เผยโฉม! แท้จริงแล้ว Petwrap ไม่ใช่ Ransomware แต่เป็น “อาวุธไซเบอร์” ที่ถอดรหัสกู้คืนไฟล์ไม่ได้

Petwrap หรือ NotPetya หรือ Petya Ransomware ที่แพร่ระบาดอย่างหนักและโจมตีธุรกิจชั้นนำในช่วง 2-3 วันที่ผ่านมานี้ อาจไม่ใช่ Ransomware แบบที่ทุกคนเข้าใจ หลังจากที่มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ทำการวิเคราะห์และพบว่า จริงๆ แล้วมัน “อาวุธไซเบอร์” ต่างหาก

 

Anton Ivanov ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Kaspersky ได้ออกมาให้ความเห็นหลังตรวจสอบการทำงานของ Petwrap แล้วว่าการเข้ารหัสเพื่อทำลายข้อมูลของ Petwrap นี้ไม่สามารถถอดรหัสได้ เพราะภายในโค้ดของการทำงานไม่ได้มีการสร้าง ID เฉพาะสำหรับผู้ใช้งานแต่ละคนเพื่อเอาไว้ใช้ในขั้นตอนการระบุว่าผู้ใช้งานคนใดควรได้กุญแจถอดรหัสใดไปใช้เลย ดังนั้นแปลว่าต่อให้เหยื่อจ่ายค่าไถ่ไป ทางผู้พัฒนา Ransomware ก็ไม่สามารถสร้างกุญแจถอดรหัสที่ถูกต้องเพื่อส่งกลับมาให้ใช้ถอดรหัสได้อยู่ดี

อีกประเด็นหนึ่ง การเข้ารหัสของ Petwrap นั้นก็เรียกได้ว่าเป็นการทำลายดิสก์ทิ้งไปเลยก็ว่าได้ โดย Matt Suiche นักวิจัยจาก Comae Technologies ก็ได้ออกมาเผยถึงรายงานที่แสดงว่า Master Tree File (MFT) ที่ถูก Petwrap เข้ารหัสนี้จะไม่สามารถถูกถอดรหัสได้เลย ต่างจาก Petya ตัวต้นฉบับที่ยังถอดรหัสและนำข้อมูลกลับมาใช้งานได้

ด้วยเหตุเหล่านี้ ทำให้เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยลงความเห็นกันว่า Petwrap นี้ถูกสร้างมาเพื่อสร้างความเสียหายให้กับธุรกิจต่างๆ ด้วยการทำลายข้อมูล (Wiper Malware) มากกว่าที่จะเป็นการเรียกค่าไถ่ด้วยการเข้ารหัสข้อมูล (Ransomware) เพียงแต่วิธีการที่ Petwrap ใช้ในการทำลายข้อมูลนั้นก็คือการเข้ารหัสโดยไม่เก็บกุญแจถอดรหัสไว้เท่านั้น ทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลย

อย่างไรก็ดี การที่ผู้โจมตีนั้นแฝงพฤติกรรมแบบ Wiper เอาไว้ภายใต้ชื่อ Ransomware ก็เริ่มกลายเป็นการโจมตีที่ได้รับความนิยมมากขึ้นเรื่อยๆ เพื่อให้เหล่าองค์กรต่างๆ หลงทางในการรับมือกับกรณีการโจมตีที่เกิดขึ้นไม่ให้ผู้ถูกโจมตีทราบถึงวัตถุประสงค์ที่แท้จริง และเสียเวลากับความพยายามในการถอดรหัสหรือจ่ายค่าไถ่ โดยก่อนหน้านี้ก็เคยมีกรณีของ Shamoon และ KillDisk เกิดขึ้นมาแล้ว และนี่ก็เป็นสาเหตุที่ทำไม Petwrap จึงถูกจัดเอาไว้อยู่ในตระกูลของอาวุธไซเบอร์ (Cyber Weapon) และต้องได้รับการวิเคราะห์จากในแง่มุมที่แตกต่างไปจากการวิเคราะห์ Ransomware

ความรุนแรงของ Petwrap นี้ถือได้ว่าเทียบเท่ากับ Stuxnet และ Blackenergy ซึ่งเป็น Malware ที่มุ่งทำลายเป้าหมายชื่อดังในประวัติศาสตร์ที่ผ่านมา

เรื่องราวเหล่านี้ทำให้การที่ Posteo บล็อคอีเมล์ของผู้พัฒนา Petwrap ไปนั้นกลายเป็นความบังเอิญซ้ำสองที่ตอกย้ำชัดเจนว่า “เหยื่อจะไม่สามารถกู้คืนข้อมูลได้” ไปทันที

 

ที่มา: https://www.bleepingcomputer.com/news/security/surprise-notpetya-is-a-cyber-weapon-its-not-ransomware/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ