Cybersecurity Ransomware Top Stories

WannaCry: เรื่องราวของ Cryptoworm ที่หิวโหยที่สุดเท่าที่เคยมีมา

เรื่องราวทั้งหมดของโปรแกรมเรียกค่าไถ่ ชื่อดังและฉากสุดท้ายของ WannaCryptor หรือ WannaCry

หลายคนยังคงจดจำเหตุการณ์แพร่ระบาดของโปรแกรมเรียกค่าไถ่ WannaCry หรือ WannaCryptor กันได้ ด้วยการรวมกันของวิวัฒนาการ Worm และ Ransomware ทำให้โปรแกรมเรียกค่าไถ่ WannaCry ไปได้รวดเร็วและไกลกว่ามัลแวร์ที่ผ่านๆมา

ความแตกต่างระหว่าง WannaCry กับมัลแวร์หรือไวรัสชนิดอื่นๆก็คือ ตัว WannaCry ไม่จำเป็นต้องโน้มน้าวผู้ใช้ให้คลิกลิงก์ หรือไฟล์แนบเพื่อเริ่มกระบวนการ แต่ใช้การเจาะช่องโหว่ EternalBlue เพื่อเข้าถึงผู้ใช้แทน

EternalBlue เป็นผลงานของหน่วยงานความมั่นคงแห่งชาติของสหรัฐฯ (NSA) ที่ถูกกลุ่มแฮกเกอร์ที่ชื่อว่า Shadow Broker ขโมยออกมา โดย EternalBlue มีคุณสมบัติในการเจาะช่องโหว่ผ่าน Server Message Block (SMB) ของ Microsoft

ด้วยการสแกนหาพอร์ต 445 (ที่ทำงานร่วมกับ SMBv1) ที่เปิดอยู่เท่านั้น ก็สามารถให้แฮกเกอร์เริ่มทำงานและติดตั้งเครื่องมือ DoublePulsar (คาดว่าเป็นของ NSA เช่นกัน) เพื่อเปิดทางให้เริ่มการแทรกซึมและเข้ารหัสไฟล์ได้

แต่มีหนึ่งสิ่งที่หลายคนไม่ทราบเกี่ยวกับ EternalBlue และช่องโหว่ใน SMB ก็คือ 2 เดือนก่อนเหตุการณ์แพร่ระบาดของ WannaCry ทาง Microsoft ได้ปล่อยอัพเดตแก้ไขช่องโหว่นี้ และ Microsoft ได้แนะนำให้ผู้ใช้เลิกใช้งาน SMBv1 มาเป็นเวลานานมากแล้ว (ประมาณ 3 ปี) ซึ่งถ้าอัพเดตแล้ว WannaCry ไม่สามารถทำอะไรระบบนั้นได้เลย

การกลับมาของเวิร์ม (Worm)

จุดเด่นหนึ่งของ WannaCry ก็คือการนำเวิร์ม (Worm) หรือมัลแวร์ที่มีความสามารถในการแพร่กระจายด้วยการก๊อปปี้ตัวเองและส่งต่อ ซึ่งไม่ค่อยมีแฮกเกอร์นำมาใช้เท่าไหร่ในยุคสมัยนี้ WannaCry เป็นส่วนผสมระหว่าง Ransomware และ Worm ที่น่ากลัว มันสามารถแพร่กระจายไปยังระบบที่ยังไม่อัพเดตแพทช์ป้องกันได้อย่างไม่สิ้นสุด

เมื่อไรห่ก็ตามที่ WannaCry สามารถแทรกซึมเข้าสู่ระบบและเริ่มทำงานฟังก์ชั่นของเวิร์มได้ อุปกรณ์ภายในเครือข่ายทั้งที่เชื่อมต่อแบบ Offline และ Online จะถูกแทรกซึมและเป็นอย่างนี้ไปเรื่อยๆ จนเข้ารหัสคอมพิวเตอร์ทั้งหมดในเครือข่าย

ฉากสุดท้ายของ WannaCryWannaCryptor_DealorNoDeal-768x427

นักวิจัยความปลอดภัยอาวุโสของ ESET คุณ David Harley เคยพูดเอาไว้ว่าแฮกเกอร์ไม่สามารถต่อรองผลประโยชน์จากเหยื่อได้โดยตรง เนื่องจากเขาไม่ทราบว่าคนไหนจ่ายหรือไม่จ่าย ตอนที่ WannaCry ระบาด แฮกเกอร์ได้ตั้งค่าไถ่ไว้ที่ 300 เหรียญสหรัฐฯ (ชำระเป็นเงิน Bitcoin) ก่อนที่อีก 3 วันขึ้นเป็น 600 เหรียญสหรัฐฯ

หลังจากความโกลาหลผ่านไป ผู้ให้บริการ Bitcoin ก็ดำเนินการปิดบัญชี 3 บัญชีที่มีความเกี่ยวข้องกับ WannaCry พบเงินจำนวนกว่า 52 Bitcoin หรือประมาณ 140,000 เหรียญสหรัฐฯ ( ตอนนั้น)

ต่อมามีคนตามรอยบอทเน็ตของ WannaCry และหาวิธีหยุดการทำงานของมัน หลังจากนั้นทุกอย่างจบลงด้วยการซื้อโดเมนที่ราคาไม่ถึง 10 เหรียญสหรัฐฯ และเปิดใช้งาน เมื่อ WannaCryptor เชื่อมต่อกับโดเมนดังกล่าวมัลแวร์จะหยุดการทำงานแทนที่จะเข้ารหัสไฟล์

Author: Tomáš Foltýn
Source:
https://www.welivesecurity.com/2018/05/14/wannacryptor-curious-tale/
Translated by: Worapon H.

%d bloggers like this: