แรนซั่มแวร์ยอดมหันตภัยไซเบอร์แห่งปี 2016 ธุรกิจถูกโจมตีทุก 40 วินาที
ปี2016การโจมตีด้วยแรนซั่มแวร์ต่อวงการธุรกิจเพิ่มขึ้นถึงสามเท่า: ซึ่งแสดงการเปลี่ยนแปลงจากโจมตีทุก2 นาทีในเดือนมกราคม มาเป็นโจมตีหนึ่งครั้งในทุกๆ 40 วินาทีเมื่อเดือนตุลาคม สำหรับผู้ใช้รายบุคคลทั่วไปอัตราการโจมตีได้เปลี่ยนแปลงจากโจมตีทุกๆ 20วินาที มาเป็นทุกๆ 10 วินาที ปีนี้พบแรนซั่มแวร์หน้าใหม่มากกว่า 62กลุ่มถูกปล่อยออกมาภัยคุกคามเช่นนี้ขยายตัวอย่างรวดเร็วต่อเนื่องจนกระทั่งแคสเปอร์สกี้ แลปได้ตั้งให้ แรนซั่มแวร์ นี้เป็นหัวข้อหลักประจำปี2016
รายงาน “Story of the Year” เรื่องเด่นแห่งปี เป็นส่วนหนึ่งของรายงานด้านความปลอดภัยประจำปีของแคสเปอร์สกี้ แลปที่นำเสนอข้อมูลเกี่ยวกับภัยคุกคามในช่วงปีที่ผ่านมา รวมทั้งคาดการณ์ทิศทางรูปแบบในปี 2017
ที่น่าสนใจคือในช่วงปี 2016พบว่าธุรกิจแรนซั่มแวร์รับจ้าง (Ransomware-as-a-Service)ได้รับความสนใจจากอาชญากรไซเบอร์ที่ไม่มีทักษะทรัพยากรหรือศักยภาพในการพัฒนาแรนซั่มแวร์ขึ้นมาได้เองภายใต้การตกลงซื้อบริการกันนี้ ผู้เขียนโค้ดจะจัดสินค้าคือโค้ดมหันตภัยนี้แบบ ‘ออนดีมานด์’ หรือตามที่ผู้ซื้อระบุความต้องการปรับแต่งตามให้เป็นเวอร์ชั่นตัวของลูกค้า ซึ่งก็จะนำไปแพร่กระจายต่อผ่านสแปม เว็บไซต์ชำระค่านายหน้าค่าว่าจ้างให้แก่คนเขียนโค้ดซึ่งเป็นผู้รับผลประโยชน์หลัก
เฟเดอร์ ซินิทซิน นักวิเคราะห์มัลแวร์อาวุโส แคสเปอร์สกี้ แลป กล่าว “รูปแบบธุรกิจแบบร่วมกันกระทำเช่นนี้ถือว่าคลาสสิกมาก และได้ผลดีสำหรับอาชญากรที่อาศัยแรนซั่มแวร์ เหมือนกับที่เคยทำเงินให้แก่มัลแวร์อื่นมาแล้วเหยื่อมักจะยอมจ่าย จึงมีเงินล่อเลี้ยงอยู่ในระบบ จึงเป็นเรื่องที่เลี่ยงไม่ได้เลยที่จะเห็นโจรแรนซั่มแวร์หน้าใหม่เกิดขึ้นรายวันเลยทีเดียว”
วิวัฒนาการแรนซั่มแวร์ปี 2016
ปี 2016 แรนซั่มแวร์ออกอาละวาดทั่วโลก มีความซับซ้อนและหลากหลายมากขึ้น และมีสมรรถนะมากขึ้นในการยึดครองข้อมูลและอุปกรณ์ ตัวบุคคลและองค์กรธุรกิจ
- อัตราการโจมตีองค์กรธุรกิจเพิ่มขึ้นอย่างเห็นได้ชัด จากข้อมูลการสำรวจของแคสเปอร์สกี้ แลปพบว่าธุรกิจหนึ่งในทุกห้าธุรกิจทั่วโลกได้รับผลกระทบจากแรนซั่มแวร์และ หนึ่งในทุกห้าธุรกิจขนาดย่อมลงมาไม่เคยได้ไฟล์ที่ถูกยึดไปกลับคืนมาเลย แม้จะจ่ายค่าไถ่ไปแล้วก็ตาม
- อุตสาหกรรมในบางภาคส่วนก็ถูกโจมตีหนักหนากว่าส่วนอื่น อย่างไรก็ตาม ไม่มีส่วนใดที่จะเรียกได้ว่า มีความเสี่ยงน้อยภาคส่วนที่ถูกโจมตีสูงที่สุดประมาณ 23% (การศึกษา) และต่ำที่สุดที่ 16% (ค้าปลีกและสันทนาการ)
- แรนซั่มแวร์ ‘เชิงการศึกษา’ พัฒนาขึ้นเพื่อเป็นเครื่องมือของผู้ดูแลระบบในการจำลองการจู่โจมของแรนซั่มแวร์ แต่กลับถูกอาชญากรไซเบอร์นำมาใช้ประโยชน์อย่างรวดเร็ว เป็นที่มาของDed_CryptorและFantom เป็นต้น
- วิธีการโจมตีแบบใหม่ของแรนซั่มแวร์พบเห็นเป็นครั้งแรกในปี 2016 ได้แก่ เข้ารหัสดิสก์ ซึ่งโจรไซเบอร์จะบล็อกแอคเซส หรือเข้ารหัส มิใช่เพียงบางไฟล์แต่ทั้งหมดทุกไฟล์บนดิสก์นั้นพร้อมกันทีเดียว – Petyaเป็นตัวอย่างหนึ่งDcryptor หรือรู้จักกันในชื่อ แมมบ้า ได้ยกระดับขึ้นไปอีกขั้นด้วยการ ล็อคทั้งฮาร์ดไดรว์เพื่อเรียกค่าไถ่ด้วยรหัสผ่านจากระยะไกลเข้าเครื่องของเหยื่อ
- แรนซั่มแวร์Shade สามารถเปลี่ยนวิธีการเจาะเข้าหาเหยื่อ หากว่าเครื่องนั้นเป็นของแผนกการเงิน ก็จะเปลี่ยนเป็นดาวน์โหลดและติดตั้งสปายแวร์แทนการยึดไฟล์บนเครื่องมาเข้ารหัส
และเป็นที่น่าสังเกตว่ามีแรนซั่มแวร์โทรจันแบบลวกๆ ไม่มีคุณภาพเกิดขึ้นมากมายพบข้อบกพร่องผิดพลาดในซอฟท์แวร์ที่ไม่น่าจะมีในจดหมายเรียกค่าไถ่ – ยิ่งเป็นสัญญานว่าโอกาสที่เหยื่อจะได้ข้อมูลคืนมานั้นยิ่งน้อยลงไปกันใหญ่
