VietNamNet ขอแนะนำบทความของนาย Dao Trung Thanh ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และรองผู้อำนวยการของ Blockchain และ AI Institute เพื่อทำความเข้าใจเกี่ยวกับการโจมตีทางไซเบอร์ที่บริษัท VNDirect Securities และอันตรายจาก Ransomware ได้ดียิ่งขึ้น
Ransomware ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสข้อมูลในระบบของเหยื่อและเรียกค่าไถ่เพื่อถอดรหัสข้อมูลนั้น ได้กลายเป็นภัยคุกคามทางไซเบอร์ที่อันตรายที่สุดในโลก ในปัจจุบัน รูปภาพ: zephyr_p/Fotolia

กรณี VNDirect และอะไรที่ทำให้ Ransomware เป็นอันตราย?

เมื่อวันที่ 24 มีนาคม 2024 บริษัท VNDirect Securities ในเวียดนามกลายเป็นจุดศูนย์กลางล่าสุดบนแผนที่การโจมตีด้วยแรนซัมแวร์ระดับนานาชาติ การโจมตีครั้งนี้ไม่ใช่กรณีที่เกิดขึ้นเพียงครั้งเดียว

Ransomware ซึ่งเป็นซอฟต์แวร์อันตรายชนิดหนึ่งที่ออกแบบมาเพื่อเข้ารหัสข้อมูลในระบบของเหยื่อและเรียกค่าไถ่เพื่อถอดรหัสข้อมูลนั้น ได้กลายเป็นภัยคุกคามความปลอดภัยทางไซเบอร์ที่แพร่หลายและเป็นอันตรายที่สุดอย่างหนึ่งในโลกปัจจุบัน การพึ่งพาข้อมูลดิจิทัลและเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้นในทุกด้านของชีวิตทางสังคมทำให้องค์กรและบุคคลต่างๆ เสี่ยงต่อการโจมตีเหล่านี้

อันตรายของแรนซัมแวร์ไม่ได้อยู่ที่ความสามารถในการเข้ารหัสข้อมูลเท่านั้น แต่ยังอยู่ที่วิธีการแพร่กระจายและเรียกค่าไถ่ ซึ่งสร้างช่องทางในการทำธุรกรรมทางการเงินที่แฮกเกอร์สามารถหากำไรผิดกฎหมายได้ ความซับซ้อนและความไม่แน่นอนของการโจมตีด้วยแรนซัมแวร์ทำให้การโจมตีด้วยแรนซัมแวร์กลายเป็นความท้าทายที่ยิ่งใหญ่ที่สุดอย่างหนึ่งที่ระบบรักษาความปลอดภัยทางไซเบอร์ต้องเผชิญในปัจจุบัน

การโจมตี VNDirect เป็นการเตือนใจอย่างชัดเจนถึงความสำคัญของการทำความเข้าใจและป้องกันแรนซัมแวร์ เราต้องทำความเข้าใจว่าแรนซัมแวร์ทำงานอย่างไรและภัยคุกคามที่มันก่อขึ้นอย่างไรเท่านั้น เราจึงจะสามารถใช้มาตรการป้องกันที่มีประสิทธิผลได้ ตั้งแต่ การให้ความรู้แก่ ผู้ใช้ การนำโซลูชันทางเทคนิคไปใช้ ไปจนถึงการพัฒนากลยุทธ์ป้องกันที่ครอบคลุมเพื่อปกป้องข้อมูลและระบบข้อมูลที่สำคัญ

Ransomware ทำงานอย่างไร

Ransomware เป็นภัยคุกคามที่น่ากลัวในโลกไซเบอร์ โดยมีลักษณะซับซ้อนและหลากหลาย ส่งผลให้เหยื่อได้รับผลกระทบร้ายแรง หากต้องการเข้าใจการทำงานของ Ransomware ให้ดียิ่งขึ้น เราต้องเจาะลึกในแต่ละขั้นตอนของกระบวนการโจมตี

การติดเชื้อ

การโจมตีเริ่มต้นเมื่อแรนซัมแวร์แพร่ระบาดไปยังระบบ แรนซัมแวร์สามารถแพร่ระบาดไปยังระบบของเหยื่อได้หลายวิธี เช่น:

อีเมลฟิชชิ่ง: อีเมลปลอมที่มีไฟล์แนบที่เป็นอันตรายหรือลิงค์ไปยังเว็บไซต์ที่มีโค้ดที่เป็นอันตราย การใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย: การใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการแก้ไขเพื่อติดตั้งแรนซัมแวร์โดยอัตโนมัติโดยไม่ต้องให้ผู้ใช้ดำเนินการ การโฆษณาเพื่อแพร่กระจายมัลแวร์: การใช้โฆษณาทางอินเทอร์เน็ตเพื่อเผยแพร่มัลแวร์ การดาวน์โหลดจากเว็บไซต์ที่เป็นอันตราย: ผู้ใช้ดาวน์โหลดซอฟต์แวร์หรือเนื้อหาจากเว็บไซต์ที่ไม่น่าเชื่อถือ

การเข้ารหัส

เมื่อติดไวรัสแล้ว แรนซัมแวร์จะเริ่มกระบวนการเข้ารหัสข้อมูลในระบบของเหยื่อ การเข้ารหัสคือกระบวนการแปลงข้อมูลเป็นรูปแบบที่ไม่สามารถอ่านได้หากไม่มีคีย์การถอดรหัส แรนซัมแวร์มักใช้ขั้นตอนการเข้ารหัสที่แข็งแกร่งเพื่อให้แน่ใจว่าไม่สามารถกู้คืนข้อมูลที่เข้ารหัสได้หากไม่มีคีย์เฉพาะ

การเรียกร้องค่าไถ่

หลังจากเข้ารหัสข้อมูลแล้ว แรนซัมแวร์จะแสดงข้อความบนหน้าจอของเหยื่อเพื่อเรียกร้องค่าไถ่เพื่อถอดรหัสข้อมูล ข้อความดังกล่าวมักมีคำแนะนำเกี่ยวกับวิธีการชำระเงิน (โดยปกติจะใช้ Bitcoin หรือสกุลเงินดิจิทัลอื่น ๆ เพื่อซ่อนตัวตนของผู้กระทำความผิด) รวมถึงกำหนดเส้นตายในการชำระเงิน แรนซัมแวร์บางเวอร์ชันยังขู่ว่าจะลบข้อมูลหรือเปิดเผยต่อสาธารณะหากไม่จ่ายค่าไถ่

การทำธุรกรรมและการถอดรหัส (หรือไม่)

จากนั้นเหยื่อจะต้องเผชิญกับการตัดสินใจที่ยากลำบาก: จ่ายค่าไถ่และหวังว่าจะได้ข้อมูลคืนมา หรือปฏิเสธและสูญเสียข้อมูลไปตลอดกาล อย่างไรก็ตาม การจ่ายเงินไม่ได้รับประกันว่าข้อมูลจะถูกถอดรหัสได้ ในความเป็นจริง อาจเป็นการกระตุ้นให้ผู้กระทำความผิดดำเนินการต่อไป

การทำงานของแรนซัมแวร์ไม่เพียงแต่แสดงให้เห็นถึงความซับซ้อนทางเทคนิคเท่านั้น แต่ยังแสดงให้เห็นถึงความจริงอันน่าเศร้าอีกด้วย นั่นคือความเต็มใจที่จะใช้ประโยชน์จากความหลงเชื่อและความไม่รู้ของผู้ใช้ ซึ่งสิ่งนี้เน้นย้ำถึงความสำคัญของการเพิ่มความตระหนักรู้และความรู้ด้านความปลอดภัยทางไซเบอร์ ตั้งแต่การจดจำอีเมลฟิชชิ่งไปจนถึงการบำรุงรักษาซอฟต์แวร์ความปลอดภัยให้ทันสมัย ​​เมื่อเผชิญกับภัยคุกคามที่เปลี่ยนแปลงตลอดเวลาอย่างแรนซัมแวร์ การศึกษาและการป้องกันจึงมีความสำคัญมากกว่าที่เคย

รูปแบบทั่วไปของ Ransomware

ในโลกของภัยคุกคามจากแรนซัมแวร์ แรนซัมแวร์บางสายพันธุ์มีความโดดเด่นในด้านความซับซ้อน ความสามารถในการแพร่กระจาย และผลกระทบต่อองค์กรต่างๆ ทั่วโลก ต่อไปนี้คือคำอธิบายของแรนซัมแวร์สายพันธุ์ทั่วไป 7 สายพันธุ์และวิธีการทำงานของแรนซัมแวร์เหล่านี้

REvil (หรือเรียกอีกอย่างว่า Sodinokibi)

คุณสมบัติ: REvil เป็นรูปแบบหนึ่งของ Ransomware-as-a-Service (RaaS) ที่ให้ผู้ก่ออาชญากรรมไซเบอร์สามารถ “เช่า” แรนซัมแวร์เพื่อทำการโจมตีด้วยตนเอง ซึ่งจะช่วยเพิ่มความสามารถในการแพร่กระจายของแรนซัมแวร์และเพิ่มจำนวนเหยื่อได้อย่างมาก

วิธีการแพร่กระจาย: การแพร่กระจายผ่านช่องโหว่ อีเมลฟิชชิ่ง และเครื่องมือโจมตีระยะไกล REvil ยังใช้วิธีการโจมตีเพื่อเข้ารหัสหรือขโมยข้อมูลโดยอัตโนมัติ

ริวค

คุณสมบัติ: Ryuk มุ่งเป้าไปที่องค์กรขนาดใหญ่เป็นหลักเพื่อเรียกค่าไถ่สูงสุด Ryuk มีความสามารถปรับแต่งตัวเองให้เหมาะกับการโจมตีแต่ละครั้ง ทำให้ตรวจจับและลบออกได้ยาก

วิธีแพร่กระจาย: ผ่านทางอีเมลฟิชชิ่งและเครือข่ายที่ติดมัลแวร์อื่น ๆ เช่น Trickbot และ Emotet Ryuk จะแพร่กระจายและเข้ารหัสข้อมูลเครือข่าย

โรบินฮู้ด

คุณสมบัติ: Robinhood เป็นที่รู้จักในความสามารถในการโจมตีระบบ ของรัฐบาล และองค์กรขนาดใหญ่โดยใช้วิธีการเข้ารหัสที่ซับซ้อนเพื่อล็อคไฟล์และเรียกค่าไถ่จำนวนมาก

วิธีการแพร่กระจาย: แพร่กระจายผ่านแคมเปญฟิชชิ่ง รวมถึงการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์

ดับเบิ้ลเพย์เมอร์

คุณสมบัติ: DoppelPaymer เป็นแรนซัมแวร์แบบสแตนด์อโลนที่มีความสามารถในการก่อให้เกิดความเสียหายร้ายแรงโดยการเข้ารหัสข้อมูลและขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่

วิธีการแพร่กระจาย: แพร่กระจายผ่านเครื่องมือโจมตีระยะไกลและอีเมลฟิชชิ่ง โดยกำหนดเป้าหมายไปที่ช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการแก้ไขโดยเฉพาะ

งู (เรียกอีกอย่างว่า EKANS)

คุณสมบัติ: SNAKE ได้รับการออกแบบมาเพื่อโจมตีระบบควบคุมอุตสาหกรรม (ICS) ไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังสามารถขัดขวางกระบวนการอุตสาหกรรมได้อีกด้วย

วิธีการแพร่ขยาย: ผ่านการฟิชชิ่งและการแสวงหาประโยชน์โดยเน้นการกำหนดเป้าหมายไปที่ระบบอุตสาหกรรมเฉพาะ

โฟบอส

คุณสมบัติ: Phobos มีความคล้ายคลึงกับ Dharma ซึ่งเป็นแรนซัมแวร์อีกชนิดหนึ่ง และมักใช้โจมตีธุรกิจขนาดเล็กผ่าน RDP (Remote Desktop Protocol)

วิธีการแพร่กระจาย: โดยทั่วไปใช้ผ่าน RDP ที่เปิดเผยหรือมีช่องโหว่ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงจากระยะไกลและใช้แรนซัมแวร์ได้

ล็อคบิต

LockBit เป็นแรนซัมแวร์ยอดนิยมอีกตัวหนึ่งที่ทำงานภายใต้รูปแบบ Ransomware-as-a-Service (RaaS) และเป็นที่รู้จักจากการโจมตีธุรกิจและองค์กรของรัฐ LockBit ดำเนินการโจมตีในสามขั้นตอนหลัก: ใช้ประโยชน์จากช่องโหว่ เจาะลึกเข้าไปในระบบ และปรับใช้เพย์โหลดการเข้ารหัส

เฟสที่ 1 - การใช้ประโยชน์: LockBit ใช้ประโยชน์จากจุดอ่อนในเครือข่ายโดยใช้เทคนิคต่างๆ เช่น วิศวกรรมสังคม เช่น อีเมลฟิชชิ่ง หรือการโจมตีด้วยบรูทฟอร์ซบนเซิร์ฟเวอร์อินทราเน็ตและระบบเครือข่าย

เฟสที่ 2 - การแทรกซึม: หลังจากการแทรกซึม LockBit จะใช้เครื่องมือ "หลังการใช้ประโยชน์" เพื่อเพิ่มระดับการเข้าถึงและเตรียมระบบสำหรับการโจมตีแบบเข้ารหัส

ขั้นตอนที่ 3 - การปรับใช้: LockBit จะปรับใช้เพย์โหลดที่เข้ารหัสบนทุกอุปกรณ์ที่สามารถเข้าถึงได้ในเครือข่าย โดยเข้ารหัสไฟล์ระบบทั้งหมดและทิ้งบันทึกเรียกค่าไถ่

นอกจากนี้ LockBit ยังใช้เครื่องมือโอเพ่นซอร์สฟรีจำนวนหนึ่งในการบุกรุกระบบ ตั้งแต่โปรแกรมสแกนเครือข่ายไปจนถึงซอฟต์แวร์การจัดการระยะไกล เพื่อทำการลาดตระเวนเครือข่าย การเข้าถึงระยะไกล การขโมยข้อมูลประจำตัว และการขโมยข้อมูล ในบางกรณี LockBit ยังขู่ว่าจะเปิดเผยข้อมูลส่วนบุคคลของเหยื่อหากไม่ปฏิบัติตามคำเรียกร้องค่าไถ่

LockBit ถือเป็นภัยคุกคามที่ใหญ่หลวงที่สุดอย่างหนึ่งในโลกของแรนซัมแวร์ยุคใหม่ เนื่องจากมีความซับซ้อนและแพร่กระจายได้ง่าย องค์กรต่างๆ จำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่ครอบคลุมเพื่อป้องกันตนเองจากแรนซัมแวร์และรูปแบบต่างๆ ของแรนซัมแวร์

เดา จุง ทาน

ตอนที่ 2: จากการโจมตี VNDirect สู่กลยุทธ์ต่อต้านแรนซัมแวร์