พบ Wana Decrypt0r 2.0 แพร่ระบาดหนัก ISP สั่งตัดการเชื่อมต่อพนักงาน ประเทศไทยมีเหยื่อแล้ว

MalwareHunter ออกมาแจ้งเตือนถึง WCry หรือ Wana Decrypt0r เวอร์ชันใหม่ ที่กำลังแพร่ระบาดหนักอยู่ในขณะนี้ ส่งผลให้ Telefonica บริษัท ISP ชื่อดังจากสเปนต้องสั่งให้พนักงานปิดคอมพิวเตอร์และยกเลิกการเชื่อมต่อผ่าน VPN หวั่นแพร่กระจายจนคุมสถานการณ์ไม่ได้ ล่าสุดประเทศไทยมีผู้ตกเป็นเหยื่อแล้ว

Wana Decrypt0r 2.0 ระบาดหนัก แพร่ระบาดไปทั่วโลกแล้ว

WCry Ransomware (หรือ WannaCry, WannaCrypt0r, WannaCrypt, Wana Decrypt0r) เป็นมัลแวร์เรียกค่าไถ่ตัวใหม่ที่เพิ่งถูกค้นพบเมื่อวันที่ 10 กุมภาพันธ์โดยนักวิจัยจาก Malwarebytes และเริ่มแคมเปญโจมตีไปยังทั่วโลกเมื่อประมาณวันที่ 25 มีนาคมที่ผ่านมา

ล่าสุด MalwareHunter ได้ออกมาแจ้งเตือนถึง Wana Decrypt0r เวอร์ชัน 2.0 ซึ่งเพิ่งเริ่มแพร่ระบาดเมื่อวานนี้ แต่ผ่านไปเพียงแค่ 4 ชั่วโมงหลังตรวจพบ ก็พบว่ามีผู้ตกเป็นเหยื่อ Wana Decrypt0r 2.0 มากกว่า Jaff Ransomware ตัวใหม่ที่แพร่กระจายผ่านทาง Necurs Botnet อดีตเครือข่ายที่ใช้แพร่กระจาย Locky Ransomware ถึง 1.5 เท่า ทั้งๆ ที่ Jaff เริ่มแพร่กระจายตัวมานานแล้วถึง 1 สัปดาห์

ISP สั่งปิดการเชื่อมต่อคอมพิวเตอร์ เกรงคุมสถานการณ์ไม่ได้

Telofonica บริษัท ISP ชื่อดังจากสเปน หนึ่งในเหยื่อของ Wana Decrypt0r 2.0 ถึงขั้นประกาศแจ้งเตือนพนักงานในสำนักงานใหญ่ที่เมืองมาดริด ให้ปิดเครื่องคอมพิวเตอร์ ยกเลิกการเชื่อมต่อกับ Wi-Fi ของบริษัท รวมไปถึงการเชื่อมต่อผ่าน VPN ทั้งหมด เนื่องจากเป็นไปได้ว่าเซิร์ฟเวอร์ภายในของบริษัทจะติด Ransomware ดังกล่าว และจะแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ จนควบคุมไม่ได้

Credit: El Mundo

ก่อนหน้านี้ NHS หน่วยงานด้านสาธารณสุขของสหราชอาณาจักรก็ได้ออกมารายงานว่า มีคลีนิคและโรงพยาบาลรวม 25 แห่งทั่วราชอาณาจักรตกเป็นเหยื่อแล้ว (อัปเดตเมื่อวันที่ 13 พ.ค. เวลา 0.30 น. ตามเวลาประเทศไทย) โดยมัลแวร์ดังกล่าวจะทำการล็อกผู้ใช้ออกจากเครื่อง เข้ารหัสไฟล์ข้อมูล ไม่ว่าจะเป็น ข้อมูลคนไข้ ตารางนัดหมาย ข้อมูลโทรศัพท์ภายใน หรืออีเมล ซึ่งไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลเป็น .WNCRY จากนั้นเรียกค่าไถ่เป็นเงินสูงถึง $300 (ประมาณ 10,500 บาท) ส่งผลให้แพทย์และพยาบาลต้องหันไปทำงานโดยใช้กระดาษกับปากกาแทน

อัปเดต: NHS เลือกที่จ่ายค่าไถ่ให้แก่แฮ็คเกอร์เจ้าของ Wana Decrypt0r 2.0 เป็นที่เรียบร้อยแล้ว

พบแพร่กระจายโดยใช้ ETERNALBLUE โจมตีช่องโหว่ SMBv1

@Kafeine นักวิจัยด้านความมั่นคงปลอดภัยจากฝรั่งเศส พบว่า Wana Decrypt0r 2.0 ใช้ Exploit ที่ชื่อว่า ETERNALBLUE ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่หลุดออกมาเมื่อช่วงเดือนก่อนโดย Shadow Brokers ในการแพร่กระจายตัวเองไปทั่วโลก โดย Exploit ดังกล่าวจะทำการเจาะช่องโหว่โปรโตคอล SMBv1 บนระบบปฏิบัติการ Windoows ถึงแม้ว่า Microsoft จะออกแพทช์ (MS17-010) มาให้อัปเดตแล้วก็ตาม แต่ก็ไม่ได้หมายความว่าทุก PC จะทำการอัปเดตแพทช์

CERT ของประเทศสเปน และนักวิจัยจาก MalwareTech ได้ออกมายืนยันการค้นพบของ @Kafeine แล้ว และได้ทำการสร้าง Live Map สำหรับแสดงเหยื่อรายใหม่ของ Wana Decrypt0r แบบเรียลไทม์อีกด้วย

จนถึงตอนนี้ยังไม่ทราบว่าแฮ็คเกอร์ที่อยู่เบื้องหลัง Wana Decrypt0r 2.0 คือใคร แต่เห็นได้ชัดว่ามีการลงทุนด้านการปฏิบัติงานของ Wana Decrypt0r สูงมาก เพียงแค่ไม่กี่ชั่วโมงหลังเริ่มแพร่ระบาด ก็มีองค์กรขนาดใหญ่ตกเป็นเหยื่อแล้วทั่วโลกกว่า 57,000 ราย ไม่ว่าจะเป็น Telefonica (บริษัท ISP), Gas Natural (ผู้ให้บริการแก๊สธรรมชาติ), Iberdrola (ผู้ให้บริการพลังงานไฟฟ้า), NHS (หน่วยงานสาธารณสุขใน UK) และมหาวิทยาลัยหลายแห่งในประเทศจีน

อัปเดต: ผ่านไปไม่ถึง 24 ชั่วโมงหลังค้นพบ ตอนนี้มีผู้ตกเป็นเหยื่อแล้วมากกว่า 100,000 รายจาก 100 กว่าประเทศทั่วโลก

ไทยตกเป็นเหยื่อแล้วเช่นกัน

ล่าสุดเมื่อคืนนี้ มีผู้ใช้ในประเทศไทยตกเป็นเหยื่อของ Wana Decrypt0r  2.0 แล้วเช่นกัน โดยมีคนไปโพสต์ขอความช่วยเหลือใน Facebook ของ Thaiadmin.com อย่างไรก็ตาม จนถึงตอนนี้มีเพียง Decryptor สำหรับปลดล็อก Wana Decrypt0r  เวอร์ชัน 1.0 เท่านั้น ยังไม่พบ Decrytor สำหรับ Wana Decrypt0r 2.0 แต่อย่างใด แนะนำให้ผู้ใช้อัปเดตแพทช์ล่าสุดของ Windows เพื่ออุดช่องโหว่ MS17-010 ลดความเสี่ยงในการถูก Wana Decrypt0r  2.0 เจาะเข้ามาโจมตี (หรือปิดพอร์ต 445 หรือยกเลิกการใช้โปรโตคอล SMBv1 ระหว่างรอการอัปเดตแพทช์)

วิธีปลดล็อกและจัดการ Wana Decrypt0r 1.0

อัปเดต: รายละเอียดเชิงเทคนิคสามารถดูได้ที่ https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/

ที่มา: https://www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/ และ https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco จับมือ INTERPOL ต่อสู้อาชญากรรมทางไซเบอร์

Cisco ผู้นำด้านเทคโนโลยีระดับโลก และองค์การตำรวจสากล (INTERPOL) ซึ่งเป็นองค์กรตำรวจระหว่างประเทศที่ใหญ่ที่สุดในโลก ประกาศข้อตกลงในการแบ่งปันข้อมูลข่าวกรองเกี่ยวกับภัยคุกคาม โดยนับเป็นก้าวแรกของความร่วมมือในการต่อสู้กับอาชญากรรมทางไซเบอร์ร่วมกัน

Uber แถลง Hacker ขโมยข้อมูลผู้ขับรถและผู้โดยสารทั่วโลกกว่า 57 ล้านรายการได้เมื่อปี 2016

นับเป็นข่าวใหญ่ไม่น้อยกับการแถลงของ Uber ว่าเมื่อปี 2016 ที่ผ่านมานั้นมี Hacker สามารถเข้าถึงฐานข้อมูลผู้ขับขี่รถยนต์และผู้โดยสารของ Uber ได้กว่า 57 ล้านรายการ และทาง Uber ในยามนั้นก็เลือกที่จะจ่ายค่าไถ่มูลค่า 100,000 …

12 comments

  1. Pingback: เจาะลึกการทำงานของ Wana Decrypt0r 2.0 พร้อมวิธีรับมือ - TechTalkThai

  2. Pingback: แจ้งข่าวดี !! Wana Decrypt0r หยุดระบาดชั่วคราว หลังพบสวิตช์ปิดทำงานโดยไม่ตั้งใจ - TechTalkThai

  3. Pingback: เตือนภัย มัลแวร์เรียกค่าไถ่ WannaCry ระบาดหนักทั่วโลก ไทยโดนด้วย - iT24Hrs by ปานระพี

  4. Pingback: ระลอกใหม่มาแล้ว WannaCry 2.0 แบบไม่มี "สวิตช์ปิดตาย" - TechTalkThai

  5. Pingback: Shadow Brokers เตรียมปล่อย Zero-day อื่นในเดือนมิถุนายนนี้ - TechTalkThai

  6. Pingback: รู้จัก WannaCry มัลแวร์เรียกค่าไถ่โจมตีหลายประเทศในเวลานี้ – ดิจิทัลเอเซีย

  7. Pingback: อัปเดตสถานการณ์ด้านความมั่นคงปลอดภัยของไทยหลังเหตุการณ์ WannaCry โดย ดร. ภูมิ ภูมิรัตน จาก G-ABLE - TechT

  8. Pingback: TechTalk Webinar: Patch Management 101 โดย IBM Security ประเทศไทย - TechTalkThai

  9. Pingback: Petya Ransomware สายพันธุ์ใหม่ แค่ 3 วันแพร่ระบาดแล้วกว่า 300,000 เครื่องทั่วโลก - TechTalkThai

  10. Pingback: เจาะลึกการทำงานของ Wana Decrypt0r 2.0 พร้อมวิธีรับมือ – ศูนย์สารสนเทศ

  11. Pingback: เจาะลึกการทำงานของ Wana Decryptor 2.0 พร้อมวิธีรับมือ – ศูนย์สารสนเทศ

  12. Pingback: ກຸ່ມ Hacker Shadow Brokers ຕຽມປ່ອຍ Zero-day ໃນເດຶອນມິຖຸນາ – Bieboy