TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Emsisoft บริษัทแอนตี้ไวรัสชื่อดัง ได้ออกมาเผยแพร่มัลแวร์เรียกค่าไถ่ (Ransomware) ตัวใหม่ที่เพิ่งถูกค้นพบ เรียกว่า Ransom32 ซึ่งเป็นมัลแวร์รูปแบบใหม่ที่พัฒนาโดยใช้ภาษาจาวาสคริปต์ รับคำสั่งจาก C&C Server ผ่านเครือข่าย Tor ที่สำคัญคือ เป็นมัลแวร์ที่พัฒนาภายใต้แนวคิด SaaS และ ณ ขณะนี้ยังไม่มี Signature ใดที่สามารถตรวจจับมัลแวร์นี้ได้
แพร่กระจายผ่านทาง Phishing Email
Ransom32 แพร่กระจายไปยังระบบคอมพิวเตอร์ผ่านทางการส่งอีเมล Phishing ที่หลอกให้ผู้ใช้ดาวน์โหลดมัลแวร์เข้ามาโดยไม่รู้ตัว Ransom32 จะอยู่ในรูปของไฟล์บีบอัด WinRAR ที่สามารถแตกตัวเองได้ ไฟล์บีบอัดนี้มีขนาดค่อนข้างใหญ่กว่ามัลแวร์โดยทั่วไป คือ มีขนาดประมาณ 22 MB ประกอบด้วย Built-in Script ที่สามารถแตกไฟล์และสั่งรันตัวเองได้ทันที หนึ่งในนั้นคือ chrome.exe ซึ่งเป็นแกนหลักของมัลแวร์
พัฒนาโดยใช้ JavaScript
chrome.exe แท้ที่จริงแล้วคือแพ็กเกจของแอพพลิเคชันที่เขียนขึ้นโดยภาษาจาวาสคริปต์ ภายในนั้นคือ NW.js ซึ่งเป็น Framework สำหรับพัฒนาโปรแกรมหรือแอพพลิเคชัน Framework นี้ช่วยให้นักพัฒนาสามารถสร้างแอพพลิเคชันบน Desktop ผ่านทาง Node.js และใช้แอพพลิเคชันเหล่านั้นติดต่อกับระบบปฏิบัติการ ส่งผลให้แฮ็คเกอร์สามารถปรับเปลี่ยน Ransom32 ให้สามารถทำงานบนระบบปฏิบัติการใดก็ได้ แต่ในขณะนี้ เป้าหมายหลักของการโจมตีคือ Windows
ควบคุมผ่านเครือข่าย Tor และเรียกค่าไถ่ผ่าน Bitcoin
การทำงานของ Ransom32 ยังคงคล้ายคลึงกับมัลแวร์เรียกค่าไถ่ประเภทอื่นๆ นั่นคือ เมื่อทำงานแล้ว จะทำงานค้นหาและเข้ารหัสไฟล์เอกสาร ไฟล์รูปภาพ หรือไฟล์มัลติมีเดียต่างๆ โดยใช้การเข้ารหัสแบบ AES (CTR Block Mode) ขนาด 128 บิท ซึ่งแต่ละไฟล์ก็จะใช้กุญแจเข้ารหัสที่แตกต่างกันออกไป และมีการเข้ารหัสกุญแจเหล่านั้นทั้งหมดด้วย Public Key ที่ใช้อัลกอริธึมแบบ RSA จาก C&C Server อีกครั้งหนึ่ง การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสเหล่านี้กระทำผ่านเครือข่าย Tor เพื่อหลีกเลี่ยงการตรวจจับ และเรียกร้องค่าไถ่ผ่านทาง Bitcoin
มัลแวร์บนแนวคิด SaaS
ที่น่าสนใจคือ Ransom32 ถูกออกแบบมาบนแนวคิดของ Software-as-a-Service (SaaS) นั่นคือ บุคคลใดก็ตามสามารถสร้างมัลแวร์เป็นของตนเองได้ทันที โดยอาศัยการตั้งค่าต่างๆผ่านทางเว็บไซต์ที่ซ่อนอยู่ในเครือข่าย Tor สำหรับ Ransom32 นี้ ผู้ที่ต้องการสร้างมัลแวร์เพียงแค่ระบุชื่อบัญชี Bitcoin สำหรับเรียกค่าไถ่ แล้วเข้าไปปรับแต่งการตั้งค่าต่างๆ เช่น จำนวนเงินที่เรียกร้อง และข้อความที่ใช้แจ้งเตือน มัลแวร์เรียกค่าไถ่ Ransom32 ก็พร้อมให้ดาวน์โหลดไปแพร่กระจายต่อทันที
ยังไม่มี Signature ใดที่สามารถตรวจจับได้
จากการที่ Ransom32 ถูกพัฒนาขึ้นโดยใช้ NW.js ซึ่งเป็น Framework ที่ใช้กันโดยทั่วไป ส่งผลให้มัลแวร์นี้สามารถหลบเลี่ยงการตรวจจับของระบบป้องกันภัยที่ใช้ Signature ได้ นอกจากนี้การบล็อกทั้งแอพพลิเคชันก็ไม่ใช่ทางออกที่ดีเพียงพอ คำแนะนำ ณ ตอนนี้คือ หมั่นสำรองข้อมูลบนระบบคอมพิวเตอร์อย่างสม่ำเสมอ ตรวจสอบอีเมลและไฟล์แนบให้ดีก่อนเปิดอ่าน รวมไปถึงไม่รันหรือดาวน์โหลดไฟล์ที่ไม่ทราบที่มาแน่ชัด
ที่มา: http://securityaffairs.co/wordpress/43250/cyber-crime/ransom32-crypto-ransomware.html
