กรณี VNDirect และอะไรที่ทำให้ Ransomware เป็นอันตราย?
เมื่อวันที่ 24 มีนาคม 2024 บริษัท VNDirect Securities ในเวียดนามกลายเป็นจุดศูนย์กลางล่าสุดบนแผนที่การโจมตีด้วยแรนซัมแวร์ระดับนานาชาติ การโจมตีครั้งนี้ไม่ใช่กรณีที่เกิดขึ้นเพียงครั้งเดียว
แรนซัมแวร์ ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่ออกแบบมาเพื่อเข้ารหัสข้อมูลในระบบของเหยื่อและเรียกค่าไถ่เพื่อถอดรหัส กลายเป็นหนึ่งในภัยคุกคามความปลอดภัยทางไซเบอร์ที่แพร่หลายและอันตรายที่สุดในโลกปัจจุบัน การพึ่งพาข้อมูลดิจิทัลและเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้นในทุกพื้นที่ของชีวิตทางสังคมทำให้องค์กรและบุคคลเสี่ยงต่อการโจมตีเหล่านี้
อันตรายของแรนซัมแวร์ไม่ได้มีแค่ความสามารถในการเข้ารหัสข้อมูลเท่านั้น แต่ยังรวมถึงวิธีที่มันแพร่กระจายและเรียกค่าไถ่ ซึ่งสร้างช่องทางทำธุรกรรมทางการเงินที่แฮกเกอร์สามารถทำกำไรอย่างผิดกฎหมายได้ ความซับซ้อนและความไม่แน่นอนของการโจมตีด้วยแรนซัมแวร์ทำให้เป็นหนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดที่ความปลอดภัยทางไซเบอร์ต้องเผชิญในปัจจุบัน
การโจมตี VNDirect ถือเป็นการเตือนใจที่ชัดเจนถึงความสำคัญของการทำความเข้าใจและการป้องกันแรนซัมแวร์ เราจะกำหนดมาตรการป้องกันที่มีประสิทธิผลได้ตั้งแต่การให้ความรู้ผู้ใช้ การใช้โซลูชันทางเทคนิค ไปจนถึงการสร้างกลยุทธ์ป้องกันที่ครอบคลุมเพื่อปกป้องข้อมูลและระบบข้อมูลที่สำคัญได้ก็ต่อเมื่อเข้าใจวิธีการทำงานของแรนซัมแวร์และภัยคุกคามที่มันก่อขึ้นเท่านั้น
Ransomware ทำงานอย่างไร
แรนซัมแวร์ ซึ่งเป็นภัยคุกคามที่น่ากลัวในโลกแห่งความปลอดภัยทางไซเบอร์ ทำงานในลักษณะที่ซับซ้อนและหลากหลาย ทำให้ส่งผลร้ายแรงต่อผู้ที่ตกเป็นเหยื่อ เพื่อให้เข้าใจการทำงานของแรนซัมแวร์ได้ดีขึ้น เราก็ต้องเจาะลึกในแต่ละขั้นตอนของกระบวนการโจมตี
การติดเชื้อ
การโจมตีเริ่มต้นเมื่อแรนซัมแวร์ติดเชื้อในระบบ มีวิธีทั่วไปหลายวิธีที่แรนซัมแวร์ใช้ในการแทรกซึมเข้าสู่ระบบของเหยื่อ ได้แก่:
อีเมลฟิชชิ่ง: อีเมลปลอมที่มีไฟล์แนบที่เป็นอันตรายหรือลิงค์ไปยังเว็บไซต์ที่มีโค้ดที่เป็นอันตราย การใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย: การใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการแก้ไขเพื่อติดตั้งแรนซัมแวร์โดยอัตโนมัติโดยไม่ต้องมีการโต้ตอบจากผู้ใช้ การโฆษณาแบบมัลแวร์: การใช้โฆษณาทางอินเทอร์เน็ตเพื่อเผยแพร่โค้ดที่เป็นอันตราย การดาวน์โหลดจากเว็บไซต์ที่เป็นอันตราย: ผู้ใช้ดาวน์โหลดซอฟต์แวร์หรือเนื้อหาจากเว็บไซต์ที่ไม่น่าเชื่อถือ
การเข้ารหัส
เมื่อติดไวรัสแล้ว แรนซัมแวร์จะเริ่มกระบวนการเข้ารหัสข้อมูลบนระบบของเหยื่อ การเข้ารหัสคือกระบวนการแปลงข้อมูลเป็นรูปแบบที่ไม่สามารถอ่านได้หากไม่มีคีย์ถอดรหัส Ransomware มักใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง เพื่อให้แน่ใจว่าข้อมูลที่เข้ารหัสไม่สามารถกู้คืนได้หากไม่มีคีย์เฉพาะ
การเรียกร้องค่าไถ่
หลังจากเข้ารหัสข้อมูลแล้ว แรนซัมแวร์จะแสดงข้อความบนหน้าจอของเหยื่อ เพื่อเรียกร้องค่าไถ่เพื่อถอดรหัสข้อมูล โดยทั่วไปในประกาศจะมีคำแนะนำเกี่ยวกับวิธีการชำระเงิน (โดยปกติจะใช้ Bitcoin หรือสกุลเงินดิจิทัลอื่น ๆ เพื่อซ่อนตัวตนของอาชญากร) รวมถึงกำหนดเวลาในการชำระเงิน แรนซัมแวร์บางเวอร์ชันยังขู่ว่าจะลบข้อมูลหรือเผยแพร่ข้อมูลหากไม่จ่ายค่าไถ่
การทำธุรกรรมและการถอดรหัส (หรือไม่)
จากนั้นเหยื่อจะต้องเผชิญกับการตัดสินใจที่ยากลำบาก: จ่ายค่าไถ่และหวังว่าจะได้ข้อมูลกลับคืนมา หรือปฏิเสธและสูญเสียข้อมูลไปตลอดกาล อย่างไรก็ตามการชำระเงินไม่ได้รับประกันว่าข้อมูลจะถูกถอดรหัสได้ ในความเป็นจริงสิ่งนี้อาจเป็นการส่งเสริมให้ผู้กระทำความผิดดำเนินการกระทำต่อไปก็ได้
กลไกการทำงานของแรนซัมแวร์ไม่เพียงแต่แสดงให้เห็นถึงความซับซ้อนทางเทคนิค แต่ยังสะท้อนถึงความเป็นจริงที่น่าเศร้าอีกด้วย นั่นก็คือความเต็มใจที่จะแสวงประโยชน์จากความหลงเชื่อและความไม่รู้ของผู้ใช้ สิ่งนี้จะเน้นย้ำถึงความสำคัญของการสร้างความตระหนักและความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ ตั้งแต่การรับรู้อีเมลฟิชชิ่งไปจนถึงการดูแลรักษาซอฟต์แวร์ความปลอดภัยให้ทันสมัย เมื่อต้องเผชิญกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลา เช่น แรนซัมแวร์ การศึกษาและการป้องกันจึงมีความสำคัญมากกว่าที่เคย
รูปแบบทั่วไปของ Ransomware
ในโลกของภัยคุกคามจากแรนซัมแวร์ ไวรัสบางชนิดมีความโดดเด่นในเรื่องความซับซ้อน ความสามารถในการแพร่กระจาย และผลกระทบรุนแรงต่อองค์กรต่างๆ ทั่วโลก ด้านล่างนี้เป็นคำอธิบายของรูปแบบทั่วไปเจ็ดแบบและหลักการทำงานของรูปแบบเหล่านั้น
REvil (หรือเรียกอีกอย่างว่า Sodinokibi)
คุณสมบัติ: REvil เป็นรูปแบบหนึ่งของ Ransomware-as-a-Service (RaaS) ที่ให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถ "เช่า" มันเพื่อดำเนินการโจมตีด้วยตัวเอง ส่งผลให้การแพร่กระจายและจำนวนเหยื่อของแรนซัมแวร์นี้เพิ่มขึ้นอย่างมาก
วิธีการแพร่กระจาย: การกระจายผ่านช่องโหว่ด้านความปลอดภัย อีเมล์ฟิชชิ่ง และเครื่องมือโจมตีระยะไกล REvil ยังใช้การโจมตีเพื่อเข้ารหัสหรือขโมยข้อมูลโดยอัตโนมัติ
ริวค์
ลักษณะเฉพาะ: Ryuk มุ่งเป้าไปที่องค์กรขนาดใหญ่เพื่อเรียกค่าไถ่สูงสุด มีความสามารถในการปรับแต่งตัวเองให้เหมาะสมกับการโจมตีแต่ละครั้ง ทำให้ตรวจจับและลบได้ยาก
วิธีการแพร่กระจาย: ผ่านทางอีเมลฟิชชิ่งและเครือข่ายที่ติดมัลแวร์อื่น ๆ เช่น Trickbot และ Emotet Ryuk จะแพร่กระจายและเข้ารหัสข้อมูลเครือข่าย
โรบินฮู้ด
คุณสมบัติ: Robinhood เป็นที่รู้จักในความสามารถในการโจมตีระบบของรัฐบาลและองค์กรขนาดใหญ่โดยใช้วิธีการเข้ารหัสที่ซับซ้อนเพื่อล็อคไฟล์และเรียกค่าไถ่จำนวนมาก
วิธีการแพร่กระจาย: แพร่กระจายผ่านแคมเปญฟิชชิ่ง รวมถึงการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์
ดับเบิ้ลเพย์เมอร์
คุณสมบัติ: DoppelPaymer เป็นแรนซัมแวร์แบบสแตนด์อโลนที่มีความสามารถในการก่อให้เกิดความเสียหายร้ายแรงโดยการเข้ารหัสข้อมูลและขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่
วิธีการแพร่กระจาย: แพร่กระจายผ่านเครื่องมือโจมตีระยะไกลและอีเมลฟิชชิ่ง โดยกำหนดเป้าหมายไปที่ช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการแก้ไขโดยเฉพาะ
งู (เรียกอีกอย่างว่า EKANS)
คุณสมบัติ: SNAKE ได้รับการออกแบบมาเพื่อโจมตีระบบควบคุมอุตสาหกรรม (ICS) มันไม่เพียงแต่เข้ารหัสข้อมูล แต่ยังสามารถรบกวนกระบวนการทางอุตสาหกรรมได้อีกด้วย
วิธีการแพร่พันธุ์: ผ่านการฟิชชิ่งและการแสวงหาประโยชน์โดยเน้นการกำหนดเป้าหมายไปที่ระบบอุตสาหกรรมเฉพาะ
โฟบอส
คุณสมบัติ: Phobos มีความคล้ายคลึงกับ Dharma ซึ่งเป็นแรนซัมแวร์อีกชนิดหนึ่ง และมักใช้โจมตีธุรกิจขนาดเล็กผ่าน RDP (Remote Desktop Protocol)
วิธีแพร่กระจาย: โดยทั่วไปใช้ผ่าน RDP ที่เปิดเผยหรือมีช่องโหว่ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงจากระยะไกลและใช้แรนซัมแวร์ได้
ล็อคบิต
LockBit เป็นแรนซัมแวร์รูปแบบยอดนิยมอีกชนิดหนึ่ง ซึ่งดำเนินการภายใต้โมเดล Ransomware-as-a-Service (RaaS) และเป็นที่รู้จักในการโจมตีธุรกิจและองค์กรภาครัฐ LockBit ดำเนินการโจมตีในสามขั้นตอนหลัก: ใช้ประโยชน์จากช่องโหว่ เจาะลึกเข้าไปในระบบ และใช้งานเพย์โหลดที่เข้ารหัส
เฟสที่ 1 - การใช้ประโยชน์: LockBit ใช้ประโยชน์จากจุดอ่อนในเครือข่ายโดยใช้เทคนิคต่างๆ เช่น วิศวกรรมสังคม เช่น อีเมลฟิชชิ่ง หรือการโจมตีด้วยบรูทฟอร์ซบนเซิร์ฟเวอร์อินทราเน็ตและระบบเครือข่าย
เฟสที่ 2 - การแทรกซึม: หลังจากการแทรกซึม LockBit จะใช้เครื่องมือ "หลังการใช้ประโยชน์" เพื่อเพิ่มระดับการเข้าถึงและเตรียมระบบสำหรับการโจมตีแบบเข้ารหัส
ขั้นตอนที่ 3 - การปรับใช้: LockBit จะปรับใช้เพย์โหลดที่เข้ารหัสบนทุกอุปกรณ์ที่สามารถเข้าถึงได้ในเครือข่าย โดยเข้ารหัสไฟล์ระบบทั้งหมดและทิ้งบันทึกเรียกค่าไถ่
LockBit ยังใช้เครื่องมือฟรีและโอเพ่นซอร์สหลายตัวระหว่างกระบวนการบุกรุก ตั้งแต่เครื่องสแกนเครือข่ายไปจนถึงซอฟต์แวร์จัดการระยะไกล เพื่อดำเนินการลาดตระเวนเครือข่าย การเข้าถึงระยะไกล การขโมยข้อมูลประจำตัว และการขโมยข้อมูล ในบางกรณี LockBit ยังคุกคามที่จะเปิดเผยข้อมูลส่วนบุคคลของเหยื่อหากไม่ปฏิบัติตามคำเรียกร้องค่าไถ่
ด้วยความซับซ้อนและการเข้าถึงที่แพร่หลาย LockBit จึงถือเป็นหนึ่งในภัยคุกคามที่ยิ่งใหญ่ที่สุดในโลกแรนซัมแวร์ยุคใหม่ องค์กรต่างๆ จำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่ครอบคลุมเพื่อป้องกันตนเองจากแรนซัมแวร์และไวรัสชนิดอื่นๆ
เดา จุง ทาน
ตอนที่ 2: จากการโจมตี VNDirect สู่กลยุทธ์ต่อต้านแรนซัมแวร์
แหล่งที่มา
การแสดงความคิดเห็น (0)