Conpet ผู้ให้บริการท่อส่งน้ำมันแห่งชาติของโรมาเนีย ได้เปิดเผยว่าถูกโจมตีทางไซเบอร์ ซึ่งส่งผลกระทบต่อระบบธุรกิจและทำให้เว็บไซต์ของบริษัทไม่สามารถเข้าถึงได้เมื่อวันอังคารที่ผ่านมา กลุ่มแรนซัมแวร์ Qilin ได้ออกมาอ้างความรับผิดชอบและขโมยเอกสารไปเกือบ 1TB รวมถึงข้อมูลทางการเงินและสแกนหนังสือเดินทาง อย่างไรก็ตาม ระบบเทคโนโลยีปฏิบัติการ (SCADA System และ Telecommunications System) ไม่ได้รับผลกระทบ ทำให้การขนส่งน้ำมันดิบและอนุพันธ์ยังคงดำเนินไปได้ตามปกติ บริษัทกำลังดำเนินการสอบสวนและกู้คืนระบบที่ได้รับผลกระทบ โดยได้รับความช่วยเหลือจากหน่วยงานความปลอดภัยทางไซเบอร์ของประเทศ
Severity: วิกฤต
System Impact:
- Corporate IT infrastructure (โครงสร้างพื้นฐานด้านไอทีขององค์กร)
- Company’s website (www.conpet.ro)
- Business systems (ระบบธุรกิจ)
Technical Attack Steps:
- ผู้โจมตีได้รับสิทธิ์เข้าถึงเริ่มต้น (Initial Access) เข้าสู่โครงสร้างพื้นฐานด้านไอทีของ Conpet.
- มีการติดตั้งและเรียกใช้แรนซัมแวร์ Qilin ทำให้ระบบธุรกิจและเว็บไซต์ของบริษัทหยุดชะงัก.
- มีการขโมยข้อมูล (Data Exfiltration) โดยกลุ่ม Qilin อ้างว่าได้ขโมยเอกสารไปเกือบ 1TB ซึ่งรวมถึงข้อมูลทางการเงินและสแกนหนังสือเดินทาง.
- เว็บไซต์ของบริษัทถูกปิดตัวลง และ Conpet ถูกเพิ่มเข้าในเว็บไซต์เผยแพร่ข้อมูลของกลุ่ม Qilin (dark web leak site).
Recommendations:
Short Term:
- ดำเนินการตอบสนองต่อเหตุการณ์ (Incident Response) อย่างเร่งด่วนตามแผนที่วางไว้.
- แยกส่วนระบบเครือข่ายและเครื่องจักรที่ได้รับผลกระทบ เพื่อป้องกันการแพร่กระจายของมัลแวร์.
- ทำการวิเคราะห์ทางนิติวิทยาศาสตร์ (Forensic Analysis) เพื่อระบุสาเหตุ, ช่องโหว่ และขอบเขตของการโจมตี.
- กู้คืนระบบธุรกิจและเว็บไซต์ที่ได้รับผลกระทบจากข้อมูลสำรองที่สะอาดและเชื่อถือได้.
- แจ้งเตือนหน่วยงานกำกับดูแลที่เกี่ยวข้องและผู้ที่อาจได้รับผลกระทบจากข้อมูลรั่วไหล.
Long Term:
- เสริมสร้างความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีทั้งหมดด้วยมาตรการที่แข็งแกร่ง เช่น การใช้ Multi-Factor Authentication (MFA) และ Endpoint Detection and Response (EDR).
- ทบทวนและปรับปรุงนโยบายการสำรองข้อมูล (Backup) และแผนการกู้คืนระบบจากภัยพิบัติ (Disaster Recovery Plan) ให้ทันสมัยและทดสอบอย่างสม่ำเสมอ.
- ดำเนินการแบ่งส่วนเครือข่าย (Network Segmentation) ที่เข้มงวดระหว่างระบบ IT และ OT (Operational Technology) เพื่อจำกัดการแพร่กระจายของการโจมตี.
- จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์แก่พนักงานอย่างต่อเนื่อง โดยเน้นเรื่องฟิชชิงและวิศวกรรมสังคม.
- ทำการประเมินช่องโหว่ (Vulnerability Assessment) และทดสอบการเจาะระบบ (Penetration Testing) เป็นประจำ.
- ติดตั้งและอัปเดตแพตช์ความปลอดภัยสำหรับระบบปฏิบัติการและแอปพลิเคชันทั้งหมดอย่างสม่ำเสมอ เพื่อลดช่องโหว่.
Share this content: