การโจรกรรม การขู่กรรโชก การแบล็กเมล และการแอบอ้างบุคคลอื่นนั้นมีอยู่มากมายในโลกออนไลน์ โดยมีผู้คนหลายพันคนตกเป็นเหยื่อของการหลอกลวงและการโจมตีต่าง ๆ ทุกเดือน
ผมว่า เรารู้จัก Ramsomware มาสักพักใหญ่แล้วเนอะ แต่ปีนี้มันกำลังจะรุนแรงมากขึ้นอีก ด้วยการมาของ Ransomware 3.0 ที่แฮกเกอร์จะพยายามกดดันให้องค์กรธุรกิจจ่ายเงินให้พวกเขามากขึ้น
ข้อมูลจาก Kaspersky ระบุว่า โดยปกติแล้ว Ransomware ที่เราเคยเจอ จะเข้าโจมตี ล็อกไฟล์ และกดดันให้ธุรกิจจ่ายเงิน แต่ตอนนี้ เมื่อโดนกันบ่อย ๆ เข้า องค์กรจึงหันมาให้ความสำคัญกับระบบ Backup & Recovery ที่ทำให้ระบบกลับมาทำงานได้เร็ว แม้ไม่ต้องจ่ายเงินให้แฮกเกอร์
เมื่อมีระบบป้องกันที่ดี ฝ่ายโจมตีก็ต้องหาวิธีการที่จะทำให้จ่ายเงิน หนึ่งในนั้นคือการ Shutdown Server ของธุรกิจนั้น ๆ ยกตัวอย่างเช่น หาก Techhub โดน Ransomware ไฟล์ข้อมูลในระบบหายไป แต่ Techhub ไม่ยอมจ่ายเงิน สามารถกู้คืนไฟล์มาได้ แต่อาจต้องใช้เวลาสักพัก แต่เมื่อแฮกเกอร์รู้ เขาได้พยายาม ทำการโจมตีเว็บไซต์ Techhub เพื่อทำให้เว็บล่ม เช่นการโจมตีด้วย DDos Attack
สิ่งน่าตกใจคือ สถิของ Kaspersky ระบุว่าธุรกิจในประเทศไทยหลายแห่งโดนโจมตีจาก Ransomware บ่อยมาก เพียงแต่ไม่มีการเปิดเผย และมากกว่า 50% ยอมจ่ายเงินให้กับแฮกเกอร์ เพื่อให้ธุรกิจ กลับมาเดินงานตามปกติ
ปัจจุบัน สายพันธุ์ Ransomware ที่ถูกใช้มากที่สุดคือ LockBit 3.0 เป็นโปรแกรมเรียกค่าไถ่ในตระกูล LockBit ที่แพร่กระจายตัวเองได้เร็ว แต่มีเพียงเหยื่อบางรายเท่านั้นที่ตกเป็นเป้าหมาย ซึ่งส่วนใหญ่เป็นคนหรือองค์กรที่มีสามารถในการจ่ายค่าไถ่จำนวนมาก ผู้ที่ใช้ LockBit ransomware มักจะเข้าถึง Remote Desktop Protocol (RDP) บน Darkweb เพื่อให้สามารถเข้าถึงอุปกรณ์ของเหยื่อจากระยะไกลและง่ายขึ้น นอกจากนี้ ยังมีความสามารถในการเข้ารหัสและขโมยไฟล์ทั้งหมดออกจากอุปกรณ์ที่ติดไวรัส ทำให้ผู้โจมตีสามารถจับข้อมูลของเหยื่อเป็นตัวประกันได้จนกว่าจะจ่ายค่าไถ่ที่ร้องขอ ซึ่งตอนนี้ มันกำลังทำงานอยู่อย่างแพร่หลาย
จากข้อมูลของ Kaspersky การใช้งาน Ransomware as a service (RaaS) กำลังได้รับความนิยมมากขึ้น ทำให้แฮกเกอร์ระดับ Novice สามารถเข้าถึงเครื่องมือที่ทรงพลังเพื่อนำไปใช้โจมตี และการโจมตี โดยทั่วไปแล้วจะเป็นการหว่านแหไปเรื่อย ๆ เช่น การทำ Phishinng หรือ Vishing ใครติดแห ก็ค่อยไปดูต่อ แต่บางเคส ผู้โจมตีจะกำหนดเป้าหมายในการโจมตีอย่างชัดเจน เช่น
รู้มาว่า แอดมิด “Friday” ทำงานที่ Techhub รู้ชื่อ รู้นามสกุลและอีเมลแล้ว จากนั้นก็ไปหาข้อมูลอื่น ๆ ใน DarkWeb ต่อว่า มีข้อมูลอะไรอื่น ๆ หลุดมามั่งไหม เช่น เบอร์โทรศัพท์ ที่อยู่ รหัสบัตรประชาชน หรือ ID Facebook และอื่น ๆ จากนั้นก็จะพยายามส่งโปรโมชั่น ส่งความ ทำ Phishing หรือยิงแอด ใน Facebook เพื่อให้ “Friday” กดลิงค์ที่แนบแนบไวรัสมาให้ได้
ถ้าหากสำเร็จ ก็จะเป็นการเปิดประตูด่านแรกที่ทำให้ผู้โจมตีเข้ามาซุ่มเพื่อดูว่า Techhub มีการดำเนินธุรกิจยังไง ใช้เซิร์ฟเวอร์โมลเดลอะไร ใช้ Firewall รุ่นอะไร มีช่องโหว่ไหม หากตรวจเจอช่องโหว่ ก็จะใช้ช่องโหว่นั้นเพื่อแทรก Ransomware เข้ามาครับ ซึ่งขั้นตอนทั้งหมดนี้ จะใช้เวลาประมาณ 3-5 เดือนครับ และหาก Techhub ไม่ยอมจ่าย ผู้โจมตีก็จะทำทุกอย่าง เพื่อให้เว็บของ Techhub ล่มนั่นเอง
และทั้งหมดนี้ คือรูปแบบของ Ransomware 3.0 โดยสรุปก็คือ ผู้โจมตีจะหาวิธีการต่าง ๆ มากดดันให้ธุรกิจจ่ายเงินมากขึ้นนั่นเอง
