30 ปีแรนซัมแวร์! ภัยคุกคามที่ยังคงอยู่และพัฒนาขึ้นทุกวัน

วันนี้เราขอมาเล่าถึงประวัติอันยาวนานของแรนซัมแวร์ว่ากำเนิดมาได้อย่างไรและมีปัจจัยอะไรที่ขับเคลื่อนมาจนถึงทุกวันนี้ ซึ่งแม้แนวคิดของการเรียกค่าไถ่โดยการใช้ทรัพย์สินไอทีเป็นตัวประกันจะกำเนิดมาถึง 30 ปีแล้ว แต่ก็ดูเหมือนว่าภัยคุกคามชนิดนี้ยังคงอยู่ต่อไปอย่างน้อยก็ในปี 2020 ที่กำลังจะมาถึงด้วย

รู้หรือไม่ว่าแรนซัมแวร์ตัวแรกเกิดขึ้นมากว่า 30 ปีแล้วคือธันวาคมปี 1989 โดยมีชื่อว่า AIDS Trojan ซึ่งตั้งตามกลุ่มเป้าหมาย เรื่องราวคือในปีนั้นมีงานสัมมนา AIDS ที่จัดขึ้น ณ กรุงสต็อกโฮล์ม จากนั้นก็มีคนร้ายหัวใสคนหนึ่งได้ส่ง Floppy Disk ไปหาผู้เข้าร่วมงานซึ่งภายในมีโค้ดมัลแวร์ไปติดบน MS-DOS โดยเงื่อนไขคือเมื่อมัลแวร์นับการบูตได้ถึง 90 ครั้งโทรจันจะซ่อนไดเรอทอรี่และเข้ารหัสชื่อไฟล์ทั้งหมดบนไดร์ฟทำให้ใช้การไม่ได้ พร้อมกับทิ้งโน๊ต ‘PC Cyborg Corporation’ ว่าเรียกร้องเงินจำนวน 189 เหรียญสหรัฐฯ ให้เหยื่อส่งไปที่อยู่ในปานามา แต่ครั้งนั้นการเข้ารหัสอ่อนมากจนผู้เชี่ยวชาญใช้เครื่องมือฟรีแก้ได้ และนั่นเองคือการกำเนิดขึ้นของแรนซัมแวร์ตัวแรก

ผ่านมาอีก 20 ปีก็เกิดการโจมตีอีกครั้งภายใต้ชื่อ Police Locker โดยไอเดียคือเหยื่อไปติดมัลแวร์จากไซต์ที่ให้บริการ Peer-to-peer หรือเว็บไซต์หนังผู้ใหญ่ หรือพวกซอฟต์แวร์เถื่อน ซึ่งมัลแวร์ได้เข้าไปเปลี่ยนหน้าจอโดยอ้างตัวเป็นเจ้าหน้าที่ทางกฏหมายว่าเข้าล็อกเครื่องแล้ว ซึ่งครั้งนั้นไม่มีการเข้ารหัสเกิดขึ้นจึงสามารถแก้ไขได้โดยการรีบูตแต่ก็พอมีคนยอมจ่ายเงินด้วยความกลัวไปบ้างไม่มากนัก

หลังจาก Police Locker ฮิตอยู่สัก 2-3 ปีก็ถือกำเนิดแรนซัมแวร์ในเค้าโครงใหม่ที่ชื่อ Wild West ราวปี 2012 – 2014 ซึ่งมีทั้งฟังก์ชันล็อกหน้าจอและเข้ารหัสซึ่งเหยื่อส่วนใหญ่ยังเป็นกลุ่มผู้ใช้ตามบ้านทั่วไป ทั้งนี้ค่าไถ่ก็ยังอยู่ในรูปแบบของเงินธรรมดาอยู่ จนกระทั่ง…บิตคอยน์ได้ถือกำเนิดขึ้นและกลายเป็นจุดเปลี่ยนอย่างแท้จริงเพราะคุณสมบัติของเงินดิจิทัลที่ตามรอยได้ยาก

ปี 2016 บริการ Ransomware-as-a-service ดูไปได้สวยกับแรนซัมแวร์ Cerber ซึ่งทำผลกำไรอย่างงามให้คนร้าย อย่างไรก็ตามการปฏิบัติการแรนซัมแวร์ยังไม่ได้เป็นที่จับตามากนักในเวลานั้น จนกระทั่ง WannaCry เข้ามาเมื่อกลางปี 2017 โดยครั้งนั้นแฮ็กเกอร์ระดับพระกาฬที่ถูกกล่าวโทษก็คือฝ่ายเกาหลีเหนือ ที่แพร่กระจายมัลแวร์ด้วยเครื่องมือ Eternal Blue ของ NSA ที่หลุดออกมา ทั้งนี้เหยื่อเป็นองค์กรต่างๆ ทำให้เป็นที่เชื่อได้ว่าคนร้ายฟันกำไรไปมากมายทีเดียว

ฝันร้ายยังไม่จบแค่นั้นเพราะหลังจากจบเรื่อง WannaCry ไปได้ไม่กี่สัปดาห์ แฮ็กเกอร์จากรัสเซียก็แผลงฝีมือด้วย NotPetya ซึ่งออกแนวทำลายล้างเสียมากกว่า โดย 2 เหตุการณ์รุนแรงนั่นเองที่จุดฉนวนความรุนแรงของแรนซัมแวร์อย่างแท้จริง เพราะเหมือนกลายเป็นสูตรใหม่ของแฮ็กเกอร์เลยว่าจะใช้เทคนิคยังไงก็ได้เพื่อเจาะเข้าไปยังองค์กร ไม่ว่าจะใช้พอร์ทที่เปิดเข้าถึงได้ผ่านอินเทอร์เน็ต ใช้ Credentials ที่ถูกขโมยไป หรือเทคนิคอื่นๆ จากนั้นลัดเลาะไปให้กว้างที่สุดแล้วปล่อยแรนซัมแวร์เพื่อสร้างจุดเปลี่ยน ที่ปัจจุบันลามไปถึงส่วน Backup ด้วย ซึ่งหากองค์กรโดนเข้าจริงบริษัทจะเสียทั้งเวลาในการนำระบบขึ้นใหม่ที่ดำเนินธุรกิจต่อไปไม่ได้ด้วย หากไม่มีการเตรียมรับมือมาก่อน

ดังนั้นจากเหตุการณ์ประวัติของ Ransomware แล้วแนวทางการปฏิบัติตัวก็คือ 1.มีระบบ Backup ที่ป้องกันอย่างดี 2.ทดสอบระบบ Backup อย่างสม่ำเสมอว่าสิ่งที่มีใช้ได้จริง หากสามารถนำระบบกลับมาได้ก็จะไม่ต้องเสียทั้งชื่อเสียงและเงิน อย่างไรก็ตามไม่แนะนำให้จ่ายค่าไถ่เพราะไม่เคยมีใครการันตีได้ว่าคนร้ายจะให้กุญแจถอดรหัสจริง และอีกนัยะที่แฝงไว้คือหากไม่มีคนจ่ายค่าไถ่การโจมตีก็จะเริ่มลดน้อยลงในที่สุด แต่เชื่อแน่ว่ากว่าจะถึงวันนั้น เรื่องราวของแรนซัมแวร์ก็ยังดำเนินต่อไปในปีหน้าแน่นอนครับพร้อมกับการใช้เทคนิคใหม่ๆ ด้วย

ที่มา :   https://www.zdnet.com/article/30-years-of-ransomware-how-one-bizarre-attack-laid-the-foundations-for-the-malware-taking-over-the-world/