ประวัติความเป็นมาของการคุกคามจาก Ransomware: อดีต, ปัจจุบัน และ อนาคต

เรามาดูประวัติความเป็นมาของ ransomware และดูว่าเมื่อเวลาผ่านไป มันพัฒนาอย่างไร.

การโจมตีของมัลแวร์ WannaCry ขนาดใหญ่ในเดือนพฤษภาคมปีพ. ศ. 2560 ตกเป็นข่าวดังไปทั่วโลกและได้สร้างวลีใหม่ซึ่งเป็นที่รู้จักกันทั่วไปในปัจจุบัน – Ransomware

แต่สำหรับวงการความปลอดภัยบนอินเตอร์เน็ตและเทตโนโลยีนั้น ransomware เป็นที่รู้จักมานานแล้ว ที่จริงแล้ว ในช่วงทศวรรษที่ผ่านมา ransomware ถูกกล่าวว่าเป็นภัยคุกคามไซเบอร์ที่แพร่หลายมากที่สุด ตามตัวเลขของรัฐบาลสหรัฐฯ การโจมตี ransomware นั้นมีมาตั้งแต่ปี 2005 และ มีมากกว่าการละเมิดข้อมูลออนไลน์เสียอีก

ก่อนหน้านี้การโจมตี ransomware นั้น ไม่ได้เป็นการโจมตีระดับโลก จึงอาจทำให้ประชาชนทั่วไปยังไม่รู้จัก แต่ WannaCry ก็ได้สร้างความเปลี่ยนแปลง เพราะมันมีผลต่อคอมพิวเตอร์มากกว่า 300,000 เครื่องทั่วโลก WannaCry กลายเป็นข่าวเพราะมันส่งผลต่อสถาบันที่สำคัญหลายแห่ง รวมทั้งหน่วยงาน National Health Service (NHS) ของอังกฤษ

หาก WannaCry เป็นการโจมตีทางไซเบอร์ขนาดใหญ่ที่สามารถทำให้โลกตะลึงได้ ก็เป็นไปได้ว่านี่คือสัญญาณบอกสิ่งที่กำลังจะมาถึง เพราะไวรัสที่ใช้ในการแพร่กระจาย ransomware เริ่มจะซับซ้อนมากขึ้นและวิธีการแพร่ไวรัสเหล่านี้ก็มีประสิทธิภาพมากขึ้น ดังนั้นจึงมีโอกาสที่การโจมตีจะใหญ่ขึ้นและใหญ่ขึ้น

ในบทความนี้เราจะพูดถึงประวัติความเป็นมาของ ransomware ติดตามการพัฒนาของมัน จนกระทั่งมันโผล่ออกมาจากเงามืดกลายมาเป็นภัยคุกคามความปลอดภัยในโลกไซเบอร์ที่ใหญ่ที่สุดอันหนึ่งแห่งศตวรรษที่ 21 เราจะพูดถึงเหตุการณ์สำคัญๆ วิธีการต่างๆที่ใช้ และนวัตกรรมหลักๆที่นำไปสู่การโจมตีทั่วโลกเมื่อไม่นานมานี้ ก่อนที่จะพูดถึงสิ่งที่อาจเกิดขึ้นในอนาคต

Ransomware คืออะไร?

อย่างแรก เรามาพูดถึงความหายกันก่อน Ransomware จัดเป็นมัลแวร์ที่ออกแบบมาเพื่อประโยชน์ทางการเงินโดยเฉพาะ แต่แตกต่างจากไวรัสที่ใช้ในการโจมตีการแฮ็ก ransomware ไม่ได้ถูกออกแบบมาเพื่อเข้าถึงคอมพิวเตอร์หรือระบบไอทีเพื่อขโมยข้อมูลจากระบบ หรือเพื่อพยายามหาเหยื่อรายอื่นด้วยเงินเหมือนโปรแกรมแอนตี้ไวรัสปลอมๆอย่าง ‘scareware’ หรือสแคมอื่นๆทั่วไป

แต่น่าเสียดาย สำหรับผู้ที่ตกเป็นเหยื่อของ ransomware นั้นได้รับผลกระทบที่มันจริงเกินไป

Ransomware ทำงานโดยรบกวนการทำงานของระบบคอมพิวเตอร์ทำให้ไม่สามารถใช้งานได้ จากนั้นอาชญกรจะส่งใบเรียกค่าไถ่ไปให้เจ้าของ โดยเรียกร้องเงินเพื่อแลกกับการเปลี่ยนแปลง

ตัวอย่างส่วนใหญ่ของ ransomware จัดอยู่ในสองประเภท ไวรัส ransomware บางตัวจะล็อกผู้ใช้ออกจากอุปกรณ์ของพวกเขาโดยการแช่แข็ง CPU และขโมยระบบการตรวจสอบผู้ใช้หรือใช้วิธีการอื่นที่คล้ายคลึงกัน ส่วน ransomware อีกชนิด มักเรียกว่า crypto-ransomware จะทำการเข้ารหัสไดรฟ์เก็บข้อมูลและเนื้อหาแทน ซึ่งทำให้ไม่สามารถเปิดโฟลเดอร์และไฟล์หรือเรียกใช้โปรแกรมได้

ในกรณีส่วนใหญ่เมื่อชิ้นส่วนของ ransomware อยู่ในระบบแล้ว จะทำให้ข้อความเรียกค่าไถ่ถูกส่งโดยอัตโนมัติ ซึ่งอาจปรากฏขึ้นบนหน้าจอของระบบที่ถูกล็อกหรือในกรณีของการโจมตีด้วยรหัสลับอาจมีการส่งอีเมลหรือ ข้อความให้แก่เหยื่อ

ก่อนจะมาเป็น Ransomware

AIDS Trojan

เหตุการณ์ ransomware ที่ เป็นที่รู้จักอย่างกว้างขวางเป็นครั้งแรกนั้น เกิดขึ้นก่อนการเกิดภัยคุกคามทางออนไลน์ที่เรารู้จักในปัจจุบันเกือบสองทศวรรษ ในปี 1989 ระหว่างที่นักวิชาการจากมหาวิทยาลัยฮาวาร์ด Joseph L Popp กำลังเข้าร่วมการประชุมขององค์การอนามัยโลกเกี่ยวกับโรคเอดส์ ระหว่างเตรียมการประชุม เขาได้สร้างแผ่นดิสก์จำนวน 20,000 แผ่นเพื่อส่งให้กับผู้ร่วมประชุมซึ่งเขาตั้งชื่อว่า “ข้อมูลเกี่ยวกับโรคเอดส์ – แผ่นดิสก์เบื้องต้น”

สิ่งที่ผู้คนไม่สงสัยและไม่ได้ตระหนักก็คือ แผ่นฟล็อปปี้ดิสก์เหล่านั้นมีไวรัสคอมพิวเตอร์ ซึ่งหลังจากเนื้อหาอื่น ๆ ของแผ่นดิสก์ถูกเรียกใช้แล้ว ไวรัสก็ยังคงซ่อนอยู่ในคอมพิวเตอร์ของเหยื่อเป็นเวลานาน หลังจากรีบูตก 90 ครั้ง ไวรัสก็เริ่มทำงานทันทีเข้า โดยการเข้ารหัสรหัสไฟล์และซ่อนไดเรกทอรี มีข้อความปรากฏขึ้นแจ้งให้ผู้ใช้ทราบว่าระบบของพวกเขาจะกลับมาเป็นปกติหลังจากที่พวกเขาได้ส่งเงินจำนวน $ 189 ไปยังกล่อง PO Box ในปานามา

ความเฉลียวฉลาดของด็อกเตอร์ Popp ทำให้เขาคิดขึ้นมาได้ก่อนคนอื่น เพราะกว่าคนอื่นๆจะทำตามความคิดเรียกค่าไถ่ของเขาไปใช้ในยุคอินเตอร์เน็ตก็เป็นเวลา 16 หลังจากนั้น  ด็อกเตอร์ Popp ถูกจับกุม แต่เขาไม่ถูกลงโทษใดๆเนื่องจากเขามีปัญหาทางจิต

2005: ปีศูนย์

กว่าที่จะเกิด ransomware ขึ้นมาอีกครั้ง ชื่อของดร. Joseph L Popp ก็ได้ถูกลืมไปนานแล้ว และโลกคอมพิวเตอร์ก็เปลี่ยนไปเพราะอินเตอร์เน็ต ประโยชน์ของอินเตอร์เน็ตก็ทำให้การแพร่กระจ่ายของมัลแวร์กลายเป็นเรื่องง่ายมากขึ้น และทำให้โปรแกรมเมอร์สามารถพัฒนาวิธีการเข้ารหัสที่แข็งแรงขึ้นมากกว่าของดร.Popp อีก

GPCoder

หนึ่งในตัวอย่างแรกๆของ ransomware บนโลกออนไลน์คือโทรจัน GPCoder พบครั้งแรกในปี 2005 GPCoder ทำลายระบบ Windows และไฟล์ปลายทางที่มีนามสกุลต่างกัน เมื่อโทรจันเจอไฟล์ ไฟล์ถูกคัดลอกในรูปแบบที่เข้ารหัสและต้นฉบับถูกลบออกจากระบบ ไฟล์ที่เข้ารหัสใหม่ไม่สามารถอ่านได้และการใช้การเข้ารหัสลับ RSA-1024 ทำให้การปลดล็อกเป็นเรื่องยากมาก ข้อความถูกแสดงบนหน้าจอหลักของผู้ใช้ ซึ่งจะนำพวกเขาไปยังไฟล์. txt ที่โพสต์ไว้บนหน้าจอ ซึ่งมีรายละเอียดเกี่ยวกับวิธีชำระค่าไถ่และปลดล็อกไฟล์ที่ได้รับผลกระทบ

Archievus

ในปีเดียวกับที่พบ GPCoder นั้น มีการพบโทรจันอีกตัวหนึ่งที่ใช้การเข้ารหัสลับ RSA แบบ 1024-bit  เช่นกัน แทนที่จะกำหนดไฟล์เป้าหมายและนามสกุลไฟล์เฉพาะ Archievus จะเข้ารหัสข้อมูลทั้งหมดในโฟลเดอร์ My Documents ของเหยื่อเท่านั้น ในทางทฤษฎี หมายความว่าเหยื่อยังสามารถใช้คอมพิวเตอร์และไฟล์ต่างๆ ที่เก็บอยู่ในโฟลเดอร์อื่นได้ แต่เนื่องจากคนส่วนใหญ่จัดเก็บไฟล์ที่สำคัญที่สุดรวมถึงเอกสารการทำงานในโฟลเดอร์ My Documents ทำให้ผลกระทบที่เกิดขึ้นถือว่ารุนแรง

ผู้ที่ตกเป็นเหยื่อของ Archievus จะถูกนำทางไปยังเว็บไซต์ที่ต้องซื้อรหัสผ่าน 30 หลัก – ซึ่งเป็นเรื่องยากที่จะเดาได้

2009 – 2012: การรับเงินเข้า

หลังจากเวลาผ่านไประยะหนึ่ง รูปแบบเริ่มต้นของ ransomware ถึงเพิ่งเป็นที่รู้จัก ผลตอบแทนจากโทรจันอย่าง GPCoder และ Archievus ค่อนข้างต่ำ เพราะเหตุผลหลักคือโปรแกรมแอนตี้ไวรัสสามารถตรวจพบโทรจันเหล่านี้ได้ง่าย หมายความว่าเวลาทำเงินจึงเป็นช่วงสั้นๆ

โดยทั่วไปแก๊งไซเบอร์มักจะยึดติดกับการแฮค, ฟิชชิ่ง, และหลอกลวงผู้คนด้วยโปรแกรมแอนตี้ไวรัสปลอมๆ ในแต่ละวันต้องการยึดติดกับการแฮ็กฟิชชิ่งและหลอกลวงผู้คนด้วยการหลอกลวงต่อต้านไวรัส

สัญญาณแห่งความเปลี่ยนแปลงเกิดขึ้นครั้งแรกในปี 2009 ซึ่งเป็นปีที่ไวรัส ‘scareware’ ชื่อ Vundo ได้เปลี่ยนแทคติกและกลายเป็น ransomware ก่อนหน้านี้ Vundo ได้ทำลายระบบคอมพิวเตอร์และเปิดสัญญาณเตือนความปลอดภัย ทำให้ผู้ใช้งานกดปุ่มซ่อมแซมปลอมๆ อย่างไรก็ตาม ในปี 2009 นักวิเคราะห์พบว่า Vundo ได้เริ่มเข้ารหัสไฟล์บนคอมพิวเตอร์ของเหยื่อ และขายวิธีถอนไวรัสเพื่อปลดล็อคให้เหยื่อ

นี่เป็นข้อบ่งชี้แรกว่าแฮคเกอร์เริ่มจะรู้แล้วว่าสามารถทำเงินได้จาก ransomware และด้วยการช่วยเหลือของแพลตฟอร์มชำระเงินออนไลน์แบบไม่ระบุตัวตน ทำให้การรับเงินค่าไถ่จากคนจำนวนมากเป็นเรื่องง่ายขึ้น และยิ่งไปกว่านั้น ความเชี่ยวชาญของ ransomware ก็กำลังพัฒนาขึ้น

ภายในปี 2011 กระแสน้ำเอื่ยๆได้กลายเป็นไหลเชี่ยว ในช่วงไตรมาสแรกของปีนั้น มีการโจมตี ransomware ใหม่ๆถึง 60,000 ครั้ง และไตรมาสแรกของปี 2012 ก็ได้เพิ่มจำนวนเป็น 200,000 และก่อนสิ้นปี 2012 นักวิจัย Symantec ได้คาดการณ์ว่าตลาดมืด ransomware นั้นมีค่าประมาณ 5 ล้านดอลล่าร์

Trojan WinLock

ในปี 2011 ได้มี ransomware ชนิดใหม่เกิดขึ้น WinLock Trojan ถือว่าเป็นตัวอย่างของ ransomware แบบ ‘ล็อคเกอร์’ ตัวแรกที่มีการแพร่กระจาย โดยแทนที่จะเข้ารหัสไฟล์บนเครื่องของเหยื่อ ransomware แบบล็อคเกอร์นี้จะทำให้เหยื่อไม่สามารถเข้าสู่ระบบคอมพิวเตอร์ได้เลย

โทรจัน WinLock เริ่มกลายเป็นเทรนของ ransomware ที่ทำขึ้นมาเลียนแบบผลิตภัณฑ์จริง โดยใช้เทคนิคของ scareware แบบเก่า ซึ่งจะทำลายระบบ Windows ด้วยการก๊อปปี้ระบบ Product Activation system ของ Windows ทำให้ผู้ใช้งานไม่สามารถเข้าสู่ระบบได้จนกว่าจะซื้อกุญแจ และเพื่อเป็นการทำให้เหมือนของจริงมากขึ้น ข้อความที่แสดงบนหน้าจอปลอมนี้บอกกับผู้ใช้งานว่า บัญชี Windows ของพวกเขาถูกแอคทิเวทใหม่เพราะมีการฉ้อฉล ก่อนที่จะบอกให้พวกเขาโทรหาเบอร์ระหว่างประเทศเพื่อแก้ปัญหานี้ โดยเบอร์โทรนั้นแสดงว่าเป็นเบอร์โทรแบบไม่ต้องเสียค่าโทร แต่ความจริงแล้วจะต้องเสียค่าโทรมหาศาล ซึ่งอาจจะเข้ากระเป๋าของอาชญากรที่อยู่เบื้งหลังมัลแวร์นั้น

Reveton และ Ransomware ‘ตำรวจ’

อีกหนึ่งรูปแบบในการลอกเลียนแบบซอฟต์แวร์เพื่อหลอกลวงเหยื่อให้สมัครรับข้อมูลปลอมคือ ransomware ที่เรียกว่า ‘ตำรวจ’ ในการโจมตี มัลแวร์เหล่านี้มุ่งไปที่ระบบที่ติดไวรัส โดยมีข้อความอ้างว่ามาจากหน่วยงานรัฐหรือหน่วยงานที่มีอำนาจบังคับใช้กฎหมาย โดยระบุว่าพบหลักฐานว่าอุปกรณ์ดังกล่าวถูกใช้ในกิจกรรมที่ผิดกฎหมาย อุปกรณ์จะถูกล็อคเพื่อ ‘ยึดเป็นของกลาง’ จนกว่าจะมีการจ่ายสินบนหรือค่าปรับ

ransomware แบบนี้มักจะแพร่จากเว็บโป๊, เว็บแชร์ไฟล์ หรือเว็บไซต์อื่นๆที่อาจจะใช้ทำกิจกรรมอื่นๆที่ผิดกฎหมายได้ โดยมีแนวคิดเพื่อทำให้เหยื่อละอายหรือตกใจกลัวจนต้องจ่ายค่าสินบน ก่อนที่พวกเขาจะรู้ตัวและคิดได้ทันว่าคำขู่เหล่านี้เป็นเรื่องจริงหรือไม่

และเพื่อทำให้การโจมตีนี้ดูน่ากลัวและจริงจังขึ้น Ransomware แบบตำรวจ มักจะมีการปรับให้เข้ากับตำแหน่งที่ตั้งของผู้ใช้งาน, มีการแสดง IP address ของผู้ใช้ และบางครั้งก็แสดงวิดีโอสดจากเว็บแคมของเหยื่อ เพื่อแสดงให้เห็นว่าเหยื่อกำลังถูกเฝ้ามองและบันทึกภาพ

ตัวอย่างที่ดังที่สุดตัวอย่างหนึ่งของ ransomware แบบตำรวจนี้มีชื่อว่า Reveton ซึ่งในตอนแรกได้แพร่กระจายไปทั่วยุโรป การแพร่กะจายของ Reveton เริ่มกลายเป็นวงกว้างจนกระทั่งไปถึงสหรัฐฯ ซึ่งเหยื่อจะถูกทำให้คิดว่าพวกเขากำลังอยู่ภายใต้การเฝ้ามองของ FBI และมีคำสั่งให้ชำระเงิน ‘ค่าปรับ’ จำนวน $200 เพื่อปลดล็อคอุปกรณ์ โดยการชำระเงินจะต้องทำผ่านบริการซื้อ token แบบเติมเงิน อย่าง MoneyPak และ Ukash โดย ransomware ตำรวจอื่นๆอย่าง Urausy และ Kovter ก็ได้นำวิธีการนี้ไปใช้

2013 – 2015: กลับสู่การเข้ารหัส

ช่วงครึ่งหลังของปี 2013 ได้มี ransomware แบบเจ้ารหัสแบบใหม่ ซึ่งได้สร้างความลำบากให้กับวงการความปลอดภัยด้านไซเบอร์อีกแล้ว CryptoLocker ได้เปลี่ยนเกมของ ransomware ในหลายๆทาง ข้อหนึ่งคือ CryptoLocker ไม่ได้ใช้เทคนิคกลลวงสิบแปดมงกุฎเหมือน scareware หรือ ransomware ตำรวจ แต่โปรแกรมเมอร์ของ CryptoLocker  ใช้วิธีการบอกเหยื่อไปตรงๆเลย ว่าไฟล์ของพวกเขาถูกเข้ารหัสและจะถูกลบหากไม่จ่ายค่าไถ่ภายในสามวัน

ข้อสอง CryptoLocker แสดงให้เห็นถึงอานุภาพของการเข้ารหัส ที่อาชญากรไซเบอร์ในปัจจุบันใช้ ซึ่งถือว่ามีความแข็งแรงมากกว่าการเข้ารหัสที่ใช้กันในเกือบทศวรรษที่ผ่านมา ซึ่งเป็นช่วงที่ crypto-ware เพิ่งเกิดขึ้นเท่านั้น การใช้เซิร์ฟเวอร์ C2 ที่ซ่อนอยู่ใต้เครือข่าย Tor  ทำให้ โปรแกรมเมอร์ของ CryptoLocker สามารถสร้างกุญแจ 2048-bit RSA ทั้งแบบส่วนตัวและสาธารณะ เพื่อโจมตีไฟล์ที่มีนามสกุลเฉพาะ นี่เป็นการสร้างทางเลือกเพียงแค่สองทางเท่านั้น – คนที่กำลังมองหากุญแจสาธารณะเพื่อใช้เป็นพื้นฐานในการถอดรหัสไฟล์นั้นก็จะต้องเจอกับความยากลำบากเพราะมันถูกซ่อนอยู่ภายใต้เครือข่าย Tor ในขณะที่กุญแจส่วนตัวที่โปรแกรมเมอร์เก็บไว้ก็มีความแข็งแรงเป็นอย่างมาก

ข้อสาม CryptoLocker ได้เปลี่ยนแปลงวิธีการแพร่กะจายของมัลแวร์ โดยตอนแรกเริ่มแพร่กระจายผ่าน Gameover Zeus botnet ซึ่งเป็นเครือข่ายของคอมพิวเตอร์ ‘ซอมบี้’ ที่โดนไวรัสและถูกใช้เพื่อแพร่มัลแวร์บนอินเตอร์เน็ตโดยเฉพาะ ดังนั้น CryptoLocker จึงเป็นตัวอย่างแรกของ ransomware ที่แพร่ผ่านเว็บไซต์ที่โดนไวรัส อย่างไรก็ตาม CryptoLocker  ก็สามารถแพร่ผ่านการฟิชชิ่ง โดยเฉพาะอย่างยิ่งการส่งไฟล์ผ่านอีเมลไปยังบริษัทต่างๆ ซึ่งทำให้ดูเหมือนเป็นอีเมลติชมจากลูกค้า

คุณสมบัติเหล่านี้กลายเป็นAll of these features haveคุณสมบัติหลักของการโจมตี ransomware ซึ่งเกิดจากอิทธิพลของความสำเร็จของ CryptoLocker โดยการเก็บเงิน $300 ต่อครั้งเพื่อถอดรหัสระบบที่โดนมัลแวร์ และเชื่อกันว่านักพัฒนามัลแวร์นี้สามารถทำเงินได้ถึง 3 ล้านดอลล่าร์

Onions และ Bitcoins

CryptoLocker ถูกถอดออกจากการดำเนินการในปี 2014 เมื่อระบบ Gameover Zeus botnet ถูกปิดตัวลง แต่ขณะนั้นก็มีผู้ลอกเลียนแบบมากมายที่พร้อมจะรับไม้ต่อ โดย CryptoWall มีความสำคัญมากที่สุด โดยใช้การเข้ารหัสกุญแจสาธารณะและกุญแจส่วนตัวของ RSA ที่สร้างขึ้นหลังหน้าจอของเครือข่าย Tor และกระจายผ่านทางฟิชชิ่ง

The Onion Router, หรือที่เป็นที่รู้จักดีในชื่อ Tor เริ่มเข้ามามีบทบาทมากขึ้นและมากขึ้น โดยตั้งชื่อตามวิธีการที่มันนำอินเตอร์เน็ตทราฟฟิคผ่านเซิร์ฟเวอร์ที่ซับซ้อนทั่วโลก โดยผ่านชั้นจำนวนมากเหมือนชั้นของหัวหอม Tor เป็นโปรเจคนิรนามที่สร้างขึ้นมาเพื่อช่วยให้ผู้คนเก็บข้อมูลของกิจกรรมออนไลน์ให้เป็นส่วนตัว น่าเสียดายที่ Tor ก็ได้ดึงดูดอาชญากรที่ต้องการซ่อนกิจกรรมที่พวกเขาทำจากข้อบังคับทางกฎหมาย ดังนั้น Tor จึงมีบทบาทอย่างมากในประวัติความเป็นมาของ ransomware

CryptoWall เป็นเครื่องยืนยันการที่ Bitcoin เข้ามามีบทบาทในการโจมตี ransomeware ภายในปี 2014, การชำระเงินด้วย crypto-currency เป็นวิธีการชำระเงินที่เป็นที่นิยม โดยเครดิตอิเล็กทรอนิกส์ที่ต้องทำการชำระเงินล่วงหน้านั้นถึงแม้จะเป็นแบบนิรนาม แต่การนำเงินออกโดยไม่ได้ฟอกเงินก็เป็นเรื่องยาก แต่ Bitcoin นั้นสามารถใช้บนโลกออนไลน์ได้เหมือนกับค่าเงินตราทั่วไป ซึ่งสามารถแลกเปลี่ยนและทำธุรกรรมได้โดยตรง

มีการคาดการณ์กันว่า ภายในปี CryptoWall  ทำรายได้ถึง 325 ล้านดอลล่าร์

การโจมตี Android

อีกขั้นของ ransomware คือการ พัฒนาเวอร์ชั่นที่มีเป้าหมายคืออุปกรณ์เคลื่อนที่โดยเฉพาะ ซึ่งมุ่งไปยังอุปกรณ์ Android ก่อน โดยใช้โค้ด Android แบบ open source

ตัวอย่างแรกเกิดขึ้นในปี 2014 โดยเลียนแบบ police-ware คือ Sypeng เป็นมัลแวร์ที่โจมตีอุปกรณ์ผ่านข้อความ Adobe Flash Update ปลอม ซึ่งจะล็อคหน้าจอและจะมีข้อความปลอมจาก FBI เด้งขึ้นมา มีคำสั่งให้จ่ายเงินค่าปรับจำนวน $200 ส่วน Koler เป็นไวรัสที่คล้ายๆกัน ซึ่งเป็นที่รู้จักกันว่าเป็นตัวอย่างของหนอน rasomware ตัวแรก ซึ่งเป็นมัลแวร์ที่สามารถจำลองตัวเองได้ รวมถึงสร้างเส้นทางการแพร่กระจายของตัวเอง โดย Koler จะส่งข้อความไปหาทุกๆคนในรายชื่อผู้ติดต่อของอุปกรณ์ที่โดนไวรัส โดยแนบลิ้งค์ดาวน์โหลดหนอนไปกับข้อความเหล่านั้น

ส่วน SimplLocker เป็นเวอร์ชั่นแรกๆของ crypto-ransomware บนมือถือ โดยส่วนใหญ่ใช้วิธีการโจมตีแบบ lock-out  นวัตกรรมที่มาพร้อมกับ ransomware ของ Android คือการเกิดขึ้นของ ชุดเครื่องมือ DIY ที่อาชญากรไซเบอร์สามารถซื้อและติดตั้งได้ด้วยตัวเอง ตัวอย่างของชุดเครื่องมือแบบนี้คือ Pletor Trojan ซึ่งมีขายออนไลน์ในราคา $5000

2016: วิวัฒนาการของการคุกคาม

ปี 2016 เป็นปีแห่งการเติบโตของ ransomware มีวิธีการส่งใหม่ๆ แพลตฟอร์มใหม่ๆ และมัลแวร์รูปแบบใหม่ เพิ่มขึ้นมาในช่วงวิวัฒนาการของภัยคุมคามนี้ ซึ่งสิ่งที่ตามมาก็คือการโจมตีขนาดใหญ่ทั่วโลก

วิวัฒนาการของ CryptoWall

CryptoWall แตกต่างจาก ransomware อื่นๆอย่างมาก เนื่องจาก ransomware เหล่านั้นออกมาโจมตีแล้วก็หายไปเมื่อมีการแก้ไข แต่ภัยคุกคามจาก CryptoWall ไม่เคยหายไป โดยมีการพัฒนาผ่านออกมาสี่รุ่นที่แตกต่างกัน CryptoWall เป็นผู้บุกเบิกเทคนิคที่ ransomware อื่น ๆ ก็นำไปใช้ เช่นการจำลองกุญแจ registry ที่ทำให้มัลแวร์ทำงานทุกครั้งที่มีการรีบูต นี่เป็นสิ่งที่ฉลาดมาก เพราะปกติแล้วมัลแวร์จะไม่ได้ทำงานทันที แต่จะรอจนกว่าจะสามารถเชื่อมต่อกับเซิร์ฟเวอร์ระยะไกลที่มีกุญแจการเข้ารหัสได้ก่อน การโหลดอัตโนมัติเมื่อรีบูตทำให้เพิ่มโอกาสการให้กับมัลแวร์เหล่านี้

Locky

Locky แพร่กระจายผ่านการฟิชชิ่ง และถือเป็นต้นแบบของ WannaCry ซึ่งมีความเร็วและขนาดของการแพร่กระจายเหมือน Locky โดยมีรายงานว่า Locky เคยสามารถโจมตีระบบใหม่ๆได้ถึง 100,000 ระบบภายในหนึ่งวัน โดยใช้ระบบแฟรนไชส์ โดยชุดเครื่องมือ Anrdoid ใช้ในการจูงใจให้อาชญากรช่วยกันแพร่มัลแวร์ตัวนี้ และ WannaCry ก็ทำตามวิธีของ Locky ในการโจมตีผู้ให้บริการด้านการดูแลสุขภาพ เนื่องจากพวกเขาทราบดีว่าองค์กรเหล่านี้มีความจำเป็นที่จะต้องจ่ายค่าไถ่เพื่อให้ระบบกลับมาทำงานเป็นปกติเหมือนเดิม

แพลตฟอร์มหลากหลาย

และปี 2016 ยังเป็นปีที่พบ ransomware ตัวแรกที่สามารถทำลายระบบ Mac ได้ KeRanger เป็นตัวที่อันตรายมากเพราะมันสามารถเข้ารหัสแบ็คอัพบน Time Machine รวมถึงไฟล์ธรรมดาๆบน Mac ซึ่งถือว่าได้ทำลายจุดแข็งของ Mac ที่เคยสามารถเปลี่ยนกลับไปเป็นเวอร์ชั่นเดิมเมื่อมีปัญหาได้

หลังจาก KeRanger ไม่นาน ก็มี ransomware ตัวแรกที่สามารถทำลายระบบปฏิบัติการได้หลายแบบ คือ Ransom32 ซึ่งถูกโปรแกรมด้วย JavaScript เป็น ransomware ที่สามารถทำลายอุปกรณ์ที่ทำงานด้วยระบบปฏิบัติการ Windows, Mac, หรือ Linux

ภัยคุกคามของช่องโหว่ที่รู้จักกันดี

สิ่งที่เรียกว่า “exploit kits” คือโปรโตคอลส่งมัลแวร์ซึ่งจะมุ่งโจมตีช่องโหว่ของระบบซอฟต์แวร์ยอดนิยมเพื่อใส่ไวรัสลงไป The Angler Kit เป็นสิ่งที่ใช้ในการโจมตีด้วย ransomware ตั้งแต่ปี 2015 จากนั้นในปี 2016 ก็เริ่มมีจำนวนไวรัส ransomware มากขึ้นอีก โดยมีเป้าหมายคือช่องโหว่ของ Adobe Flash และ Microsoft Silverlight – โดยตัวอย่างของไวรัสแบบนี้คือ CryptoWall 4.0

Cryptoworm

หลังจากนวัตกรรมของไวรัส Koler cryptoworms ได้กลายเป็นส่วนหนึ่งของกระแส ransomware ในปี 2016 ตัวอย่างเช่น หนอน ZCryptor ที่ถูกรายงานเป็นครั้งแรกโดย Microsoft โดยตอนเริ่มแรกแพร่กระจายและโจมตีผ่านการฟิชชิ่ง และ ZCryptor ก็สามารถแพร่กระจายได้โดยอัตโนมัติผ่านอุปกรณ์ที่เชื่อมต่อกันด้วยการสร้างตัวเองขึ้นมา รวมทั้งสามารถสั่งตัวเองให้ทำงานได้

2017: ปีแห่ง Ransomware

เนื่องการพัฒนาอย่างรวดเร็ว รวมทั้งความซับซ้อนและขนาดของการโจมตี ransomware ในปี 2016 นักวิเคราะห์ด้านความปลอดภัยบนโลกไซเบอร์หลายคนเชื่อว่านี่เป็นเพียงช่วงเวลาก่อนที่เหตุการณ์ที่แท้จริง จะเกิดขึ้น ซึ่งคาดกันว่าเป็นการแฮกและการละเมิดข้อมูลที่ใหญ่ที่สุด WannaCry เป็นสิ่งยืนยันว่าความหวาดกลัวเหล่านั้นจะกลายเป็นจริง หลังจากที่ตกเป็นข่าวพาดหัวไปทั่วโลก  และ ก็ไม่ได้มีแค่ WannaCry เพียงตัวเดียวที่จะคุกคามผู้ใช้คอมพิวเตอร์ในปีนี้แน่นอน

WannaCry

เมื่อวันที่ 12 พฤษภาคม 2017 หนอน ransomware ซึ่งภายหลังได้กลายเป็นที่รู้จักไปทั่วโลกในชื่อ WannaCry ได้โจมตีเหยื่อรายแรกในสเปน ภายในเวลาไม่กี่ชั่วโมงก็ได้แพร่กระจายไปสู่คอมพิวเตอร์นับร้อยในหลายสิบประเทศ หลายวันผ่านไป คอมพิวเตอร์ที่ถูกโจมตีได้เพิ่มจำนวนเป็นหลายแสน ทำให้ WannaCry กลายเป็นการโจมตีด้วย ransomware ที่ใหญ่ที่สุดในประวัติศาสตร์และทำให้คนทั้งโลกจับตามองและเฝ้าระวังภัยคุกคามนี้

WannaCry เป็นคำย่อ WannaCrypt แสดงให้เห็นข้อเท็จจริงว่า WannaCry เป็น crypto-ware หรือกล่าวอย่างเจาะจงคือ มันเป็น cryptoworm ที่สามารถจำลองตัวเองและแพร่กระจายได้โดยอัตโนมัติ

สิ่งที่ทำให้ WannaCry  มีประสิทธิภาพและสามารถทำให้ทุกคนตกตะลึงได้นั้นก็คือการแพร่กระจายของมัน ไม่มีการฟิชชิ่งสแคม, ไม่มีการดาวน์โหลดจากเว็บไซต์ botnet แต่ WannaCry สามารถพุ่งเป้าไปที่ช่องโหว่ของคอมพิวเตอร์ได้เลย โดยมันถูกโปรแกรมมาให้จัดการกับคอมพิวเตอร์ที่ใช้เซิร์ฟเวอร์ Windows รุ่นเก่า – ซึ่งมีข้อบกพร่องทางความปลอดภัย -และโจมตีคอมพิวเตอร์เหล่านั้น เมื่อมันโจมตีคอมพิวเตอร์เครื่องหนึ่งในเครือข่ายนั้นได้ มันก็จะสามารถค้นหาคอมพิวเตอร์ภายในเครือข่ายเดียวกันที่มีข้อบกพร่องเหมือนกันและโจมตีคอมพิวเตอร์เหล่านั้นได้

นี่เป็นเหตุผลว่าทำไม WannaCry ถึงแพร่กระจายได้อย่างรวดเร็ว และทำไมจึงสามารถโจมตีระบบขององค์กรใหญ่ๆได้ รวมถึงธนาคาร, หน่วยงานขนส่ง, มหาวิทยาลัย,และหน่วยบริการสาธารณสุข เช่น NHS ของอังกฤษ และก็เป็นเหตุผลที่ทำให้มันตกเป็นข่าวใหญ่

แต่สิ่งที่ทำให้ผู้คนต่างช็อคก็คือความจริงที่ว่า ความบกพร่องที่ WannaCry พบใน Windows เป็นสิ่งที่หน่วยงานความมั่นคงของสหรัฐฯ (NSA) ค้นพบได้ตั้งหลายปีแล้ว แต่แทนที่จะเตือนให้โลกรู้ NSA กลับเก็บเงียบเอาไว้และสร้างอาวุธไซเบอร์ขึ้นมาเพื่อโจมตีข้อบกพร่องเหล่านี้ โดย WannaCry ก็ได้สร้างมาจากระบบที่พัฒนาขึ้นโดยหน่วยงานความมั่นคงของรัฐ

Petya

สิ่งที่ร้อนแรงไม่แพ้กระแสของ WannaCry คือการโจมตี ransomware ข้ามทวีปที่ได้ทำลายคอมพิวเตอร์นับพันทั่วโลก ซึ่งมีชื่อว่า Petya โดยสิ่งที่ทำให้เป็นที่จดจำก็คือ การที่มันมุ่งไปที่ช่องโหว่ของ Windows ช่องเดียวกับ Wannacry ซึ่งแสดงให้เห็นว่าอาวุธไซเบอร์ของ NSA มีอานุภาพเพียงใด และมันก็แสดงให้เห็นว่าถึงแม้การโจมตี WannaCry จะทำให้ผู้คนออกมาป้องกัน แต่ก็ยังเป็นเรื่องยากสำหรับผู้ใช้งานในการปรับตัวตามความเปลี่ยนแปลงด้านความปลอดภัย

LeakerLocker

เห็นได้ชัดว่าภัยคุกคามจาก ransomware ซึ่งการโจมตีขนาดใหญ่ครั้งล่าสุดซึ่งกลายเป็นพาดหัวข่าวก็เป็นไป ในทิศทางเดียวกับ scareware ในอดีต แต่เป็นรูปแบบที่ได้รับการพัฒนาขึ้นไปอีก โดยมุ่งเป้าไปที่อุปกรณ์ Android  LeakerLocker ได้ขู่ว่าจะแชร์ทุกอย่างในโทรศัพท์มือถือของผู้ใช้งานกับทุกคนในรายชื่อผู้ติดต่อของพวกเขา ดังนั้นหากคุณมีสิ่งที่น่าอายในโทรศัพท์ของคุณ คุณก็ควรจะต้องจ่ายเงิน ไม่เช่นนั้นเพื่อน, เพื่อนร่วมงาน และญาติ ๆ ของคุณจะสามารถเห็นสิ่งที่คุณซ่อนไว้ได้

อนาคตของ ransomware เป็นอย่างไร?

เมื่อดูจากการเติบโตอย่างก้าวกระโดดของรายรับที่อาชญากรไซเบอร์ได้รับจาก ransomware นั้น ก็สามารถเดาได้ว่าเราจะต้องได้ยินข่าวแบบนี้อีกมากมายในอนาคต ความสำเร็จของ WannaCry ในการรวมเทคโนโลยีหนอนที่สามารถจำลองตัวเองได้เข้ากับเทคโนโลยีในการพุ่งเป้าหมายไปที่ช่องโหว่ของซอฟต์แวร์นั้นจะช่วยเป็นต้นแบบให้กับการโจมตีอื่นๆส่วนใหญ่ในระยะเวลาอันใกล้นี้ แต่ผู้พัฒนา ransomware ก็คงคิดไปถึงวิธีใหม่ๆในการโจมตี, แพร่กระจาย และสร้างรายได้จากมัลแวร์ของพวกเขา

แล้วเราจะต้องเจอกับอะไรบ้าง?

สิ่งที่น่ากังวลก็คือการที่ ransomware อาจจะเริ่มพุ่งเป้าหมายไปที่อุปกรณ์ดิจิตัลอื่นๆที่ไม่ใช่คอมพิวเตอร์หรือสมาร์ทโฟน เนื่องจากความก้าวหน้าของอินเตอร์เน็ต ทำให้อุปกรณ์ที่เราใช้กันในชีวิตประจำวันเริ่มจะเชื่อมต่อกับอินเตอร์เน็ตมากขึ้น จึงเป็นการสร้างตลาดใหม่ๆให้กับอาชญากรไซเบอร์ ซึ่งอาจเลือกที่จะใช้ ransomware ในการล็อครถไม่ให้เจ้าของรถสามารถเปิดได้ หรือตั้งค่าให้ระบบทำความร้อนส่วนกลางในบ้านไม่ทำงานจนกว่าเจ้าของบ้านจะจ่ายค่าไถ่ ถ้าเป็นเช่นนี้ ความสามารถของ ransomware ในการโจมตีชีวิตประจำวันของเราก็จะเพิ่มมากขึ้นเรื่อยๆ

ความเป็นไปได้อีกข้อหนึ่งคือ ransomware อาจจะเปลี่ยนเป้าหมายจากอุปกรณ์และผู้ใช้งานไปเป็นอย่างอื่นแทน โดยแทนที่จะพุ่งเป้าไปที่ไฟล์ในคอมพิวเตอร์ มันอาจจะพุ่งไปที่การใช้ SQL ในการเข้ารหัสฐานข้อมูลบนเซิร์ฟเวอร์เครือข่ายแทน  ผลลัพธ์ที่เกิดขึ้นจะเป็นหายนะ– โครงสร้างพื้นฐานของบริษัททั่วโลกจะถูกทำลายในคราวเดียว หรือบริการอินเตอร์เน็ตทั้งหมดอาจจะถูกทำลาย ทำให้ส่งผลกระทบต่อผู้ใช้นับล้านคน

อย่างไรก็ตาม ransomware ก็คงมีวิวัฒนาการ เราจึงควรเตรียมรับมือกับภัยคุกคามทางไซเบอร์ในอนาคตข้างหน้านี้ ดังนั้นควรดูอีเมลและเว็บไซต์ที่คุณเปิดให้ดี และพยายามติดตามการอัพเดทด้านความปลอดภัย หรือคุณอาจจะต้องเสียน้ำตาให้กับ ransomware เช่นเดียวกับเหยื่อรายอื่นๆ

VPN ช่วยป้องกันการโจมตี ransomware ได้ไหม?

ถึงแม้การใช้ VPN จะไม่สามารถป้องกันคุณจากการโจมตีของมัลแวร์ได้ แต่ VPN ก็ช่วยเสริมความปลอดภัยให้กับระบบของคุณ ทำให้มีความปลอดภัยมากขึ้น โดย VPN ยังมีประโยชน์อื่นๆอีก

  • เมื่อคุณใช้ VPN IP address ของคุณจะถูกซ่อนและคุณสามารถเข้าชมเว็บไซต์ต่างๆได้โดยไม่ต้องเปิดเผยตัยตน ทำให้คอมพิวเตอร์ของคุณตกเป็นเป้าโจมตีของผู้สร้างมัลแวร์ได้ยากขึ้น โดยทั่วไปแล้วพวกเขาจะพุ่งเป้าไปที่ผู้ใช้งานที่อ่อนแอกว่า
  • เมื่อคุณแชร์หรือเข้าถึงข้อมูลผ่าน VPN ข้อมูลเหล่านั้นจะถูกเข้ารหัส ซึ่งจะทำให้ผู้สร้างมัลแวร์ไม่สามารถเข้าถึงข้อมูลเหล่านั้นได้
  • ผู้ให้บริการที่ VPN ที่น่าเชื่อถือจะทำการขึ้นบัญชีดำ URL ที่น่าสงสัย

เนื่องจากปัจจัยเหล่านี้ การใช้ VPN จะทำให้คุณปลอดภัยจากการโจมตีของมัลแวร์มากขึ้น รวมถึง ransomware ด้วย โดยปัจจุบันมีผู้ให้บริการ VPN หลายรายให้เลือกได้ คุณแค่ต้องแน่ใจว่า VPN ที่คุณใช้นั้นมีชื่อเสียงและมีความชำนาญด้านความปลอดภัยบนโลกออนไลน์

หากคุณกำลังมองหา VPN  ลองดูรายชื่อ VPN ที่ได้รับการแนะนำมากที่สุด จากผู้ใช้งานที่เชื่อถือได้

 

สิ่งนี้มีประโยชน์หรือไม่? ทำการแชร์!