ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอนำเสนอข้อมูลเกี่ยวกับ Ransomware ในปัจจุบันรวมถึงวิธีการรับมือ โดยแบ่งตามหัวข้อต่อไปนี้
Ransomware คืออะไร?
รู้จัก human-operated ransomware
สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020
เทคนิคการโจมตีของมัลแวร์เรียกค่าไถ่
การรับมือมัลแวร์เรียกค่าไถ่
Ransomware คืออะไร?
Ransomware หรือมัลแวร์เรียกค่าไถ่เป็นมัลแวร์ที่เมื่อแพร่กระจายไปยังเครื่องเหยื่อปลายทางจะทำการเข้ารหัสไฟล์ หากผู้ใช้งานต้องการจะเข้าถึงไฟล์ที่ถูกเข้ารหัส จำเป็นต้องจ่ายค่าไถ่ให้กับผู้โจมตี ซึ่งการจ่ายค่าไถ่ดังกล่าวไม่การันตีการได้รับไฟล์คืน เหยื่ออาจพบการข่มขู่ให้จ่ายค่าไถ่มากขึ้นหรือมัลแวร์ดังกล่าวอาจมีกระบวนการเข้ารหัสหรือถอดรหัสที่ผิดพลาดจนทำให้ไม่สามารถทำให้ไฟล์กลับสู่สภาพเดิมได้
ประวัติของมัลแวร์เรียกค่าไถ่สามารถย้อนกลับไปได้ถึงช่วงปี 1989 โดยปัจจุบันมัลแวร์เรียกค่าไถ่และผู้โจมตีที่อยู่เบื้องหลังการโจมตีมีการพัฒนาไปอย่างมาก เป้าหมายของมัลแวร์เรียกค่าไถ่ไม่เฉพาะเจาะจงแค่เครื่องคอมพิวเตอร์อีกต่อไป มีการพบมัลแวร์เรียกค่าไถ่มุ่งโจมตีโทรศัพท์มือถือ android และมีมัลแวร์เรียกค่าไถ่ที่มุ่งโจมตี NAS อีกด้วย
รู้จัก human-operated ransomware
เมื่อเดือนมีนาคม 2020 ที่ผ่านมา Microsoft ออกบทความ Human-operated ransomware attacks: A preventable disaster ซึ่งพูดถึงการนิยาม Ransomware เป็นสองแบบคือ Auto-spreading ransomware อย่าง Wannacry ที่มีความสามารถโจมตีช่องโหว่ใน SMBv1 โดยอัตโนมัติ และ human-operated ransomware ที่มีมนุษย์อยู่เบื้องหลัง เป็นการโจมตีที่มีการวางแผน มีการพุ่งเป้าโจมตีอย่างชัดเจนไปยังองค์กรต่างๆ โดยมุ่งหวังให้เกิดรายได้สูงสุด
ในการมุ่งหวังให้เกิดรายได้สูงสุดของ human-operated ransomware นั้น ผู้โจมตีจะมีการวางแผนโจมตีองค์กรโดยมากกว่าการโจมตีเหยื่อรายบุคคลเพราะองค์กรมีความสามารถในการจ่ายเงินสูงกว่า สามารถเรียกค่าไถ่ได้มากกว่าเหยื่อรายบุคคล มีการใช้เทคนิคต่างๆ เพื่อช่วยในการโจมตี ไม่ว่าจะเป็นการซื้อ credential จากตลาดมืด, การใช้ spearphishing email, การใช้โปรแกรมที่มีอยู่บนเครื่องอยู่แล้วเพื่อไม่ให้ผิดสังเกต (Living Off The Land) หรือเทคนิคอื่นๆ ตามความสามารถของผู้โจมตีเหล่านั้น
ทั้งนี้ผู้โจมตีที่เลือกใช้ Ransomware ไม่จำเป็นต้องมีความสามารถในการพัฒนามัลแวร์หรือมีความสามารถในการโจมตี เพราะในปัจจุบันมีสิ่งที่เรียกว่า Ransomware-as-a-service (RaaS) ซึ่งประกอบไปด้วยตัว ransomware, ระบบจัดการการจ่ายค่าไถ่, วิธีการโจมตีเพื่อวางมัลแวร์เรียกค่าไถ่ และสิ่งจำเป็นอื่นๆ ที่เกี่ยวข้อง โดยผู้ใช้ RaaS อาจจ่ายค่าบริการเป็นการแบ่งรายได้จากการเรียกค่าไถ่ให้กับผู้ให้บริการ
ตั้งแต่ปี 2019 เป็นต้นมา human-operated ransomware เริ่มต้นโดย Maze มีการพัฒนาเทคนิคเพื่อการันตีให้องค์กรจ่ายเงินด้วยการขโมยข้อมูลก่อนทำการปล่อยมัลแวร์เข้ารหัสไฟล์ เพื่อข่มขู่ให้องค์กรยอมจ่ายเงิน มิฉะนั้น Maze จะทำการปล่อยข้อมูลสู่สาธารณะ ซึ่งค่าปรับจากกฏหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือผลกระทบอื่นๆ จากข้อมูลรั่วไหลอาจสูงกว่าค่าไถ่
กลยุทธของ Maze ถือว่าเป็นประสบผลสำเร็จเป็นอย่างมาก เพราะมีองค์กรที่สามารถกู้คืนระบบจากเข้ารหัสไฟล์ได้ แต่ยอมจ่ายเงินค่าไถ่เพื่อให้ผู้โจมตีลบไฟล์ที่ขโมยออกไป ทำให้กลุ่มผู้โจมตีอื่นๆ หันมาขโมยข้อมูลก่อนเข้ารหัสไฟล์เช่นกัน
โดยเหยื่อล่าสุดที่มีข่าวว่ายอมจ่ายเงินแม้กู้คืนระบบได้คือ มหาวิทยาลัยแห่งยูทาห์ (University of Utah) แถลงว่าถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ สามารถกู้คืนระบบได้ แต่จ่ายค่าไถ่โดยใช้วงเงินจากบริษัทประกันเพื่อป้องกันไม่ให้ผู้โจมตีทำการปล่อยข้อมูลนักศึกษาและบุคลากรเมื่อวันที่ 21 สิงหาคม 2020 ที่ผ่านมา ซึ่งผู้เชี่ยวชาญวิเคราะห์ว่าน่าจะเป็นผลงานของ NetWalker ransomware
สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020
Coveware ซึ่งเป็นบริษัทที่เชี่ยวชาญในการรับมือกับมัลแวร์เรียกค่าไถ่ออกรายงานวิเคราะห์ประจำไตรมาสที่ 2 ของปี 2020 Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase ซึ่งมีจุดน่าสนใจหลายอย่าง ได้แก่
ค่าเฉลี่ยของค่าไถ่ในไตรมาสที่ 2 ของปี 2020 อยู่ที่ 178,254 ดอลลาร์สหรัฐ (ประมาณ 5 ล้าน 5 แสนบาท)
ช่องทางการโจมตีของมัลแวร์เรียกค่าไถ่มาจาก RDP สูงสุด ตามด้วย Email Phishing และช่องโหว่ที่ไม่ได้รับการแพตช์ สอดคล้องกับการ Work From Home ที่เพิ่มขึ้น ทำให้มีองค์กรที่เปิดการใช้งาน RDP มากขึ้น
มัลแวร์เรียกค่าไถ่ที่ทำเงินได้มากที่สุด 3 อันดับคือ Sodinokibi, Maze และ Phobos
โดยในรายงานดังกล่าว Coveware ยังระบุว่าเป้าหมายของมัลแวร์เรียกค่าไถ่พุ่งไปที่องค์กรประเภท Professional Service มากที่สุด ตามด้วย Public Sector และมีประเภท Health Care เป็นอันดับที่ 3
ซึ่งถึงแม้ว่าจะมีมัลแวร์เรียกค่าไถ่หลายๆ กลุ่มจะประกาศหยุดโจมตีกลุ่ม Health Care ในช่วง COVID-19 แต่ไม่ใช่ทั้งหมด เนื่องจากกลุ่ม Health Care มักจะได้รับผลกระทบจากการหยุดให้บริการอย่างมาก จึงมีความเป็นไปได้ที่จะจ่ายค่าไถ่สูง
เทคนิคการโจมตีของ ransomware
การโจมตีของมัลแวร์เรียกค่าไถ่รวมถึงผู้โจมตีที่อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่นั้นมีความหลากหลายและแตกต่างกันไปตามแต่ละชนิดของมัลแวร์เรียกค่าไถ่ ทำให้ยากต่อการหา “วิธีการเดียวที่ได้ผล” ในการใช้ผลิตภัณฑ์ เครื่องมือ หรือวิธีการใดวิธีการหนึ่งเพียงอย่างเดียวในการรับมือมัลแวร์เรียกค่าไถ่ทั้งหมด จำเป็นต้องใช้วิธีป้องกันร่วมกันหลายอย่าง (Defense in depth) ในการป้องกันดังกล่าว
สถานการณ์การโจมตีจาก ransomware อาจเป็นได้ทั้ง
ผู้โจมตีส่ง Phishing ให้เหยื่อเป็นอีเมลที่มีไฟล์เอกสารแนบมา เหยื่อหลงเชื่อแล้วทำการเปิดเอกสาร มีการ enable content เพื่อดูใจความ ทำให้ macro ที่ถูกซ่อนไว้ทำงานเรียกใช้ powershell เพื่่อดาวน์โหลดมัลแวร์ขั้นต่อไปมา จนกระทั่งเรียกใช้มัลแวร์ค่าไถ่เข้ารหัสระบบ
โจมตีสแกนหาเครื่องเซิร์ฟเวอร์ที่มีการเปิด RDP ไว้ ผู้โจมตีทำการ brute force เพื่อเข้าถึง RDP ซึ่งผู้โจมตีสามารถโจมตีสำเร็จ ได้บัญชีผู้ใช้ระดับผู้ดูแลระบบที่มีสิทธิ์สูง ทำให้ผู้โจมตีใช้บัญชีเหล่านั้นในการเข้าถึงเครื่องได้ เนื่องจากมีสิทธิ์สูง ผู้โจมตีสามารถปิดโปรแกรมป้องกันต่างๆ ทำการขโมยข้อมูล credential ทำการขโมยข้อมูลสำคัญบนเครื่อง ติดตั้ง backdoor เพื่อให้สามารถคงอยู่ในระบบต่อโดยง่าย จากนั้นทำการขยับไปยังเครื่องอื่นๆ ที่อยู่ในองค์กรเดียวกัน ลบ backup ทิ้ง เลือกเครื่องเป้าหมายในการวางมัลแวร์ จากนั้นทำการเรียกใช้มัลแวร์เรียกค่าไถ่เข้าสู่ระบบทั้งหมด เป็นต้น
การรับมือมัลแวร์เรียกค่าไถ่
อ้างอิงจากกรอบขั้นตอนการรับมือภัยคุกคาม NIST Special Publication 800-61 Revision 2 Computer Security Incident Handling Guide (NIST SP 800-61 Rev.