โรงพยาบาลสระบุรี ถูกไวรัสเรียกค่าไถ่ (Ransomware) เล่นงาน

กระทรวงสาธารณะสุขออกแถลงข่าวเมื่อวันที่ 9 กันยายน 2563 กรณีโรงพยาบาลสระบุรีถูกโจมตี ทางไซเบอร์ เมื่อวันที่ 5 กันยายน 2563 โดยไวรัสเรียกค่าไถ่ (Ransomware) ซึ่งมีการโจมตีในหลายระบบ รวมถึงฐานข้อมูลของระบบบริการผู้ป่วย ทำให้ไม่สามารถสืบค้นข้อมูลประวัติเก่าหรือให้บริการออนไลน์ได้

ผู้ใช้งาน Blockdit “หมอสายดาร์ก” อ้างว่าได้รับข้อมูลจากหมอที่อยู่ในโรงพยาบาล (ข้อมูลอย่างไม่เป็นทางการ) ระบุว่าแฮกเกอร์ได้เรียกร้องค่าไถ่เป็นสกุลเงิน Bitcoin เป็นจำนวน 200,000 BTC หรือราว ๆ 60,000 ล้านบาท และระบุว่าโรงพยาบาลไม่ได้มีการสำรองข้อมูลสม่ำเสมอ ซึ่งข้อมูลที่สำรองไว้ล่าสุดคือเมื่อปี 2558 ทำให้ไม่สามารถใช้งานข้อมูลนั้นได้

ด้าน ผอ.ศูนย์เทคโนโลยีสารสนเทศฯ กล่าวว่า ได้ประสานไปยังศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต : ThaiCERT) ทันทีที่ได้รับแจ้งจากโรงพยาบาลสระบุรีเมื่อวันที่ 7 กันยายน 2563 และได้สนับสนุนอุปกรณ์สำหรับจัดทำระบบข้อมูลพร้อมทั้งให้คำแนะนำกับทางโรงพยาบาลแล้ว

Ransomware หรือไวรัสเรียกค่าไถ่ เป็นมัลแวร์ (Malware) ประเภทหนึ่งที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่นๆ คือไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งานหรือเหยื่อแต่อย่างใด แต่จะทำการเข้ารหัสหรือล็อกไฟล์ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ผู้ใช้งานจะไม่สามารถเปิดไฟล์ใด ๆ ได้เลยหากไฟล์เหล่านั้นถูกเข้ารหัส ซึ่งการถูกเข้ารหัสก็หมายความว่าจะต้องใช้คีย์ในการปลดล็อคเพื่อกู้ข้อมูลคืนมา ผู้ใช้งานจะต้องทำการจ่ายเงินตามข้อความ “เรียกค่าไถ่” ที่ปรากฏ

ช่องทางการแพร่กระจายของ Ransomware

1.แฝงมาในรูปแบบเอกสารแนบทางอีเมล (Phishing emails)
Ransomware ส่วนใหญ่จะแพร่กระจายผ่านทางอีเมล โดยจะปลอมแปลงผู้ส่งเป็นอีเมลของผู้ให้บริการที่มีชื่อเสียง อย่างเช่น ธนาคาร, ผู้ให้บริการอีเมล หรือ ผู้ให้บริการโซเชียลเน็ตเวิร์คต่าง ๆ เป็นต้น ซึ่งจะมีการใช้หัวข้อหรือเนื้อหาอีเมลที่ดูน่าเชื่อถือ จนผู้ใช้งานหลงคิดว่าเป็นอีเมลของผู้ให้บริการนั้นจริง ๆ และหลอกให้ผู้ใช้งานคลิก Link หรือดาวน์โหลดเอกสารไฟล์แนบ เพื่อทำการแพร่กระจายไวรัส

2. การเข้าถึงเว็บไซต์อันตราย (Strategic web compromise)
ผู้ใช้สามารถกลายเป็นเหยื่อได้โดยไม่ได้ตั้งใจเพียงแค่เข้าถึงหน้าเว็บไซต์ที่ถูกควบคุมและทำการฝังสคริปต์หรือโค้ดอันตรายไว้โดยแฮกเกอร์ เมื่อผู้ใช้ทำการเข้าถึงหน้าเว็บไซต์ดังกล่าวสคริปต์คำสั่งก็จะเริ่มทำงาน และดาวน์โหลดไวรัส Ransomware เพื่อติดตั้งบนเครื่องเป้าหมายทันที

3. การดาวน์โหลดและติดตั้งซอฟต์แวร์ที่ไม่ถูกลิขสิทธิ์ (Drive-by download)
Ransomware อาจแฝงอยู่ในซอฟต์แวร์ที่ละเมิดลิขสิทธิ์หรือซอฟต์แวร์ที่ไม่สามารถตรวจสอบแหล่งที่มาได้ เมื่อผู้ใช้ทำการดาวน์โหลดและติดตั้งซอฟต์แวร์เหล่านั้น ก็มีโอกาสที่จะติดตั้ง Ransomware ลงบนเครื่องด้วยเช่นกัน

4. เครื่องเป้าหมายมีช่องโหว่ (Exploiting vulnerabilities in Internet-accessible systems)
อีกหนึ่งกุญแจสำคัญที่ทำให้ถูกโจมตีด้วย Ransomware คือช่องโหว่ หากเครื่องเป้าหมายมีช่องโหว่ อาจถูกใช้เป็นช่องทางให้แฮกเกอร์ใช้เพื่อโจมตีได้ ไม่ว่าจะเป็นช่องโหว่ของระบบปฏิบัติการ ช่องโหว่ของซอฟต์แวร์หรือช่องโหว่ของเว็บเบราวเซอร์ต่างๆ เป็นต้น

วิธีป้องกัน

1. ดำเนินการกำหนดและจัดทำบทบาทและหน้าที่ความรับผิดชอบสำหรับความมั่นคงปลอดภัยสารสนเทศของบุคลากรขององค์กรและผู้ที่เกี่ยวข้องทั้งหมดในขอบเขต

2. ดำเนินการอัพเดตแพตช์ความปลอดภัยบนระบบปฏิบัติการหรือซอฟต์แวร์ต่าง ๆ อย่างสม่ำเสมอ แม้กระทั่งเว็บเบราวเซอร์และส่วนเสริมหรือส่วนขยายที่ใช้งานก็ต้องทำการอัพเดตเป็นประจำ

3. ดำเนินการติดตั้งโปรแกรมป้องกันมัลแวร์ (Anti-malware) ลงบนเครื่องคอมพิวเตอร์ และทำการอัพเดตฐานข้อมูลมัลแวร์เป็นประจำ

4. ควรพิจารณาก่อนที่จะคลิก Link หรือดาวน์โหลดไฟล์แนบจากอีเมลต้องสงสัย หากไม่มั่นใจ ให้ติดต่อหน่วยงานเทคโนโลยีสารสนเทศภายในองค์กรให้ช่วยตรวจสอบก่อนที่จะดำเนินการใด ๆ

5. ดำเนินการสำรองข้อมูลอย่างสม่ำเสมอ ยิ่งหากเป็นข้อมูลสำคัญที่ส่งผลต่อความเสียหายขององค์กร ควรทำการสำรองข้อมูลทุกวัน ซึ่งการสำรองข้อมูลที่ดี ควรที่จะสำรองและจัดเก็บข้อมูลไว้ทั้งภายในและภายนอกของระบบเครือข่าย โดยเหตุผลที่ต้องสำรองไว้นอกเครือข่ายด้วยก็คือ Ransomware ส่วนใหญ่สามารถแพร่กระจายภายในเครือข่ายได้ด้วยตัวเองได้ เพื่อป้องกันไม่ให้ข้อมูลที่สำรองไว้ถูกเข้ารหัสไปด้วย จึงควรสำรองข้อมูลไว้ภายนอกเครือข่ายอีกชั้นหนึ่ง

6. ดำเนินการตรวจประเมินความสอดคล้อง (Gap Analysis) ตามมาตรฐาน ISO27001:2013

7. ดำเนินการจัดทำแนวนโยบาย แนวปฎิบัติ ด้านความมั่นคงปลอดภัยสารสนเทศ

8. ดำเนินการตรวจประเมินด้านการรักษาความมั่นคงปลอดภัยสารสนเทศ เช่น การทำ Vulnerability Scan (VA) และ การทดสอบเจาะระบบ (Penetration Test) เป็นประจำสม่ำเสมอ

ทั้งนี้ ไม่ว่าจะใช้วิธีใด ก็ไม่สามารถป้องกันไวรัส Ransomware ได้ 100% เนื่องจากป้องกันได้ยาก เพราะมีช่องทางการโจมตีที่หลากหลาย สิ่งสำคัญที่สุดคือการสร้างความตระหนักให้บุคคลากรภายในองค์กร โดยการจัดอบรมในด้าน การสร้างความตระหนักด้านความมั่นคงปลอดภัยสารสนเทศ (Security Awareness) รวมไปถึงการติดตามข่าวสารช่องโหว่หรือภัยคุกคามต่าง ๆ และศึกษาวิธีป้องกันก่อนที่จะตกเป็นเหยื่อของผู้ไม่ประสงค์ดี

แหล่งอ้างอิง

1. https://www.sanook.com/news/8248818/

2. https://www.blockdit.com/articles/5f57b29e55659d6e9dee9cff

3. https://www.facebook.com/SaraburiHospital/photos/a.2559294237478100/4346978085376364/

ผู้เขียน :นายณัฐพงษ์ การทำนา

ผู้ตรวจทาน : นาย เจษฎา ทองก้านเหลือง

เผยแพร่ : วันที่ 10 กันยายน 2563

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Analytics บนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
cookielawinfo-checkbox-necessary	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลความยินยอมประเภท Necessary บนเว็บไซต์เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
CookieLawInfoConsent	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลผลสรุปความยินยอมทั้งหมดบนเว็บไซต์ เพื่อเป็นประโยชน์ในการปรับปรุงแก้ไข พัฒนาเว็บไซต์
viewed_cookie_policy	12 เดือน	คุกกี้ประเภทนี้จะทำการเก็บข้อมูลเมื่อมีการแสดงข้อความ cookie_policy เพื่อเป็นประโยชน์ต่อผู้ใช้งานเว็บไซต์

Cookie	Duration	Description
1P_JAR	1 เดือน	คุกกี้ของ Google เพื่อแสดงโฆษณาที่ปรับให้เหมาะกับแต่ละบุคคลบนเว็บไซต์ของ Google โดยพิจารณาจากการค้นหาล่าสุดและการดำเนินการต่าง ๆ ก่อนหน้านี้
AEC	22 สัปดาห์	คุกกี้เหล่านี้ใช้สำหรับเก็บพฤติกรรมการใช้งานในเว็บไซต์ เพื่อนำไปปรับปรุงผลิตภัณฑ์และเว็บไซต์ให้มีประสิทธิภาพยิ่งขึ้น
NID	6 เดือน	คุกกี้ของ Google เพื่อการโฆษณา
OTZ	1 สัปดาห์	คุกกี้ของ Google ที่ส่งให้ Google Analytics ใช้สำหรับจัดเก็บข้อมูลการเข้าชมเว็บไซต์