Customer Story

จัดการ Ransomware ได้อยู่หมัด ด้วย Backup Solution - ประสบการณ์ตรงจากทีมงาน NIPA Cloud

Published : September 5, 2023Time : 3 min read

Ransomware คืออะไร?

Ransomware หรือการเรียกเงินค่าไถ่จากเหยื่อเพื่อแลกเปลี่ยนกับรหัสสำหรับปลดล็อกให้สามารถกลับมาควบคุมไฟล์หรือระบบได้ตามเดิม ซึ่งหลาย ๆ คนอาจจะมองว่า ransomware เป็นเหตุการณ์ที่ไกลตัว แต่ใครจะรู้ว่า ransomware เป็นหนึ่งในมัลแวร์ที่มีการระบาดมากที่สุด เมื่อเทียบกับอาชญากรไซเบอร์รูปแบบอื่น ๆ เพราะมันสามารถให้ผลตอบแทนได้มากมายเมื่อเทียบกับความพยายามอันน้อยนิด

ปัญหาที่เกิดขึ้น

เมื่อต้นเดือนสิงหาคมที่ผ่านมา NIPA Cloud ได้รับแจ้งจากลูกค้ารายหนึ่งว่าเซิร์ฟเวอร์ที่บริษัทของลูกค้าโดน ransomware โจมตีทุกเครื่อง ทั้งเครื่องที่ได้มีการ backup ไว้กับทาง NIPA Cloud ทั้ง 5 VM ซึ่งมีทั้งการ backup ในระดับ file level และ instance level รวมถึงเครื่อง Veeam Server (Veeam Backup and Replication) ซึ่งทำหน้าที่เชื่อมต่อกับ Veeam Server ฝั่ง NIPA Cloud เพื่อ backup ก็ไม่สามารถใช้งานเช่นกัน จึงทำให้ลูกค้าไม่สามารถดึงข้อมูล backup ที่อยู่บน Veeam Server ฝั่ง NIPA Cloud กลับไป restore ที่เซิร์ฟเวอร์ของลูกค้าได้

อ่านวิธีการทำงานของ Backup Solution

วิธีการแก้ไข

เนื่องจากเครื่อง Veeam Server ของลูกค้าโดน ransomware โจมตี ทำให้ไม่สามารถใช้งานได้ ทีมงาน NIPA Cloud จึงจำเป็นต้องเซ็ตอัป Veeam Server เครื่องใหม่เพื่อเชื่อมต่อมาที่ Veeam Server (Veeam Cloud Connect) ฝั่ง NIPA Cloud และดึงข้อมูลกลับไป restore ที่ไซต์ของลูกค้า โดยได้ให้ทางลูกค้าสร้าง VM ขึ้นมาใหม่ และทีมงาน NIPA Cloud ก็ได้เข้าไปดำเนินการเซ็ตอัป และ configuration ในลำดับต่อไป

วิธีการ restore ข้อมูลแบบ full VM (instance level)

เมื่อทีมงาน NIPA Cloud ได้เซ็ตอัป Veeam Server เครื่องใหม่ที่ฝั่งของลูกค้า และสามารถเชื่อมต่อมายัง Cloud Gateway หรือ Veeam Server (Veeam Cloud Connect) ที่ฝั่ง NIPA Cloud ได้แล้ว ทางทีมงานได้เริ่มดำเนินการ restore VM ตัวแรกทันที โดยใช้เครื่อง Veeam Server (Veeam Backup and Replication) ที่อยู่ฝั่งลูกค้าสั่งการดึงข้อมูล backup ล่าสุดจากเครื่อง Veeam Server ฝั่ง NIPA Cloud กลับไป restore แบบ full VM เมื่อสำเร็จแล้ว จึงดำเนินการ restore VM ที่สองต่อในลำดับถัดไป

วิธีการ restore ข้อมูล file/folder (file level)

ในส่วนของเซิร์ฟเวอร์ที่เป็นการ backup และ restore ในระดับ file level นั้นมีอุปสรรคค่อนข้างมาก เนื่องจากไฟล์ที่จะดำเนินการ restore นั้นมีขนาดมากว่า 800 GB และมีจำนวนไฟล์มากว่า 7 แสนไฟล์ อีกทั้งไฟล์เหล่านี้ยังมี virus/trojan ปะปนอยู่ด้วย ทำให้ระบบ Veeam ต้องทำการสแกนและคลีนไวรัสก่อนทำการ restore ซึ่งทำให้กระบวนการนี้ยาวนานกว่าปกติประมาณ 4-5 เท่า

ทางทีมงานจึงได้เปลี่ยนวิธีการ restore มาเป็นการสร้าง Veeam Server (Veeam Backup and Replication) ที่ฝั่ง NIPA Cloud เอง เพื่อแก้ปัญหาเรื่อง network ระหว่างไซต์ ซึ่งจะใช้ Veeam Server เครื่องนี้ในการสั่งดึงข้อมูลจากเครื่อง Veeam Cloud Connect เพื่อ restore ข้อมูลแบบ guest file (Microsoft Windows) จากนั้นจะใช้วิธีการ synchronize ข้อมูลลงบนเครื่อง NAS storage ตามที่ทางลูกค้าร้องขอ และนำส่งให้กับลูกค้าเมื่อดำเนินการเสร็จสิ้น แต่เนื่องจากข้อมูลที่มีขนาดใหญ่มาก ทำให้ต้องใช้เวลาในการดำเนินการนานกว่าปกติ ทางทีมงานจึงดำเนินการในส่วนของข้อมูลโฟลเดอร์ที่ทางลูกค้าต้องการอย่างเร่งด่วนให้ก่อน

หลังจากนั้นทีมงานยังคงเร่งดำเนินการ restore ข้อมูลส่วนที่เหลือส่งคืนให้ลูกค้า โดยได้ดำเนินการ restore ข้อมูลแบบ guest file เช่นเดิม และใช้วิธีการ map network drive ผ่าน VPN จากนั้น transfer ไฟล์ทั้งหมดไปที่เครื่องของลูกค้า ซึ่งได้ดำเนินการกู้คืนและส่งคืนไฟล์ที่ปราศจากไวรัสทั้งหมดรวม 6 แสนกว่าไฟล์ให้แก่ลูกค้าได้สำเร็จ

บางครั้งอาชญากรทางไซเบอร์อาจเป็นต้นเหตุที่ทำให้บริษัทของคุณเสียหายครั้งใหญ่แบบที่คุณอาจไม่คาดคิด การมี backup solution จึงเป็นสิ่งจำเป็นอย่างยิ่ง โดยเฉพาะในยุคปัจจุบันที่ข้อมูลเปรียบเสมือนเพชรล้ำค่าสำหรับการดำเนินธุรกิจ NIPA Cloud ยินดีให้คำปรึกษา และช่วยเหลือคุณในทุกโซลูชัน

AUTHOR
Author
Kotchakorn Sudawannasak
Marketing Communications Coordinator