ย้อนรอยเหตุ ‘Ransomware’ สะเทือนโลก และวิธีรับมือ ‘ไวรัสเรียกค่าไถ่’
ย้อนรอยเหตุโจมตีด้วยมัลแวร์เรียกค่าไถ่ หรือ “Ransomware” (แรนซัมแวร์) ครั้งใหญ่ที่สุดในโลก ซึ่งสร้างความเสียหายเป็นวงกว้างต่อระบบคอมพิวเตอร์และฐานข้อมูลขององค์กรต่าง ๆ พร้อมเรียนรู้วิธีป้องกันพิษภัยจากไวรัสเรียกค่าไถ่นี้
การโจมตีระบบคอมพิวเตอร์ด้วย “แรนซัมแวร์” ซึ่งเป็นหนึ่งในภัยไซเบอร์ที่ร้ายแรงที่สุด เริ่มกลับมาแพร่หลายอีกครั้งในช่วง 2-3 ปีหลัง แม้องค์กรต่าง ๆ วางระบบรักษาความปลอดภัยดีอย่างไร ระบบนั้นก็จะถูกเจาะเข้ามาได้ หากองค์กรไม่ได้ให้ความสำคัญกับการให้ความรู้บุคลากรที่ทำงานในองค์กร
ในปี 2560 ศูนย์รับเรื่องร้องเรียนของสำนักงานสอบสวนกลางสหรัฐ (FBI) เผยว่า ได้รับคำร้องเรียนเรื่อง “การเรียกค่าไถ่ทางไซเบอร์” หรือ “แรนซัมแวร์” รวม 1,783 กรณี และสร้างความเสียหายต่อเหยื่อกว่า 2.3 ล้านดอลลาร์ แต่นี่เป็นเพียงตัวเลขจากการร้องเรียนเท่านั้น ตัวเลขจริงของจำนวนเหตุการณ์การโจมตีและความเสียหายทั้งหมดอาจสูงกว่านี้มาก
ทั้งนี้ แรนซัมแวร์ตัวแรกเกิดขึ้นมานานกว่า 30 ปีแล้ว ตั้งแต่เดือน ธ.ค. 2532 โดยมีชื่อว่า “AIDS Trojan” ซึ่งตั้งตามกลุ่มเป้าหมาย ในปีนั้นมีงานสัมมนา AIDS ที่จัดขึ้น ณ กรุงสต็อกโฮล์มของสวีเดน จากนั้นมีคนร้ายหัวใสคนหนึ่งได้ส่ง Floppy Disk ไปหาผู้เข้าร่วมงานซึ่งภายในมีโค้ดมัลแวร์ไปติดบน MS-DOS
เงื่อนไขคือเมื่อมัลแวร์นับการบูตเครื่องได้ถึง 90 ครั้ง โทรจันจะซ่อนไดเรคทอรี่และเข้ารหัสชื่อไฟล์ทั้งหมดบนไดรฟ์ทำให้ใช้การไม่ได้ พร้อมกับทิ้งโน้ต “PC Cyborg Corporation” และเรียกเงินจำนวน 189 ดอลลาร์ ให้เหยื่อส่งไปยังที่อยู่ในปานามา แต่ครั้งนั้นการเข้ารหัสอ่อนมากจนผู้เชี่ยวชาญใช้เครื่องมือฟรีแก้ได้ และถือเป็นจุดกำเนิดของแรนซัมแวร์ตัวแรก
- แรนซัมแวร์บันลือโลก
ย้อนไปเมื่อวันที่ 12 พ.ค. 2560 ทั่วโลกต้องจารึก “แรนซัมแวร์” ตัวหนึ่งที่แพร่กระจายอย่างรวดเร็ว คล้ายกับไวรัสยุคก่อน แพร่ไปยังระบบเครือข่ายได้ โดยมีชื่อว่า “WannaCry” (วอนนาคราย) ย่อมาจาก ‘Wana Decrypt0r,’ ‘WannaCryptor’ หรือ ‘WCRY’ โดยคำว่า “Cryptor” หมายถึง การเข้ารหัส
มัลแวร์ตัวนี้เรียกค่าไถ่ด้วยการเข้ารหัสไฟล์ในเครื่องที่โดนเล่นงาน และเรียกค่าไถ่ไปยังเหยื่อให้จ่ายค่าไถ่เพื่อให้ปลดล็อกไฟล์นั้น
ขณะที่กลุ่มแฮกเกอร์ที่ถูกกล่าวโทษว่าอยู่เบื้องหลังแรนซัมแวร์นี้คือ เกาหลีเหนือ ที่แพร่กระจายมัลแวร์ด้วยเครื่องมือ Eternal Blue ของสำนักงานความมั่นคงแห่งชาติสหรัฐ (NSA) ที่หลุดออกมา และด้วยความที่เหยื่อเป็นองค์กรต่าง ๆ ทำให้หลายฝ่ายเชื่อว่าคนร้ายฟันกำไรไปมหาศาล
นักรบ เนียมนามธรรม กรรมการผู้จัดการ บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด หนึ่งในผู้เชี่ยวชาญระบบป้องกันภัยไซเบอร์ของไทย เคยอธิบายถึงประเด็นนี้ว่า WannaCry นับเป็นมัลแวร์เรียกค่าไถ่บันลือโลก โดยแรนซัมแวร์ที่ผ่านมาส่วนใหญ่ จะมีเป้าหมายที่เครื่องใดเครื่องหนึ่งเฉพาะเจาะจง เพื่อเรียกค่าไถ่เป็นเงิน
ขณะที่ WannaCry แพร่กระจายไปหลายเครื่องเพื่อทำการ โดยมีการเรียกค่าไถ่ 300 ดอลลาร์จากเหยื่อ ในช่วงแรก มัลแวร์ WannaCry กระจายรวดเร็วทั่วโลก มีคอมพิวเตอร์ราว 45,000 เครื่องในกว่า 74 ประเทศ อาทิ สหรัฐ รัสเซีย เยอรมนี อิตาลี ตุรกี เวียดนาม และฟิลิปปินส์ ที่ติดมัลแวร์ตัวนี้
ขณะนั้น ในไทยมีหลายหน่วยงานทั้งภาครัฐและเอกชนตกเป็นเหยื่อของมัลแวร์นี้ และสุดท้าย สถานการณ์นี้ก็ทำให้เครื่องติดมัลแวร์ WannaCry ไปกว่า 100,000 เครื่องทั่วโลก
- WannaCry โจมตีอย่างไร
WannaCry อาศัยช่องโหว่ของระบบปฏิบัติการของไมโครซอฟท์ ที่ชื่อว่า MS17-010 พุ่งเป้า รุ่นเอ็กซ์พี (XP) ไปจนถึง วิสต้า วินโดว์ส 2008 อาร์2 อาศัยรอยรั่วในเซิร์ฟเวอร์ ไมโครซอฟท์ วินโดว์ส เอสเอ็มบี (SMB) ที่ไม่ได้อุดช่องโหว่ไว้
เอสเอ็มบี เป็นโปรโตคอลสำหรับแชร์ไฟล์ ดังนั้นหากเครื่องใดเครื่องหนึ่งที่ติดมัลแวร์ตัวนี้เปิดแชร์ไฟล์ผ่านโปรโตคอลนี้ มัลแวร์จะระบาดไปยังเครื่องอื่นได้อย่างรวดเร็ว มัลแวร์นี้จะแฝงมากับไฟล์ที่แนบในอีเมลอย่าง เวิร์ด (Word) หรือ พีดีเอฟ (PDF)
เมื่อเหยื่อคลิกเปิดไฟล์ที่แฝงมัลแวร์นี้ มัลแวร์จะทำการค้นหาไฟล์ในเครื่องของผู้ใช้และทำการเข้ารหัสเชิงลึกที่ถอดรหัสไม่ได้ เหยื่อจึงจำเป็นต้องจ่ายค่าไถ่เพื่อกู้ไฟล์กลับมา โดยมีการปล่อยมัลแวร์อีเมลนี้ถึง 5 ล้านเมลใน 1 ชั่วโมง จึงทำให้แพร่กระจายอย่างรวดเร็วและเป็นวงกว้าง
และเมื่อเครื่องใดก็ตามถูกมัลแวร์นี้เล่นงาน จะมีข้อความแสดงบนหน้าจอจากแฮกเกอร์ว่า “คุณถูกแฮกแล้ว” พร้อมจำนวนค่าไถ่และวิธีการจ่ายเงิน โดยจ่ายด้วยบิทคอยน์ ที่สำคัญ WannaCry มี variant ที่สามารถหลบหลีกระบบการตรวจสอบจากแอนตีไวรัสได้
อย่างไรก็ตาม หลังจากนั้น ไมโครซอฟท์ได้ออกอัพเดท Patch เพื่ออุดช่องโหว่นี้ ครอบคลุมถึงวินโดว์สรุ่นเก่าอย่างวิสต้าที่ยกเลิกการขายหรือพัฒนาไปแล้ว สำหรับระบบปฎิบัติการอื่นนอกจากไมโครซอฟท์ ยังไม่มีข้อมูลแน่ชัดว่า จะถูกโจมตีด้วยหรือไม่ ตอนนี้ยังคงแพร่ระบาดเฉพาะระบบปฏิบัติการวินโดว์สเท่านั้น
- ต้องรับมืออย่างไร
“แคสเปอร์สกี” บริษัทด้านไซเบอร์ซีเคียวริตีชื่อดัง ออกมาตรการแนะนำช่วยให้องค์กรธุรกิจปลอดภัยจากแรนซัมแวร์ ระบุว่า ประการแรก ต้องอธิบายให้พนักงานฟังว่าการปฏิบัติตามกฎง่าย ๆ สามารถช่วยให้บริษัทหลีกเลี่ยงเหตุการณ์ที่เกิดจากการเรียกค่าไถ่ได้อย่างไร หลักสูตรการฝึกอบรมเฉพาะทางสามารถช่วยได้ เช่น แพลตฟอร์ม Automated Security Awareness Platform
ประการที่สอง ทำสำเนา (Copy) สำรองไฟล์ใหม่อยู่เสมอเพื่อใช้แทนที่ไฟล์กรณีที่ไฟล์สูญหาย (จากมัลแวร์หรืออุปกรณ์ที่เสียหาย) และจัดเก็บไฟล์ทั้งในอุปกรณ์จัดเก็บและบนคลาวด์ ตรวจสอบให้แน่ใจว่าคุณสามารถเข้าถึงได้อย่างรวดเร็วในกรณีฉุกเฉินเมื่อจำเป็น โดยควรมีการสำรองข้อมูลไว้อย่างน้อยสัปดาห์ละ 1 ครั้ง
อันดับถัดมา จำเป็นต้องติดตั้งการปรับปรุงความปลอดภัยทั้งหมดทันทีที่พร้อมใช้งาน อัพเดทระบบปฏิบัติการและซอฟต์แวร์เพื่อกำจัดช่องโหว่ล่าสุด
นอกจากนี้ องค์กรสามารถลองใช้เครื่องมือฟรี Anti-Ransomware Tool for Business ป้องกันแรนซัมแวร์และภัยคุกคามอื่น ๆ จากการโจมตีช่องโหว่ในซอฟต์แวร์และแอพพลิเคชั่น
สุดท้ายคือ หากอุปกรณ์ขององค์กรถูกเข้ารหัส โปรดจำไว้ว่าแรนซัมแวร์เป็นความผิดทางอาญา เหยื่อไม่ควรจ่ายค่าไถ่ตามความต้องการของผู้โจมตี หากตกเป็นเหยื่อการโจมตีให้รายงานต่อหน่วยงานบังคับใช้กฎหมายในท้องที่ และลองค้นหาตัวถอดรหัสบนอินเทอร์เน็ตก่อน บางตัวมีให้ใช้งานฟรีที่เว็บ https://www.nomoreransom.org/en/index.html
----------------------------
อ้างอิง: Digital Guardian, Kaspersky, ITDAY, TechTalkThai,