เตรียมรับมือกับญาติๆ ของ WannaCry Ransomware พบแฮ็คเกอร์ไทยอาจเป็นหนึ่งในผู้พัฒนา

หลังจากที่แฮ็คเกอร์ประสบความสำเร็จอย่างล้นหลามในการแพร่กระจาย WannaCry Ransowmare (หรือ WCry, WannaCrypt, WanaCryt0r, Wana Decrypt0r) วันนี้ Bleeping Computer ออกมาเปิดเผยข้อมูลเพิ่มว่า พบสายพันธุ์แยกของ Ransomware ไม่ต่ำกว่า 4 สายพันธุ์ หน้าตาคล้ายกัน ที่น่าสนใจคือเริ่มมีเครื่องมือสำหรับสร้าง WannaCry Ransomware ขึ้นมาเพื่อให้แฮ็คเกอร์สามารถปรับแต่งหน้าจอให้เป็นของตนเองได้ และบางสายพันธุ์ใช้ภาษาไทยเป็นภาษาตั้งต้นในการเรียกค่าไถ่

ญาติๆ ของ WannaCry เหล่านี้ บางสายพันธุ์อยู่ระหว่างการพัฒนา บางสายพันธุ์ก็พร้อมแพร่ระบาดแล้ว ได้แก่

DarkoderCrypt0r

จากทั้ง 4 สายพันธุ์แยก DarkoderCrypt0r มีการพัฒนาต่อยอดออกไปมากที่สุด จากรูปด้านล่างจะเห็นว่าหน้าล็อกสกรีนของ Ransomware นี้ ทางแฮ็คเกอร์ผู้พัฒนามีการปรับแต่งหัวข้อให้เป็นของตนเอง และเปลี่ยน Bitcoin Address ใหม่ รวมไปถึงมีการเข้ารหัสไฟล์บนเครื่องคอมพิวเตอร์จริง และต่อท้ายนามสกุลไฟล์ด้วย .DARKCRY ส่วนไฟล์ EXE ก็มีชื่อว่า @DaKryEncryptor@.exe

Sample: 2ffd9ba7b5dbccf734da02498fa2a6af8caaf8b9f98d4b32bc226516eee5c832

Aron WanaCrypt0r 2.0 Generator v1.0

Aron WanaCrypt0r 2.0 Generator v1.0 เป็นตัวอย่างที่น่าสนใจสำหรับเครื่องมือที่ใช้สร้าง WannaCry Ransomware เลียนแบบ โปรแกรมนี้ช่วยให้แฮ็คเกอร์สามารถสร้างหน้าต่างล็อกสกรีนของ WannaCry ได้ตามต้องการ ไม่ว่าจะเป็นข้อความ รูปภาพ หรือสีพื้นหลัง คาดว่าในอนาคตเครื่องมือนี้จะนำการปรับแต่งเหล่านี้ไปสร้างไฟล์ Executable เพื่อให้เหล่า “ผู้ที่ต้องการจะเป็นนักพัฒนา Ransomware” เอาไปใช้แพร่กระจายไปยังเหยื่อเพื่อเรียกค่าไถ่ต่อไป อย่างไรก็ตาม จนถึงตอนนี้เครื่องมือนี้ยังทำได้แค่สร้างหน้าต่างล็อกสกรีนขึ้นมาเองเท่านั้น ยังไม่สามารถสร้างไฟล์ Executable ได้แต่อย่างใด

Sample: b46c6addef8894d5079f592152481d259338175806eb9a983ddb8edb9ec5aa44

Wanna Crypt v2.5

Wanna Crypt v2.5 เป็น Ransomware ที่กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา ซึ่งเมื่อทำงานแล้วจะปรากฏหน้าจอล็อกสกรีนขึ้นมาเท่านั้น แต่ยังไม่มีการเข้ารหัสไฟล์ข้อมูล

Sample: 925b3acaa3252bf4d660eab22856fff155f3106c2fee7567711cb34374b499f3

WannaCrypt 4.0

เช่นเดียวกับด้านบน WannaCrypt 4.0 ก็กำลังอยู่ในช่วงเริ่มต้นของการพัฒนา และยังไม่มีการเข้ารหัสข้อมูลแต่อย่างใด แต่ที่น่าสนใจคือภาษาตั้งต้นที่ใช้เรียกค่าไถ่คือภาษาไทย (อ่านรู้เรื่อง ไม่ใช้ Google Translate ด้วย) ซึ่ง WannaCry ต้นตำรับไม่รองรับภาษาดังกล่าว จึงเป็นไปได้ที่นักพัฒนา Ransomware คนนี้จะเป็นชาวไทย หรือมีเป้าหมายหลักที่ประเทศไทย

Sample: cd7542f2d7f2285ab524a57bc04ae1ad9306a15b9efbf56ea7b002d99d4b974f

จะเห็นได้ว่า หลังจากนี้จะไม่ได้มีแต่ WannaCry Ransomware เพียงตัวเดียวที่จะแพร่ระบาดหนักไปทั่วโลก แฮ็คเกอร์มีแนวโน้มที่จะเลียนแบบ Ransomware หรือพัฒนา Ransomware ตัวใหม่ที่อาจจะใช้ช่องโหว่อื่นในการแพร่กระจายตัวเองแทน EternalBlue จึงแนะนำให้ทุกคนเตรียมพร้อมรับมืออยู่เสมอ ไม่ว่าจะเป็นการอัปเดตแพทช์ล่าสุดบนอุปกรณ์คอมพิวเตอร์ การติดตั้งโปรแกรม Antivirus หรือการสำรองข้อมูลเป็นประจำ เหล่านี้ช่วยลดความเสี่ยงในการถูก Ransomware โจมตีได้

ดู 5 บทเรียนสำคัญจากการแพร่ระบาดของ WannaCry ที่ทุกคนควรทราบ

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/with-the-success-of-wannacry-imitations-are-quickly-in-development/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …