เตือนภัย 'แรนซัมแวร์' จ้องเรียกค่าไถ่
กรุงเทพธุรกิจ ฉบับวันที่ 4 มิถุนายน พ.ศ. 2559
แรนซัมแวร์ แม้ได้ยินมานาน แต่ยังมี ผู้ใช้อีกมากที่ตกเป็นเหยื่อการโจมตีผ่านอุปกรณ์ที่ใช้งาน จากผู้ใช้ที่อาจดาวน์โหลดแรนซัมแวร์มาโดยไม่รู้ตัว ด้วยการเข้าชมเว็บไซต์อันตราย หรือเว็บไซต์ที่โดนแรนซัมแวร์โจมตีอยู่แล้ว หรือมัลแวร์อื่นๆ อาจปล่อย หรือดาวน์โหลดแรนซัมแวร์เข้าสู่ระบบของผู้ใช้
อย่างไรก็ดี การจ่ายค่าไถ่ไม่ได้เป็นการรับประกันว่าผู้ใช้จะเข้าถึงข้อมูลดิจิทัลของตัวเองได้อีกครั้ง แรนซัมแวร์เคยเป็นปัญหาระดับผู้ใช้งาน แต่ปัจจุบันกลุ่มอาชญากรปล่อยแรนซัมแวร์เข้าสู่ระบบ เครือข่าย ไฟล์ที่ใช้ร่วมกัน ระบบแบ็กอัพข้อมูล และอื่นๆ ทำให้เกิดความเสี่ยงในองค์กรมากขึ้น
นายคงศักดิ์ ก่อตระกูล ผู้จัดการอาวุโสด้านเทคนิค บริษัท เทรนด์ ไมโคร (ประเทศไทย) จำกัด กล่าวว่า เป็นการยากมากที่จะให้มูลค่าที่แท้จริงของผลกระทบของแรนซัมแวร์ต่อองค์กรในระดับโลก แต่ข้อมูลจากเทรนด์ ไมโคร ระบุว่า ช่วงเดือน ต.ค. 2558 - เม.ย.2559 รวม 7 เดือน เทรนด์ ไมโครสกัดกั้นแรนซัมแวร์ได้ถึง 99 ล้านภัยคุกคาม แสดงให้เห็นว่า แรนซัมแวร์กำลังระบาดมากขึ้นทั่วโลก และเริ่มจะเน้นไปที่ภาคสาธารณสุขมากขึ้น
ล่าสุด เดอะ ฮอลลีวูด เพรสไบธีเรียน เมดิคัล เซ็นเตอร์ ถูกโจมตีโดยแรนซัมแวร์ ส่งผลต่อการบริการของโรงพยาบาล รวมถึงตัวผู้ป่วยเองและถูกเรียกเงินถึง 40 บิตคอยน์ หรือประมาณ 17,000 ดอลลาร์เพื่อถอดรหัส หากไม่จ่ายและพยายามปลดล็อคเอง แรนซัมแวร์จะทำลายข้อมูลไปเรื่อยๆ ทำให้เกิดความเสียหายมากขึ้น
ทั้งนี้ โดยทั่วไปแล้วแฮคเกอร์จะมีวิธีการที่แตกต่างกันตามสถานการณ์ แต่ก็มี เป้าหมายเดียวกันคือ ทำให้ผู้ใช้งานเข้าถึงระบบที่ถูกแฮคไม่ได้ และเรียกร้องค่าไถ่
ระบาดผ่านออนไลน์
ส่วนประเทศไทย ข้อมูลบางส่วนจาก ดีเอสไอ ระบุว่าตั้งแต่ปี 2558 เป็นต้นมา เริ่มมีมัลแวร์ระบาดผ่านระบบเครือข่ายออนไลน์เข้าสู่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อเรียกค่าไถ่แลกกับโค้ดถอดรหัส แรนซัมแวร์พยายามอำพรางตัวเพื่อไม่ให้โปรแกรมแอนตี้ ไวรัสตรวจจับได้ และเมื่อผู้ใช้เปิดไฟล์แนบที่ฝังมัลแวร์ไว้โดยการคลิ้กที่ป๊อปอัพ หรือคลิกลิงค์ในอีเมล จะถูกรีไดเร็คหน้าเว็บไซต์ไปยังเว็บไซต์ที่มีมัลแวร์อยู่ ทำให้แฮคเกอร์สร้างรายได้จากเหยื่อที่ไม่มีความรู้ แรนซัมแวร์บางประเภทพัฒนาจาก มัลแวร์ที่สร้างความกลัว (Scareware) ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งเป็น แรนซัมแวร์ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน
ช่วงปลายปี 2556 ได้ตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า คริปโตล็อคเกอร์ (CryptoLocker) ซึ่งเข้ารหัสไฟล์ และล็อคระบบของเหยื่อ สิ่งที่ต่างจากแรนซัมแวร์รุ่นก่อนหน้า คือ คริปโตล็อคเกอร์ เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส มัลแวร์ตัวนี้พัฒนาและเพิ่มเติมกลวิธีใหม่ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ
ช่วงไตรมาสที่ 3 ปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วน 1 ใน 3 ของแรนซัมแวร์ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า คริปโต แรนซัมแวร์ เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือน
เมื่อไม่นานมานี้ ยังตรวจสอบแรนซัมแวร์ชนิดใหม่ ที่มีชื่อว่า ทอร์เรนท์ล็อคเกอร์ (TorrentLocker) ซึ่งพุ่งเป้าโจมตีองค์กรต่างๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อเข้าใช้ไฟล์ของตัวเองไม่ได้ นอกจากจะจ่ายเงินค่าไถ่จำนวนมากก่อน
ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งเป็น แรนซัมแวร์ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน
ช่วงปลายปี 2556 ได้ตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า คริปโตล็อคเกอร์ (CryptoLocker) ซึ่งเข้ารหัสไฟล์ และล็อคระบบของเหยื่อ สิ่งที่ต่างจากแรนซัมแวร์รุ่นก่อนหน้า คือ คริปโตล็อคเกอร์ เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส มัลแวร์ตัวนี้พัฒนาและเพิ่มเติมกลวิธีใหม่ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ
ช่วงไตรมาสที่ 3 ปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วน 1 ใน 3 ของแรนซัมแวร์ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า คริปโต แรนซัมแวร์ เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือน
เมื่อไม่นานมานี้ ยังตรวจสอบแรนซัมแวร์ชนิดใหม่ ที่มีชื่อว่า ทอร์เรนท์ล็อคเกอร์ (TorrentLocker) ซึ่งพุ่งเป้าโจมตีองค์กรต่างๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อเข้าใช้ไฟล์ของตัวเองไม่ได้ นอกจากจะจ่ายเงินค่าไถ่จำนวนมากก่อน:การโจมตีขึ้นกับแรงจูงใจ
ลักษณะการโจมตีของแรนซัมแวร์ขึ้นอยู่กับแรงจูงใจของผู้โจมตี โดยทั่วไปอาชญากรไซเบอร์มักจะสร้างโค้ดที่ออกแบบเป็นพิเศษเพื่อเข้าควบคุมคอมพิวเตอร์และยึดไฟล์ไว้เป็นตัวประกัน ไฟล์ดังกล่าวจะถูกเข้ารหัส และเหยื่อจะเข้าถึงไฟล์ไม่ได้อีกต่อไป เมื่อแรนซัมแวร์เริ่มทำงานในระบบคอมพิวเตอร์ จะล็อคหน้าจอคอมพิวเตอร์ หรือเข้ารหัสไฟล์ที่กำหนด ระบบที่ติดเชื้อจะแสดงภาพเต็มหน้าจอหรือการแจ้งเตือนที่ระบุว่าเหยื่อจะใช้ระบบดังกล่าวไม่ได้ นอกจากจะจ่ายค่าธรรมเนียม หรือค่าไถ่ และแนะนำวิธีการจ่ายค่าไถ่ เพื่อแลกกับการเข้าถึงระบบ จำนวนเงินค่าไถ่อาจแตกต่างกันไป ตั้งแต่จำนวนเล็กน้อย ถึงหลายร้อยดอลลาร์ โดยให้จ่ายค่าไถ่ผ่านออนไลน์ หากผู้ใช้ไม่ยอมจ่าย ผู้โจมตีอาจสร้างมัลแวร์เพิ่มเติมเพื่อทำลายไฟล์จนกว่าจะจ่ายเงิน
แบ็คอัพไฟล์ป้องกันเป็นเหยื่อ
หากไม่จ่ายเงินค่าไถ่ ก็ยากที่จะกู้คืนไฟล์ ฉะนั้น ควรแบ็คอัพไฟล์ข้อมูลสม่ำเสมอเพื่อป้องกันความสูญเสีย ทั้งนี้ กฎ 3-2-1 ใช้ได้กับกรณีนี้ คือ แบ็คอัพข้อมูลไว้ 3 ชุด เก็บไว้บนสื่อบันทึก 2 ชุดที่แตกต่างกัน โดยสำเนา 1 ชุดจะต้องเก็บไว้ในสถานที่ตั้งที่แยกต่างหาก
ใส่บุ๊คมาร์คเว็บไซต์ที่ชื่นชอบ และเข้าถึงเว็บไซต์ดังกล่าวผ่านบุ๊คมาร์คเท่านั้น ตรวจสอบแหล่งที่มาของอีเมล และอัพเดตซอฟต์แวร์ความปลอดภัย
แหล่งข่าว
หนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันที่ 4 มิถุนายน พ.ศ. 2559 (หน้า 15)
เตือนภัย 'แรนซัมแวร์' จ้องเรียกค่าไถ่
เตือนภัย 'แรนซัมแวร์' จ้องเรียกค่าไถ่
กรุงเทพธุรกิจ ฉบับวันที่ 4 มิถุนายน พ.ศ. 2559
แรนซัมแวร์ แม้ได้ยินมานาน แต่ยังมี ผู้ใช้อีกมากที่ตกเป็นเหยื่อการโจมตีผ่านอุปกรณ์ที่ใช้งาน จากผู้ใช้ที่อาจดาวน์โหลดแรนซัมแวร์มาโดยไม่รู้ตัว ด้วยการเข้าชมเว็บไซต์อันตราย หรือเว็บไซต์ที่โดนแรนซัมแวร์โจมตีอยู่แล้ว หรือมัลแวร์อื่นๆ อาจปล่อย หรือดาวน์โหลดแรนซัมแวร์เข้าสู่ระบบของผู้ใช้
อย่างไรก็ดี การจ่ายค่าไถ่ไม่ได้เป็นการรับประกันว่าผู้ใช้จะเข้าถึงข้อมูลดิจิทัลของตัวเองได้อีกครั้ง แรนซัมแวร์เคยเป็นปัญหาระดับผู้ใช้งาน แต่ปัจจุบันกลุ่มอาชญากรปล่อยแรนซัมแวร์เข้าสู่ระบบ เครือข่าย ไฟล์ที่ใช้ร่วมกัน ระบบแบ็กอัพข้อมูล และอื่นๆ ทำให้เกิดความเสี่ยงในองค์กรมากขึ้น
นายคงศักดิ์ ก่อตระกูล ผู้จัดการอาวุโสด้านเทคนิค บริษัท เทรนด์ ไมโคร (ประเทศไทย) จำกัด กล่าวว่า เป็นการยากมากที่จะให้มูลค่าที่แท้จริงของผลกระทบของแรนซัมแวร์ต่อองค์กรในระดับโลก แต่ข้อมูลจากเทรนด์ ไมโคร ระบุว่า ช่วงเดือน ต.ค. 2558 - เม.ย.2559 รวม 7 เดือน เทรนด์ ไมโครสกัดกั้นแรนซัมแวร์ได้ถึง 99 ล้านภัยคุกคาม แสดงให้เห็นว่า แรนซัมแวร์กำลังระบาดมากขึ้นทั่วโลก และเริ่มจะเน้นไปที่ภาคสาธารณสุขมากขึ้น
ล่าสุด เดอะ ฮอลลีวูด เพรสไบธีเรียน เมดิคัล เซ็นเตอร์ ถูกโจมตีโดยแรนซัมแวร์ ส่งผลต่อการบริการของโรงพยาบาล รวมถึงตัวผู้ป่วยเองและถูกเรียกเงินถึง 40 บิตคอยน์ หรือประมาณ 17,000 ดอลลาร์เพื่อถอดรหัส หากไม่จ่ายและพยายามปลดล็อคเอง แรนซัมแวร์จะทำลายข้อมูลไปเรื่อยๆ ทำให้เกิดความเสียหายมากขึ้น
ทั้งนี้ โดยทั่วไปแล้วแฮคเกอร์จะมีวิธีการที่แตกต่างกันตามสถานการณ์ แต่ก็มี เป้าหมายเดียวกันคือ ทำให้ผู้ใช้งานเข้าถึงระบบที่ถูกแฮคไม่ได้ และเรียกร้องค่าไถ่
ระบาดผ่านออนไลน์
ส่วนประเทศไทย ข้อมูลบางส่วนจาก ดีเอสไอ ระบุว่าตั้งแต่ปี 2558 เป็นต้นมา เริ่มมีมัลแวร์ระบาดผ่านระบบเครือข่ายออนไลน์เข้าสู่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อเรียกค่าไถ่แลกกับโค้ดถอดรหัส แรนซัมแวร์พยายามอำพรางตัวเพื่อไม่ให้โปรแกรมแอนตี้ ไวรัสตรวจจับได้ และเมื่อผู้ใช้เปิดไฟล์แนบที่ฝังมัลแวร์ไว้โดยการคลิ้กที่ป๊อปอัพ หรือคลิกลิงค์ในอีเมล จะถูกรีไดเร็คหน้าเว็บไซต์ไปยังเว็บไซต์ที่มีมัลแวร์อยู่ ทำให้แฮคเกอร์สร้างรายได้จากเหยื่อที่ไม่มีความรู้ แรนซัมแวร์บางประเภทพัฒนาจาก มัลแวร์ที่สร้างความกลัว (Scareware) ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งเป็น แรนซัมแวร์ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน
ช่วงปลายปี 2556 ได้ตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า คริปโตล็อคเกอร์ (CryptoLocker) ซึ่งเข้ารหัสไฟล์ และล็อคระบบของเหยื่อ สิ่งที่ต่างจากแรนซัมแวร์รุ่นก่อนหน้า คือ คริปโตล็อคเกอร์ เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส มัลแวร์ตัวนี้พัฒนาและเพิ่มเติมกลวิธีใหม่ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ
ช่วงไตรมาสที่ 3 ปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วน 1 ใน 3 ของแรนซัมแวร์ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า คริปโต แรนซัมแวร์ เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือน
เมื่อไม่นานมานี้ ยังตรวจสอบแรนซัมแวร์ชนิดใหม่ ที่มีชื่อว่า ทอร์เรนท์ล็อคเกอร์ (TorrentLocker) ซึ่งพุ่งเป้าโจมตีองค์กรต่างๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อเข้าใช้ไฟล์ของตัวเองไม่ได้ นอกจากจะจ่ายเงินค่าไถ่จำนวนมากก่อน
ไปสู่มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูล (Crypto-Ransomware) ซึ่งเป็น แรนซัมแวร์ขั้นสูงที่ล้ำหน้ามากขึ้น ด้วยการเข้ารหัสไฟล์ที่ตกเป็นตัวประกัน
ช่วงปลายปี 2556 ได้ตรวจพบมัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลที่มีชื่อว่า คริปโตล็อคเกอร์ (CryptoLocker) ซึ่งเข้ารหัสไฟล์ และล็อคระบบของเหยื่อ สิ่งที่ต่างจากแรนซัมแวร์รุ่นก่อนหน้า คือ คริปโตล็อคเกอร์ เรียกร้องเงินค่าไถ่จากผู้ใช้ เพื่อแลกกับการปลดล็อคไฟล์ที่เข้ารหัส มัลแวร์ตัวนี้พัฒนาและเพิ่มเติมกลวิธีใหม่ๆ อย่างต่อเนื่อง เพื่อหลบเลี่ยงการตรวจจับ
ช่วงไตรมาสที่ 3 ปี 2557 มัลแวร์เรียกค่าไถ่แบบเข้ารหัสข้อมูลครองสัดส่วน 1 ใน 3 ของแรนซัมแวร์ทุกประเภทที่พบในระบบที่ติดเชื้อ มัลแวร์ประเภทนี้มีแพร่กระจายเพิ่มขึ้นอย่างต่อเนื่อง ข้อมูลที่เก็บรวบรวมได้ในช่วงไตรมาสสุดท้ายของปี 2557 แสดงให้เห็นว่า คริปโต แรนซัมแวร์ เพิ่มขึ้นจาก 19% เป็นกว่า 30% ในช่วง 12 เดือน
เมื่อไม่นานมานี้ ยังตรวจสอบแรนซัมแวร์ชนิดใหม่ ที่มีชื่อว่า ทอร์เรนท์ล็อคเกอร์ (TorrentLocker) ซึ่งพุ่งเป้าโจมตีองค์กรต่างๆ เกือบ 4,000 แห่ง และส่งผลกระทบต่อผู้ใช้ทั่วโลก โดยทำให้เหยื่อเข้าใช้ไฟล์ของตัวเองไม่ได้ นอกจากจะจ่ายเงินค่าไถ่จำนวนมากก่อน:การโจมตีขึ้นกับแรงจูงใจ
ลักษณะการโจมตีของแรนซัมแวร์ขึ้นอยู่กับแรงจูงใจของผู้โจมตี โดยทั่วไปอาชญากรไซเบอร์มักจะสร้างโค้ดที่ออกแบบเป็นพิเศษเพื่อเข้าควบคุมคอมพิวเตอร์และยึดไฟล์ไว้เป็นตัวประกัน ไฟล์ดังกล่าวจะถูกเข้ารหัส และเหยื่อจะเข้าถึงไฟล์ไม่ได้อีกต่อไป เมื่อแรนซัมแวร์เริ่มทำงานในระบบคอมพิวเตอร์ จะล็อคหน้าจอคอมพิวเตอร์ หรือเข้ารหัสไฟล์ที่กำหนด ระบบที่ติดเชื้อจะแสดงภาพเต็มหน้าจอหรือการแจ้งเตือนที่ระบุว่าเหยื่อจะใช้ระบบดังกล่าวไม่ได้ นอกจากจะจ่ายค่าธรรมเนียม หรือค่าไถ่ และแนะนำวิธีการจ่ายค่าไถ่ เพื่อแลกกับการเข้าถึงระบบ จำนวนเงินค่าไถ่อาจแตกต่างกันไป ตั้งแต่จำนวนเล็กน้อย ถึงหลายร้อยดอลลาร์ โดยให้จ่ายค่าไถ่ผ่านออนไลน์ หากผู้ใช้ไม่ยอมจ่าย ผู้โจมตีอาจสร้างมัลแวร์เพิ่มเติมเพื่อทำลายไฟล์จนกว่าจะจ่ายเงิน
แบ็คอัพไฟล์ป้องกันเป็นเหยื่อ
หากไม่จ่ายเงินค่าไถ่ ก็ยากที่จะกู้คืนไฟล์ ฉะนั้น ควรแบ็คอัพไฟล์ข้อมูลสม่ำเสมอเพื่อป้องกันความสูญเสีย ทั้งนี้ กฎ 3-2-1 ใช้ได้กับกรณีนี้ คือ แบ็คอัพข้อมูลไว้ 3 ชุด เก็บไว้บนสื่อบันทึก 2 ชุดที่แตกต่างกัน โดยสำเนา 1 ชุดจะต้องเก็บไว้ในสถานที่ตั้งที่แยกต่างหาก
ใส่บุ๊คมาร์คเว็บไซต์ที่ชื่นชอบ และเข้าถึงเว็บไซต์ดังกล่าวผ่านบุ๊คมาร์คเท่านั้น ตรวจสอบแหล่งที่มาของอีเมล และอัพเดตซอฟต์แวร์ความปลอดภัย
แหล่งข่าว
หนังสือพิมพ์กรุงเทพธุรกิจ ฉบับวันที่ 4 มิถุนายน พ.ศ. 2559 (หน้า 15)