หลังจากที่โลกอินเตอร์เน็ตกับรู้จักกับ Ransomware อย่าง WannaCry ไปเมื่อเดือนที่แล้ว
นี่คือการจู่โจมครั้งล่าสุดกับ Petya ที่มีการเรียกค่าไถ่ผ่าน BitCoin
แกะรอยเส้นทางการโจมตี
การโจมตีครั้งแรกนั้นเกิดขึ้นเมื่อวันอังคาร ที่ 27 มิถุนายน 2017
โดยเกิดกับระบบปฎิบัติการ Windows โดยเกิดจากช่องโหว่ใน Protocol ที่เรียกว่า SMB-1
ซึ่งสิ่งที่ตามมาหลังจากนั้น คือการยึดเครื่องและเรียกดค่าไถ่ $300 ใน Bitcoin
เหตุผลของการเลือกเรียกค่าไถ่ผ่าน BitCoin คือต้องการปกปิดเส้นทางการเดินของเงิน
การโจมตีดังกล่าวเกิดขึ้นที่ประเทศอเมริกา อิตาลี เยอรมนี โปแลนด์ ยูเครน และรัสเซีย
โดยเฉพาะที่ยูเครนนั้นหน่วยงานอย่างธนาคารกลาง สนามบิน รวมถึงรถไฟใต้ดินนั้นตกเป็นเหยื่อเป็นที่เรียบร้อยแล้ว
WPP บริษัทโฆษณาในอังกฤษ บริษัทขนส่งในเนเธอร์แลนด์ และ Maersk บริษัทขนส่งในเดนมาร์ก
ก็ประกาศปิดการทำงานของบริษัทชั่วคราวหลังจากได้รับผลกระทบในครั้งนี้
มีบางเบาะแสที่กล่าวว่าการกระจายตัวครั้งนี้ มาจากบริษัท MeDoc ซึ่งเป็นบริษัทที่มีชื่อเสียงของยูเครนทางด้าน
เทคโนโลยีด้านการเงินที่ทำบัญชีซอฟต์แวร์ และช่วยธุรกิจดำเนินการเสียภาษี
และจากข้อมูลล่าสุดที่เราได้มาคือ คือพบเครื่องที่ติดเชื้อในประเทศไทยแล้วเมื่อช่วงเย็นของวันที่ 24 มิถุนายน
หนทางที่ยังไร้การป้องกัน และแก้ไข
ก่อนหน้านี้มีการเตือนผู้ใช้ทั่วไป และผู้ดูแลระบบให้ทำกับอัพเดท Patch Windows ให้เป็นรุ่นล่าสุด
อาจจะฟังดูเหมือนล้อมคอกปัญหาก่อนเข้ามา แต่นั่นมันก็ดูเป็นปราการด่านแรก
ที่พอจะทำได้ในวันที่เรายังไม่มีการป้องกันที่แท้จริง และยากที่จะเอาชนะ
เพราะหลังจาการติดเชิ้อ จะมีบังคับให้เครื่องพีซีที่ติดเชื่อทำการรีบูตทันทีที่เสร็จสิ้นการเข้ารหัสไฟล์
เพราะ Hacker ต้องการค่าไถ่โดยเร็วที่สุด ซึ่งนักวิจัยจาก Recorded Future กล่าวว่า
มี Trojan ที่ซ่อนไว้ข้างในซึ่งขโมยชื่อผู้ใช้และรหัสผ่านของเหยื่อ
ซึ่งคำแนะนำของเราคือทันที่รู้ตัวว่าติดเชื้อแล้ว ให้ทำการเปลี่ยนรหัสผ่านที่เคยมีการบันทึกในระบบทั้งหมด
แม้จะมีการแพร่ข่าวสารเรื่องวิธีการสกัดกั้น โดยใช้ Batch File เขียน Script
แต่จากข้อมูลที่เราค้นพบนั้น วิธีการป้องกันที่ดูน่าเชื่อถือสุดมีอยู่ ในสองขั้นตอนคือ
1. ทำการอัพเดท Microsoft MS17-010
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
2. ทำการปิดการเชื่อมต่อกับพอร์ต 445 ของ Microsoft Windows
ขณะนี้ยังไม่มีหลักฐานที่แน่ชัดว่า จุดเริ่มต้นของการแพร่ระบาดมาจากที่ไหน
ในตอนที่เกิดเรื่องของ WannaCry นั้นมีการสันนิษฐานว่าเกิดจากทางฝั่งเกาหลีเหนือ
ซึ่งผลกระทบครั้งนั้นมีการแพร่กะจายไปมากกว่า 150 ประเทศ และมีผู้ติดเชื้อกว่า 230,000 เครื่องทั่วโลก
การเฝ้าระวังขั้นต่อไป
นักวิจัยของ Bitdefender กล่าวว่า รูปแบบการการโจมตีที่โหดร้ายมากขึ้นของ Ransomware คือ
ไม่ใช่เพียงเข้ารหัสไฟล์ แต่่หมายถึงการเข้ารหัส Hard Drive ด้วย
โดยก่อนหน้านี้มีการแพร่ระบาดที่คล้ายคลึงกัน เช่น การติดเชื้อ Master Boot Record ซึ่งเป็นส่วนประกอบที่สำคัญของฮาร์ดดิสก์ในเครื่องคอมพิวเตอร์
แต่ที่ควรรู้ไว้อีกข้อนึงคือ ต่อให้คุณอยากจะจ่ายเงินค่าไถ่ตอนนี้ก็คงไม่สามารถทำได้แล้ว
เพราะ Posteo ผู้ให้บริการอีเมล์ที่ Hacker รายนี้ใช้นั้น ได้ทำการระงับบัญชีผู้ใช้ไปแล้ว
ความแตกต่างกับ WannaCry ในครั้นั้นคือ ไม่มีสวิตช์สังหารที่ค้นพบโดยบังเอิญเหมือนคราวที่แล้ว
และตอนนี้กำลังมีทำงานร่วมกับตำรวจเยอรมันเพื่อหาผู้ตั้งที่อยู่อีเมล
แต่ที่น่าสนใจคือแหล่งที่มาของรหัสไถ่ถอน มีปรากฎอยู่บนเว็บใต้ดินตั้งแต่เดือนเมษายน และถูกนำมาใช้หลายครั้งแล้ว
เรียบเรียงจาก :
https://www.theguardian.com/technology/2017/jun/27/petya-ransomware-cyber-attack-who-what-why-how
http://fortune.com/2017/06/27/petya-ransomware-ukraine-medoc/
https://www.cnet.com/au/news/unprecedented-cyberattack-hits-businesses-across-europe/
http://fortune.com/2017/06/27/petya-ransomware-cyber-attack/
http://www.telegraph.co.uk/news/2017/06/27/ukraine-hit-massive-cyber-attack1/