Ransomware คืออะไร? – ภัยคุกคามทางไซเบอร์ที่คุณต้องรู้

มัลแวร์ประเภทนี้อาจส่งผลกระทบอย่างรุนแรงต่อข้อมูลที่สำคัญของคุณ อย่างที่คุณเองก็คาดไม่ถึง

Ransomware เริ่มเป็นที่รู้จักอย่างแพร่หลายในช่วงไม่กี่ปีที่ผ่านมานี้ เนื่องจากบรรดาแฮกเกอร์ได้มองเห็นช่องทางในการหาเงินโดยการเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อ ซึ่งพวกเขาจะต้องจ่ายเงินตามจำนวนที่แฮ็กเกอร์ระบุไว้ เพื่อที่จะได้รับรหัสสำหรับการปลดล็อคและกลับไปใช้ข้อมูลได้ตามปกติ

ผลกระทบของมันนั้นชัดเจนมาก เมื่อมีการโจมตีแบบ DDoS (DDoS attacks) ถ้ามองในแง่ของการโจมตีและผลกระทบ จะเห็นได้ชัดว่ามีรูปแบบที่ใกล้เคียงกัน และหนึ่งในเหตุการณ์การโจมตีครั้งยิ่งใหญ่ที่สุดที่เคยเกิดขึ้นในสหราชอาณาจักรเมื่อปี 2560 นั่นก็คือ RansomWare ที่มีชื่อว่า WannaCry ได้โจมตี NHS ซึ่งเป็นหน่วยงานด้านสาธารณสุขของสหราชอาณาจักร ด้วยการแฝงตัวเข้าควบคุมเน็ตเวิร์คภายในของ NHS มีผลให้หลายๆ ระบบหยุดทำงาน ส่งผลกระทบต่อองค์กรอย่างรุ่นแรง และยังพบว่ามัลแวร์ชนิดเดียวกันนี้ ได้มีการโจมตีธุรกิจและองค์กรขนาดใหญ่อื่น ๆ อีกหลายแห่ง ด้วยวิธีการปิดการใช้งานของระบบ เช่นกัน

ดูเหมือนว่า Ransomware จะไม่ได้หายไปไหน เรากลับพบรายงานการโจมตีที่เพิ่มขึ้นอีกจำนวนมาก และมันก็ยังมีความรุนแรงมากยิ่งขึ้นอีกด้วย ซึ่งโดยเฉลี่ยแล้วความต้องการที่จะชำระเงินเพื่อแลกกับระบบที่จะกลับมาทำงานได้ตามปกตินั้นก็เพิ่มขึ้นด้วยเช่นกัน นอกจากนี้ ยังมีแนวโน้มของการถูกรบกวนโดย Ransomware ที่มุ่งเน้นไปที่บริษัทโดยเฉพาะ ทั้งนี้ องค์กรและผู้ใช้ไม่เพียงแต่จะต้องทำความเข้าใจว่า Ransomware คืออะไร และจะหลีกเลี่ยงมันได้อย่างไร เท่านั้น, แต่ยังจะต้องเรียนรู้ว่า จะต้องทำอย่างไรหากเกิดสถานการณ์โชคร้ายที่องค์กรและผู้ใช้จะต้องตกอยู่ในสถานะผู้ถูกโจมตี

Ransomware คืออะไร?

Ransomware, ถ้าแปลตามชื่อของมัน นั่นก็พอจะบ่งบอกได้ว่ามันคือการเรียกเงินค่าไถ่จากเหยื่อ เพื่อเป็นการแลกเปลี่ยนกับรหัสสำหรับปลดล็อค เพื่อให้เหยื่อสามารถกลับมาควบคุมไฟล์หรือระบบได้ตามเดิม ซึ่งโดยปรกติแล้วเหยื่อจะถูกบังคับให้จ่ายในรูปของเงินสกุลเงินดิจิตอล (Cryptocurrency) เช่น Bitcoin หรือ Ethereum

การโจมตีของ Ransomware ก็เช่นเดียวกับมัลแวร์ประเภทอื่นๆ ซึ่งจะเริ่มการโจมตีโดยพยายามที่จะหลบหลีกการตรวจจับของระบบรักษาความปลอดภัย และหลังจากนั้นจะทำการเข้ารหัสไฟล์อย่างช้าๆ เพื่อไม่ให้เป็นที่น่าสงสัย โดยที่ไฟล์เป้าหมายหรือระบบทั้งหมดจะถูกเข้ารหัสเพียงครั้งเดียวเท่านั้น เพื่อต้องการให้รู้ว่ามันคือการโจมตีจาก Ransomware และมักจะอยู่ในรูปแบบของ Splash Screen ที่ไม่สามารถเข้าใช้งานได้

อันดับแรก มันจะเริ่มต้นจาก Splash Screen ที่ผู้ใช้จะได้รับการบอกกล่าวว่าขณะนี้ไฟล์ของพวกเขานั้นถูกล็อค และเพื่อที่จะเรียกคืนข้อมูลของพวกเขาเหล่านั้น จะต้องทำการชำระเงินทั้งหมดตามที่แฮกเกอร์ได้ระบุไว้ ถ้อยคำที่แสดงความต้องการนั้นจะแตกต่างกันออกไป ซึ่งก็ขึ้นอยู่กับ Ransomware สายพันธุ์ต่างๆ แต่ส่วนใหญ่ก็จะเป็นการเรียกร้องให้เยื่อชำระเงินบางประเภท ภายในระยะเวลาที่กำหนด

บางข้อความก็แสดงถึงความก้าวร้าว ทั้งนี้ก็ด้วยมีความหวังว่าจะทำให้เหยื่อกลัว จนต้องรีบชำระเงินโดยเร็ว ในขณะที่บางรูปแบบของการโจมตีก็พยายามปลอมตัวเป็นเจ้าหน้าที่ขององค์กรที่ถูกกฎหมาย เช่น FBI โดยแจ้งว่าคอมพิวเตอร์ของผู้ใช้งานถูกจำกัดการเข้าถึง เนื่องจากมีการใช้งานผิดกฎหมายซึ่งผู้ใช้งานจะต้องจ่ายค่าปรับเพื่อให้กลับมาใช้งานได้ตามปกติ เป็นต้น

ในช่วงหลายปีที่ผ่านมานี้ เราพบว่า Ransomware มีอัตราการเติบโตอย่างมีนัยสำคัญควบคู่ไปกับการเพิ่มขึ้นของ cryptocurrencies ซึ่งนับว่าเป็นวิธีการโอนเงินสดผ่านทางอินเทอร์เน็ตที่รวดเร็วและสะดวกสบาย โดยไม่ต้องมีการระบุชื่อ เนื่องจากผู้โจมตีส่วนใหญ่เรียกร้องให้เหยื่อชำระเงินค่าไถ่ด้วย Bitcoin หรือ Monero และนั่นอาจจะทำให้เกิดปัญหากับผู้ที่ตกเป็นเหยื่อบางส่วนที่ไม่คุ้นเคยกับการซื้อขายแลกเปลี่ยนด้วย crypto

ตัวอย่างแรกของ Ransomware ที่ค่อนข้างประสบความสำเร็จ นั่นก็คือ "AIDS Trojan" ซึ่งเกิดขึ้นในปี ค.ศ.1989 มันเป็นการโจมตีด้วยการเข้ารหัสชื่อไฟล์แทนที่จะเป็นการเข้ารหัสเนื้อหาของไฟล์ ในขณะที่กุญแจสำหรับเข้ารหัส (Decryption Key) จะถูกซ่อนอยู่ภายในรหัสของมัลแวร์ แม้จะมีข้อผิดพลาดในการปรับใช้ แต่นี่ก็จัดว่าเป็นกรณีแรกของแฮกเกอร์ที่ต้องการเงินเพื่อแลกกับการส่งคืนที่ปลอดภัยของข้อมูลที่ถูกขโมยไป

ผู้โจมตียังคงดำเนินการภายใต้หลักการเดียวกัน แต่มักจะมีประสิทธิภาพที่มากยิ่งขึ้น และโดยส่วนใหญ่ต้องการที่จะให้เหยื่อชำระด้วยเงินที่ไม่ใช่ Physical Currency ซึ่งเป็นเหรียญหรือธนบัตรโดยทั่วไป แต่จะต้องการเป็นเงินในรูปแบบดิจิทัล (Digital Coins)

Ransomware ได้รับการพิสูจน์แล้วว่าเป็นหนึ่งในมัลแวร์ที่มีการระบาดมากที่สุด นั่นเป็นข้อมูลล่าสุดเท่าที่จำได้ ซึ่งส่วนหนึ่งอาจจะเป็นเพราะมันเป็นวิธีการที่ใช้ความพยายามน้อยมาก เมื่อเทียบกับอาชญากรไซเบอร์รูปแบบอื่นๆ และที่สำคัญมันสามารถให้ผลตอบแทนมากมายได้อย่างไม่น่าเชื่อ

Ransomware Tools สามารถสั่งซื้อแบบ Pre-assembled ได้จากเหล่าแฮกเกอร์ในตลาดมืด และนี่ก็เป็นอีกหนึ่งสาเหตุที่ทำให้การโจมตีทำได้ง่ายและมีราคาถูก เพราะผู้ใช้เครื่องมือเหล่านี้ไม่จำเป็นที่จะต้องมีความรู้ในการเขียนโปรแกรมแต่อย่างใด นอกจากนี้ข้อมูลที่เอาไว้ระบุคำสั่งที่จะส่งไปยังปลายทาง (Payload) ของ Ransomware ยังสามารถจัดส่งโดยแคมเปญ Phishing หรือ Malvertising ซึ่งมีราคาถูกและติดตั้งได้ง่าย ซึ่งก็หมายความว่า ผู้โจมตีเพียงแค่จะต้องกลับมานั่งรอเพื่อที่จะรับเงินค่าไถ่เข้ากระเป๋าเพียงอย่างเดียว

จำนวนเงินที่จะต้องจ่ายนั้นอาจจะมีมูลค่าที่แตกต่างกันออกไป แต่จากรายงาน "Ransomware and Business 2016" ของ Symantec พบว่าจำนวนเงินโดยเฉลี่ยอยู่ระหว่าง $600- $700 ซึ่งพบว่ามีมูลค่าเพิ่มขึ้นอย่างมีนัยสำคัญจากปีก่อน

ฉันควรจะจ่ายเงินค่าไถ่ไหม?

คำตอบสั้นๆ ก็คือ "ไม่" ทั้งนี้ ผู้เชี่ยวชาญแนะนำว่า ให้ต่อต้านการให้ในสิ่งที่แฮกเกอร์เรียกร้อง แม้แต่ในกรณีที่ข้อมูลนั้นมีความสำคัญหรืออาจจะก่อให้เกิดการสูญเสียทางการเงินจากการหยุดทำงานของระบบ เพราะนั่นคือความเสี่ยง หนึ่งในเหตุผลที่ทำให้เหยื่อต้องรีบตัดสินใจปฏิเสธการทำตามคำเรียกร้องของผู้โจมตี นั่นเป็นเพราะ ทั้งความถี่ของการโจมตีจาก Ransomware และจำนวนเงินที่เรียกร้อง เป็นสิ่งที่ทำให้ผู้โจมตีเชื่อว่ากลยุทธ์เช่นนี้จะทำให้เกิดผลกำไรแก่พวกเขา ซึ่งการจ่ายเงินไม่เพียงแต่จะช่วยส่งเสริมให้การโจมตีเกิดมากขึ้น แต่พวกมันอาจจะเพียงแค่รอเวลา ก่อนที่จะย้อนกลับมาโจมตีคุณอีกครั้ง

เหตุผลข้อที่สอง หากผู้ใช้งานชำระเงินตามคำขู่ ก็ไม่มีการรับประกันแต่อย่างใดว่าไฟล์หรือฮาร์ดไดร์ฟที่เข้ารหัสจะได้รับรหัสในการปลดล็อคจริงๆ หลังจากที่แฮ็คเกอร์ได้รับการชำระเงินแล้ว โดยมีความเป็นไปได้สูงที่พวกเขาจะเอาเงินและจากไปอย่างรีบร้อน

มีวิธีที่มีประสิทธิภาพมากยิ่งขึ้นในการแก้ไขปัญหา รวมถึงการรายงานอาชญากรรมไซเบอร์และอาชญากรรมประเภทอื่นๆ โดยการรายงานไปยัง Action Fraud ซึ่งเป็นศูนย์รายงานการฉ้อโกงระดับชาติของสหราชอาณาจักร, ต้องทำให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ของคุณได้รับการอัพเดตอยู่เสมอ และมันก็ยังคงสามารถทำงานได้ดี รวมทั้งตรวจสอบให้แน่ใจว่าคุณได้ทำการอัพเดตแพทช์ (Patch) ระบบปฏิบัติการและซอฟต์แวร์ให้อยู่ในเวอร์ชั่นล่าสุดแล้ว

นอกจากนี้ การใช้กลยุทธ์การสำรองและกู้คืนข้อมูลก็เป็นสิ่งจำเป็นเช่นกัน ในกรณีที่ทุกอย่างกลับสู่สภาพปกติ หลังจากการถูกโจมตีดังกล่าว

เหตุการณ์การโจมตี NHS โดย Ransomware ในปี ค.ศ.2017

เมื่อวันที่ 11 พฤษภาคม ปี 2017 มีรายงานการโจมตีครั้งใหญ่ของ Ransomware ที่ส่งผลกระทบอย่างหนักต่อ NHS ในอังกฤษและสกอตแลนด์ เช่นเดียวกับองค์กรอื่นๆ ทั่วโลก ซึ่งก็รวมถึง Telefonica ซึ่งเป็นบริษัทโทรคมนาคมยักษ์ใหญ่ของสเปน, Deutsche Bahn ในเยอรมนี, Renault และแม้แต่บริษัทที่ให้บริการส่งของอย่าง FedEx ก็ยังได้รับผลกระทบ โดยรวมแล้วพบคอมพิวเตอร์หลายหมื่นเครื่องใน 99 ประเทศที่ได้รับผลกระทบ

การแพร่กระจ่ายของ Ransomware สามารถทำได้โดยผ่านทาง 3 เวกเตอร์หลักๆ นั่นก็คือ Initial Payload (เช่น ซอฟต์แวร์ ransomware ที่รู้จักกันในชื่อ WannaCry หรือ WannaCrypt) เข้าสู่เครือข่ายขององค์กรผ่านทางอีเมลฟิชชิง (Phishing Email) โดยผู้ใช้คลิกที่ลิงค์ที่เป็นอันตรายหรือดาวน์โหลดไฟล์ที่เป็นอันตราย

การติดเชื้อ (Infection) แล้วมีการแพร่กระจายตัวเองออกไปอย่างรวดเร็วผ่านระบบเครือข่ายนั้น เกิดขึ้นโดยใช้เครื่องมือสองชนิดที่คาดว่าได้รับการพัฒนาขึ้นมาโดย NSA (National Security Agency) นั่นก็คือ EternalBlue exploit และ DoublePulsar backdoor ซึ่งมันถูกปล่อยออกมาโดย Hacking group ที่มีชื่อว่า ShadowBrokers โดยมาพร้อมกับอาวุธไซเบอร์ (Cyber Weapon) อื่นๆ อีกจำนวนหนึ่ง

คอมพิวเตอร์ที่ติดเชื้อทั้งหมดในเครือข่ายจะถูกเข้ารหัสไฟล์ของพวกเขา ด้วยข้อความเรียกค่าไถ่ที่แสดงบนหน้าจอ หากเหยื่อต้องการรหัสเพื่อทำการปลดล็อคข้อมูล พวกเขาจะต้องจ่ายเงินจำนวน 300 เหรียญสหรัฐ ในรูปแบบของ Bitcoin โดยจะต้องชำระภายใน 3 วัน หรือ 600 เหรียญสหรัฐ ภายใน 7 วัน ซึ่งยังไม่มีรายงานที่แน่ชัดว่ามีกี่องค์กรที่ทำการจ่ายเงินไปแล้ว แต่เพียงแค่ภายในวันจันทร์ที่ 15 พฤษภาคม พบว่าเหล่าอาชญากรรมด้านไซเบอร์ (Cyber Criminal) สามารถทำเงินได้มากกว่า 40,000 เหรียญสหรัฐ ถ้าเทียบตาม URL ที่มีส่วนร่วมกับการเรียกร้องค่าไถ่

ย้อนเหตุการณ์กลับไปเมื่อเดือนมีนาคม ปี 2017, Microsoft ได้เผยแพร่โปรแกรมแก้ไข (Patch) สำหรับช่องโหว่ ที่ส่งผลกระทบต่อระบบปฏิบัติการ Windows ทั้งหมด ตั้งแต่ Windows 7 จนถึง 8.1 อย่างไรก็ตาม มันไม่ได้ถูกนำไปใช้กับองค์ประกอบทั้งหมดของเครือข่ายองค์กรที่ได้รับผลกระทบ อาจมีหลายสาเหตุที่ทำให้เกิดเหตุการณ์นี้ขึ้น ซึ่งก็รวมถึงความจำเป็นสำหรับองค์กรที่จะต้องมีการดำเนินการตามขั้นตอนและกรณีพิพาทที่อาจจะเกิดขึ้นกับระบบและซอฟต์แวร์ที่สำคัญอื่น ๆ

อีกหนึ่งเหตุผลนั่นก็คือ หลายองค์กรยังคงใช้งาน Windows XP อยู่ ซึ่งโดยปกติมันก็มักจะเกิดจากปัญหาความเข้ากันได้ (Compatibility issues) เนื่องจาก XP ไม่ได้รับการสนับสนุน มันจึงไม่มีการอัพเดทแพทช์ในเดือนมีนาคม ปี 2017 ทำให้ทุกระบบที่ใช้งาน Windows XP มีความเสี่ยงต่อการถูกโจมตี ซึ่ง 90% ของทรัพย์สินด้านไอที (IT Estate) ของ NHS (National Health Service) เป็นที่ทราบกันดีว่ากำลังเรียกใช้ Windows XP ในช่วงต้นปี 2017 แต่สัญญาในส่วน Custom Support ของมัน ได้ถูกยกเลิกไปแล้ว ตั้งแต่ปี 2015

อย่างไรก็ตาม เมื่อพิจารณาจากความสำคัญของการถูกโจมตีในครั้งนี้ Microsoft ก็ได้สร้างและออกแพทช์สำหรับ Windows XPเป็นที่เรียบร้อยแล้ว แต่ขอแนะนำว่าองค์กรและบุคคลที่มีการใช้งาน Windows XP ควรได้รับการปรับปรุงซอฟต์แวร์ให้อยู่ในเวอร์ชั่นล่าสุดโดยเร็ว ทั้งนี้ก็เพื่อป้องกันการคุกคามจากมัลแวร์ประเภทนี้

ที่มา:https://www.itpro.co.uk