Tech!

Petya มหันตภัย Ransomware ป่วนโลกไซเบอร์ตัวใหม่ ล่าสุดพบการติดเชื้อในไทยแล้ว

หลังจากที่โลกอินเตอร์เน็ตกับรู้จักกับ  Ransomware  อย่าง WannaCry ไปเมื่อเดือนที่แล้ว
นี่คือการจู่โจมครั้งล่าสุดกับ Petya  ที่มีการเรียกค่าไถ่ผ่าน BitCoin

แกะรอยเส้นทางการโจมตี

การโจมตีครั้งแรกนั้นเกิดขึ้นเมื่อวันอังคาร ที่ 27 มิถุนายน 2017
โดยเกิดกับระบบปฎิบัติการ Windows โดยเกิดจากช่องโหว่ใน Protocol ที่เรียกว่า SMB-1
ซึ่งสิ่งที่ตามมาหลังจากนั้น คือการยึดเครื่องและเรียกดค่าไถ่ $300 ใน Bitcoin
เหตุผลของการเลือกเรียกค่าไถ่ผ่าน BitCoin คือต้องการปกปิดเส้นทางการเดินของเงิน

การโจมตีดังกล่าวเกิดขึ้นที่ประเทศอเมริกา อิตาลี เยอรมนี โปแลนด์ ยูเครน และรัสเซีย
โดยเฉพาะที่ยูเครนนั้นหน่วยงานอย่างธนาคารกลาง สนามบิน รวมถึงรถไฟใต้ดินนั้นตกเป็นเหยื่อเป็นที่เรียบร้อยแล้ว
WPP บริษัทโฆษณาในอังกฤษ บริษัทขนส่งในเนเธอร์แลนด์ และ Maersk บริษัทขนส่งในเดนมาร์ก
ก็ประกาศปิดการทำงานของบริษัทชั่วคราวหลังจากได้รับผลกระทบในครั้งนี้

มีบางเบาะแสที่กล่าวว่าการกระจายตัวครั้งนี้ มาจากบริษัท MeDoc ซึ่งเป็นบริษัทที่มีชื่อเสียงของยูเครนทางด้าน
เทคโนโลยีด้านการเงินที่ทำบัญชีซอฟต์แวร์ และช่วยธุรกิจดำเนินการเสียภาษี
และจากข้อมูลล่าสุดที่เราได้มาคือ คือพบเครื่องที่ติดเชื้อในประเทศไทยแล้วเมื่อช่วงเย็นของวันที่ 24 มิถุนายน

หนทางที่ยังไร้การป้องกัน และแก้ไข

ก่อนหน้านี้มีการเตือนผู้ใช้ทั่วไป และผู้ดูแลระบบให้ทำกับอัพเดท Patch Windows ให้เป็นรุ่นล่าสุด
อาจจะฟังดูเหมือนล้อมคอกปัญหาก่อนเข้ามา แต่นั่นมันก็ดูเป็นปราการด่านแรก
ที่พอจะทำได้ในวันที่เรายังไม่มีการป้องกันที่แท้จริง และยากที่จะเอาชนะ
เพราะหลังจาการติดเชิ้อ จะมีบังคับให้เครื่องพีซีที่ติดเชื่อทำการรีบูตทันทีที่เสร็จสิ้นการเข้ารหัสไฟล์
เพราะ Hacker ต้องการค่าไถ่โดยเร็วที่สุด ซึ่งนักวิจัยจาก Recorded Future กล่าวว่า
มี Trojan ที่ซ่อนไว้ข้างในซึ่งขโมยชื่อผู้ใช้และรหัสผ่านของเหยื่อ

ซึ่งคำแนะนำของเราคือทันที่รู้ตัวว่าติดเชื้อแล้ว ให้ทำการเปลี่ยนรหัสผ่านที่เคยมีการบันทึกในระบบทั้งหมด

แม้จะมีการแพร่ข่าวสารเรื่องวิธีการสกัดกั้น โดยใช้ Batch File เขียน Script
แต่จากข้อมูลที่เราค้นพบนั้น วิธีการป้องกันที่ดูน่าเชื่อถือสุดมีอยู่ ในสองขั้นตอนคือ

1. ทำการอัพเดท Microsoft MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. ทำการปิดการเชื่อมต่อกับพอร์ต 445 ของ Microsoft Windows

ขณะนี้ยังไม่มีหลักฐานที่แน่ชัดว่า จุดเริ่มต้นของการแพร่ระบาดมาจากที่ไหน
ในตอนที่เกิดเรื่องของ WannaCry นั้นมีการสันนิษฐานว่าเกิดจากทางฝั่งเกาหลีเหนือ
ซึ่งผลกระทบครั้งนั้นมีการแพร่กะจายไปมากกว่า 150 ประเทศ และมีผู้ติดเชื้อกว่า 230,000 เครื่องทั่วโลก

การเฝ้าระวังขั้นต่อไป

นักวิจัยของ Bitdefender กล่าวว่า รูปแบบการการโจมตีที่โหดร้ายมากขึ้นของ Ransomware คือ
ไม่ใช่เพียงเข้ารหัสไฟล์ แต่่หมายถึงการเข้ารหัส Hard Drive ด้วย
โดยก่อนหน้านี้มีการแพร่ระบาดที่คล้ายคลึงกัน เช่น การติดเชื้อ Master Boot Record ซึ่งเป็นส่วนประกอบที่สำคัญของฮาร์ดดิสก์ในเครื่องคอมพิวเตอร์

แต่ที่ควรรู้ไว้อีกข้อนึงคือ ต่อให้คุณอยากจะจ่ายเงินค่าไถ่ตอนนี้ก็คงไม่สามารถทำได้แล้ว
เพราะ Posteo ผู้ให้บริการอีเมล์ที่ Hacker รายนี้ใช้นั้น ได้ทำการระงับบัญชีผู้ใช้ไปแล้ว
ความแตกต่างกับ WannaCry  ในครั้นั้นคือ ไม่มีสวิตช์สังหารที่ค้นพบโดยบังเอิญเหมือนคราวที่แล้ว
และตอนนี้กำลังมีทำงานร่วมกับตำรวจเยอรมันเพื่อหาผู้ตั้งที่อยู่อีเมล
แต่ที่น่าสนใจคือแหล่งที่มาของรหัสไถ่ถอน มีปรากฎอยู่บนเว็บใต้ดินตั้งแต่เดือนเมษายน และถูกนำมาใช้หลายครั้งแล้ว

เรียบเรียงจาก :
https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how
http://fortune.com/2017/06/27/petya-ransomware-ukraine-medoc/
https://www.cnet.com/au/news/unprecedented-cyberattack-hits-businesses-across-europe/
http://fortune.com/2017/06/27/petya-ransomware-cyber-attack/
http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/

jetboat

Jetboat is a Bangkok-based tech blogger and has more than ten years of blogger sence in Thailand Specializes in mobile application , tech industries , security ,gadget, mobile marketing ,social network.

Related Articles

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Back to top button