Malware Ransomware

Trends 2018: การปฏิวัติของโปรแกรมเรียกค่าไถ่ (Ransomware Revolution)

ย้อนรอยวิวัฒนาการของโปรแกรมเรียกค่าไถ่ (Ransomware)

ย้อนรอยวิวัฒนาการของโปรแกรมเรียกค่าไถ่ (Ransomware)

เป็นเวลาเกือบ 30 ปีแล้วที่ผมเข้ามาใน ESET การแพร่ระบาดของมัลแวร์ตัวแรกที่ชื่อว่า AIDS Trojan โดย Dr. Popp ที่ทำให้ผู้ใช้ไม่สามารถใช้งานคอมพิวเตอร์ได้ถ้าไม่ทำการต่ออายุใหม่ ซึ่งก็มีการทำงานที่ใกล้เคียงกับโปรแกรมเรียกค่าไถ่หรือ Ransomware แต่ ตอนนั้นยังไม่มีใครตั้งชื่อนี้ขึ้นมา

บทบาทของบอทเน็ต (Botnet)

การใช้เครือข่ายบอทเน็ตในการแทรกซึมระบบกลายเป็นปัญหาที่แก้ไม่ได้มาข้ามศตวรรษ ทั้ง DDoS Attack และโปรแกรมเรียกค่าไถ่ก็ต่างสร้างปัญหาให้กับผู้ใช้มาหลายปีแล้ว แต่ในเชิงสถิติ DDoS Attack ถูกนำไปใช้ในเชิงของการเมืองมากกว่าการสร้างผลประโยชน์ทางการเงินให้กับผู้กระทำ ในขณะที่โปรแกรมเรียกค่าไถ่ WannaCry ก็ใช้บริการของ Mirai botnet ในการแพร่กระจายอย่างเงียบๆเช่นกัน

การกลับมาของเวิร์ม (Worms)

มัลแวร์ที่ชื่อว่า Win32/Filecoder.WannaCryptor หรือ WannaCry ที่เรารู้จักใช้ความสามารถของเวิร์มในการเพิ่มความรวดเร็วในการแพร่กระจาย แม้อาจไม่รวดเร็วเท่ากับในช่วงต้นยุค 2000 เพราะมีการแก้ไขกับไปพอสมควรแล้ว แต่ก็ยังเข้าถึงองค์กรใหญ่ๆและสื่อทั่วโลกได้

เงื่อนไขที่ไม่สามารถปฏิเสธได้

กลยุทธ์เด่นของ WannaCryptor และโปรแกรมเรียกค่าไถ่อื่นๆ ก็คือการให้ชำระเงินเพื่อแลกกับการถอดรหัสไฟล์ แม้ในก่อนหน้านี้โปรแกรมเรียกค่าไถ่จะไม่สามารถถอดรหัสไฟล์คืนตามที่บอกกับเหยื่อก็ตาม อาจทำได้แค่ส่วนหนึ่งหรือทำไม่ได้เลย แต่ WannaCry สามารถทำได้อย่างที่บอก ซึ่งกระบวนการนี้ทำให้แฮกเกอร์มีความน่าเชื่อถือมากขึ้น และสามารถทำกำไรจากผู้ใช้ได้มาก

สิ่งที่เราเรียนรู้จากเหตุการณ์นี้

การถือครองข้อมูลที่อาจถูกแฮกเกอร์นำไปเป็นตัวประกันเป็นการทำให้งานของแฮกเกอร์ง่ายขึ้น และมีแนวโน้มจะเกิดขึ้นบ่อยขึ้นเรื่อยๆ ดังนั้นมาตรการจึงเป็นสิ่งจำเป็นสำหรับผู้ใช้ทั่วไปจนถึงระดับองค์กรที่ถูกข้อมูลสำคัญจำนวนมาก และนี่เป็นตัวอย่างของมาตรการ

  • เราเข้าใจกันดีว่าการยอมจ่ายเงินเพื่อเอาข้อมูลของเราคืนนั้นเป็นการสนับสนุนแฮกเกอร์ แต่ก่อนที่คุณจะยอมจ่ายลองติดต่อผู้จัดจำหน่ายโปรแกรมแอนตี้ไวรัสที่คุณใช้งานอยู๋ เพราะโปรแกรมเรียกค่าไถ่บางตัวสามารถถอดรหัสได้
  • ปกป้องข้อมูลสำคัญให้ดี การสำรองข้อมูลเป็นทางเลือกที่ดีที่สุด การสำรองข้อมูลดังกล่าวต้องเป็นการสำรองข้อมูลแบบ Offline หรือไม่มีการเชื่อมต่อใดๆ เพื่อใช้สำหรับการฟื้นฟูระบบในกรณีที่ถูกโจมตี
  • ผู้ใช้และองค์กรส่วนมากไม่มองการสำรองข้อมูลเป็นแผ่น CD แฟลชไดร์ฟ หรือฮาร์ดดิสก์ แต่คิดถึง Cloud Storage ซึ่งเป็นการสำรองข้อมูลแบบ Online และมีความเสี่ยงอื่นๆเข้ามาประกอบ:
    • เป็นระบบออนไลน์
    • การสำรองข้อมูลเกิดขึ้นอัตโนมัติ และมัลแวร์สามารถแทรกซึมได้ผ่านอินเตอร์เน็ต
    • ถูกนำมาใช้การสำรองข้อมูลแบบเก่าหรือก็คือมาแทนที่แบบ Offline
  • อย่าคิดว่าการสำรองข้อมูลที่ไม่สามารถแก้ไขหรือเขียนทับได้ไม่มีประโยชน์ เพราะเมื่อเราทำไม่ได้นั่นแสดงว่าโปรแกรมเรียกค่าไถ่ก็ทำไม่ได้เช่นกัน
  • ผมไม่ได้บอกว่าการสำรองข้อมูลคือทั้งหมดของการรักษาข้อมูล เพราะโปรแกรมรักษาความปลอดภัยก็เป็นอีกหนึ่งชั้นการป้องกันสำหรับการรับมือกับโปรแกรมเรียกค่าไถ่

Author: David Harley
Source:
https://www.welivesecurity.com/2018/03/07/ransomware-revolution/
Translated by: Worapon H.

%d bloggers like this: