VietNamNet แนะนำบทความโดยคุณ Dao Trung Thanh ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และรองผู้อำนวยการสถาบัน Blockchain และ AI เพื่อทำความเข้าใจเกี่ยวกับการโจมตีทางไซเบอร์ที่บริษัท VNDirect Securities และอันตรายของ Ransomware
แรนซัมแวร์ ซึ่งเป็นมัลแวร์ประเภทหนึ่งที่เข้ารหัสข้อมูลในระบบของเหยื่อและเรียกค่าไถ่เพื่อถอดรหัส ได้กลายเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่อันตรายที่สุด ในโลก ปัจจุบัน ภาพ: zephyr_p/Fotolia

กรณี VNDirect และอะไรที่ทำให้ Ransomware เป็นอันตราย?

เมื่อวันที่ 24 มีนาคม 2567 บริษัทหลักทรัพย์ VNDirect ในเวียดนามกลายเป็นจุดศูนย์กลางการโจมตีแรนซัมแวร์ระดับนานาชาติล่าสุด การโจมตีครั้งนี้ไม่ใช่กรณีเดียวที่เกิดขึ้น

แรนซัมแวร์ ซึ่งเป็นซอฟต์แวร์อันตรายชนิดหนึ่งที่ออกแบบมาเพื่อเข้ารหัสข้อมูลในระบบของเหยื่อและเรียกค่าไถ่เพื่อถอดรหัส ได้กลายเป็นหนึ่งในภัยคุกคามความปลอดภัยทางไซเบอร์ที่แพร่หลายและอันตรายที่สุดในโลกปัจจุบัน การพึ่งพาข้อมูลดิจิทัลและเทคโนโลยีสารสนเทศที่เพิ่มมากขึ้นในทุกภาคส่วนของสังคม ทำให้องค์กรและบุคคลทั่วไปมีความเสี่ยงต่อการโจมตีเหล่านี้

อันตรายของแรนซัมแวร์ไม่ได้อยู่ที่ความสามารถในการเข้ารหัสข้อมูลเพียงอย่างเดียว แต่ยังอยู่ที่วิธีการแพร่กระจายและเรียกค่าไถ่ ซึ่งสร้างช่องทางการทำธุรกรรมทางการเงินที่แฮกเกอร์สามารถแสวงหากำไรที่ผิดกฎหมายได้ ความซับซ้อนและความไม่แน่นอนของการโจมตีด้วยแรนซัมแวร์ทำให้การโจมตีด้วยแรนซัมแวร์เป็นหนึ่งในความท้าทายที่ยิ่งใหญ่ที่สุดที่ความมั่นคงปลอดภัยทางไซเบอร์กำลังเผชิญอยู่ในปัจจุบัน

การโจมตี VNDirect เป็นการเตือนใจอย่างชัดเจนถึงความสำคัญของการทำความเข้าใจและป้องกันแรนซัมแวร์ ความเข้าใจในกลไกการทำงานของแรนซัมแวร์และภัยคุกคามที่มันก่อขึ้นเท่านั้น เราจึงจะสามารถวางมาตรการป้องกันที่มีประสิทธิภาพได้ ตั้งแต่ การให้ความรู้แก่ ผู้ใช้ การประยุกต์ใช้โซลูชันทางเทคนิค ไปจนถึงการสร้างกลยุทธ์การป้องกันที่ครอบคลุมเพื่อปกป้องข้อมูลและระบบสารสนเทศที่สำคัญ

Ransomware ทำงานอย่างไร

แรนซัมแวร์ ภัยคุกคามที่น่าสะพรึงกลัวในโลกไซเบอร์ มีลักษณะการทำงานที่ซับซ้อนและหลากหลาย ก่อให้เกิดผลกระทบร้ายแรงต่อเหยื่อ เพื่อให้เข้าใจการทำงานของแรนซัมแวร์ได้ดียิ่งขึ้น เราจำเป็นต้องเจาะลึกแต่ละขั้นตอนของกระบวนการโจมตี

การติดเชื้อ

การโจมตีเริ่มต้นเมื่อแรนซัมแวร์แพร่ระบาดในระบบ แรนซัมแวร์สามารถเข้าสู่ระบบของเหยื่อได้หลายวิธีโดยทั่วไป ได้แก่:

อีเมลฟิชชิ่ง: อีเมลปลอมที่มีไฟล์แนบที่เป็นอันตรายหรือลิงก์ไปยังเว็บไซต์ที่มีโค้ดที่เป็นอันตราย การใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัย: การใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการแก้ไขเพื่อติดตั้งแรนซัมแวร์โดยอัตโนมัติโดยไม่ต้องมีการโต้ตอบจากผู้ใช้ การโฆษณาแบบมัลแวร์: การใช้โฆษณาทางอินเทอร์เน็ตเพื่อเผยแพร่มัลแวร์ การดาวน์โหลดจากเว็บไซต์ที่เป็นอันตราย: ผู้ใช้ดาวน์โหลดซอฟต์แวร์หรือเนื้อหาจากเว็บไซต์ที่ไม่น่าเชื่อถือ

การเข้ารหัส

เมื่อติดไวรัสแล้ว แรนซัมแวร์จะเริ่มกระบวนการเข้ารหัสข้อมูลในระบบของเหยื่อ การเข้ารหัสคือกระบวนการแปลงข้อมูลให้อยู่ในรูปแบบที่ไม่สามารถอ่านได้หากไม่มีคีย์ถอดรหัส แรนซัมแวร์มักใช้อัลกอริทึมการเข้ารหัสที่แข็งแกร่ง เพื่อให้มั่นใจว่าข้อมูลที่เข้ารหัสจะไม่สามารถกู้คืนได้หากไม่มีคีย์เฉพาะ

การเรียกร้องค่าไถ่

หลังจากเข้ารหัสข้อมูลแล้ว แรนซัมแวร์จะแสดงข้อความบนหน้าจอของเหยื่อ เรียกร้องค่าไถ่เพื่อถอดรหัสข้อมูล ข้อความนี้มักประกอบด้วยคำแนะนำเกี่ยวกับวิธีการชำระเงิน (โดยปกติจะชำระเงินผ่าน Bitcoin หรือสกุลเงินดิจิทัลอื่นๆ เพื่อปกปิดตัวตนของอาชญากร) รวมถึงกำหนดเวลาชำระเงิน แรนซัมแวร์บางเวอร์ชันยังขู่ว่าจะลบข้อมูลหรือเผยแพร่หากไม่จ่ายค่าไถ่

การทำธุรกรรมและการถอดรหัส (หรือไม่)

เหยื่อต้องเผชิญกับการตัดสินใจที่ยากลำบาก: จ่ายค่าไถ่และหวังว่าจะได้ข้อมูลคืน หรือปฏิเสธและสูญเสียข้อมูลไปตลอดกาล อย่างไรก็ตาม การจ่ายเงินไม่ได้รับประกันว่าข้อมูลจะถูกถอดรหัส ในความเป็นจริงแล้ว อาจเป็นการกระตุ้นให้อาชญากรดำเนินการต่อไป

วิธีการทำงานของแรนซัมแวร์ไม่เพียงแต่แสดงให้เห็นถึงความซับซ้อนทางเทคนิคเท่านั้น แต่ยังแสดงให้เห็นถึงความจริงอันน่าเศร้า นั่นคือ ความเต็มใจที่จะใช้ประโยชน์จากความโง่เขลาและความไม่รู้ของผู้ใช้ สิ่งนี้เน้นย้ำถึงความสำคัญของการเพิ่มความตระหนักรู้และความรู้ด้านความปลอดภัยทางไซเบอร์ ตั้งแต่การจดจำอีเมลฟิชชิงไปจนถึงการดูแลรักษาซอฟต์แวร์รักษาความปลอดภัยให้ทันสมัยอยู่เสมอ ด้วยภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลาอย่างแรนซัมแวร์ การให้ความรู้และการป้องกันจึงมีความสำคัญยิ่งกว่าที่เคย

Ransomware รูปแบบทั่วไป

ในโลกของภัยคุกคามจากแรนซัมแวร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา แรนซัมแวร์บางสายพันธุ์มีความโดดเด่นในด้านความซับซ้อน ความสามารถในการแพร่กระจาย และผลกระทบร้ายแรงต่อองค์กรต่างๆ ทั่วโลก ต่อไปนี้คือคำอธิบายของแรนซัมแวร์สายพันธุ์ยอดนิยม 7 สายพันธุ์และวิธีการทำงาน

REvil (หรือเรียกอีกอย่างว่า Sodinokibi)

คุณสมบัติ: REvil เป็น Ransomware-as-a-Service (RaaS) รูปแบบหนึ่ง ที่ให้อาชญากรไซเบอร์สามารถ "เช่า" แรนซัมแวร์มาดำเนินการโจมตีของตนเองได้ วิธีนี้ช่วยเพิ่มความสามารถในการแพร่กระจายของแรนซัมแวร์และเพิ่มจำนวนเหยื่อได้อย่างมาก

วิธีการเผยแพร่: เผยแพร่ผ่านช่องโหว่ด้านความปลอดภัย อีเมลฟิชชิ่ง และเครื่องมือโจมตีระยะไกล REvil ยังใช้วิธีการโจมตีเพื่อเข้ารหัสหรือขโมยข้อมูลโดยอัตโนมัติ

ริวค

คุณสมบัติ: Ryuk มุ่งเป้าไปที่องค์กรขนาดใหญ่เป็นหลักเพื่อให้ได้รับค่าไถ่สูงสุด Ryuk สามารถปรับแต่งตัวเองให้เหมาะสมกับการโจมตีแต่ละครั้ง ทำให้ตรวจจับและกำจัดได้ยาก

วิธีการแพร่กระจาย: ผ่านการส่งอีเมลฟิชชิ่งและเครือข่ายที่ติดมัลแวร์อื่น ๆ เช่น Trickbot และ Emotet Ryuk จะแพร่กระจายและเข้ารหัสข้อมูลเครือข่าย

โรบินฮูด

คุณสมบัติ: Robinhood เป็นที่รู้จักในด้านความสามารถในการโจมตีระบบ ของรัฐบาล และองค์กรขนาดใหญ่โดยใช้วิธีการเข้ารหัสที่ซับซ้อนเพื่อล็อคไฟล์และเรียกค่าไถ่จำนวนมาก

วิธีการแพร่กระจาย: แพร่กระจายผ่านแคมเปญฟิชชิ่ง รวมถึงการใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์

ดอปเปิลเพย์เมอร์

คุณสมบัติ: DoppelPaymer เป็นแรนซัมแวร์แบบสแตนด์อโลนที่มีความสามารถในการสร้างความเสียหายร้ายแรงโดยการเข้ารหัสข้อมูลและขู่ว่าจะเปิดเผยข้อมูลหากไม่จ่ายค่าไถ่

วิธีการแพร่กระจาย: แพร่กระจายผ่านเครื่องมือโจมตีระยะไกลและอีเมลฟิชชิ่ง โดยกำหนดเป้าหมายที่ช่องโหว่ในซอฟต์แวร์ที่ไม่ได้รับการแก้ไขโดยเฉพาะ

งู (หรือเรียกอีกอย่างว่า EKANS)

คุณสมบัติ: SNAKE ได้รับการออกแบบมาเพื่อโจมตีระบบควบคุมอุตสาหกรรม (ICS) ไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังสามารถขัดขวางกระบวนการทางอุตสาหกรรมได้อีกด้วย

วิธีการแพร่ระบาด: ผ่านการฟิชชิ่งและการโจมตีแบบแสวงหาประโยชน์ โดยเน้นการกำหนดเป้าหมายไปที่ระบบอุตสาหกรรมเฉพาะ

โฟบอส

คุณสมบัติ: Phobos มีความคล้ายคลึงกับ Dharma ซึ่งเป็นแรนซัมแวร์อีกชนิดหนึ่ง และมักใช้โจมตีธุรกิจขนาดเล็กผ่าน RDP (Remote Desktop Protocol)

วิธีการแพร่กระจาย: หลักๆ แล้วใช้ผ่าน RDP ที่เปิดเผยหรือมีช่องโหว่ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงและปล่อยแรนซัมแวร์จากระยะไกลได้

ล็อคบิต

LockBit เป็นแรนซัมแวร์ยอดนิยมอีกสายพันธุ์หนึ่งที่ทำงานภายใต้รูปแบบ Ransomware-as-a-Service (RaaS) และเป็นที่รู้จักจากการโจมตีธุรกิจและหน่วยงานรัฐบาล LockBit ดำเนินการโจมตีในสามขั้นตอนหลัก ได้แก่ การใช้ประโยชน์จากช่องโหว่ การเจาะลึกเข้าไปในระบบ และการนำเพย์โหลดการเข้ารหัสมาใช้

เฟสที่ 1 - การใช้ประโยชน์: LockBit ใช้ประโยชน์จากจุดอ่อนในเครือข่ายโดยใช้เทคนิคต่างๆ เช่น วิศวกรรมสังคม เช่น ผ่านอีเมลฟิชชิ่ง หรือการโจมตีด้วยบรูทฟอร์ซบนเซิร์ฟเวอร์อินทราเน็ตและระบบเครือข่าย

เฟสที่ 2 - การแทรกซึม: หลังจากการแทรกซึม LockBit จะใช้เครื่องมือ "หลังการใช้ประโยชน์" เพื่อเพิ่มระดับการเข้าถึงและเตรียมระบบสำหรับการโจมตีแบบเข้ารหัส

ขั้นตอนที่ 3 - การปรับใช้: LockBit จะปรับใช้เพย์โหลดที่เข้ารหัสบนอุปกรณ์ทุกเครื่องที่สามารถเข้าถึงได้ในเครือข่าย โดยเข้ารหัสไฟล์ระบบทั้งหมดและทิ้งข้อความเรียกค่าไถ่ไว้

LockBit ยังใช้เครื่องมือฟรีและโอเพนซอร์สมากมายในกระบวนการบุกรุก ตั้งแต่โปรแกรมสแกนเครือข่ายไปจนถึงซอฟต์แวร์จัดการระยะไกล เพื่อทำการลาดตระเวนเครือข่าย การเข้าถึงระยะไกล การขโมยข้อมูลประจำตัว และการขโมยข้อมูล ในบางกรณี LockBit ยังขู่ว่าจะเปิดเผยข้อมูลส่วนบุคคลของเหยื่อหากไม่ปฏิบัติตามคำเรียกค่าไถ่

ด้วยความซับซ้อนและความสามารถในการแพร่กระจายอย่างกว้างขวาง LockBit จึงเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดในโลกของแรนซัมแวร์ยุคใหม่ องค์กรต่างๆ จำเป็นต้องใช้มาตรการรักษาความปลอดภัยที่ครอบคลุมเพื่อป้องกันตนเองจากแรนซัมแวร์ชนิดนี้และแรนซัมแวร์สายพันธุ์อื่นๆ

เดา จุง ทานห์

บทเรียนที่ 2: จากการโจมตี VNDirect สู่กลยุทธ์ต่อต้านแรนซัมแวร์