Post Views:
185
Ransomware: ภัยคุกคามที่รอโอกาส ข้อมูลเบื้องต้นเกี่ยวกับมัลแวร์เรียกค่าไถ่ อะไร อย่างไร และเพราะเหตุใด
ถึงแม้ว่ามัลแวร์ Ransomware ไม่ใช่เรื่องใหม่ แต่ก็ยังมีผู้ใช้อีกจำนวนมากที่ยังคงตกเป็นเหยื่อของ Ransomware โดยไม่ตระหนักว่าอุปกรณ์ของตนเองโดนโจมตี ผู้ใช้อาจดาวน์โหลด Ransomwareโดยไม่รู้ตัวด้วยการเข้าชมเว็บไซต์อันตรายหรือเว็บไซต์ที่โดน Ransomware โจมตีอยู่แล้ว หรือมัลแวร์อื่น ๆ อาจปล่อยหรือดาวน์โหลด Ransomware เข้าสู่ระบบของผู้ใช้ อย่างไรก็ดี การจ่ายค่าไถ่ไม่ได้เป็นการรับประกันว่าผู้ใช้จะเข้าถึงข้อมูลดิจิทัลของตนเองได้อีกครั้ง Ransomware เคยเป็นปัญหาระดับผู้ใช้งาน แต่ปัจจุบัน กลุ่มอาชญากรปล่อย Ransomware เข้าสู่ระบบเครือข่าย ไฟล์ที่ใช้ร่วมกัน ระบบแบ๊กอัพข้อมูล ฯลฯ ทำให้เกิดความเสี่ยงในองค์กรมากขึ้น แม้ว่าเป็นการยากมากที่จะให้มูลค่าที่แท้จริงของผลกระทบของ Ransomware ต่อองค์กรในระดับโลก แต่ข้อมูลจากเทรนด์ ไมโคร ระบุว่าในช่วงเดือนตุลาคม 2558 ถึงเดือนเมษายน 2559 ( 7 เดือน ) เทรนด์ ไมโคร สามารถสกัดกั้น Ransomware ได้ถึง 99 ล้านภัยคุกคาม แสดงให้เห็นว่า Ransomware กำลังระบาดมากขึ้นทั่วโลก และเริ่มจะเน้นไปที่ภาคสาธารณสุขมากขึ้น
โดยล่าสุดทาง The Hollywood Presbytherian Medical Center ได้ถูกโจมตีโดย Ransomware ส่งผลต่อการบริการของโรงพยาบาล รวมถึงตัวผู้ป่วยเอง และถูกเรียกเงินถึง 40 Bitcoin หรือประมาณ 17,000 เหรียญสหรัฐฯ เพื่อถอดรหัสเพราะหากไม่จ่ายและพยายามที่จะปลดล็อคเอง Ransomware ก็จะทำลายข้อมูลไปเรื่อย ๆ ทำให้เกิดความเสียหายมากขึ้น ซึ่งโดยทั่วไปแล้วแฮกเกอร์จะมีวิธีการที่แตกต่างกันตามสถานการณ์ แต่ก็มีเป้าหมายเดียวกันคือ ทำให้ผู้ใช้งานไม่สามารถเข้าถึงระบบที่ถูกแฮ็คได้ และเรียกร้องค่าไถ่
Ransomware 101
สำหรับประเทศไทย ข้อมูลบางส่วนจาก DSI ระบุว่า ตั้งแต่ปี 2558 เป็นต้นมา เริ่มจะมีมัลแวร์ระบาดผ่านระบบเครือข่ายออนไลน์เข้าสู่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อเรียกค่าไถ่แลกกับโค้ดในการถอดรหัส โดยต้องพยายามอำพรางตัวเพื่อไม่ให้โปรแกรม Antivirus ตรวจจับได้ และเมื่อผู้ใช้เปิดไฟล์แนบที่ฝังมัลแวร์ไว้โดยการคลิ้กที่ป๊อปอัพหรือคลิกลิงค์ในอีเมล์ ก็จะถูกรีไดเร็คหน้าเว็บไซต์ไปยังเว็บไซต์ที่มีมัลแวร์อยู่ ทำให้แฮ็กเกอร์สามารถสร้างรายได้จากเหยื่อที่ไม่มีความรู้
Ransomware บางประเภทได้พัฒนาจากมัลแวร์ที่สร้างความกลัว ( Scareware ) ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล ( Crypto-Ransomware ) ซึ่งเป็น Ransomware ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน ในช่วงปลายปี 2556 เราตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า CryptoLocker ซึ่งเข้ารหัสไฟล์และล็อคระบบของเหยื่อ สิ่งที่ต่างจาก Ransomware รุ่นก่อนหน้าก็คือ CryptoLocker เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส CryptoLocker พัฒนา และเพิ่มเติมกลวิธีใหม่ ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ
ในช่วงไตรมาสที่สามของปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วนหนึ่งในสามของ Ransomware ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า Crypto-Ransomware เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือนที่ผ่านมา
เมื่อไม่นานมานี้ เราตรวจสอบ Ransomware ชนิดใหม่ที่มีชื่อว่า TorrentLocker ซึ่งพุ่งเป้าโจมตีองค์กรต่าง ๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์ของตนเองได้ นอกเสียจากว่าจะจ่ายเงินค่าไถ่จำนวนมากเสียก่อน
ชมวิดีโอเกี่ยวกับวิธีการโจมตีของ TorrentLocker ได้ที่ https://www.youtube.com/watch?v=fNyQVePEyxg
วิธีการทำงานของมัลแวร์เรียกค่าไถ่
ลักษณะการโจมตีของ Ransomware จะขึ้นอยู่กับแรงจูงใจของผู้โจมตี โดยทั่วไปแล้ว อาชญากรไซเบอร์มักจะสร้างโค้ดที่ออกแบบเป็นพิเศษเพื่อเข้าควบคุมคอมพิวเตอร์และยึดไฟล์ไว้เป็นตัวประกัน ไฟล์ดังกล่าวจะถูกเข้ารหัส และเหยื่อจะไม่สามารถเข้าถึงไฟล์ได้อีกต่อไป Ransomware นี้เมื่อเริ่มทำงานในระบบคอมพิวเตอร์ จะสามารถ ( 1 ) ล็อคหน้าจอคอมพิวเตอร์ หรือ ( 2 ) เข้ารหัสไฟล์ที่กำหนด ในกรณีแรก ระบบที่ติดเชื้อจะแสดงภาพเต็มหน้าจอหรือการแจ้งเตือนที่ระบุว่าเหยื่อจะไม่สามารถใช้ระบบดังกล่าวได้ นอกเสียจากว่าจะจ่ายค่าธรรมเนียมหรือ “ค่าไถ่” นอกจากนี้ยังแสดงคำแนะนำเกี่ยวกับวิธีการจ่ายค่าไถ่ เพื่อแลกกับการเข้าถึงระบบ ส่วน Ransomware ชนิดที่สองจะล็อคไฟล์ต่าง ๆ เช่น เอกสาร สเปรดชีต และไฟล์สำคัญอื่น ๆ
จำนวนเงินค่าไถ่อาจแตกต่างกันไป ตั้งแต่จำนวนเล็กน้อยไปจนถึงหลายร้อยดอลลาร์ ผู้โจมตีจะยังคงสามารถแสวงหากำไรได้ ไม่ว่าจำนวนเงินค่าไถ่จะมากน้อยเพียงใดก็ตาม เพราะสิ่งสำคัญขึ้นอยู่กับจำนวนคอมพิวเตอร์ที่ติดเชื้อ เหยื่อมักจะถูกเรียกร้องให้จ่ายเงินค่าไถ่ด้วยวิธีการทางออนไลน์ หากผู้ใช้ไม่ยอมจ่ายเงินค่าไถ่ ผู้โจมตีก็อาจสร้างมัลแวร์เพิ่มเติมเพื่อทำลายไฟล์จนกว่าจะมีการจ่ายเงินค่าไถ่
วิธีป้องกันไม่ให้ตกเป็นเหยื่อ Ransomware
Ransomware เป็นมัลแวร์ที่ซับซ้อนเป็นพิเศษ และแม้ว่าผู้เชี่ยวชาญอาจรู้วิธีการปิดใช้งานมัลแวร์ประเภทนี้ แต่ผู้ใช้ทั่วไปก็สามารถป้องกันปัญหาด้วยการปฏิบัติตามมาตรการด้านความปลอดภัย พึงระลึกไว้ว่าในบางกรณี อาจไม่สามารถทำการกู้คืนระบบโดยไม่จ่ายค่าไถ่ และนี่คือเหตุผลที่เราควรจะแบ็คอัพไฟล์ข้อมูลอย่างสม่ำเสมอเพื่อป้องกันความสูญเสีย
เคล็ดลับบางประการที่จะช่วยปกป้องคุณให้ปลอดภัยจากการโจมตี:
- แบ็คอัพไฟล์ของคุณอย่างสม่ำเสมอกฎ 3-2-1 ใช้ได้กับกรณีนี้ กล่าวคือ แบ็คอัพข้อมูลของคุณเอาไว้ 3 ชุด และเก็บไว้บนสื่อบันทึก 2 ชุดที่แตกต่างกัน โดยสำเนา 1 ชุดจะต้องเก็บไว้ในสถานที่ตั้งที่แยกต่างหาก
- ใส่บุ๊คมาร์คสำหรับเว็บไซต์ที่คุณชื่นชอบ และเข้าถึงเว็บไซต์ดังกล่าวผ่านทางบุ๊คมาร์คเท่านั้น– ผู้โจมตีจะสามารถสอดแทรกโค้ดอันตรายไว้ใน URL และนำผู้ใช้ไปยังเว็บไซต์อันตรายเพื่อให้ดาวน์โหลดมัลแวร์เรียกค่าไถ่ การใส่บุ๊คมาร์คสำหรับเว็บไซต์ที่เชื่อถือได้ซึ่งคุณเข้าเยี่ยมชมเป็นประจำจะช่วยป้องกันไม่ให้คุณพิมพ์ป้อนแอดเดรสผิดพลาด
- ตรวจสอบแหล่งที่มาของอีเมล– แม้ว่าแนวทางนี้อาจดูยุ่งยาก แต่การเพิ่มความระมัดระวังก่อนที่จะเปิดลิงค์หรือไฟล์แนบอีเมลย่อมจะเป็นประโยชน์แก่คุณ ทางที่ดีคุณควรจะตรวจสอบกับผู้ติดต่อก่อนที่จะคลิก
- อัพเดตซอฟต์แวร์ความปลอดภัย– การใช้ซอฟต์แวร์ความปลอดภัยจะช่วยเพิ่มเติมการปกป้องอีกระดับ เพื่อป้องกันการติดเชื้อในทุก ๆ จุดที่เป็นไปได้ โดยเฉพาะอย่างยิ่งจะช่วยป้องกันการเข้าถึงเว็บไซต์อันตรายที่มี Ransomware และที่สำคัญก็คือ จะทำหน้าที่ตรวจจับและลบ Ransomware ที่พบในระบบ
ที่มาบทความ
TechTalkThai | ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
บทความโดย
นายคงศักดิ์ ก่อตระกูล ผู้จัดการอาวุโสด้านเทคนิค บริษัท เทรนด์ ไมโคร ( ประเทศไทย ) จำกัด
Ransomware: ภัยคุกคามที่รอโอกาส ข้อมูลเบื้องต้นเกี่ยวกับมัลแวร์เรียกค่าไถ่ อะไร อย่างไร และเพราะเหตุใด
ถึงแม้ว่ามัลแวร์ Ransomware ไม่ใช่เรื่องใหม่ แต่ก็ยังมีผู้ใช้อีกจำนวนมากที่ยังคงตกเป็นเหยื่อของ Ransomware โดยไม่ตระหนักว่าอุปกรณ์ของตนเองโดนโจมตี ผู้ใช้อาจดาวน์โหลด Ransomwareโดยไม่รู้ตัวด้วยการเข้าชมเว็บไซต์อันตรายหรือเว็บไซต์ที่โดน Ransomware โจมตีอยู่แล้ว หรือมัลแวร์อื่น ๆ อาจปล่อยหรือดาวน์โหลด Ransomware เข้าสู่ระบบของผู้ใช้ อย่างไรก็ดี การจ่ายค่าไถ่ไม่ได้เป็นการรับประกันว่าผู้ใช้จะเข้าถึงข้อมูลดิจิทัลของตนเองได้อีกครั้ง Ransomware เคยเป็นปัญหาระดับผู้ใช้งาน แต่ปัจจุบัน กลุ่มอาชญากรปล่อย Ransomware เข้าสู่ระบบเครือข่าย ไฟล์ที่ใช้ร่วมกัน ระบบแบ๊กอัพข้อมูล ฯลฯ ทำให้เกิดความเสี่ยงในองค์กรมากขึ้น แม้ว่าเป็นการยากมากที่จะให้มูลค่าที่แท้จริงของผลกระทบของ Ransomware ต่อองค์กรในระดับโลก แต่ข้อมูลจากเทรนด์ ไมโคร ระบุว่าในช่วงเดือนตุลาคม 2558 ถึงเดือนเมษายน 2559 ( 7 เดือน ) เทรนด์ ไมโคร สามารถสกัดกั้น Ransomware ได้ถึง 99 ล้านภัยคุกคาม แสดงให้เห็นว่า Ransomware กำลังระบาดมากขึ้นทั่วโลก และเริ่มจะเน้นไปที่ภาคสาธารณสุขมากขึ้น
โดยล่าสุดทาง The Hollywood Presbytherian Medical Center ได้ถูกโจมตีโดย Ransomware ส่งผลต่อการบริการของโรงพยาบาล รวมถึงตัวผู้ป่วยเอง และถูกเรียกเงินถึง 40 Bitcoin หรือประมาณ 17,000 เหรียญสหรัฐฯ เพื่อถอดรหัสเพราะหากไม่จ่ายและพยายามที่จะปลดล็อคเอง Ransomware ก็จะทำลายข้อมูลไปเรื่อย ๆ ทำให้เกิดความเสียหายมากขึ้น ซึ่งโดยทั่วไปแล้วแฮกเกอร์จะมีวิธีการที่แตกต่างกันตามสถานการณ์ แต่ก็มีเป้าหมายเดียวกันคือ ทำให้ผู้ใช้งานไม่สามารถเข้าถึงระบบที่ถูกแฮ็คได้ และเรียกร้องค่าไถ่
Ransomware 101
สำหรับประเทศไทย ข้อมูลบางส่วนจาก DSI ระบุว่า ตั้งแต่ปี 2558 เป็นต้นมา เริ่มจะมีมัลแวร์ระบาดผ่านระบบเครือข่ายออนไลน์เข้าสู่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อเรียกค่าไถ่แลกกับโค้ดในการถอดรหัส โดยต้องพยายามอำพรางตัวเพื่อไม่ให้โปรแกรม Antivirus ตรวจจับได้ และเมื่อผู้ใช้เปิดไฟล์แนบที่ฝังมัลแวร์ไว้โดยการคลิ้กที่ป๊อปอัพหรือคลิกลิงค์ในอีเมล์ ก็จะถูกรีไดเร็คหน้าเว็บไซต์ไปยังเว็บไซต์ที่มีมัลแวร์อยู่ ทำให้แฮ็กเกอร์สามารถสร้างรายได้จากเหยื่อที่ไม่มีความรู้
Ransomware บางประเภทได้พัฒนาจากมัลแวร์ที่สร้างความกลัว ( Scareware ) ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล ( Crypto-Ransomware ) ซึ่งเป็น Ransomware ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน ในช่วงปลายปี 2556 เราตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า CryptoLocker ซึ่งเข้ารหัสไฟล์และล็อคระบบของเหยื่อ สิ่งที่ต่างจาก Ransomware รุ่นก่อนหน้าก็คือ CryptoLocker เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส CryptoLocker พัฒนา และเพิ่มเติมกลวิธีใหม่ ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ
ในช่วงไตรมาสที่สามของปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วนหนึ่งในสามของ Ransomware ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า Crypto-Ransomware เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือนที่ผ่านมา
เมื่อไม่นานมานี้ เราตรวจสอบ Ransomware ชนิดใหม่ที่มีชื่อว่า TorrentLocker ซึ่งพุ่งเป้าโจมตีองค์กรต่าง ๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อไม่สามารถเข้าใช้ไฟล์ของตนเองได้ นอกเสียจากว่าจะจ่ายเงินค่าไถ่จำนวนมากเสียก่อน
ชมวิดีโอเกี่ยวกับวิธีการโจมตีของ TorrentLocker ได้ที่ https://www.youtube.com/watch?v=fNyQVePEyxg
วิธีการทำงานของมัลแวร์เรียกค่าไถ่
ลักษณะการโจมตีของ Ransomware จะขึ้นอยู่กับแรงจูงใจของผู้โจมตี โดยทั่วไปแล้ว อาชญากรไซเบอร์มักจะสร้างโค้ดที่ออกแบบเป็นพิเศษเพื่อเข้าควบคุมคอมพิวเตอร์และยึดไฟล์ไว้เป็นตัวประกัน ไฟล์ดังกล่าวจะถูกเข้ารหัส และเหยื่อจะไม่สามารถเข้าถึงไฟล์ได้อีกต่อไป Ransomware นี้เมื่อเริ่มทำงานในระบบคอมพิวเตอร์ จะสามารถ ( 1 ) ล็อคหน้าจอคอมพิวเตอร์ หรือ ( 2 ) เข้ารหัสไฟล์ที่กำหนด ในกรณีแรก ระบบที่ติดเชื้อจะแสดงภาพเต็มหน้าจอหรือการแจ้งเตือนที่ระบุว่าเหยื่อจะไม่สามารถใช้ระบบดังกล่าวได้ นอกเสียจากว่าจะจ่ายค่าธรรมเนียมหรือ “ค่าไถ่” นอกจากนี้ยังแสดงคำแนะนำเกี่ยวกับวิธีการจ่ายค่าไถ่ เพื่อแลกกับการเข้าถึงระบบ ส่วน Ransomware ชนิดที่สองจะล็อคไฟล์ต่าง ๆ เช่น เอกสาร สเปรดชีต และไฟล์สำคัญอื่น ๆ
จำนวนเงินค่าไถ่อาจแตกต่างกันไป ตั้งแต่จำนวนเล็กน้อยไปจนถึงหลายร้อยดอลลาร์ ผู้โจมตีจะยังคงสามารถแสวงหากำไรได้ ไม่ว่าจำนวนเงินค่าไถ่จะมากน้อยเพียงใดก็ตาม เพราะสิ่งสำคัญขึ้นอยู่กับจำนวนคอมพิวเตอร์ที่ติดเชื้อ เหยื่อมักจะถูกเรียกร้องให้จ่ายเงินค่าไถ่ด้วยวิธีการทางออนไลน์ หากผู้ใช้ไม่ยอมจ่ายเงินค่าไถ่ ผู้โจมตีก็อาจสร้างมัลแวร์เพิ่มเติมเพื่อทำลายไฟล์จนกว่าจะมีการจ่ายเงินค่าไถ่
วิธีป้องกันไม่ให้ตกเป็นเหยื่อ Ransomware
Ransomware เป็นมัลแวร์ที่ซับซ้อนเป็นพิเศษ และแม้ว่าผู้เชี่ยวชาญอาจรู้วิธีการปิดใช้งานมัลแวร์ประเภทนี้ แต่ผู้ใช้ทั่วไปก็สามารถป้องกันปัญหาด้วยการปฏิบัติตามมาตรการด้านความปลอดภัย พึงระลึกไว้ว่าในบางกรณี อาจไม่สามารถทำการกู้คืนระบบโดยไม่จ่ายค่าไถ่ และนี่คือเหตุผลที่เราควรจะแบ็คอัพไฟล์ข้อมูลอย่างสม่ำเสมอเพื่อป้องกันความสูญเสีย
เคล็ดลับบางประการที่จะช่วยปกป้องคุณให้ปลอดภัยจากการโจมตี:
ที่มาบทความ
บทความโดย
นายคงศักดิ์ ก่อตระกูล ผู้จัดการอาวุโสด้านเทคนิค บริษัท เทรนด์ ไมโคร ( ประเทศไทย ) จำกัด
PREECHA BOONLAMP
More Posts
PREECHA BOONLAMP