Ransomware เริ่มมีเล่ห์เหลี่ยม

เผยแพร่แล้ว: 2018-07-06

2017 เป็นปีที่เหลือเชื่อในแง่ของความปลอดภัยทางไซเบอร์ ผู้ใช้เห็นภัยคุกคามจากแรนซัมแวร์ เช่น WannaCry และ NotPetya ภัยคุกคามเหล่านี้สั่นสะเทือนโลกดิจิทัลเนื่องจากไม่มีใครคาดว่าการโจมตีของแรนซัมแวร์จะอุกอาจเช่นนี้ ตั้งแต่นั้นมา สิ่งต่างๆ ก็แย่ลงเรื่อยๆ และภัยคุกคามเหล่านี้ไม่สิ้นสุด อันที่จริง มีการเปลี่ยนแปลงไปสู่ภัยคุกคามที่ร้ายแรงกว่า เช่น cryptojacking และมัลแวร์เข้ารหัสไฟล์ ในแต่ละวันที่ผ่านไป ภัยคุกคามเหล่านี้ก็ทวีความรุนแรงขึ้นเรื่อยๆ

ซึ่งหมายความว่าการโจมตีของมัลแวร์จะไม่หยุดในเร็วๆ นี้ เกมแมวและเมาส์ระหว่างผู้โจมตีทางไซเบอร์และผู้เชี่ยวชาญด้านความปลอดภัยจะมีชีวิตยืนยาวและอาจตลอดไป

ภัยคุกคามที่สำคัญที่พบในปี 2560

อย่าคิดว่า WannaCry และ NotPetya เป็นเพียงการโจมตีเดียวที่เปลี่ยนสถานการณ์ ยังมีภัยคุกคามอื่นๆ ที่ทำให้สิ่งเลวร้ายลงในปีที่แล้ว ทั้งสำหรับบ้านธุรกิจขนาดเล็กและขนาดใหญ่

ไม่นานหลังจากภัยคุกคามเหล่านี้ มีการระบาดของแรนซัมแวร์ครั้งที่สามที่เรียกว่า Bad Rabbit แม้ว่าจะไม่ใหญ่มาก แต่ก็ส่งผลกระทบต่อส่วนสำคัญของรัสเซียและยุโรปตะวันออก

นอกจากนี้ยังมีการโจมตีของมัลแวร์อื่น ๆ ที่แพร่กระจายไปทั่วเช่น Locky ransomware ที่ไม่ไว้วางใจเครือข่ายของโรงพยาบาล Cerber ransomware และอื่น ๆ อีกเล็กน้อย คุณอาจไม่เชื่อเพราะภัยคุกคามเหล่านี้ไม่ได้สร้างหัวข้อข่าว แต่ส่งผลกระทบต่อพื้นที่ส่วนใหญ่ของโลก

แต่เมื่อภัยคุกคามจากแรนซัมแวร์เริ่มจางหายไป การโจมตีแรนซัมแวร์ก็ลดลงอย่างกะทันหันทำให้ผู้คนเชื่อว่าการโจมตีของแรนซัมแวร์กำลังจะตาย แต่นี่เป็นตำนานเมื่อมัลแวร์การขุด cryptocurrency หรือที่รู้จักกันในชื่อ cryptojacking เข้ามาแทนที่

cryptojacking คืออะไร?

มัลแวร์ Cryptomining ที่รู้จักกันในชื่อ cryptojacking เป็นคำใหม่ แต่ได้สร้างชื่อเสียงให้กับโลกของภัยคุกคามออนไลน์ หมายถึงโปรแกรมซอฟต์แวร์และมัลแวร์ที่ออกแบบมาเพื่อใช้ทรัพยากรของคอมพิวเตอร์เพื่อขุด cryptocurrency โดยไม่ได้รับอนุญาตจากผู้ใช้

สิ่งที่ผู้โจมตีทำคือพวกเขาติดเครื่องด้วยมัลแวร์ที่แอบใช้พลังประมวลผลของ CPU เพื่อขุด cryptocurrency วิธีนี้ใช้เพื่อขุด Monero cryptocurrency

การเข้ารหัสลับไม่ได้บล็อกผู้ใช้จากการเข้าถึงระบบต่างจากแรนซัมแวร์ อันที่จริงมันทำให้ความเร็วของระบบช้าลงเนื่องจากผู้โจมตีใช้พลังงาน CPU เพื่อขุด cryptocurrency มัลแวร์ทำงานอย่างลับๆ บนเครื่องและสร้างรายได้ให้กับผู้โจมตีอย่างต่อเนื่อง ทำให้ cryptojacking เป็นที่นิยมมากกว่า ransomware เนื่องจากทั้งผู้เสียหายและผู้โจมตีสามารถทำงานได้โดยไม่รบกวนการทำงานของกันและกัน

นี่หมายความว่าเราไม่จำเป็นต้องกังวลเกี่ยวกับแรนซัมแวร์อีกต่อไปใช่หรือไม่? อาจจะไม่.

อ่านเพิ่มเติม : SamSam Ransomware: มัลแวร์ที่เข้าใจยาก

Ransomware ยังคงเป็นภัยคุกคามและยังมีชีวิตอยู่

หลักฐานที่เห็นในการโจมตีเมืองแอตแลนต้าเมื่อเดือนมีนาคมที่ผ่านมา SamSam ตระกูลของแรนซัมแวร์ที่เริ่มดำเนินการมาตั้งแต่ปี 2558 อยู่เบื้องหลังการโจมตีและถูกใช้ในการเข้ารหัสข้อมูล เนื่องจากบริการออนไลน์จำนวนมากต้องเผชิญการปิดตัวลง

แรนซัมแวร์
ภาพ: Secureworks

บันทึกค่าไถ่ SamSam ในระบบที่ติดเชื้อ

การโจมตีประสบความสำเร็จอย่างน่าทึ่งเมื่อเหยื่อจ่ายเงินเพื่อให้ระบบทำงานได้ ทั้งหมดนี้เป็นไปได้เนื่องจากแรนซัมแวร์ยังคงเป็นภัยคุกคามและจำเป็นต้องมีระดับความเชี่ยวชาญในการจัดการกับมัน

จนกระทั่ง data ransomware ยังคงเป็นภัยคุกคามต่อธุรกิจ

อีกรูปแบบหนึ่งของแรนซัมแวร์ที่ประสบความสำเร็จคือ GandCrab มัลแวร์ปรากฏตัวครั้งแรกในเดือนมกราคม และนำเสนอรูปแบบพันธมิตร ตั้งแต่นั้นมาก็มีการอัปเดตข้อบกพร่องทุกวัน สิ่งนี้บอกว่าผู้โจมตียังคงจริงจังกับแรนซัมแวร์และพวกเขาพยายามอย่างมากที่จะทำให้พวกเขาประสบความสำเร็จ

Ransomware เริ่มมีเล่ห์เหลี่ยม

GandCrab ค่าไถ่หมายเหตุ

นอกจากนี้ ทั้งสองยังมีแรนซัมแวร์อีกตัวที่ซุ่มซ่อนชื่อ DataKeeper เป็นเด็กใหม่ในบล็อก แต่อันตรายมาก DataKeeper ปรากฏในเดือนกุมภาพันธ์ 2018 และตั้งแต่นั้นมาก็สร้างปัญหาขึ้น ผู้โจมตีที่อยู่เบื้องหลังภัยคุกคามนี้มีความร้ายแรงมาก พวกเขาคอยจับตาดูบันทึกความปลอดภัยแต่ละรายการที่เผยแพร่เพื่อแก้ไขแรนซัมแวร์ ทันทีที่พวกเขาพบว่าโปรแกรมแก้ไขสามารถตรวจจับ ransomware ของพวกเขาได้ พวกเขาแก้ไขช่องโหว่และทำให้แข็งแกร่งขึ้น

พวกเขาทำการเปลี่ยนแปลงและอัปเดตรหัสต่อไป

ผลกระทบที่เป็นอันตรายของการโจมตีแรนซัมแวร์

การโจมตีแรนซัมแวร์ไม่มีที่สิ้นสุด พวกมันจะเป็นภัยคุกคามเสมอ แต่เมื่อเวลาผ่านไปประสิทธิภาพลดลง สิ่งเหล่านี้ไม่ได้อยู่ในระดับเดียวกับการโจมตีแรนซัมแวร์ครั้งก่อน ทั้งหมดนี้เกิดจากความนิยมของการโจมตีแบบเข้ารหัสลับ

แต่การเพิกเฉยต่อภัยคุกคามใด ๆ นั้นผิด ในวันที่เราเริ่มทำ ดังนั้นเราจะไม่มีทางรู้ว่าภัยคุกคามเหล่านี้อาจก่อให้เกิดอันตรายต่อข้อมูลของเราได้อย่างไร การโจมตีของแรนซัมแวร์อาจไม่ทำงานแต่มีผลกระทบร้ายแรง พวกเขากำลังบินอยู่ใต้เรดาร์เพื่อให้สามารถโจมตีได้เมื่อถึงเวลา แม้ว่ามันจะทำให้เกิดความเสียหายในระยะสั้น ไซต์หรือธุรกิจของคุณก็ใช้งานไม่ได้เมื่อแรนซัมแวร์เข้ารหัสไฟล์ ทั้งหมดนี้นำไปสู่การสูญเสียความไว้วางใจของลูกค้า และผู้ใช้เริ่มเชื่อว่าบริษัทไม่สามารถรักษาความปลอดภัยข้อมูลของตนได้อีกต่อไป

ต่างจาก crptojacking ที่ต้องการความอดทนในการรับการชำระเงิน ransomware เสนอวันจ่ายเงินจำนวนมากให้กับอาชญากรไซเบอร์โดยไม่ต้องรอ

บทสรุป

การโจมตีของแรนซัมแวร์แพร่กระจายอย่างรวดเร็วราวกับไฟในป่า ช่องโหว่เพียงจุดเดียวที่ตรวจพบสามารถนำไปสู่ความหายนะ ช่องโหว่ EternalBlue SMB ที่อนุญาตให้ NotPetya และ WannaCry แพร่กระจายผ่านเครือข่ายไม่สามารถมองข้ามได้ เพราะคุณไม่มีทางรู้ว่าเมื่อใดที่ความอ่อนไหวเช่นนี้สามารถก่อให้เกิดความเสียหายได้

องค์กรจำเป็นต้องแก้ไขเครือข่ายของตนทันทีที่ทราบเกี่ยวกับช่องโหว่ ในกรณีของ WannaCry และ NotPetya องค์กรส่วนใหญ่ทราบเกี่ยวกับช่องโหว่ของ NSA แล้ว แต่พวกเขามองข้ามไป เนื่องจากต้องแบกรับความสูญเสียมหาศาล

ต้องอ่าน : Dharma Ransomware: Ransomware อีกตัวที่กลับมาจากการลืมเลือน

อาชญากรไซเบอร์นั้นฉลาดมาก พวกเขาไม่ขาดโอกาสใด ๆ พวกเขาเปิดตาอยู่เสมอ และทันทีที่พวกเขาสามารถตรวจพบช่องโหว่ที่พวกเขาเริ่มกำหนดเป้าหมายไปยังเหยื่อ เนื่องจากแรนซัมแวร์จ่ายเงินจำนวนมากในช่วงเวลาสั้นๆ และนี่คือเหตุผลที่อาชญากรไซเบอร์ยังคงใช้แรนซัมแวร์ต่อไป

ถ้าแม้แต่วินาทีเดียวที่คุณคิดว่าแรนซัมแวร์หลุดโฟกัส แสดงว่าคุณคิดผิด มัลแวร์เรียกค่าไถ่อยู่ที่นั่นและจะเป็นตลอดไป เพียงแต่ว่าเมื่อเวลาผ่านไปวิธีการทำงานอาจแตกต่างกันไป แต่จุดมุ่งหมายเบื้องหลังจะไม่เปลี่ยนแปลง อาชญากรไซเบอร์รู้ดีว่าแรนซัมแวร์เป็นวิธีที่ง่ายที่สุดในการสร้างรายได้นับล้าน และพวกเขาจะไม่ทิ้งหินใดๆ ไว้เพื่อสร้างรายได้