March 29, 2024

แรนซั่มแวร์รุนแรงกว่าเดิม และมุ่งเน้นเจาะระบบในทุกๆ แพลตฟอร์ม

SophosLabs (SophosLabs 2018 Malware Forecast) รายงานซึ่งมีรายละเอียดเกี่ยวกับเทรนด์ด้านความปลอดภัยทางไซเบอร์โดยเฉพาะเรื่องที่เกี่ยวกับแรนซั่มแวร์ โดยวิเคราะห์ข้อมูลที่รวบรวมจากเครื่องคอมพิวเตอร์ของลูกค้า Sophos ทั่วโลกในช่วงวันที่ 1 เมษายน จนถึง 3 ตุลาคม 2560พบข้อเท็จจริงที่สำคัญมากคือ ขณะที่พบการโจมตีด้วยแรนซั่มแวร์อย่างหนักหน่วงบนระบบวินโดวส์ในช่วง 6 เดือนล่าสุด และยังพบด้วยว่าแพลตฟอร์มอื่นทั้งแอนดรอยด์, ลีนุกส์, และMacOS ก็ไม่สามารถรับมือกับภัยแรนซั่มแวร์นี้ได้เช่นกัน

ransomwares

“แรนซั่มแวร์เริ่มแพร่กระจายแบบไม่เจาะจงแค่วินโดวส์แพลตฟอร์มอีกต่อไป แม้จะเคยพุ่งเป้าไปที่คอมพิวเตอร์ที่ใช้วินโดวส์เป็นหลัก แต่ปีนี้ SophosLabsได้มองเห็นความถี่ที่เพิ่มขึ้นของการโจมตีแบบเข้ารหัสข้อมูลบนอุปกรณ์และระบบปฏิบัติการประเภทอื่นของลูกค้า Sophos ทั่วโลก” DorkaPalotayนักวิจัยด้านความปลอดภัยของ SophosLabsและอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecast กล่าว

 

รายงานฉบับนี้ยังได้ติดตามรูปแบบการเติบโตของแรนซั่มแวร์ โดยพบว่า WannaCryที่มีการแพร่กระจายอย่างรุนแรงเมื่อพฤษภาคมที่ผ่านมานั้น ถือเป็นแรนซั่มแวร์ที่มีจำนวนมากที่สุดเป็นอันดับหนึ่งที่ Sophos ช่วยเหลือลูกค้าของตนในการป้องกัน ถือว่าล้มอดีตแชมป์แรนซั่มแวร์เดิมอย่าง Cerberที่เคยระบาดหนักเมื่อต้นปี 2559 โดย WannaCryเป็นแรนซั่มแวร์ที่พบจากการตรวจติดตามของ SophosLabsคิดเป็น 45.3 เปอร์เซ็นต์ของทั้งหมด ขณะที่ Cerberคิดเป็น 44.2 เปอร์เซ็นต์

001

“ถือเป็นครั้งแรกที่เราพบแรนซั่มแวร์ที่มีพฤติกรรมเหมือนเวิร์ม ซึ่งช่วยให้แพร่กระจาย WannaCryได้รวดเร็วมาก แรนซั่มแวร์ตัวนี้ใช้ประโยชน์จากช่องโหว่บนวินโดวส์ที่เคยมีแพ็ตช์ออกมาก่อนหน้าแล้วในการติดเชื้อและกระจายตัวเองบนเครือข่ายคอมพิวเตอร์ ทำให้ควบคุมได้ยากมาก” Palotayกล่าวเสริม “แม้ว่าลูกค้าของเราจะได้รับการปกป้องจาก WannaCryอย่างสมบูรณ์แล้ว แต่เราก็ยังต้องเฝ้าติดตามอันตรายนี้ต่อไปเพื่อศึกษาธรรมชาติการสแกนหาและเข้าโจมตีคอมพิวเตอร์เครื่องอื่น เราคาดกันไว้ว่าในอนาคตจะมีอาชญากรไซเบอร์ที่นำความสามารถของในการกระจายตัวเองดังที่เห็นใน WannaCryและ NotPetyaนี้ไปใช้สร้างแรนซั่มแวร์ตัวใหม่ในอนาคต ซึ่งก็ได้เห็นแล้วจากกรณีของแรนซั่มแวร์Bad Rabbit ที่มีลักษณะหลายอย่างที่คล้ายกับ NotPetyaด้วย”

 

ในรายงาน SophosLabs2018 Malware Forecastนี้ยังได้กล่าวถึงการเริ่มต้นระบาดและจุดสิ้นสุดของแรนซั่มแวร์NotPetyaที่สร้างความเสียหายอย่างหนักในเดือนมิถุนายนที่ผ่านมา ซึ่ง NotPetyaนี้เริ่มต้นจากการระบาดผ่านตัวติดตั้งซอฟต์แวร์ทางบัญชีสัญชาติยูเครน ทำให้เป็นการจำกัดตำแหน่งทางภูมิศาสตร์ที่มีการโจมตี นอกจากนี้ยังสามารถแพร่ตัวเองผ่านช่องโหว่ EternalBlueได้เหมือน WannaCryแต่เมื่อมองเหตุการณ์ครั้ง WannaCryที่ได้เข้าไปติดเชื้อคอมพิวเตอร์ที่ไม่ได้แพ็ตช์วินโดวส์ทันท่วงทีเกือบทั้งหมดทั่วโลกแล้ว จึงไม่สามารถมองเห็นเป้าหมายที่แท้จริงของคนปล่อยNotPetyaได้ ทั้งนี้เนื่องจากการโจมตีมีข้อผิดพลาดและการข้ามขั้นตอนมากมาย ยกตัวอย่างเช่น บัญชีอีเมล์ที่เหยื่อจะต้องใช้ติดต่อผู้โจมตีนั้นไม่สามารถใช้งานได้ จนทำให้เหยื่อไม่สามารถถอดรหัสและกู้ข้อมูลที่โดนเล่นงานไปแล้วได้ เป็นต้น

 

“NotPetya ได้โจมตีอย่างหนักหน่วงและรวดเร็วมากสร้างความเสียหายแก่ธุรกิจปริมาณมหาศาลเนื่องจากเป็นการทำลายข้อมูลบนคอมพิวเตอร์โดยตรงแบบกู่ไม่กลับ นอกจากนี้ NotPetya ยังหยุดการโจมตีอย่างกระทันหันให้หลังจากเริ่มต้นระบาดเพียงไม่นานนัก” Palotayอธิบาย “เราสงสัยว่า ครั้งนั้นอาชญากรไซเบอร์คงเพียงแค่อยากทดลองอะไรบางอย่าง หรือวัตถุประสงค์จริงไม่ใช่การเรียกค่าไถ่ แต่เป็นการจงใจสร้างความเสียหายกับข้อมูลอย่างถาวร แต่ไม่ว่าจะด้วยเหตุใดก็ตามSophos แนะนำอย่างจริงจังว่าอย่าจ่ายค่าไถ่ให้เจ้าของแรนซั่มแวร์ แล้วปฏิบัติตามแนวทางการป้องกันที่ดีที่สุดแทน เช่น การสำรองข้อมูล และอัพเดตแพ็ตช์ให้เป็นรุ่นล่าสุดอยู่เสมอ”

 

เมื่อกลับมามองที่ดาวรุ่งในอดีตอย่าง Cerber ที่มีการขายชุดโค้ดของตัวเองในเว็บตลาดมืด ถือว่าเป็นภัยร้ายที่อันตรายอย่างมาก ทั้งนี้เพราะผู้สร้าง Cerberยังคงบริการอัพเดตโค้ดตัวเองให้อย่างต่อเนื่อง รวมทั้งจูงใจให้แฮ็กเกอร์วันนาบีนำไปใช้ฟรีโดยเก็บเปอร์เซ็นต์ค่าหัวคิวจากค่าไถ่ที่ได้รับเมื่อพิจารณาจากฟีเจอร์ล่าสุดของ Cerber แล้ว ทำให้ไม่ใช่แค่เป็นเครื่องมือในการโจมตีอย่างเดียว แต่เป็นการแจกอาวุธร้ายให้แก่อาชญากรไซเบอร์ทั่วโลก“โมเดลธุรกิจของเว็บตลาดมืดนี้มีลักษณะคล้ายกับการทำธุรกิจของคนรุ่นใหม่ที่เปิดให้สาธารณะชนระดมทุนเพื่อพัฒนาสินค้า ซึ่งแน่นอนว่าเจ้าของโค้ดได้รับกำไรงามอย่างต่อเนื่องจนเป็นแรงจูงใจให้ขยันอัพเดตโค้ดจนถึงทุกวันนี้” Palotayสรุป

 

อาชญากรด้านแรนซั่มแวร์ยังคงให้ความสนใจแพลตฟอร์มแอนดรอยด์อย่างต่อเนื่อง จากการวิเคราะห์ของ SophosLabsแล้ว ปริมาณการโจมตีลูกค้าของ Sophos ที่ใช้อุปกรณ์แอนดรอยด์นั้นมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องในปี 2560

002

“แค่ในกันยายนเดือนเดียวนั้น พบว่ามัลแวร์บนแอนดรอยด์ที่ SophosLabsตรวจพบกว่า 30.4 เปอร์เซ็นต์ล้วนเป็นแรนซั่มแวร์ทั้งสิ้น ซึ่งเราคาดว่าตัวเลขนี้จะพุ่งขึ้นเป็นประมาณ 45 เปอร์เซ็นต์ในเดือนตุลาคม” Rowland Yu นักวิจัยด้านความปลอดภัยของ SophosLabsและอีกหนึ่งอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecastกล่าวเสริม “สาเหตุประการหนึ่งที่ทำให้แรนซั่มแวร์บนแอนดรอยด์ระบาดหนักขึ้นเรื่อยๆ นั้นเชื่อว่าเป็นเพราะสามารถรีดไถเงินจากเหยื่อได้มากกว่าการขโมยข้อมูลผู้ติดต่อ หรือ SMS ไปขาย, การบังคับแสดงโฆษณา, หรือแม้แต่การแฮ็คแอพอีแบงกิ้งแบบแต่ก่อนที่ต้องใช้เทคนิคและความรู้ที่ซับซ้อนกว่า อีกหนึ่งข้อเท็จจริงสำคัญที่พบก็คือ เรามักพบแรนซั่มแวร์บนแอนดรอยด์ในตลาดแอพที่อยู่นอก Google Play ซึ่งทำให้เราพยายามย้ำให้ผู้ใช้เฝ้าระวังเกี่ยวกับที่มา และตัวตนของแอพที่แท้จริงที่ตัวเองกำลังกดดาวน์โหลดอยู่เสมอ”

 

ในรายงานของ SophosLabs ฉบับนี้ ยังได้อธิบายถึงการโจมตีแอนดรอยด์สองประเภทที่กำลังแพร่หลายขึ้นเรื่อยๆ อันได้แก่ การล็อกหน้าจอโทรศัพท์โดยไม่ได้เข้ารหัสข้อมูลภายใน กับการล็อกหน้าจอพร้อมทั้งเข้ารหัสล็อกข้อมูลบนเครื่องพร้อมกันด้วย ซึ่งแรนซั่มแวร์บนแอนดรอยด์ส่วนใหญ่ไม่ได้เข้ารหาข้อมูลของผู้ใช้ แต่จะใช้วิธีง่ายๆ ด้วยการล็อกหน้าจอพร้อมข้อความขู่ที่ดูน่าเชื่อถือให้คนสิ้นหวังและยอมโอนเงินค่าไถ่ให้แทน ยิ่งมองที่ความถี่ของการใช้งานสมาร์ทโฟนต่อวันของผู้ใช้ปัจจุบันแล้วยิ่งเพิ่มโอกาสในการทำเงินเป็นอย่างมาก “Sophos แนะนำให้สำรองข้อมูลบนโทรศัพท์เป็นประจำ ลักษณะเหมือนที่ทำกับบนคอมพิวเตอร์ปกติทั้งนี้เพื่อรักษาข้อมูลให้ปลอดภัยอยู่เสมอ โดยไม่ต้องยอมจ่ายค่าไถ่เพื่อให้เข้าถึงข้อมูลได้อีกครั้ง เรามองเห็นการเพิ่มขึ้นอย่างต่อเนื่องของแรนซั่มแวร์บนแอนดรอยด์ และจะขึ้นเป็นกลุ่มมัลแวร์บนแพลตฟอร์มอุปกรณ์พกพาที่พบมากที่สุดในปีหน้า” Yu กล่าว

 

สำหรับรายงานฉบับเต็มพร้อมแผนภาพอธิบายประกอบอย่างละเอียดนั้น สามารถเข้าชมได้ที่ https://www.sophos.com/en-us/en-us/medialibrary/PDFs/technical-papers/malware-forecast-2018.pdf?la=en