รายงาน SophosLabs ปี 2018 เผย Ransomware รุนแรงกว่าเดิม มุ่งเจาะระบบในทุก Platform

0

หลังจากรุมโจมตีวินโดวส์จนย่อยยับแล้ว แรนซั่มแวร์ก็ได้เบนเข็มเป้าโจมตีไปยังแอนดรอยด์, ลีนุกส์, และแม้แต่ macOS เพิ่มมากขึ้นในปี 2560 ที่ผ่านมา  มีแรนซั่มแวร์สองสายพันธุ์ที่ถูกใช้ในการโจมตีกว่า 89.5% จากทั้งหมดที่พบจากการช่วยเหลือลูกค้าของ Sophos ทั่วโลกในการรับมือและป้องกัน

Sophos ผู้นำระดับโลกด้านความปลอดภัยบนเครือข่ายและเอนด์พอยต์ ได้เผยแพร่รายงานทำนายสถานการณ์มัลแวร์ในปี 2561 ที่จะถึงนี้จาก SophosLabs (SophosLabs 2018 Malware Forecast) ซึ่งมีรายละเอียดเกี่ยวกับเทรนด์ด้านความปลอดภัยทางไซเบอร์โดยเฉพาะเรื่องที่เกี่ยวกับแรนซั่มแวร์ โดยวิเคราะห์ข้อมูลที่รวบรวมจากเครื่องคอมพิวเตอร์ของลูกค้า Sophos ทั่วโลกในช่วงวันที่ 1 เมษายน จนถึง 3 ตุลาคม 2560 พบข้อเท็จจริงที่สำคัญมากคือ ขณะที่พบการโจมตีด้วยแรนซั่มแวร์อย่างหนักหน่วงบนระบบวินโดวส์ในช่วง 6 เดือนล่าสุด และยังพบด้วยว่าแพลตฟอร์มอื่นทั้งแอนดรอยด์, ลีนุกส์, และ macOS ก็ไม่สามารถรับมือกับภัยแรนซั่มแวร์นี้ได้เช่นกัน

“แรนซั่มแวร์เริ่มแพร่กระจายแบบไม่เจาะจงแค่วินโดวส์แพลตฟอร์มอีกต่อไป แม้จะเคยพุ่งเป้าไปที่คอมพิวเตอร์ที่ใช้วินโดวส์เป็นหลัก แต่ปีนี้ SophosLabsได้มองเห็นความถี่ที่เพิ่มขึ้นของการโจมตีแบบเข้ารหัสข้อมูลบนอุปกรณ์และระบบปฏิบัติการประเภทอื่นของลูกค้า Sophos ทั่วโลก” DorkaPalotayนักวิจัยด้านความปลอดภัยของ SophosLabsและอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecast กล่าว

รายงานฉบับนี้ยังได้ติดตามรูปแบบการเติบโตของแรนซั่มแวร์ โดยพบว่า WannaCryที่มีการแพร่กระจายอย่างรุนแรงเมื่อพฤษภาคมที่ผ่านมานั้น ถือเป็นแรนซั่มแวร์ที่มีจำนวนมากที่สุดเป็นอันดับหนึ่งที่ Sophos ช่วยเหลือลูกค้าของตนในการป้องกัน ถือว่าล้มอดีตแชมป์แรนซั่มแวร์เดิมอย่าง Cerberที่เคยระบาดหนักเมื่อต้นปี 2559 โดย WannaCryเป็นแรนซั่มแวร์ที่พบจากการตรวจติดตามของ SophosLabsคิดเป็น 45.3 เปอร์เซ็นต์ของทั้งหมด ขณะที่ Cerberคิดเป็น 44.2 เปอร์เซ็นต์

“ถือเป็นครั้งแรกที่เราพบแรนซั่มแวร์ที่มีพฤติกรรมเหมือนเวิร์ม ซึ่งช่วยให้แพร่กระจาย WannaCry ได้รวดเร็วมาก แรนซั่มแวร์ตัวนี้ใช้ประโยชน์จากช่องโหว่บนวินโดวส์ที่เคยมีแพ็ตช์ออกมาก่อนหน้าแล้วในการติดเชื้อและกระจายตัวเองบนเครือข่ายคอมพิวเตอร์ ทำให้ควบคุมได้ยากมาก” Palotayกล่าวเสริม “แม้ว่าลูกค้าของเราจะได้รับการปกป้องจาก WannaCry อย่างสมบูรณ์แล้ว แต่เราก็ยังต้องเฝ้าติดตามอันตรายนี้ต่อไปเพื่อศึกษาธรรมชาติการสแกนหาและเข้าโจมตีคอมพิวเตอร์เครื่องอื่น เราคาดกันไว้ว่าในอนาคตจะมีอาชญากรไซเบอร์ที่นำความสามารถของในการกระจายตัวเองดังที่เห็นใน WannaCry และ NotPetya นี้ไปใช้สร้างแรนซั่มแวร์ตัวใหม่ในอนาคต ซึ่งก็ได้เห็นแล้วจากกรณีของแรนซั่มแวร์ Bad Rabbit ที่มีลักษณะหลายอย่างที่คล้ายกับ NotPetya ด้วย”

ในรายงาน SophosLabs 2018 Malware Forecast นี้ยังได้กล่าวถึงการเริ่มต้นระบาดและจุดสิ้นสุดของแรนซั่มแวร์ NotPetya ที่สร้างความเสียหายอย่างหนักในเดือนมิถุนายนที่ผ่านมา ซึ่ง NotPetya นี้เริ่มต้นจากการระบาดผ่านตัวติดตั้งซอฟต์แวร์ทางบัญชีสัญชาติยูเครน ทำให้เป็นการจำกัดตำแหน่งทางภูมิศาสตร์ที่มีการโจมตี นอกจากนี้ยังสามารถแพร่ตัวเองผ่านช่องโหว่ EternalBlue ได้เหมือน WannaCry แต่เมื่อมองเหตุการณ์ครั้ง WannaCry ที่ได้เข้าไปติดเชื้อคอมพิวเตอร์ที่ไม่ได้แพ็ตช์วินโดวส์ทันท่วงทีเกือบทั้งหมดทั่วโลกแล้ว จึงไม่สามารถมองเห็นเป้าหมายที่แท้จริงของคนปล่อย NotPetya ได้ ทั้งนี้เนื่องจากการโจมตีมีข้อผิดพลาดและการข้ามขั้นตอนมากมาย ยกตัวอย่างเช่น บัญชีอีเมล์ที่เหยื่อจะต้องใช้ติดต่อผู้โจมตีนั้นไม่สามารถใช้งานได้ จนทำให้เหยื่อไม่สามารถถอดรหัสและกู้ข้อมูลที่โดนเล่นงานไปแล้วได้ เป็นต้น

“NotPetya ได้โจมตีอย่างหนักหน่วงและรวดเร็วมากสร้างความเสียหายแก่ธุรกิจปริมาณมหาศาลเนื่องจากเป็นการทำลายข้อมูลบนคอมพิวเตอร์โดยตรงแบบกู่ไม่กลับ นอกจากนี้ NotPetya ยังหยุดการโจมตีอย่างกระทันหันให้หลังจากเริ่มต้นระบาดเพียงไม่นานนัก” Palotay อธิบาย “เราสงสัยว่า ครั้งนั้นอาชญากรไซเบอร์คงเพียงแค่อยากทดลองอะไรบางอย่าง หรือวัตถุประสงค์จริงไม่ใช่การเรียกค่าไถ่ แต่เป็นการจงใจสร้างความเสียหายกับข้อมูลอย่างถาวร แต่ไม่ว่าจะด้วยเหตุใดก็ตาม Sophos แนะนำอย่างจริงจังว่าอย่าจ่ายค่าไถ่ให้เจ้าของแรนซั่มแวร์ แล้วปฏิบัติตามแนวทางการป้องกันที่ดีที่สุดแทน เช่น การสำรองข้อมูล และอัพเดตแพ็ตช์ให้เป็นรุ่นล่าสุดอยู่เสมอ”

เมื่อกลับมามองที่ดาวรุ่งในอดีตอย่าง Cerber ที่มีการขายชุดโค้ดของตัวเองในเว็บตลาดมืด ถือว่าเป็นภัยร้ายที่อันตรายอย่างมาก ทั้งนี้เพราะผู้สร้าง Cerber ยังคงบริการอัพเดตโค้ดตัวเองให้อย่างต่อเนื่อง รวมทั้งจูงใจให้แฮ็กเกอร์วันนาบีนำไปใช้ฟรีโดยเก็บเปอร์เซ็นต์ค่าหัวคิวจากค่าไถ่ที่ได้รับเมื่อพิจารณาจากฟีเจอร์ล่าสุดของ Cerber แล้ว ทำให้ไม่ใช่แค่เป็นเครื่องมือในการโจมตีอย่างเดียว แต่เป็นการแจกอาวุธร้ายให้แก่อาชญากรไซเบอร์ทั่วโลก“โมเดลธุรกิจของเว็บตลาดมืดนี้มีลักษณะคล้ายกับการทำธุรกิจของคนรุ่นใหม่ที่เปิดให้สาธารณะชนระดมทุนเพื่อพัฒนาสินค้า ซึ่งแน่นอนว่าเจ้าของโค้ดได้รับกำไรงามอย่างต่อเนื่องจนเป็นแรงจูงใจให้ขยันอัพเดตโค้ดจนถึงทุกวันนี้” Palotay สรุป

อาชญากรด้านแรนซั่มแวร์ยังคงให้ความสนใจแพลตฟอร์มแอนดรอยด์อย่างต่อเนื่อง จากการวิเคราะห์ของ SophosLabsแล้ว ปริมาณการโจมตีลูกค้าของ Sophos ที่ใช้อุปกรณ์แอนดรอยด์นั้นมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องในปี 2560

“แค่ในกันยายนเดือนเดียวนั้น พบว่ามัลแวร์บนแอนดรอยด์ที่ SophosLabs ตรวจพบกว่า 30.4 เปอร์เซ็นต์ล้วนเป็นแรนซั่มแวร์ทั้งสิ้น ซึ่งเราคาดว่าตัวเลขนี้จะพุ่งขึ้นเป็นประมาณ 45 เปอร์เซ็นต์ในเดือนตุลาคม” Rowland Yu นักวิจัยด้านความปลอดภัยของ SophosLabs และอีกหนึ่งอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecast กล่าวเสริม “สาเหตุประการหนึ่งที่ทำให้แรนซั่มแวร์บนแอนดรอยด์ระบาดหนักขึ้นเรื่อย ๆ นั้นเชื่อว่าเป็นเพราะสามารถรีดไถเงินจากเหยื่อได้มากกว่าการขโมยข้อมูลผู้ติดต่อ หรือ SMS ไปขาย, การบังคับแสดงโฆษณา, หรือแม้แต่การแฮ็คแอพอีแบงกิ้งแบบแต่ก่อนที่ต้องใช้เทคนิคและความรู้ที่ซับซ้อนกว่า อีกหนึ่งข้อเท็จจริงสำคัญที่พบก็คือ เรามักพบแรนซั่มแวร์บนแอนดรอยด์ในตลาดแอพที่อยู่นอก Google Play ซึ่งทำให้เราพยายามย้ำให้ผู้ใช้เฝ้าระวังเกี่ยวกับที่มา และตัวตนของแอพที่แท้จริงที่ตัวเองกำลังกดดาวน์โหลดอยู่เสมอ”

ในรายงานของ SophosLabs ฉบับนี้ ยังได้อธิบายถึงการโจมตีแอนดรอยด์สองประเภทที่กำลังแพร่หลายขึ้นเรื่อยๆ อันได้แก่ การล็อกหน้าจอโทรศัพท์โดยไม่ได้เข้ารหัสข้อมูลภายใน กับการล็อกหน้าจอพร้อมทั้งเข้ารหัสล็อกข้อมูลบนเครื่องพร้อมกันด้วย ซึ่งแรนซั่มแวร์บนแอนดรอยด์ส่วนใหญ่ไม่ได้เข้ารหาข้อมูลของผู้ใช้ แต่จะใช้วิธีง่ายๆ ด้วยการล็อกหน้าจอพร้อมข้อความขู่ที่ดูน่าเชื่อถือให้คนสิ้นหวังและยอมโอนเงินค่าไถ่ให้แทน ยิ่งมองที่ความถี่ของการใช้งานสมาร์ทโฟนต่อวันของผู้ใช้ปัจจุบันแล้วยิ่งเพิ่มโอกาสในการทำเงินเป็นอย่างมาก “Sophos แนะนำให้สำรองข้อมูลบนโทรศัพท์เป็นประจำ ลักษณะเหมือนที่ทำกับบนคอมพิวเตอร์ปกติทั้งนี้เพื่อรักษาข้อมูลให้ปลอดภัยอยู่เสมอ โดยไม่ต้องยอมจ่ายค่าไถ่เพื่อให้เข้าถึงข้อมูลได้อีกครั้ง เรามองเห็นการเพิ่มขึ้นอย่างต่อเนื่องของแรนซั่มแวร์บนแอนดรอยด์ และจะขึ้นเป็นกลุ่มมัลแวร์บนแพลตฟอร์มอุปกรณ์พกพาที่พบมากที่สุดในปีหน้า” Yu กล่าว

สำหรับรายงานฉบับเต็มพร้อมแผนภาพอธิบายประกอบอย่างละเอียดนั้น สามารถเข้าชมได้ที่ https://www.sophos.com/en-us/en-us/medialibrary/PDFs/technical-papers/malware-forecast-2018.pdf?la=en

ท่านสามารถเยี่ยมชมสำนักข่าว Sophos News สำหรับรายละเอียดเพิ่มเติมที่เกี่ยวข้องได้ เช่น การคาดการณ์การระบาดของแรนซั่มแวร์ในปี 2561 ที่จะกระจายครบทุกแพลตฟอร์ม หรือคำถามและคำตอบที่พบบ่อยเกี่ยวกับรายงาน 2018 Malware Forecast

 

Share.

About Author

Blogger ที่มีงานเขียน (Content Provider) ให้กับเว็บไซต์ชื่อดังหลายแห่งในไทย ประเภทของเนื้อหา มีทั้งทางด้านอุปกรณ์ไอที-สื่อสาร, Gadget, เครื่องเสียง, เครื่องใช้ไฟฟ้าในครัวเรือน, ยานยนต์, สุขภาพชายหนุ่ม, อาหาร, ช้อปปิ้ง, อสังหาริมทรัพย์ และอื่น ๆ ที่น่าสนใจ

Leave a Reply