Cybersecurity Ransomware Top Stories

1 ปีผ่านไป: ช่องโหว่ EternalBlue เป็นที่นิยมมากกว่าตอน WannaCry ระบาด

ทำไมถึง EternalBlue ถึงยังคงเป็นที่นิยมในหมู่แฮกเกอร์ แล้วทำไมผู้ใช้ถึงไม่ยอมแก้ปัญหานี้

การแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry ทำให้โลกได้รู้จักกับภัยคุกคามออนไลน์มากขึ้น แต่ที่หลายคนยังไม่ทราบก็คือ หลังจากการระบาดแล้วภัยเหล่านั้นไม่ได้หายไปไหน

เป็นเวลา 1 ปีมาแล้วหลังจากการแพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry หรือ WannaCryptor.D แม้ตัว WannaCry เองจะไม่ได้อาละวาดอยู่บนโลกไซเบอร์อีกต่อไปแล้ว แต่ช่วงโหว่ที่ WannaCry ใช้เพื่อแพร่กระจายนั้นยังคงอยู่ ช่องโหว่ดั่งกล่าวที่ชื่อว่า EternalBlue ยังคงไม่ได้รับการแก้ไขอย่างจริงๆจัง จากข้อมูลของ ESET ยังพบว่าช่องโหว่นี้ยังคงถูกใช้งานมาอีกหลายเดือนหลังจากการระบาดเมื่อปี 2017

EternalBlue2017-May2018-2-768x401

EternalBlue เป็นการเจาะช่องโหว่ของ Microsoft ที่ชื่อว่า MS17-010 ในบริการ Server Message Block (SMB) พอร์ต 445 โดยแฮกเกอร์สามารถสแกนเพื่อเข้าถึงพอร์ต SMB ผ่านอินเตอร์เน็ต และเริ่มทำงานโค้ดเจาะช่องโหว่ หากพบช่องโหว่แฮกเกอร์จะสามารถโจมตีเป้าหมายได้ นี่เป็นเหตุผลที่ทำไมอยู่ดีๆ WannaCry ถึงระบาดได้อย่างรวดเร็ว

จากกราฟด้านบนมีจุดหนึ่งที่น่าสนใจคือ EternalBlue ลดลงอย่างรวดเร็วหลังการระบาดของ WannaCry ก่อนที่จะค่อยๆกลับมาเพิ่มขึ้นอีกครั้งจนกระทั่งสูงเกิดกว่าในเหตุการณ์ WannaCry ในเดือนเมษายน 2018

หนึ่งในสาเหตุที่เป็นไปได้ก็คือแผนการ Satan Ransomware ที่เกิดขึ้นในช่วงนั้นพอดี แต่ก็เป็นไปได้ที่กิจกรรมอันตรายอื่นๆจะมีส่วนด้วยเช่นกัน

การโจมตีผ่านช่องโหว่ EternalBlue นั้นไม่สามารถเจาะผ่านการป้องกันของ ESET ได้ เนื่องจากฟีเจอร์ Network Attack Protection ทำการขัดขวางการโจมตีในช่วงก่อนเข้าระบบ

นอกจาก WannaCry แล้ว ช่องโหว่ EternalBlue ก็ถูกนำไปใช้การโจมตีอื่นๆอีกมากมาย ทั้ง DiskCoder.C (หรือ Petya, NonPetya และ ExPetya) ในเดือนกรกฎาคม 2017 และแผนการโปรแกรมเรยีกค่าไถ่ BadRabbit ในไตสมาสสุดท้ายของปี 2017 นอกจากนี้กลุ่มแฮกเกอร์ Sednit (หรือ APT28, Fancy Bear และ Sofacy) ก็นำช่องโหว่นี้ไปใช้โจมตีเครือข่าย Wi-Fi ของโรงแรมในฝั่งยุโรป

การเจาะช่องโหว่เหล่านี้สามารถนำไปแพร่กระจายอย่างอื่นเช่น การขุดสกุลเงินออนไลน์ (Cryptominers) ก็ทำได้เช่นกัน

ข้อมูลช่องโหว่ EternalBlue รั่วไหลออกมาจากหน่วยงาน National Security Agency (NSA) ของสหรัฐฯ โดยฝีมือของกลุ่มแฮกเกอร์ที่ชื่อว่า Shadow Brokers ไปเมื่อปี 2016 ก่อนที่จะหลุดออกมาในช่วงวันที่ 14 เมษายน 2017 และทาง Microsoft ได้ปล่อยแพทช์แก้ไขเมื่อวันที่ 14 มีนาคม 2017 แต่จนมาถึงวันนี้ก็ยังมีคอมพิวเตอร์ที่ยังไม่ได้รับการอัพเดตและแพทช์เพื่อปิดช่องโหว่นี้อยู่อีกมาก

แพทช์และอัพเดตเป็นสิ่งจำเป็นและควรให้ความสำคัญเป็นอย่างยิ่ง รวมถึงโปรแกรมรักษาความปลอดภัยที่คอยทำหน้าที่สกัดกั้นเครื่องมืออันตรายก่อนที่จะเข้ามาในระบบของผู้ใช้และองค์กร

Author: Ondrej Kubovič
Source:
https://www.welivesecurity.com/2018/05/10/one-year-later-eternalblue-exploit-wannacryptor/
Translated by: Worapon H.

%d bloggers like this: