รวมไวรัส Ransomware ตัวร้ายที่สาวกคริปโตต้องระวัง

อย่างที่ได้มีการรายงานข่าวในช่วงก่อนหน้านี้ ไวรัสประเภท Ransomware ซึ่งถูกโปรแกรมให้โจมตีระบบเป้าหมายเพื่อทำการเข้ารหัสไฟล์หรือข้อมูลสำคัญในระบบเพื่อแลกกับการจ่ายเงินค่าไถ่เป็นสกุลเงินคริปโตนั้นกำลังแพร่ระบาด การโจมตีในรูปแบบดังกล่าวนี้ได้เพิ่มขึ้นอย่างมากจากในช่วงปีก่อน โดยเหตุผลส่วนหนึ่งอาจมีที่มาจากการใช้ประโยชน์จากจุดอ่อนของธุรกิจหรือพนักงานในองค์กรต่างๆในช่วงสถานการณ์การแพร่ระบาดของเชื้อ COVID-19 นี้ก็เป็นได้

รายงานจากสื่อชื่อดัง New York Times นั้นได้มีการชี้ให้เห็นถึงอัตราการโจมตีโดยใช้ Ransomware เรียกค่าไถ่นั้นเพิ่มขึ้นอย่างมากจากในช่วงปลายปีก่อน โดยส่งผลกระทบต่อหลายองค์กรในประเทศสหรัฐอเมริกาให้ต้องสูญเสียเงินไปกว่าหลายล้านดอลลาร์ในการปลดล็อคข้อมูลสำคัญของพวกเขา อย่างไรก็ตามการโจมตีดังกล่าวนั้นไม่ได้ถูกจำกัดไว้แค่ผู้ใช้งานภายในประเทศเท่านั้น แต่อาจส่งผลกระทบถึงผู้ใช้งานอินเทอร์เน็ตในต่างประเทศรวมถึงประเทศไทยด้วยก็เป็นได้

ดังนั้นแล้ว บทความนี้จึงได้ทำการสรุปรายชื่อ Ransomware ซึ่งมีอันตรายและควรที่ผู้ใช้งานจะต้องจับตาดูกิจกรรมที่เกิดขึ้นซึ่งอาจเปิดช่องให้แก่เหล่าไวรัสเหล่านี้อย่างใกล้ชิด ดังนี้

WastedLocker

ไวรัส Ransomware ตัวดังกล่าวนี้ถูกสร้างขึ้นโดยกลุ่มแฮกเกอร์ในชื่อ Evil Corp ซึ่งขึ้นชื่อด้านอาชญากรรมทางไซเบอร์มาอย่างยาวนานตั้งแต่ในช่วงปี 2007 ทั้งยังได้ก่อความเสียหายแก่โลกอินเทอร์เน็ตไว้อย่างมากมายอีกด้วย ซึ่ง WastedLocker นั้นเป็นมัลแวร์ตัวล่าสุดจากทีมซึ่งเริ่มมีประวัติการดำเนินการตั้งแต่ในช่วงเดือนพฤษภาคมที่ผ่านมา โดยชื่อมัลแวร์ตัวดังกล่าวนี้มีที่มาจากชื่อไฟล์ที่ถูกเขารหัสเนื่องจากการโจมตีนั่นเอง

WastedLocker นั้นเป็นหนึ่งใน Ransomware ที่อันตรายมากต่อองค์กรธุรกิจ เนื่องจากการโจมตีของมัลแวร์ตัวนี้มุ่งเน้นไปที่ระบบการสำรองไฟล์หรือการ Backup รวมทั้งระบบฐานข้อมูลและระบบการเก็บข้อมูลบนคลาวด์ ซึ่ง WastedLocker นั้นจะทำการเข้ารหัสไฟล์เป้าหมายเพื่อจำกัดการเข้าถึง รวมทั้งจำกัดไม่ให้เจ้าของไฟล์สามารถกู้คืนไฟล์ดังกล่าวได้อย่างยาวนาน แม้ว่าจะได้มีการสำรองไฟล์ไว้บนระบบ Offline แล้วก็ตาม แต่ทั้งนี้ WastedLocker นั้นต่างจากมัลแวร์อื่นๆเนื่องจากพวกเขาจะไม่ทำการเปิดเผยข้อมูลของเหยื่อ

DoppelPaymer

เช่นเดียวกับ Ransomware ตัวอื่นๆ DoppelPaymer นั้นโจมตีข้อมูลของเป้าหมายด้วยการเข้ารหัสไฟล์ ส่งผลให้เจ้าของไฟล์ดังกล่าวไม่สามารถเข้าถึงไฟล์จนกว่าจะได้จ่ายจ่ายให้แก่ผู้อยู่เบื้องหลังการโจมตีก่อน โดย DoppelPaymer นี้ถูกสร้างโดยกลุ่มแฮ็กเกอร์ในชื่อ INDRIK SPIER และได้รับการตรวจพบในช่วงปี2019 ผ่านซอฟต์แวร์ป้องกันระบบของบริษัท CrowdStrike

DoppelPaymer นั้นเป็นหนึ่งใน Ransomware ที่ประสบความสำเร็จในการเรียกค่าไถ่อย่างมาก โดยข้อมูลจาก Chainalysis นั้นได้ชี้ให้เห็นว่ามัลแวร์ดังกล่าวนั้นได้สร้างรายได้ไปมากกว่า 100,000 ดอลลาร์เลยทีเดียว ซึ่ง DoppelPaymer นั้นมีการโจมตีองค์กรต่างๆ เช่น เมือง Terrace ของรัฐแคลิฟอร์เนียที่ได้มีการเรียกค่าไถ่กว่า 100 BTC เพื่อแลกกับการปลดล๊อคข้อมูลกว่า 200 GB  นอกจากนี้แล้วระบบข้อมูลข่าวสารของเมืองAlabama ยังถูกโจมตีในลักษณะเดียวกันอีกด้วย

Dridex

แหล่งข้อมูลการรายงานจากบริษัท Check Point  นั้นได้มีการเปิดเผยถึงการโจมตีของ Dridex อีกครั้งในช่วงเดือนมีนาคมปี 2020 นี้หลังจากที่ห่างหายไปจากวงการตั้งแต่ได้มีการเริ่มต้นการโจมตีในปี 2011 ในชื่อBugat และ Cridex ที่มุ่งเน้นไปที่การขโมยเอกสารทางการเงินของผู้ใช้บริการธนาคารผ่านทางโปรแกรม Microsoft Word

การกลับมาในครั้งนี้ของ Dridex นั้นได้ก้าวข้ามขีดจำกัดของโปรแกรมที่มีโอกาสติดไวรัสดังกล่าวได้ เนื่องจากได้มีการขยายการโจมตีไปที่ผู้ใช้แพลตฟอร์มวินโดว์ทั้งหมดเลยนั่นเอง ทั้งนี้ Dridex นั้นไม่ใช่ Ransomware โดยตรงแต่เป็นหนี่งในเครื่องมือสำคัญที่เหล่าแฮ็กเกอร์สามารถใช้เพื่อปล่อย Ransomware ลงในระบบต่างๆเพื่อปูทางไปสู่การเรียกค่าไถ่ได้นั่นเอง ซึ่งแม้ว่าจะได้มีการปราบปรามมัลแวร์ตัวนี้ไปก่อนแล้ว แต่ก็ดูเหมือนว่าประโยชน์ของมันจะดึงดูดให้อาชญากรรายอื่นๆนำไปใช้เพิ่มมากขึ้นอีกนั่นเอง

Ryuk

Ransomware ดังกล่าวนี้ได้มุ่งเป้าไปที่การโจมตีองค์กรทางการแพทย์รวมทั้งโรงพยายาบาลต่างๆ ซึ่งได้มีการดำเนินการมาตั้งแต่ในช่วงก่อนหน้านี้จนกระทั่งมีการพูดถึงอีกครั้งในช่วงวันที่ 27 มีนาคมที่ผ่านมา ช่องทางในการเริ่มต้นการโจมตีนั้นเป็นเช่นเดียวกับที่ใช้ในมัลแวร์อื่นๆ เช่น การปล่อยไวรัสผ่านทางอีเมล์แสปมหรือการผูกติดกับลิงก์สำหรับการดาวน์โหลดในแต่ละพื้นที่ นอกจากนี้ Ryuk นั้นยังเป็นหนึ่งในตระกูลเดียวกันกับมัลแวร์ Hermes ซึ่งใช้ในการโจมตีระบบ SWIFT ในช่วงปี 2017 อีกด้วย

Revil

Ransomeware ซึ่งเป็นผลงานของกลุ่มอาชญากรไซเบอร์ REvil (Sodinokibi) ซึ่งร่วมกันพัฒนาการดำเนินการให้มีประสิทธิภาพมากขึ้น ทั้งยังได้พัฒนามัลแวร์ดังกล่าวและนำออกจำหน่ายในฐานะผลิตภัณฑ์หรือ RaaS (Ransomware-as-a-Service) ให้แก่เหล่าอาชญากรรายอื่นๆอีกด้วย โดยทางบริษัท KPN นั้นได้มีรายงานถึงการพบร่องรอยการของมัลแวร์ดังกล่าวกว่า 148 จุด ซึ่งส่งผลให้คอมพิวเตอร์ทั่วโลกกว่า 150,000 เครื่องได้รับการติดตั้งมัลแวร์ดังกล่าวเป็นที่เรียบร้อยแล้วนั่นเอง

เหตุการณ์ที่แย่ไปกว่านั้นคือการที่ทางกลุ่ม REvil (Sodinokibi) นั้นได้มีการเปิดประมูลข้อมูลที่ได้ขโมยมาจากองค์กรที่ไม่สามารถจ่ายค่าไถ่ตามที่เรียกร้องได้ โดยการประมูลดังกล่าวมีขั้นต่ำที่ 50,000 ดอลลาร์ ซึ่งกลุ่ม REviloyho รับการจ่ายเงินเป็นสกุลเงินคริปโต Monero (XMR) เนื่องจากเหรียญดังกล่าวนั้นมีความปลอดภัยต่อการถูกตรวจสอบมากกว่าเหรียญอย่าง Bitcoin

PonyFinal

Ransomware ดังกล่าวนี้เป็นอีกหนึ่งมัลแวร์ที่มีการดำเนินการแตกต่างออกไปจากมัลแวร์ตัวอื่นๆ เนื่องจาก PonyFinal นั้นได้ใช้ประโยชน์จากสภาพแวดล้อมเสมือนซึ่งเกิดจากเครื่องมือการเขียนโปรแกรมอย่าง Java Runtime หรือระบบไฟล์แบบ MSI ซึ่งถูกปล่อยเข้าสู่ระบบโดยผู้โจมตีโดยตรง ซึ่งกรณีดังกล่าวเป็นการดำเนินการผ่านตัวอุปกรณ์ที่เชื่อมต่อกับระบบซึ่งต่างจากกรณีทั่วไปที่จะเป็นการปล่อยผ่านอีเมล์หรือการเข้าลิ้งที่ถูกตั้งโปรแกรมไว้ นอกจากนี้แล้ว Ransomware ดังกล่าวนี้ยังมุ่งเป้าไปที่การโจมตีองค์กรด้านการแพทย์อีกด้วย

บทสรุปของสถานการณ์ Ransomware ในปัจจุบัน

แม้ว่าปริมาณของการโจมตีที่เกิดขึ้นจาก Ransomware นั้นจะเพิ่มมากขึ้นอย่างเห็นได้ชัดก็ตาม แต่อัตราการประสบความสำเร็จของการโจมตีเหล่านี้กลับลดลง ซึ่งรายงานของทางศูนย์การวิจัยทางด้านมัลแวร์อย่าง Emsisoft ได้ยืนยันถึงข้อเท็จจริงดังกล่าวที่เกิดขึ้นในภูมิภาคสหรัฐฯ เช่นเดียวกับรายงานของทาง Chainalysis ทำให้เหล่ากลุ่มอาชญากรนั้นจำเป็นที่จะต้องหารายได้ทางอื่นเช่นการเอาข้อมูลที่ได้มาออกขายในตลาดมืด เป็นต้น

อย่างไรก็ตามแม้ว่าการโจมตีในรูปแบบนี้ส่วนใหญ่แล้วมักจะมุ่งไปที่การโจมตีองค์กรขนาดใหญ่หรือองค์กรของรัฐซึ่งมีศักยภาพในการจ่ายเงินค่าไถ่ในปริมาณมาก ที่มากกว่าการโจมตีเป้าหมายถึงเป็นบุคคลธรรมดาก็ตาม แต่เราก็ไม่ควรประมาทและละเลยมาตรการการปลอดภัย โดยเฉพาะในช่วงเวลาที่หลายคนต้องทำงานจากที่บ้านซึ่งอาจไม่มีระบบการป้องกันการโจมตีทางไซเบอร์ที่แข็งแรงเท่ากับระบบขององค์หรือบริษัทนั่นเอง