แรนซั่มแวร์ WannaCry แทบจะไม่ตกเป็นข่าวพาดหัวเลย เมื่อการโจมตีทางไซเบอร์อีกครั้งได้ทำลายระบบคอมพิวเตอร์ทั่วโลก คราวนี้ต้องตำหนิมัลแวร์ชิ้นหนึ่งชื่อ “NotPetya” และแตกต่างจาก WannaCry ตรงที่ไม่มี “ kill switch ” ที่ชัดเจน เนื่องจากมันแพร่กระจายไปทั่วเครือข่ายที่ติดไวรัส มีรายงานว่า NotPetya โจมตีองค์กรระดับโลกหลายแห่งจนถึงตอนนี้ รวมถึงบริษัทยาอเมริกันMerck และในออสเตรเลีย Cadbury
การโจมตีถูกจัดประเภทเป็นแรนซัมแวร์ในขั้นต้น ซอฟต์แวร์ที่เป็น
อันตรายซึ่งกักขังผู้ใช้เพื่อเรียกค่าไถ่โดยการเข้ารหัสไฟล์และบล็อกการเข้าถึงโดยไม่ต้องใช้ “คีย์” เป็นข้อสันนิษฐานที่สมเหตุสมผลเนื่องจากข้อความข่มขู่ที่แสดงต่อผู้ที่ตกเป็นเหยื่อ – แต่ภาพนั้นซับซ้อนกว่านั้น NotPetya แตกต่างจาก WannaCry หลายประการ โดยเฉพาะอย่างยิ่ง เงินดูเหมือนจะไม่ใช่เป้าหมายสุดท้าย
1. มันเกี่ยวกับการหยุดชะงักไม่ใช่ผลกำไร
ไม่เหมือนกับเหตุการณ์แรนซัมแวร์อื่น ๆ ดูเหมือนว่า NotPetya จะมุ่งเป้าไปที่การหยุดชะงักมากกว่าการแสวงหาผลประโยชน์ทางอาญา (หรืออาจเป็นเพียงการออกแบบที่ไม่ดี)
ประการแรก จำนวนเงินที่ผู้เรียกค่าไถ่ร้องขอนั้นค่อนข้างน้อย – เพียง 300 ดอลลาร์สหรัฐเท่านั้น ดูเหมือนว่าจะทำให้ค่าการสูญเสียการเข้าถึงที่มัลแวร์ทำให้เกิดมีค่าต่ำ
ประการที่สอง เครื่องที่ติดไวรัสจะสั่งให้ผู้ใช้ชำระเงินไปยังบัญชี Bitcoin หนึ่งบัญชี ผู้ใช้จะถูกอ้างถึงที่อยู่อีเมลเดียวเพื่อรับคีย์ที่จำเป็นในการถอดรหัสข้อมูล น่าเสียดายที่ตอนนี้ผู้ใช้หลายคนพบว่าบัญชีอีเมลนั้นถูกปิดโดย Posteo ซึ่งเป็นผู้ให้บริการอีเมล
ซึ่งหมายความว่า แม้จะชำระเงินค่าไถ่แล้ว ผู้ใช้ปลายทางก็ไม่สามารถกู้คืนข้อมูลของตนได้ การปิดกั้นตัวเองจากผู้ที่ตกเป็นเหยื่อด้วยที่อยู่ถาวรในลักษณะนี้ไม่สมเหตุสมผลในทางธุรกิจ
สิ่งนี้ชี้ให้เห็นถึงการใช้งานที่ไม่ชำนาญหรือความจริงที่ว่า NotPetya อาจมีจุดประสงค์อื่น รายงานบางฉบับ ชี้ว่าความต้องการค่า ไถ่อาจเป็นสื่อล่อเพื่อเพิ่มความสนใจของสาธารณชน ในขณะที่นักวิจัยคนอื่นๆ ตั้งคำถามว่าสามารถ กู้คืนข้อมูลที่เข้ารหัสได้หรือไม่ ในบางแวดวง การโจมตีนี้ถูกจัดประเภทเป็น “ไวเปอร์”
(ซึ่งข้อมูลหรือแม้แต่ดิสก์ทั้งหมดถูกลบหรือแก้ไขเกินกว่าจะซ่อมแซมได้)
แต่สิ่งนี้ยังต้องได้รับการพิจารณาอย่างแน่ชัด ไม่ว่าในกรณีใด หากผู้กระทำความผิดต้องการทำเงิน พวกเขาได้ทำสิ่งที่ผิดทั้งหมด
2. ยูเครนดูเหมือนจะเป็นศูนย์กลางของความเสียหาย
ซึ่งแตกต่างจาก WannaCry ที่เป็นข่าวพาดหัวหลังจากปิดระบบคอมพิวเตอร์ของโรงพยาบาลในอังกฤษและองค์กรอื่น ๆ มีรายงานเหตุการณ์ NotPetya จำนวนมากที่สุดในยูเครน
มัลแวร์ใช้ “การใช้ประโยชน์” ซึ่งเป็นเครื่องมือที่สามารถใช้ประโยชน์จากช่องโหว่เฉพาะบนคอมพิวเตอร์ เพื่อรันโค้ดจากระยะไกลบนระบบปฏิบัติการ Windows ที่มีช่องโหว่ ช่องโหว่นี้เรียกว่าMS17-010ได้รับการแก้ไขโดย Microsoft ในเดือนมีนาคม ตัวอย่างของระบบที่ถูกบุกรุกแสดงให้เห็นว่าองค์กรและบุคคลจำนวนมากล้มเหลวในการติดตั้งแพตช์
คำอธิบายหนึ่งที่เป็นไปได้สำหรับระบบที่ไม่ได้แพตช์ในระดับสูงคือความแพร่หลายของซอฟต์แวร์ละเมิดลิขสิทธิ์ในยูเครน
กลไกการแพร่กระจายอื่นที่ใช้โดยมัลแวร์ดูเหมือนจะเป็นตัวอัปเดตซอฟต์แวร์ที่เชื่อมโยงกับซอฟต์แวร์บัญชีภาษีของยูเครน MEDoc
แม้ว่าจะไม่มีหลักฐานที่ชัดเจนที่ชี้ไปที่ผู้กระทำความผิดในการโจมตีครั้งนี้ แต่แรงจูงใจของการโจมตีอาจเป็นเรื่องทางการเมือง ไม่เหมือนกับ WannaCry ตรง NotPetya ทำลายธุรกิจอย่างจริงจังแทนที่จะทำเงิน มิฉะนั้นก็ปกปิดเจตนาอื่น
3. อาจไม่ใช่แรนซัมแวร์ด้วยซ้ำ
แม้ว่า NotPetya จะใช้ซอฟต์แวร์ EternalBlueเวอร์ชันแก้ไขเหมือนกับแรนซั่มแวร์ WannaCry เพื่อเรียกใช้โค้ดจากระยะไกลบนคอมพิวเตอร์ Windows ของเหยื่อ แต่ก็มีข้อแตกต่างที่สำคัญหลายประการ
ในขณะที่ WannaCry เข้ารหัสไฟล์บางไฟล์เท่านั้น (โดยทั่วไปคือข้อมูลที่สำคัญที่สุดของผู้ใช้) NotPetya ยังป้องกันการเข้าถึงระบบปฏิบัติการทั้งหมด โดยเขียนทับส่วนสำคัญของฮาร์ดดิสก์และเข้ารหัสไฟล์ของผู้ใช้
แรนซั่มแวร์เข้ารหัสแบบดั้งเดิมมักจะมีคีย์สำหรับกู้คืนไฟล์ของคุณ เมื่อใช้ NotPetya จะไม่มีกุญแจสำคัญในการกู้คืน (แม้จะมีคำสัญญาที่แสดงบนหน้าจอก็ตาม) มีหลักฐานว่า ID ที่ไม่ซ้ำที่ถูกกล่าวหาซึ่งแสดงให้เหยื่อเห็นนั้นเป็นข้อมูลสุ่มจริง ๆ ซึ่งไม่สามารถให้คีย์ถอดรหัสได้
แม้ว่าจะยังเร็วเกินไปที่จะให้การวิเคราะห์ที่ชัดเจนเกี่ยวกับการโจมตีทางไซเบอร์นี้ แต่ก็เป็นที่ชัดเจนว่านี่เป็นการเปลี่ยนแปลงครั้งใหม่ในสงครามออนไลน์
รหัสได้รับการออกแบบอย่างระมัดระวังเพื่อใช้ประโยชน์จากระบบที่มีช่องโหว่ในขณะที่ผู้ใช้ถูกหลอกให้เชื่อว่าสามารถกู้คืนไฟล์ได้ สิ่งที่ทำให้ไขว้เขวของแรนซัมแวร์อาจเป็นการเบี่ยงเบนอย่างระมัดระวังเพื่อซ่อนความตั้งใจที่แท้จริงของการประทุษร้าย
เราสามารถคาดหวังได้ว่าแนวโน้มนี้จะดำเนินต่อไป และองค์กร (และบุคคล) จำเป็นต้องดำเนินการเชิงรุกมากขึ้นในการปรับปรุงระบบปฏิบัติการให้ทันสมัยและสำรองข้อมูล
Credit : สล็อตแตกง่าย
