[PR] วิเคราะห์ภัยแรนซั่มแวร์ตัวถัดไป จาก WannaCry และ Petya กับ Sophos

จัสติน ปีเตอร์ ผู้อำนวยการด้านโซลูชั่นทางเทคนิคของ Sophos ประจำภูมิภาคเอเชียแปซิฟิก และญี่ปุ่น

ขณะที่ทั่วโลกยังคงสั่นสะเทือนจากการโจมตีของ WannaCry นั้น หลายบริษัทในยุโรปและอเมริกาก็ตกเป็นเหยื่อมัลแวร์ครั้งใหญ่อีกครั้งจาก Petya จนได้

ซึ่งนักวิจัยจาก Sophos ได้พบจุดที่เหมือนกันของลักษณะการแพร่กระจายแรนซั่มแวร์ทั้งสองตัวนี้ รวมถึงข้อแตกต่างที่มีการพัฒนาขึ้นอย่างชัดเจน แม้ว่าสำหรับ Petya นั้น ไม่พบกลไกการกระจายตัวเองผ่านอินเทอร์เน็ตแบบที่ WannaCry ใช้อยู่ แต่ก็พบว่า Petya ได้ใช้ช่องโหว่ Eternal Blue หรือ Eternal Romance ในการแพร่ตัวเองบนโลกออนไลน์เหมือน WannaCry เช่นกัน โดยช่องโหว่ดังกล่าวจะใช้ประโยชน์จากบั๊กของบริการ Server Message /block (SMB) ที่คอมพิวเตอร์ที่ใช้วินโดวส์ ใช้ในการแบ่งปันไฟล์และเครื่องพิมพ์ภายในแลนของตัวเอง

แต่ความล้ำอีกขั้นของ Petya คือ ถ้าการใช้ช่องโหว่บน SMB ไม่สำเร็จแล้ว ก็จะหันไปแพร่เชื้อผ่านทูลชื่อว่า PsExec ที่อนุญาตให้ผู้ใช้รันโปรเซสบนระบบที่ต้องการจากระยะไกลได้ นั่นหมายความว่า ถึงเครื่องของเหยื่อจะได้รับการแพ็ตช์อุดช่องโหว่บน SMB แล้วก็ไม่หวั่น ถือว่ายังมีโอกาสโดนกระจายเชื้อไปยังเครื่องอื่นบนเครือข่ายได้อย่างง่ายดายอยู่ดี

กว่า 5 ปีที่ผ่านมานั้น วงการไอทีได้เห็นมัลแวร์หลากหลายสายพันธุ์ที่นิยมใช้การหลอกลวงทางอีเมล์ในการแพร่เชื้อ ด้วยเทคนิคเดิมๆ ในการเขียนอีเมล์ให้ดูน่าเชื่อถือ ใส่โลโก้ทางการ ใช้ภาษาเนียนๆ เข้ากับลักษณะของเป้าหมาย เติมความหวาดกลัวด้วยการขู่เล็กน้อยถึงปานกลาง จากเจ้านายบ้าง หน่วยงานรัฐบ้าง เพื่อล่อให้คลิกลิงค์หรือเปิดไฟล์แนบ แน่นอนว่าวิธีนี้ต้องอาศัยอาการสติหลุดของผู้ใช้ร่วมด้วย ดังนั้น มัลแวร์ยุคใหม่นี้จึงเลิกพึ่งพาคนอื่น ด้วยการใช้เทคนิคหรือทูลในการกระจายมัลแวร์แบบเวิร์ม โดยไม่ต้องจุดธูปภาวนาให้เหยื่อคลิกอีกต่อไป

และด้วยช่องโหว่ที่ถูกทะลวงจนพรุนมากมายในปัจจุบัน ทำให้อาชญากรทางไซเบอร์ยังคงมุ่งทำมาหากินกับเหยื่อที่ใช้วินโดวส์เป็นหลัก ขณะที่ยังทำงานอดิเรกหนีเรดโอเชียนด้วยการพัฒนาฝีมือโจมตีแพลตฟอร์มอื่น เช่น เซิร์ฟเวอร์ลีนุกส์ และเครื่องแมคไปพร้อมกัน

อีกหนึ่งกระแสอันตรายที่ต้องเฝ้าระวังคือ แรนซั่มแวร์บนโลกโมบายล์ ซึ่งปีที่แล้วทาง SophosLabs ได้วิเคราะห์จนเจอแอพพลิเคชั่นบนแอนดรอยด์ที่น่าสงสัยกว่า 8.5 ล้านรายการ โดยมากกว่าครึ่งกลายเป็นมัลแวร์หรือแอพพลิเคชั่นที่มีพฤติกรรมไม่พึงประสงค์ โดยเฉพาะพวกแอดแวร์ที่สร้างความรำคาญ

ถือได้ว่า แรนซั่มแวร์ยุคใหม่มีการพัฒนาฟีเจอร์การทำร้ายชาวบ้านได้หลากหลายและลึกล้ำ ในอัตราที่รวดเร็วมากขึ้นเรื่อย ธุรกิจต่างๆ จึงตกอยู่ในความเสี่ยงสูงมาก ถ้าไม่ได้จัดการป้องกันอย่างถูกต้องตามขั้นตอนที่เหมาะสม

ดังนั้น Sophos จึงแนะนำขั้นตอนอย่างง่ายในการป้องกันตัวเอง ดังนี้:

• ตรวจสอบให้มั่นใจว่า ทุกระบบที่ใช้งานอยู่ ได้รับการแพ็ตช์รุ่นล่าสุด โดยเฉพาะรายการที่ชื่อ MS17-010 จากไมโครซอฟท์แล้ว
• อนุญาตเฉพาะแอพพลิเคชั่นที่จำเป็นต้องใช้ทำงานประจำวันเท่านั้นที่รันบนคอมพิวเตอร์ได้ เพื่อลดความเสี่ยงในการโดนโจมตี และจำกัดจำนวนแพ็ตช์ที่คุณจำเป็นต้องติดตั้งเป็นประจำเพื่ออุดช่องโหว่บนเครื่องทุกเครื่อง ตัวอย่างเช่น พิจารณาปิดกั้นการทำงานของทูล Microsoft PsExec บนคอมพิวเตอร์ของผู้ใช้ เพราะทูลชั้นสูงนี้ออกแบบมาสำหรับพวกวิศวกรไอทีและแอดมิน ไม่ใช่เครื่องมือทำมาหากินของพนักงานออฟฟิศทั่วไปเลย ควรอย่างยิ่งที่ต้องบล็อกทูลนี้ก่อนปล่อยให้มัลแวร์อย่าง Petya ใช้เป็นช่องทางปล่อยโจรเข้าบ้าน นอกจากการไล่ปิดการใช้งานด้วยตัวเองแล้ว ผลิตภัณฑ์ด้านความปลอดภัยบางตัว เช่น Sophos Endpoint Protection ก็สามารถช่วยคุณปิดกั้นแอพที่ไม่ควรเปิดใช้พร่ำเพรื่อได้อย่างครอบคลุมและรวดเร็ว
• สำรองข้อมูลเป็นประจำ และเก็บข้อมูลที่แบ๊กอัพไว้ภายนอกองค์กรด้วย โดยเข้ารหัสข้อมูลที่เก็บสำรองไว้เพื่อให้คุณคลายความกังวลไม่ว่าจะเก็บข้อมูลนี้ไว้ที่ไหนก็ตาม
• หลีกเลี่ยงการเปิดไฟล์แนบ หรือคลิกลิงค์ที่มากับอีเมล์ โดยเฉพาะเมล์ที่คุณไม่ทราบที่มา หรือไม่คิดว่าจะมีเมล์ลักษณะนี้มาจากผู้ส่ง (ที่อาจติดเชื้อไปแล้ว) รายนั้นๆ
• มีทูลฟรีให้โหลดมาใช้ยกระดับความปลอดภัยมากมาย อย่าง Sophos ก็มี Intercept X แบบทดลองใช้ หรือสำหรับผู้ใช้ตามครัวเรือน ก็มีโซลูชั่นความปลอดภัยฟรีอย่าง Sophos Home Premium Beta ที่สามารถป้องกันแรนซั่มแวร์ ด้วยการปิดกั้นการเข้ารหัสที่ไม่ได้รับอนุญาติกับไฟล์หรือบริเวณใดๆ บนฮาร์ดดิสก์

###