Ronghwa Chong นักวิจัยด้านความมั่นคงปลอดภัยจาก FireEye ผู้ให้บริการโซลูชัน Threat Intelligence ชั้นนำของโลก ได้ออกมาเปิดเผยถึงแคมเปญครั้งใหญ่ของ Locky Ransomware ที่กำลังดำเนินอยู่ในขณะนี้ โดยพุ่งเป้าที่โรงพยาบาลในสหรัฐฯ ญี่ปุ่น เกาหลี และไทย
Locky Ransomware เป็นมัลแวร์เรียกค่าไถ่ชื่อดัง ที่แพร่กระจายตัวผ่านทางอีเมล Phishing เมื่อมัลแวร์ดังกล่าวถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว จะทำการเข้ารหัสไฟล์ข้อมูล และแสดงข้อความเรียกค่าไถ่ ถ้าเหยื่อไม่ยอมทำตามก็จะลบไฟล์ข้อมูลเหล่านั้นทิ้ง Locky เริ่มเป็นที่สนใจหลังจากโจมตี Hollywood Presbyterian Medical Center ในสหรัฐฯ เมื่อเดือนกุมภาพันธ์ที่ผ่านมา ซึ่งทางโรงพยาบาลต้องจ่ายค่าไถ่สูงถึง 600,000 บาทเพื่อกู้ไฟล์ข้อมูลกลับคืนมา
Chong ระบุว่า ตลอดช่วงเดือนสิงหาคมที่ผ่านมานี้ FireEye Lab ตรวจพบแคมเปญอีเมล Phishing ที่แพร่กระจาย Locky Ransomware เป็นจำนวนมหาศาล ซึ่งแคมเปญดังกล่าวส่งผลกระทบต่อหลายหน่วยงาน โดยเฉพาะอย่างยิ่งหน่วยงานด้านสาธารณสุข เช่น โรงพยาบาล ที่ถูกพุ่งเป้าเป็นพิเศษ
“ปริมาณของคนที่ดาวน์โหลด Locky Ransomware มีแนวโน้มเพิ่มสูงขึ้น และเครื่องมือรวมไปถึงเทคนิคที่ใช้ในแคมเปญดังกล่าวก็มีการเปลี่ยนแปลงไปจากเดิม” — Chong ระบุ
Locky Ransonware แคมเปญใหม่ล่าสุดนี้มาในรูปของไฟล์ DOCM (ไฟล์ MS Word 2007 ที่พร้อมใช้ Macro) ซึ่งแนบมากับอีเมล Phishing แทนที่จะเป็นไฟล์ JavaScript และอีเมลแต่ละฉบับจะมีโค้ดแคมเปญที่แตกจ่างกัน สำหรับไว้ใช้ดาวน์โหลด Locky Payload จาก C&C Server
รูปด้านล่างจะเห็นว่า วันที่ 9 และ 11 สิงหาคม แคมเปญจะถูกดำเนินการเป็นพิเศษ โดยเฉพาะอย่างยิ่งในสหรัฐฯ ญี่ปุ่น เกาหลี และประเทศไทย
นอกจากนี้ Proofpoint บริษัทชั้นนำด้าน Next-generation Cybersecurity ยังให้ข้อมูลเพิ่มเติมอีกว่า ไตรมาสที่ผ่านมา Locky ได้กลายเป็นมัลแวร์ที่แพร่กระจายตัวผ่านทางอีเมลอันดับหนึ่ง แซงหน้า Dridex (Banking Trojan) เป็นที่เรียบร้อย โดยคิดเป็นอัตราส่วนสูงถึง 69% ในขณะที่ไตรมาสก่อนหน้านี้มีอัตราส่วนเพียง 24% เท่านั้น