[PR] จะมีอะไรใหม่ ๆ จากแรนซัมแวร์อีก

เอฟบีไอได้แจ้งในเดือนเมษายนที่ผ่านมานี้ว่า เหยื่อของแรนซัมแวร์ได้จ่ายเงินสูงถึง 209 ล้านเหรียญสหรัฐในช่วงไตรมาส 1 ปีคศ. 2016 เมื่อเปรียบเทียบกับจำนวน 24 ล้านเหรียญสหรัฐในปี 2015 ทั้งปี จึงทำให้แรนซัมแวร์กลายเป็นหัวข้อใหญ่ในการสนทนาในด้านภัยคุกคามในปัจจุบัน ทั้งนี้ ทีมวิจัยและพัฒนาในศูนย์ฟอร์ติการ์ดแล็ปส์เอง ได้เห็นสายพันธุ์ใหม่ของแรนซัมแวร์ทุกวันเช่นกัน

ที่ผ่านมา แรนซัมแวร์มี 2 ประเภท คือแรนซัมแวร์ที่ทำการบล็อค ( ไม่ให้คอมพิวเตอร์ทำงานได้ ) และ แรนซัมแวร์ที่ทำการเข้ารหัส ( เช่น เข้ารหัสไฟล์ส่วนตัวของท่าน ทำให้ท่านอ่านเอกสารไม่ได้ ) เมื่อเร็ว ๆ นี้ พบว่าแรนซัมแวร์ทั้งสองประเภทเริ่มรวมตัวกันทำงานเข้าด้วยกัน เช่น แรนซัมแวร์ที่ทำการเข้ารหัสนั้น ได้บล็อคไม่ให้คอมพิวเตอร์เข้าเว็ปไซต์บางแห่ง จนกว่าจะจ่ายเงินให้กับแฮกเกอร์ก่อน

อุปกรณ์ที่เป็นเป้าหมายการโจมตีของแรนซัมแวร์ยังไม่แน่ชัด – พบแรนซัมแวร์ที่อยู่บนอุปกรณ์โมบายโจมตีทั้งอุปกรณ์คอมพิวเตอร์และสมาร์ทโฟน และเนื่องจากสมาร์ทโฟนบางค่ายใช้ระบบปฏิบัติการแอนดรอยด์ เราจึงเริ่มพบบางกรณี ( อาทิ สายพันธุ์ FLocker ) ที่การติดเชิ้อแพร่ระหว่างอุปกรณ์ไอโอที เช่น สมาร์ททีวีกับแรนซัมแวร์ที่ขู่กรรโชกขอบางอย่าง เช่น ขอบัตรของขวัญไอทูนส์มูลค่า 200 เหรียญสหรัฐจากท่าน ก่อนที่ท่านจะสามารถดูการแข่งขัน NHL Stanley Cup รอบไฟนัลได้

โดยองค์กรวิจัยการ์ทเนอร์พบว่า จะมีอุปกรณ์ที่เชื่อมโยงกันใช้งานในปี 2016 มากถึง 6.4 พันล้านชึ้น และจะเพิ่มเป็น 21 พันล้านชึ้นในปี 2020 สำหรับแฮกเกอร์แล้ว หมายถึงการที่จะมีจำนวนเหยื่อมากขึ้น

มัลแวร์มีพัฒนาการเมื่อเวลาผ่านไป และการที่แรนซัมแวร์ย้ายจากคอมพิวเตอร์ไปยังอุปกรณ์สมาร์ทดีไวซ์ต่าง ๆ จึงเป็นขั้นตอนในการพัฒนาที่เป็นธรรมชาติมาก เราได้พบการเคลื่อนไหวไปแนวข้างเครือข่ายของพวกตระกูล SamSam และ ZCryptor ทั้งนี้ มัลแวร์บางสายพันธุ์มีพฤติกรรมคล้ายพวกหนอนที่จะแพร่พันธุ์ไปยังเครือข่ายข้างเคียง ถ้าท่านเปรียบเทียบสิ่งเกิดขึ้นเหล่านี้กับวิวัฒนาการทางชีววิทยาในทฤษฎีของดาร์วินแล้ว จะพบว่าเหมือนเวลาที่ปลาออกจากน้ำทะเลและเริ่มใช้ครีบของพวกเขาเป็นเท้าที่จะเดินไปสำรวจดินแดนใหม่ ๆ

วิวัฒนาการนี้จะเกิดขึ้นเร็วหรือช้า ขึ้นอยู่กับเหตุผลเดียว ที่ว่า เหยื่อจะจ่ายค่าไถ่ตามที่ถูกขู่มาหรือไม่ ไม่ได้จำเป็นว่าเหยื่อทุกรายจะต้องจ่ายค่าไถ่ แต่แค่มีเงินค่าไถ่มากพอที่จะดำเนินกิจการต่อยอดต่อไปได้ก็พอ ซึ่งผู้สร้างแรนซัมแวร์นั้นดำเนินธุรกิจของตนเหมือนองค์กรแห่งหนึ่งเลยทีเดียว คือมีการลงทุนจากเงินค่าไถ่ที่ได้มาที่การวิจัยและพัฒนาต่อไป

ระบบควบคุมอุตสาหกรรม คลาวด์และตัวเราเองตกอยู่ในความเสี่ยง

เราเห็นการติดเชื้อแรนซัมแวร์เกิดขึ้นในวันนี้อยู่แล้ว ท่านอาจคิดว่าจะมีอะไรที่จะแย่ไปกว่านี้อีกหรือ

อันดับแรก ยังมีหนึ่งอณาจักรที่แรนซัมแวร์ยังไม่ได้เข้าไป คือ ระบบควบคุมอุตสาหกรรม หรือ Industrial Control Systems ( ICS ) เราจะพบซอฟท์แวร์นี้ในแอปพลิเคชั่นอุตสาหกรรมต่าง ๆ อาทิ โรงงานผลิตสารเคมี โรงงานไฟฟ้านิวเคลียร์ และเครื่องกำเนิดไฟฟ้าพลังงาน

จนในปัจจุบันนี้ ยังไม่พบการรายงานสาธารณะที่เห็นว่า แรนซัมแวร์แพร่เชื้อในระบบ ICS แต่ไม่ได้หมายความว่า จะผ่านทะลุระบบนี้ไม่ได้เหมือนที่บางท่านคิด ตัวอย่างเช่น เราพบว่าเขื่อน Bowman Avenue ในรัฐนิวยอร์คตกเป็นเหยื่อภัยประเภท Reconnaissance ที่สอดแนมเพื่อเก็บข้อมูลทั้งหมดในปี 2013 และ Calpine ซึ่งเป็นเครื่องกำเนิดไฟฟ้าใหญ่ที่สุดของอเมริกาของการผลิตไฟฟ้าจากแหล่งก๊าซธรรมชาติและความร้อนใต้พิภพยังถูกแฮกเกอร์ขโมยภาพรายละเอียดทางวิศวกรรมไปได้

แรนซัมแวร์สายพันธุ์ปัจจุบันไม่ต้องการอะไรมากไปกว่าจู่โจมเหยื่อที่ต้องการ ซึ่งหมายความว่า จะเกิดภัยที่แรนซัมแวร์จะเข้าไปที่เทคโนโลยีเชิงปฏิบัติงานหรือ Operational Technology ( OT ) ภายในไม่กี่เดือนข้างหน้านี้ และจะเป็นภัยที่มีมูลค่าสูงมากที่เดียว เหยื่อเหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับผู้ผลิตแรนซัมแวร์ ท่านลองคิดเล่น ๆ ดูว่า รัฐบาลจะยินดีจ่ายค่าไถ่เท่าไหร่เพื่อป้องกันโรงงานไฟฟ้านิวเคลียร์

คลาวด์

นอกจากระบบ ICS แล้ว เจ้าของแรนซัมแวร์ยังมุ่งเป้าหมายไปที่คลาวด์ ในทุกวันนี้ คลาวด์บรรจุข้อมูลมากมายที่เป็นธรรมดาที่แฮกเกอร์จะสนใจ

ตัวอย่างล่าสุด เช่น เมื่อแอปเปิ้ลประกาศว่าจะอัปเกรดบัญชี iCloud จาก 20Gb เป็น 150Gb ให้ฟรี หมายความว่า หลังจากนี้ อีกไม่กี่เดือนหรือไม่กี่ปี ข้อมูลแทบทั้งหมดของพวกเราจะไปเก็บอย่างรวดเร็วแบบเกือบเรียลไทม์ในคลาวด์ ดังนั้น อาชญากรไซเบอร์อาจจะถือโอกาสใช้ช่องโหว่ของ API ในการเข้ารหัสข้อมูลออนไลน์ของเรา และเรียกร้องขอค่าไถ่

ในกรณีนี้ คำแนะนำที่ว่าเราควรทำสำรองข้อมูลไว้ก่อนนั้นไม่ใช่เรื่องพูดเกินจริง และรวมถึงสิ่งที่ควรปฏิบัติอื่น ๆ ด้วย อาทิ การทำสำรองข้อมูลของท่านอย่างสม่ำเสมอ สำรองข้อมูลแบบออฟไลน์ในอุปกรณ์ที่แยกจากกัน จัดเครือข่ายของท่านให้เป็นโซนที่มีความปลอดภัยในระดับต่างกัน จะไม่ทำให้การติดเชื้อจากส่วนหนึ่งกระจายข้ามไปยังส่วนอื่น ๆ ได้อย่างง่ายดาย และมีแผนสำรองเพื่อให้แน่ใจว่าอุปกรณ์ต่าง ๆ ยังทำงานอยู่ในช่วงเวลาขณะท่านต้องแก้ไขระบบคอมพิวเตอร์หรือเครือข่าย

สำหรับฟอร์ติเน็ตแล้ว เรายังคงมุ่งมั่นทำการวิเคราะห์ต่อไป เพื่อหาหนทางใหม่ ๆ ในการต่อสู้กับภัยที่เกิดขึ้นใหม่ ทั้งนี้ รวมถึงการพัฒนาการดักจับภัยและการโต้ตอบภัย การพัฒนาโมเดลการป้องกันภัยใหม่ ๆ อีกด้วย

ตัวเราเองอาจจะตกเป็นเหยื่อแรนซัมแวร์

ในระยะยาวแล้ว น่าจะมีเหยื่อแรนซัมแวร์ที่น่าหวาดเสียวขี้นอีก ทั้งนี้ ในเดือนพฤษภาคมปี 2010 นักวิทยาศาสตร์ชาวอังกฤษได้แสดงให้เห็นว่าการปลูกถ่ายทางการแพทย์ในมนุษย์สามารถติดเชื้อไวรัสคอมพิวเตอร์หลายประเภทได้

จึงน่าจะคาดเดาได้ว่า วันหนึ่งข้างหน้า แรนซัมแวร์อาจจะไม่ให้ท่านใช้แขนเทียมขาเทียมได้หรือหรือขู่ว่าจะหยุดการกระตุ้นหัวใจของท่าน นี่เป็นนิยายวิทยาศาสตร์หรือเปล่า ท่านลองพิจารณาว่า เทคโนโลยีไอซีทีมาไกลถึงไหนแล้ว และแฮกเกอร์มีความฉลาดเพียงใด เรื่องเหล่านี้อาจไม่น่าจะใช่นิยายวิทยาศาสตร์เสียแล้ว

 

บทความโดยเดวิด แมคซีแจค หัวหน้าทีมวิจัยและพัฒนาไลอ้อน ศูนย์ฟอร์ติการ์ดแล็ปส์ ประจำภูมิภาคเอเชียแปซิฟิค ฟอร์ติเน็ต