TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
MalwareHunter ออกมาแจ้งเตือนถึง WCry หรือ Wana Decrypt0r เวอร์ชันใหม่ ที่กำลังแพร่ระบาดหนักอยู่ในขณะนี้ ส่งผลให้ Telefonica บริษัท ISP ชื่อดังจากสเปนต้องสั่งให้พนักงานปิดคอมพิวเตอร์และยกเลิกการเชื่อมต่อผ่าน VPN หวั่นแพร่กระจายจนคุมสถานการณ์ไม่ได้ ล่าสุดประเทศไทยมีผู้ตกเป็นเหยื่อแล้ว
Wana Decrypt0r 2.0 ระบาดหนัก แพร่ระบาดไปทั่วโลกแล้ว
WCry Ransomware (หรือ WannaCry, WannaCrypt0r, WannaCrypt, Wana Decrypt0r) เป็นมัลแวร์เรียกค่าไถ่ตัวใหม่ที่เพิ่งถูกค้นพบเมื่อวันที่ 10 กุมภาพันธ์โดยนักวิจัยจาก Malwarebytes และเริ่มแคมเปญโจมตีไปยังทั่วโลกเมื่อประมาณวันที่ 25 มีนาคมที่ผ่านมา
ล่าสุด MalwareHunter ได้ออกมาแจ้งเตือนถึง Wana Decrypt0r เวอร์ชัน 2.0 ซึ่งเพิ่งเริ่มแพร่ระบาดเมื่อวานนี้ แต่ผ่านไปเพียงแค่ 4 ชั่วโมงหลังตรวจพบ ก็พบว่ามีผู้ตกเป็นเหยื่อ Wana Decrypt0r 2.0 มากกว่า Jaff Ransomware ตัวใหม่ที่แพร่กระจายผ่านทาง Necurs Botnet อดีตเครือข่ายที่ใช้แพร่กระจาย Locky Ransomware ถึง 1.5 เท่า ทั้งๆ ที่ Jaff เริ่มแพร่กระจายตัวมานานแล้วถึง 1 สัปดาห์
ISP สั่งปิดการเชื่อมต่อคอมพิวเตอร์ เกรงคุมสถานการณ์ไม่ได้
Telofonica บริษัท ISP ชื่อดังจากสเปน หนึ่งในเหยื่อของ Wana Decrypt0r 2.0 ถึงขั้นประกาศแจ้งเตือนพนักงานในสำนักงานใหญ่ที่เมืองมาดริด ให้ปิดเครื่องคอมพิวเตอร์ ยกเลิกการเชื่อมต่อกับ Wi-Fi ของบริษัท รวมไปถึงการเชื่อมต่อผ่าน VPN ทั้งหมด เนื่องจากเป็นไปได้ว่าเซิร์ฟเวอร์ภายในของบริษัทจะติด Ransomware ดังกล่าว และจะแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นๆ จนควบคุมไม่ได้
ก่อนหน้านี้ NHS หน่วยงานด้านสาธารณสุขของสหราชอาณาจักรก็ได้ออกมารายงานว่า มีคลีนิคและโรงพยาบาลรวม 25 แห่งทั่วราชอาณาจักรตกเป็นเหยื่อแล้ว (อัปเดตเมื่อวันที่ 13 พ.ค. เวลา 0.30 น. ตามเวลาประเทศไทย) โดยมัลแวร์ดังกล่าวจะทำการล็อกผู้ใช้ออกจากเครื่อง เข้ารหัสไฟล์ข้อมูล ไม่ว่าจะเป็น ข้อมูลคนไข้ ตารางนัดหมาย ข้อมูลโทรศัพท์ภายใน หรืออีเมล ซึ่งไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลเป็น .WNCRY จากนั้นเรียกค่าไถ่เป็นเงินสูงถึง $300 (ประมาณ 10,500 บาท) ส่งผลให้แพทย์และพยาบาลต้องหันไปทำงานโดยใช้กระดาษกับปากกาแทน
อัปเดต: NHS เลือกที่จ่ายค่าไถ่ให้แก่แฮ็คเกอร์เจ้าของ Wana Decrypt0r 2.0 เป็นที่เรียบร้อยแล้ว
พบแพร่กระจายโดยใช้ ETERNALBLUE โจมตีช่องโหว่ SMBv1
@Kafeine นักวิจัยด้านความมั่นคงปลอดภัยจากฝรั่งเศส พบว่า Wana Decrypt0r 2.0 ใช้ Exploit ที่ชื่อว่า ETERNALBLUE ซึ่งเป็นเครื่องมือแฮ็คของ NSA ที่หลุดออกมาเมื่อช่วงเดือนก่อนโดย Shadow Brokers ในการแพร่กระจายตัวเองไปทั่วโลก โดย Exploit ดังกล่าวจะทำการเจาะช่องโหว่โปรโตคอล SMBv1 บนระบบปฏิบัติการ Windoows ถึงแม้ว่า Microsoft จะออกแพทช์ (MS17-010) มาให้อัปเดตแล้วก็ตาม แต่ก็ไม่ได้หมายความว่าทุก PC จะทำการอัปเดตแพทช์
WannaCry/WanaCrypt0r 2.0 is indeed triggering ET rule : 2024218 “ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response” pic.twitter.com/ynahjWxTIA
— Kafeine (@kafeine) May 12, 2017
CERT ของประเทศสเปน และนักวิจัยจาก MalwareTech ได้ออกมายืนยันการค้นพบของ @Kafeine แล้ว และได้ทำการสร้าง Live Map สำหรับแสดงเหยื่อรายใหม่ของ Wana Decrypt0r แบบเรียลไทม์อีกด้วย
จนถึงตอนนี้ยังไม่ทราบว่าแฮ็คเกอร์ที่อยู่เบื้องหลัง Wana Decrypt0r 2.0 คือใคร แต่เห็นได้ชัดว่ามีการลงทุนด้านการปฏิบัติงานของ Wana Decrypt0r สูงมาก เพียงแค่ไม่กี่ชั่วโมงหลังเริ่มแพร่ระบาด ก็มีองค์กรขนาดใหญ่ตกเป็นเหยื่อแล้วทั่วโลกกว่า 57,000 ราย ไม่ว่าจะเป็น Telefonica (บริษัท ISP), Gas Natural (ผู้ให้บริการแก๊สธรรมชาติ), Iberdrola (ผู้ให้บริการพลังงานไฟฟ้า), NHS (หน่วยงานสาธารณสุขใน UK) และมหาวิทยาลัยหลายแห่งในประเทศจีน
อัปเดต: ผ่านไปไม่ถึง 24 ชั่วโมงหลังค้นพบ ตอนนี้มีผู้ตกเป็นเหยื่อแล้วมากกว่า 100,000 รายจาก 100 กว่าประเทศทั่วโลก
ไทยตกเป็นเหยื่อแล้วเช่นกัน
ล่าสุดเมื่อคืนนี้ มีผู้ใช้ในประเทศไทยตกเป็นเหยื่อของ Wana Decrypt0r 2.0 แล้วเช่นกัน โดยมีคนไปโพสต์ขอความช่วยเหลือใน Facebook ของ Thaiadmin.com อย่างไรก็ตาม จนถึงตอนนี้มีเพียง Decryptor สำหรับปลดล็อก Wana Decrypt0r เวอร์ชัน 1.0 เท่านั้น ยังไม่พบ Decrytor สำหรับ Wana Decrypt0r 2.0 แต่อย่างใด แนะนำให้ผู้ใช้อัปเดตแพทช์ล่าสุดของ Windows เพื่ออุดช่องโหว่ MS17-010 ลดความเสี่ยงในการถูก Wana Decrypt0r 2.0 เจาะเข้ามาโจมตี (หรือปิดพอร์ต 445 หรือยกเลิกการใช้โปรโตคอล SMBv1 ระหว่างรอการอัปเดตแพทช์)
วิธีปลดล็อกและจัดการ Wana Decrypt0r 1.0
อัปเดต: รายละเอียดเชิงเทคนิคสามารถดูได้ที่ https://www.techtalkthai.com/wana-decrypt0r-2-0-technical-note/
ที่มา: https://www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/ และ https://www.bleepingcomputer.com/news/security/wana-decrypt0r-ransomware-using-nsa-exploit-leaked-by-shadow-brokers-is-on-a-rampage/
