้ว่าเครือข่ายของตนเปิดช่องโหว่ตรงไหนมากที่สุด และจัดลำดับความสำคัญการป้องกันให้สอดคล้องกัน

บรรทัดสุดท้ายนั้นตรงไปตรงมา: การจ่ายเงิน $200,000 ของ Murray County เป็นผลลัพธ์ที่คาดการณ์ได้จากช่องว่างด้านความปลอดภัยที่มีอยู่แล้ว ช่องว่างแบบเดียวกันนี้ดำรงอยู่ในหน่วยงานท้องถิ่นทั่วประเทศ การจัดการช่องว่างเหล่านั้นในเชิงรุกนั้นมีค่าใช้จ่ายถูกกว่าการจ่ายบิลตามหลังมากนัก