‘Ransomware’ ท่าใหม่โหดกว่าเดิม
หนึ่งในโจทย์ที่ผู้เชี่ยวชาญทางไซเบอร์จะต้องคิดหาวิธีมาป้องกันให้ได้โดยเร็วที่สุด คือ Ransomware การจู่โจมแบบไม่ใช้มัลแวร์ ที่ทำให้โปรแกรมป้องกันไวรัสไม่สามารถช่วยแจ้งเตือนเมื่อโดนจู่โจม
ขึ้นชื่อว่า “Ransomware” หรือ “มัลแวร์เรียกค่าไถ่” เราอาจจะคิดว่าแฮกเกอร์ต้องใช้มัลแวร์ในการจู่โจมเพียงเท่านั้น แต่ล่าสุดเกิดเหตุการณ์การโจมตีด้วย Ransomware ที่แฮกเกอร์ไม่ได้ใช้มัลแวร์แม้แต่นิดเลยครับ
การจู่โจมแบบไม่ใช้มัลแวร์นี้จะทำให้โปรแกรมป้องกันไวรัส หรือแอนตี้ไวรัส รวมถึงระบบต่างๆ ที่เราใช้ในการตรวจจับและป้องกันอันตรายจากมัลแวร์ไม่สามารถช่วยแจ้งเตือนเมื่อโดนจู่โจมได้เลย วันนี้ผมจะนำท่านไปรู้จักกับ Ransomware ตัวนี้ว่ามันใช้วิธีอะไร ถึงได้จู่โจมได้โดยไม่ใช่มัลแวร์เลย
นักวิจัยด้าน Cyber Security เปิดเผยการค้นพบ Ransomware ที่ไม่มีการใช้มัลแวร์มาเป็นระยะเวลาหลายปี โดยเป้าหมายที่จะใช้เป็นเส้นทางในการจู่โจมคือระบบอินเทอร์เน็ตต่างๆ ที่เชื่อมต่อกับฐานข้อมูล MySQL
“PLEASE_READ_ME” คือ Ransomware ที่ถูกใช้โจมตีมาตั้งแต่ต้นปี โดยใช้วิธีการง่ายๆ แต่แตกต่างกันเกือบร้อยครั้งมาทำการโจมตีในปีที่ผ่านมา และเพิ่มปริมาณขึ้นอย่างรวดเร็วนับจากเดือนต.ค.
ที่น่าสนใจคือดูเหมือนว่าแฮกเกอร์เริ่มต้นด้วยการใช้วิธีการสุ่มใส่รหัสผ่านสำหรับฐานข้อมูล MySQL ตามด้วยการรวบรวมข้อมูลในตารางข้อมูล (Table) และผู้ใช้งาน (Users) ที่มีอยู่แล้ว จากนั้นทำการเจาะระบบด้วยวิธีการทั่วๆ ไป
อย่างการติดตั้ง Backdoor หรือก็คือรูรั่วของระบบรักษาความมั่นคงที่ผู้ออกแบบหรือผู้ดูแลจงใจทิ้งไว้ เพื่อที่ต่อมาจะได้ปฏิบัติการจู่โจมได้ง่ายในภายหลัง และเมื่อแฮกเกอร์กลับมาข้อมูลทั้งหมดจะถูกบีบอัดเป็น Zip File ส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี ร้ายกว่านั้นคือแฮกเกอร์ยังลบข้อมูลที่เอาออกไปได้ออกจากฐานข้อมูลของเหยื่ออีกด้วย เพื่อที่จะให้เหยื่อต้องยอมจ่ายค่าไถ่ให้ได้ข้อมูลกลับคืนมา
นักวิจัยยังพบว่าการโจมตีในครั้งนี้มี 2 รูปแบบที่แตกต่างกัน แบบแรกจะเกิดขึ้นในช่วงม.ค.ถึงพ.ย. ซึ่งมีการโจมตีประมาณสองในสามโดยมีการทิ้งบันทึกค่าไถ่พร้อมที่อยู่ในการจ่ายเงินค่าไถ่ด้วย Bitcoin รวมถึงเหตุผลในการเรียกค่าไถ่และอีเมล
แฮกเกอร์จะกำหนดเส้นตายเป็นเวลา 10 วันในการชำระเงินค่าไถ่ เมื่อมีการแกะรอยตามข้อมูลที่ผู้จู่โจมทิ้งไว้ นักวิจัยพบว่าเส้นทางการเงิน Bitcoin Wallet มีการชำระเงินเกือบ 25,000 ดอลลาร์หรือประมาณ 746,500 บาทจาก IP Address ที่แยกกันสี่แห่ง
ส่วนรูปแบบที่ 2 นั้นเกิดขึ้นราวๆ เดือนต.ค.และพ.ย. มีการใช้เว็บไซต์ที่ถูกซ่อนอยู่หลัง The Onion Router (Tor) เป็นบริการที่สร้างเพื่อให้สามารถอยู่ในโลกอินเทอร์เน็ตได้โดยไม่ต้องเปิดเผยตัวตน เพื่ออำนวยความสะดวกสำหรับการจ่ายค่าไถ่และให้ข้อมูลกับเหยื่อ โดยจะมีใช้รหัสในการพิสูจน์ตัวตนของเหยื่อ ทั้งนี้ในรูปแบบที่สองนี้ไม่ได้มีการให้ Bitcoin Wallet หรืออีเมลของผู้จู่โจมแต่อย่างใด
แฮกเกอร์จะย้ำเตือนและขู่เพื่อให้เหยื่อจ่ายเงิน ด้วยการจัดรายการของฐานข้อมูลที่ทำการขโมยมาได้ ในกรณีที่เหยื่อปฏิเสธการจ่ายเงิน ข้อมูลจะถูกนำมาประมูลแยกขายต่างหากให้ผู้ที่สนใจสามารถซื้อข้อมูลได้ในราคา .03 Bitcoin หรือประมาณ 16,155 บาท
ถือเป็นความก้าวหน้าที่ไม่น่ายินดีเลยในวงการไซเบอร์ซิเคียวริตี้ครับ และนี่คือโจทย์ที่ผู้เชี่ยวชาญทางไซเบอร์จะต้องคิดหาวิธีมาป้องกันให้ได้โดยเร็วที่สุด อย่างไรผมจะติดตามและนำมาเล่าให้ท่านฟังต่อไปครับ