Ransomware แต่ละประเภทมีอะไรบ้าง
Ransomware แต่ละประเภทมีอะไรบ้าง?
แรนซัมแวร์ (Ransomware) มีหลากหลายรูปแบบ และนี่คือสิ่งจำเป็นที่คุณควรระวัง
แรนซัมแวร์ (Ransomware) เป็นมัลแวร์ประเภทหนึ่งที่พยายามแยกการชำระเงินค่าไถ่เพื่อแลกกับการยกเลิกการปิดกั้นการเข้าถึงอุปกรณ์ของเหยื่อ ซึ่งแตกต่างจากการโจมตีทางไซเบอร์อื่นๆ เพราะแรนซัมแวร์ (Ransomware) จะเข้ารหัสข้อมูลแทนที่จะขโมยหรือทำลายข้อมูล
การโจมตีของมัลแวร์ WannaCry ได้ส่งผลกระทบต่อ NHS ในปี 2560 และยังทำให้คอมพิวเตอร์กว่า400,000 เครื่อง ใน150ประเทศติดไวรัส เป็นผลให้คนรู้จักแรนซัมแวร์ (Ransomware) มากขึ้นและธุรกิจจำนวนมากเริ่มตั้งคำถามว่าพวกเขาจะสามารถรับมือกับการโจมตีของแรนซัมแวร์ (Ransomware) ได้หรือไม่ หรือการป้องกันความปลอดภัยทางไซเบอร์ของพวกเขาจะล้มเหลว
ประเภทของแรนซัมแวร์ (Ransomware)
แรนซัมแวร์ (Ransomware) ในปัจจุบันมีหลักๆอยู่ 2 แบบ คือ Locker Ransomware และ Crypto-Ransomware
Crypto-Ransomware หรือที่รู้จักกันในชื่อ Cryptor เป็นประเภทของแรนซัมแวร์ (Ransomware) ที่พบได้บ่อยที่สุด โปรแกรมเหล่านี้จะเข้ารหัสข้อมูลบนอุปกรณ์ของเหยื่อและเรียกร้องเงินโดยให้สัญญาว่าจะกู้คืนข้อมูลให้และอินเทอร์เฟซของผู้ใช้อาจยังคงใช้งานได้หากเหยื่อยอมจ่ายเงิน แต่ยังไงก็ตามเหยื่อจะไม่สามารถเข้าถึงไฟล์ได้
Ransomware Lockers บางครั้งเรียกว่า Blockers หรือ Lock screen Ransomware เป็นประเภทของแรนซัมแวร์ (Ransomware) ที่ไม่ส่งผลกระทบต่อข้อมูลที่เก็บไว้ในอุปกรณ์ แต่จะกันไม่ให้เหยื่อเข้าถึงอุปกรณ์ได้ ซึ่งการเรียกค่าไถ่จะปรากฏขึ้นบนหน้าจอ โดยส่วนใหญ่มักจะปลอมแปลงเป็นประกาศจากหน่วยงานบังคับใช้กฎหมายที่อ้างว่าเหยื่อได้เข้าถึงเนื้อหาทางเว็บที่ผิดกฎหมายและเรียกร้องค่าปรับตามจริง แต่แรนซัมแวร์ (Ransomware) ประเภทนี้มักจะแก้ง่ายกว่าการเข้ารหัส
ในอนาคตแรนซัมแวร์ (Ransomware) ประเภทอื่นๆก็จะเป็นที่รู้จักอย่างหลีกเลี่ยงไม่ได้เช่นกัน ในปัจจุบันนี้ประเภทของแรนซัมแวร์ (Ransomware) ที่ใช้กันอย่างแพร่หลายมากขึ้นคือมาสเตอร์บูตเรคคอร์ดแรนซัมแวร์ (Master boot record : MBR) MBR ransomware จะเปลี่ยนมาสเตอร์บูตเรคคอร์ด (Aaster boot record) ในฮาร์ดไดรฟ์ โดยมันจะขัดจังหวะการบูตระบบแบบปกติ แล้วจะแสดงข้อความเรียกค่าไถ่บนหน้าจอ ยกตัวอย่างเช่น ระบบPetya ที่เปิดตัวครั้งแรกในฐานะซอฟต์แวร์มาสเตอร์บูตเรคคอร์ดแต่ต่อมาได้รับการอัพเกรดและกลายเป็นเวอร์ชั่นที่ล้างฮาร์ดไดรฟ์อย่างเต็มตัว
การชำระเงิน Ransomware
Crypto-Ransomware หรือ Cryptors เป็นประเภทไฟล์และข้อมูลที่เก็บไว้ในอุปกรณ์ที่ติดไวรัสซึ่งจะถูกเข้ารหัสในรูปแบบที่อ่านไม่ได้ ดังนั้นข้อมูลจึงสามารถถอดรหัสได้โดยใช้คีย์ถอดรหัสที่เหมาะสมเท่านั้น โดยกุญแจกู้คืนข้อมูลจะถูกโอนคืนกลับมาหลังจากที่เหยื่อจ่ายเงินค่าไถ่แล้วเท่านั้น
ผู้บริโภคที่ได้รับผลกระทบจาก Crypto-Ransomware มักจะโดนเรียกเงินค่าไถ่ราวๆ 250ถึง 500 บิตคอยน์ (Bitcoin) แต่ค่าไถ่สำหรับธุรกิจอาจสูงกว่านี้มาก โดยปกติผู้โจมตีจะให้เวลาเหยื่อ 48 ถึง 72 ชั่วโมงเพื่อจ่ายเงินค่าไถ่
หากผู้โจมไม่ได้รับเงินค่าไถ่ภายในเวลาที่กำหนด ราคาของค่าไถ่จะเพิ่มขึ้นเรื่อยๆ จนกุญแจถอดรหัสถูกลบ ซึ่งทำให้เหยื่อไม่สามารถกู้คืนไฟล์หรือข้อมูลได้อีกต่อไป
จากการสำรวจที่จัดทำโดยศูนย์วิจัยสหวิทยาการของมหาวิทยาลัย Kent ใน Cyber Security พบว่า เหยื่อของ CryptoLocker ยอมตกลงจ่ายค่าไถ่มากกว่า 40%
แม้ว่าเหยื่อจะจ่ายค่าไถ่แล้ว แต่ก็ไม่ได้รับประกันว่าข้อมูลจะไม่ถูกเข้ารหัส ในปี 2018 ผลสำรวจพบว่า 51% ของบรรดาบริษัทที่ได้รับผลกระทบจากแรนซัมแวร์ (Ransomware) สูญเสียข้อมูลทางธุรกิจของพวกเขาแม้ว่าจะจ่ายเงินค่าไถ่ตามข้อตกลงแล้วก็ตาม ปัญหานี้เกิดจากตัวเข้ารหัสลับบางตัวมีข้อบกพร่องทางซอฟต์แวร์ที่อาจทำให้กระบวนการถอดรหัสล้มเหลว และอาชญากรบางรายก็อาจไม่เปิดใช้งานการถอดรหัส แทนที่จะแค่เอาเงินไปอย่างเดียว
นอกจากนี้จำนวนอาชญากรทางไซเบอร์ที่เรียกร้องค่าไถ่ก็มีเพิ่มขึ้น พวกเขาไม่เพียงถอดรหัสข้อมูลของผู้ใช้เท่านั้นแต่พวกเขายังมีกระบวนการอื่นๆอีกด้วย ตัวอย่างเช่น ผู้โจมตีอาจแบล็กเมล์ (Blackmail) โดยบังคับให้เหยื่อจ่ายเงินเพิ่มหรืออาจถูกบังคับให้ส่งประวัติการเรียกดูของเหยื่อไปยังผู้ติดต่อทั้งหมด
แต่ยิ่งมีการจ่ายเงินก็ยิ่งเพิ่มอุปสงค์ของแรนซัมแวร์ (Ransomware) ซึ่ง 40% ของผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีชั้นนำกล่าวว่าการจ่ายเงินให้กับผิดกฎหมาย
การเติบโตของแรนซัมแวร์ (Ransomware)
เนื่องจากการพัฒนาและการดำเนินการ Cryptor ค่อนข้างถูก จึงทำให้จำนวนการโจมตีมีเพิ่มขึ้น มัลแวร์เข้ารหัสลับ (Crypto-Malware) ประเภทเดียวก็สามารถสร้างรายได้มหาศาล จึงทำให้ดึงดูดเหล่าอาชญากรไซเบอร์
เช่นเดียวกับมัลแวร์ประเภทอื่นๆ ส่วนใหญ่แรนซัมแวร์ (Ransomware) นั้นมีหลายวิธีที่สามารถหาทางเข้าถึงคอมพิวเตอร์และอุปกรณ์อื่นๆ ซึ่งวิธีฟิชชิ่งอีเมล (Phishing email) ก็เป็นหนึ่งในวิธีที่พบได้บ่อยที่สุด โดยที่เหยื่อจะได้รับอีเมลที่ดูเหมือนของอีเมลจริง แล้วมีไฟล์ติดไวรัสแนบมากับอีเมลหรือมีลิงค์ที่เชื่อมไปยังเว็บไซต์ฟิชชิ่ง
Watering hole attacks ก็พบได้บ่อยมากเช่นกัน อย่างการเที่ยวชมเว็บไซต์ที่ถูกกฎหมายและเป็นที่นิยมของผู้ใช้บางประเภท (ตัวอย่างเช่น ฟอรัมการบัญชี) อาจส่งผลให้อุปกรณ์ของพนักงานติดไวรัสได้ ในกรณีที่ติดไวรัสแบบ ‘Drive-by’ หน้าเว็บไซต์นั้นจะถูกติดมัลแวร์ที่พร้อมจะใช้ประโยชน์จากช่องโหว่ในอุปกรณ์ของผู้เข้าชม
แรนซัมแวร์ (Ransomware) สามารถโจมตีอุปกรณ์ต่างๆ อย่างเช่นเครื่องพีซี Mac และสมาร์ทโฟน หากอุปกรณ์ที่ถูกโจมตีเชื่อมต่อกับไดรฟ์เครือข่ายหรือไฟล์ที่แชร์ร่วมกันก็มีแนวโน้มว่าจะถูกเข้ารหัส ไม่ว่าจะเป็นระบบปฏิบัติการใดก็ตาม
อาชญากรไซเบอร์ที่ใช้แรนซัมแวร์ (Ransomware) นั้นเก่งกันมากขึ้นในการหลบเลี่ยงหน่วยงานบังคับใช้กฎหมายจึงทำให้การติดตามและหยุดยั้งการทำงานของ crypto ที่ทันสมัยเป็นไปได้ยากขึ้น และโดยปกติแล้วการชำระเงินค่าไถ่ อาชญากรจะเรียกร้องเป็นเงินบิตคอยน์ (Bitcoin) ซึ่งยากต่อการแกะรอย ซึ่งคำสั่งและเซิร์ฟเวอร์ควบคุมของผู้โจมตีนั้นอาจถูกซ่อนอยู่ในเครือข่ายทอร์หรือซอฟต์แวร์เสรี
การให้ความรู้แก่ผู้คนเกี่ยวกับพื้นฐานความปลอดภัยด้านไอทีรวมถึงการสร้างความตระหนักรู้เกี่ยวกับอีเมลที่ไม่ชอบมาพากลเป็นกุญแจสำคัญในการลดความเสี่ยงของการถูกโจมตีโดยแรนซัมแวร์ (Ransomware) เปรียนดั่งเป็นการลงทุนซอฟต์แวร์ด้านความปลอดภัยอย่างพอดี และการสำรองข้อมูลออฟไลน์แบบปกติจะช่วยให้มั่นใจได้ว่าข้อมูลจะสามารถกู้คืนได้ ในกรณีที่เลวร้ายที่สุดอย่างการที่อุปกรณ์หรือเครือข่ายถูกโจมตี