Ransomware คืออะไร?

คำศัพท์ที่เราเคยได้ยินและอ่านมามาก โดยเฉพาะอย่างยิ่งในช่วงสองปีที่ผ่านมา เราเจอศัพท์เฉพาะนี้ ส่วนใหญ่อยู่ในบริบทเชิงลบที่องค์กรบางแห่งตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ เป็นต้น

Ransomware เป็นซอฟต์แวร์ที่เป็นอันตรายประเภทหนึ่ง หรือที่เรียกว่ามัลแวร์ (ศัพท์แสงอื่นที่ใช้ค่อนข้างบ่อย) ซึ่งเป็นภัยคุกคามที่อาจนำไปสู่การจำกัดข้อมูลหรือเผยแพร่ในฟอรัมสาธารณะ ซึ่งก่อให้เกิดความเสี่ยงทางธุรกิจ โดยปกติจะทำโดยการเข้ารหัสข้อมูลที่เหยื่อต้องจ่ายค่าไถ่ให้กับผู้โจมตีเพื่อเปิดเผยข้อมูล โดยปกติในกรณีดังกล่าว มีกำหนดเส้นตายสำหรับเหยื่อในการจ่ายค่าไถ่ ในกรณีที่เหยื่อไม่เป็นไปตามกำหนดเวลา ผู้โจมตีจะลบข้อมูล ในกรณีที่ดีที่สุด ผู้โจมตีจะเพิ่มค่าไถ่พร้อมกับกำหนดเส้นตายที่แก้ไข

การโจมตีจากมัลแวร์เป็นเรื่องปกติในทุกวันนี้ และเราได้เห็นองค์กรจำนวนมากจากอเมริกาเหนือและยุโรปตกเป็นเหยื่อของการโจมตีดังกล่าว ผู้โจมตีทางไซเบอร์เหล่านี้ไม่มีเกณฑ์ที่กำหนดไว้ เนื่องจากสามารถโจมตีกลุ่มลูกค้าหรือองค์กรใดๆ ในอุตสาหกรรมได้

หน่วยงานหลายแห่ง เช่น FBI และรัฐบาลบางแห่งงดเว้นจากการจ่ายค่าไถ่ดังกล่าว อันที่จริง มีโครงการพิเศษที่เรียกว่า No Ransom Project ซึ่งเป็นองค์กรไม่แสวงผลกำไรที่ทำงานโดยมีเป้าหมายที่จะไม่ให้ค่าไถ่แก่ผู้โจมตีทางไซเบอร์ ยิ่งกว่านั้น เป็นที่สังเกตว่าผู้ที่ตกเป็นเหยื่อที่จ่ายค่าไถ่อาจถูกโจมตีซ้ำแล้วซ้ำเล่าของแรนซัมแวร์

เบื้องหลังการโจมตีของแรนซัมแวร์

หากเราดูประวัติของการโจมตีแรนซัมแวร์ การโจมตีนั้นมีอายุย้อนไปถึงปี 1989 เมื่อผู้โจมตีทางไซเบอร์ใช้ 'AIDS Virus' เพื่อรีดไถเงินจากเหยื่อ เมื่อการจ่ายเงินสำหรับการโจมตีครั้งนี้ (ผ่านจดหมาย) ไปยังปานามา คีย์ถอดรหัสก็ถูกปล่อยทางไปรษณีย์ด้วย

ในปี พ.ศ. 2539 Moti Yung และ Adam Young จากมหาวิทยาลัยโคลัมเบียได้แนะนำคำจำกัดความของแรนซัมแวร์ 2 คน และพวกเขาได้สร้างคำว่า "crypto viral extortion" นักวิชาการสองคนนี้นำเสนอการโจมตีด้วยไวรัสเข้ารหัสลับครั้งแรกในปี 1996 ในการประชุมของ IEEE ซึ่งเป็นการประชุมด้านความปลอดภัยและความเป็นส่วนตัว

ในช่วงระยะเวลาหนึ่ง เราได้เห็นนวัตกรรมในด้านการโจมตีทางไซเบอร์และการโจมตีของแรนซัมแวร์ ผู้โจมตีทางไซเบอร์มีความคิดสร้างสรรค์โดยการขอเงินค่าไถ่ซึ่งแทบจะเป็นไปไม่ได้เลยที่จะติดตาม วิธีนี้อาชญากรไซเบอร์เหล่านี้จะไม่เปิดเผยตัวตนว่าอยู่ที่ไหน ในขณะที่เราเห็นการเพิ่มขึ้นของการใช้สกุลเงินดิจิทัล เช่น Bitcoin เราพบว่าการโจมตี ransomware เพิ่มขึ้นอย่างมาก

หากเราดูที่รูปแบบ การโจมตีของแรนซัมแวร์ทำให้ทุกอุตสาหกรรมตกเป็นเหยื่อ โดยการโจมตีที่โด่งดังที่สุดคือการโจมตีใน Presbyterian Memorial Hospital เป็นการโจมตีครั้งใหญ่ที่ห้องทดลอง ร้านขายยา และห้องฉุกเฉินต่างก็ตกเป็นเหยื่อของสิ่งนี้

แรนซัมแวร์ทำงานอย่างไร?

ตามที่กล่าวไว้ก่อนหน้านี้ ransomware เป็นมัลแวร์ประเภทหนึ่งที่สร้างขึ้นเพื่อรีดไถเงินจากองค์กรโดยการเข้ารหัสข้อมูลและบล็อกการเข้าถึง เราเห็นแรนซัมแวร์ส่วนใหญ่สองประเภท – ชุดหนึ่งเรียกว่าตัวเข้ารหัส และอีกชุดหนึ่งเรียกว่าล็อกเกอร์หน้าจอ เนื่องจากชื่อนี้อธิบายได้ในตัว ตัวเข้ารหัสจึงเข้ารหัสข้อมูล ทำให้ซ้ำซ้อนโดยไม่ต้องใช้คีย์ถอดรหัส อย่างไรก็ตาม ตัวล็อกหน้าจอจะบล็อกการเข้าถึงระบบโดยปรับใช้ "หน้าจอล็อก"

ในสถานการณ์สมมตินี้ เหยื่อมักจะเห็นหน้าจอล็อกที่มีข้อความให้ซื้อสกุลเงินดิจิทัล เช่น Bitcoin เพื่อจ่ายค่าไถ่ ทันทีที่จ่ายค่าไถ่ องค์กรจะได้รับคีย์ถอดรหัส จากนั้นพวกเขาสามารถลองถอดรหัสไฟล์ได้ อย่างไรก็ตาม ไม่มีกฎหรือจรรยาบรรณที่ผู้โจมตีทางไซเบอร์เหล่านี้ปฏิบัติตาม บางครั้ง แม้หลังจากจ่ายค่าไถ่แล้ว เหยื่อก็ไม่ได้รับคีย์ถอดรหัส ที่แย่กว่านั้นคือ มัลแวร์ยังคงติดตั้งอยู่แม้ว่าจะจ่ายค่าไถ่แล้วก็ตาม

โดยปกติ การโจมตีของมัลแวร์ในองค์กรดังกล่าวจะเริ่มต้นด้วยอีเมลที่น่าสงสัย ผู้ใช้อาจเปิดอีเมลนั้นโดยไม่สงสัยอะไรเลย และนั่นก็เปิดเวิร์มกระป๋องหนึ่งกระป๋อง

ใครบ้างที่มีความเสี่ยง?

เมื่อเราพูดถึงแรนซัมแวร์ อุปกรณ์หรืออุปกรณ์ใดๆ ที่เชื่อมต่อกับอินเทอร์เน็ตมีความเสี่ยงที่อาจตกเป็นเหยื่อของการโจมตีของมัลแวร์ แรนซัมแวร์มักจะตรวจสอบอุปกรณ์ในพื้นที่และอุปกรณ์ใดๆ ที่เชื่อมต่อกับเครือข่าย ซึ่งหมายความว่าเครือข่ายท้องถิ่นในองค์กรก็มีความเสี่ยงที่จะตกเป็นเหยื่อเช่นกัน

ดังนั้น หากอุปกรณ์เชื่อมต่อกับอินเทอร์เน็ต องค์กรจึงจำเป็นต้องมีการอัปเดตความปลอดภัยล่าสุดและระบบรักษาความปลอดภัยปลายทาง เพื่อหลีกเลี่ยงการเข้าระบบที่เป็นอันตรายโดยผู้โจมตีทางไซเบอร์เหล่านี้

ผลกระทบของแรนซัมแวร์ต่อธุรกิจ?

เป็นคำแถลงที่ไม่ได้เขียนไว้เป็นลายลักษณ์อักษรว่าธุรกิจใดๆ ที่ตกเป็นเหยื่อของแรนซัมแวร์ จะเกิดความสูญเสียที่สามารถเรียกใช้เงินหลายล้านดอลลาร์ได้ ยิ่งไปกว่านั้น ยังสร้างผลกระทบต่อการสูญเสียธุรกิจใหม่อีกด้วย แม้ว่าธุรกิจจะได้รับการกอบกู้ แต่พนักงานต้องใช้เวลาหลายชั่วโมงเพื่อสร้างข้อมูลที่พวกเขาสูญเสีย ซึ่งจะทำให้สูญเสียประสิทธิภาพการทำงานหลายพันชั่วโมง สิ่งแรกที่การโจมตีของมัลแวร์ทำคือหยุดประสิทธิภาพการทำงานขององค์กร ดังนั้นจึงเป็นเรื่องสำคัญสำหรับองค์กรที่จะต้องกักกันเป็นภารกิจแรก การวิเคราะห์สาเหตุที่แท้จริงจะช่วยในการระบุช่องโหว่ แต่ถ้าทำให้เกิดความล่าช้า ก็จะส่งผลกระทบร้ายแรงต่อประสิทธิภาพการทำงานและรายได้

ตัวอย่างของ Ransomware

แม้ว่าตัวอย่างแรนซัมแวร์จะมีมากมายสำหรับองค์กรธุรกิจทุกแห่งที่จะอ้างถึง แต่ก็มีตัวอย่างที่สำคัญบางอย่างที่โดดเด่น ซึ่งสามารถช่วยในการตั้งค่าพื้นฐานสำหรับองค์กรใดๆ เพื่อหลีกเลี่ยงการโจมตีของแรนซัมแวร์ดังกล่าว มาดูตัวอย่างกัน

WannaCry – เป็นไวรัสที่ทรงพลังซึ่งมีช่องโหว่ของ Microsoft ซึ่งถูกควบคุมโดยผู้โจมตีทางไซเบอร์เหล่านี้เพื่อแพร่เชื้อมากกว่า 250,000 ระบบ อย่างไรก็ตาม ก่อนที่มันจะแพร่กระจายไปยังระบบอื่นๆ สวิตช์ฆ่าถูกสะดุดเพื่อหยุดมัน Proofpoint – ชื่อในพื้นที่ความปลอดภัยและความเป็นส่วนตัว ถูกนำไปใช้เพื่อรับรายละเอียดของแรนซัมแวร์

BadRabbit – นี่ถือเป็นแรนซัมแวร์ที่มองเห็นได้ โดยมีเป้าหมายหลักคือบริษัทสื่อในภูมิภาครัสเซียและยูเครน ทันทีที่จ่ายค่าไถ่ BadRabbit ได้จัดเตรียมรหัสถอดรหัสไว้ เป็นที่สงสัยว่าไวรัสแพร่กระจายผ่าน Flash Player ปลอม

NotPetya – กล่าวกันว่าเป็นพี่ชายของ BadRabbit, NotPetya เป็นหนึ่งในการโจมตีของมัลแวร์ที่ร้ายแรงที่สุด มันใช้ประโยชน์จากช่องโหว่เช่น WannaCry และเริ่มแพร่กระจายอย่างรวดเร็ว เรียกร้องค่าไถ่เป็น bitcoin อย่างไรก็ตาม NotPetya ไม่สามารถยกเลิกการเปลี่ยนแปลงมาสเตอร์บูตเรคคอร์ดได้ ซึ่งหมายความว่าระบบเป้าหมายไม่สามารถกู้คืนได้

นี่คือตัวอย่างมัลแวร์อันดับต้นๆ มีคนอื่นเช่น CryptoLocker, REvil, Ryuk และอีกมากมาย

ความคิดสุดท้าย

Ransomware จะไม่หายไป ตราบใดที่ยังมีคนคิดร้าย เราก็จะได้เห็นนวัตกรรมในด้านนี้อย่างต่อเนื่อง เห็นได้ชัดจากสถิติของ FBI ซึ่งระบุว่ามีการโจมตีแรนซัมแวร์ประมาณ 4,000 ครั้งเกิดขึ้นทุกวัน แม้ว่าแรนซัมแวร์และไวรัสจะเป็นมัลแวร์ประเภทต่างๆ แต่แรนซัมแวร์โดยพื้นฐานแล้วไม่ใช่ไวรัส เพราะมันไม่ได้ทำซ้ำเหมือนไวรัส

วิธีเดียวสำหรับองค์กรในการป้องกันตนเองจากการโจมตีของแรนซัมแวร์ดังกล่าว คือการสร้างสรรค์นวัตกรรมระบบความปลอดภัยของตนอย่างต่อเนื่อง และให้ความรู้แก่ผู้ใช้เกี่ยวกับภัยคุกคามจากแรนซัมแวร์ที่อาจเกิดขึ้น รวมถึงอีเมลที่เป็นอันตรายและแหล่งที่มาอื่นๆ