Malware

Dorkbot ครบรอบอายุ 5 ปี

เป็นเวลาถึงครึ่งทศวรรษแล้วตั้งแต่เราพบตัว Dorkbot ครั้งแรก ที่สร้างความเดือดร้อนให้กับผู้คนบนโลกไซเบอร์นับล้านชีวิต และแทรกซึมอยู่ในธุรกิจ ในกว่า 190 ประเทศทั่วโลก Dorkbot มีการแพร่กระจายแบบ Worm หรือการแยกตัวเพื่อแพร่กระจายตามระบบคอมพิวเตอร์เครื่องอื่นๆทั่วโลก โดยไม่สนใจว่าจะถูกตรวจจับหรือไม่

ซึ่งเป็นเหตุผลที่ เหล่าผู้เชี่ยวชาญกำลังหาวิธีการกำจัดมันอย่างขะมักเขม้น แต่ความทุ่มเทย่อมให้ผลตอบแทนที่คุ้มค่าเสมอ ในช่วงปลายปี 2015 ESET กับ Microsoft พร้อมกับ CERT.PL และหน่วยงานทางกฎหมาย ทั่วโลกพบวิธียับยั้งเจ้า Dorkbot

ทีมผู้เชี่ยวชาญใช้วิธีแยกโครงสร้างพื้นฐานของ Dorkbot เป็นชิ้นๆ และฝังมันลงใน C&C เซิร์ฟเวอร์ อย่างที่คุณ Jean-lan Boutin จาก ESET ทำใน Asia, Europe และ North America ซึ่งทำให้เหล่าอาชญากรไซเบอร์โซซัดโซเซกันไปตามๆกัน   มากกว่านั้นด้วยเทคโนโลยีใหม่ทำให้เราสามารถยึดเอาโดเมนกลับมาได้ นั่นหมายความว่าเราสามารถกลับมาควบคุมคอมพิวเตอร์ที่เคยถูกไวรัสตัวนี้เล่นงานได้แล้ว

จุดเริ่มต้นของ Dorkbot

เมื่อเดือนเมษายน ปี 2014 สายพันธุ์แรกของ Dorkbot ปรากฎตัว ในตอนที่ยังไม่กระจายในวงกว้าง และอีกหนึ่งเดือนต่อมาสายพันธุ์อื่นๆก็เริ่มเข้ามาระบาดในระดับที่รุนแรงมากขึ้น และถูกเรียกขานว่าเป็นสายพันธุ์ที่ถูกใช้มากที่สุด โดยใข้วิธีการแพร่กระจายด้วยโซเชี่ยลเน็ตเวิร์ค ซึ่ง Dorkbot ตัวนี้เป็นมัลแวร์ที่ส่งผลกระทบต่อผู้ใช้มากที่สุด ในละตินอเมริกา

คุณ Ramos ผู้ที่อธิบายข้อค้นพบของตนในงาน Virus Bulletin Conference ในปี 2012 อธิบายว่า “สาเหตุหลักของการระบาดในพื้นที่ละตินอเมริกาคือ การขาดความรู้ความเข้าใจในเรื่องความปลอดภัย และการไม่ตระหนักว่า Dorkbot สามารถแพร่กระจายในพื้นที่ของโซเชี่ยลเน็ตเวิร์คได้ จึงทำให้ Dorkbot สามารถพบได้ในเครื่องคอมพิวเตอร์ทุกๆสิบเครื่องในพื้นที่ละตินอเมริกา”

ทำไมทั่วโลกถึงให้ความสนใจ Dorkbot?

ในปี 2012 Dorkbot ได้รับความสนใจจากทั่วโลกด้วยการโจมตีผู้ใช้ Skype กว่าล้านคน ซึ่งครั้งนี้ขอบเขตของการโจมตีไม่ได้อยู่แค่ในละตินอเมริกา แต่เป็นทั่วทั้งโลก ความสำเร็จของการแพร่กระจายของมันก็คือ มัลแวร์อาศัยพฤติกรรมของผู้ใช้ที่ใช้บริการของ Video Chat และในเวลานั้นผู้คนยังไม่ตื่นตัวกับอันตรายบนโลกไซเบอร์เช่นกัน

ผู้ใช้จะได้รับลิงก์อันตรายในชื่อที่มีอยู่ในรายชื่อผู้ติดต่อ หรือ Contact list ซึ่งทำให้เหยื่อไม่ทันระวังตัว โดยข้อความดังกล่าวจะมีเนื้อหาประมาณ “นี่ใช่รูปโปรไฟล์ของคุณหรือไม่?” แต่เมื่อคลิกที่ลิงก์โทรจันเริ่มดาวน์โหลดตัวเอง คล้ายๆกับวิธีการของ Ransomware ในปัจจุบัน

ลักษณะเฉพาะตัวของ Dorkbot

การเข้ารหัสไฟล์ไม่ใช่ความสามารถเดียวของ Dorkbot แต่ Dorkbot ยังมีความสามารถติดตั้งซอฟต์แวร์บนคอมพิวเตอร์ และขโมยข้อมูลสำคัญบนคอมพิวเตอร์ อย่างเช่น ชื่อบัญชี และรหัสผ่าน นอกจากนี้ยังมีความสามารถในการแพ่กระจายไปได้หลายช่องทาง เช่น USB, โซเชี่ยลมีเดีย และสแปม

ซึ่งตัวการทั้งหมดก็คือเวิร์มที่ฝังตัวอยู่ในระบบ ที่อนุญาตให้แฮคเกอร์ใช้การควบคุมระยะไกลผ่านเซิร์ฟเวอร์ C&C ได้

ภัยคุกคามที่ควรระวัง

คุณ Boutin บอกว่า จนถึงตอนนี้ Dorkbot ก็อยู่มาเป็นเวลาห้าปีแล้ว ซึ่งอาจจะดูเก่า แต่ถ้ามองในเชิงเทคนิคแล้ว Dorkbot สามารถสร้างตัวเองใหม่ได้ตลอดเวลา

นักวิจัยของ ESET บอกว่า พวกเรายังคงพบการตรวจจับนับพันครั้งรอบโลก ในแต่ละสัปดาห์ และมีเคสใหม่ๆเข้ามาทุกวัน และพวกเรายืนกรานที่จะหยุดพวกมันให้ได้

แต่ความโชคร้ายก็คือ จากที่สังเกตมาเกือบทุกครั้งที่เกิดเหตุการณ์แบบนี้เหยื่อมักรู้ตัวช้าเกินไป ผู้ใช้ส่วนมากตื่นขึ้นมาพบว่าคอมพิวเตอร์ของตัวเองถูกล็อคพร้อมกับข้อความเรียกร้องเงิน หรือไม่ก็พบว่าบัญชีธนาคารของตัวเองไม่เหลือเงินเลยสักบาท

คุณ Boutin ย้ำว่า ถ้าไม่นับเหตุการณ์เหล่านี้ การสแกนระบบคอมพิวเตอร์และทำความสะอาดระบบ เป็นมาตรการหลักที่ใช้ตรวจจับ และจัดการกับเวิร์มที่อาศัยอยู่ในเครื่องได้ เพราะการป้องกันย่อมดีกว่าการแก้ไข ดังนั้นผู้ใช้จึงควรหมั่นอัพเดทซอฟต์แวร์รักษาความปลอดภัย เพื่อความปลอดภัยสูงสุดของคอมพิวเตอร์ของคุณ

และมากกว่านั้นทีมงานอย่าง ESET, Europol’s European Cybercrime Centre และ Interpol กำลังทำงานอย่างหนักเพื่อที่จะกำจัดทุกๆภัยคุกคาม และพวกเราจะสร้างเกราะป้องกันที่ยากที่จะทำลาย ซึ่งต้องใช้มืออาชีพเข้ามาเพื่อทำให้สำเร็จ

%d bloggers like this: