Kaspersky ออกรายงานสรุปสถานการณ์ ransomware ระหว่างปี 2014-2016 โดยแยกเป็นกรณีของพีซีและอุปกรณ์พกพา สิ่งที่น่าสนใจคือ ransomware บนอุปกรณ์พกพาเติบโตสูงมากนับตั้งแต่ปี 2016 เป็นต้นมา (ประมาณ 2.3 เท่าตัว ใช้สถิติจากแอพ Kaspersky บน Android)

อย่างไรก็ตาม Kaspersky ระบุว่าปัญหา ransomware บนมือถือจะไม่รุนแรงเท่ากับบนพีซี เพราะผู้ใช้มือถือมักแบ็คอัพข้อมูลบนคลาวด์กันเป็นปกติอยู่แล้ว

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ (ransomware) ระบาดอย่างหนักในช่วงหลัง แต่การสอนให้ผู้ใช้ระมัดระวังตัวเองก็ยังเป็นเรื่องยากสำหรับผู้ดูแลระบบทั่วไป แต่มัลแวร์ EduCrypt สร้างภูมิคุ้มกันให้ผู้ใช้ด้วยการเข้ารหัสไฟล์แบบ "สั่งสอน" ผู้ใช้ว่าอย่าดาวน์โหลดไฟล์มารันบนเครื่องมั่วๆ อีก

มัลแวร์ตัวนี้เข้ารหัสไฟล์จริงโดยจะเติมนามสกุลไฟล์ ".isis" เข้าไปท้ายไฟล์ หลังจากนั้นจะทิ้งไฟล์ README.txt เอาไว้บอกผู้ใช้ว่าไฟล์ถูกเข้ารหัสแล้ว และเตือนว่าอย่าดาวน์โหลดไฟล์มารันมั่วๆ โดยไม่ระวัง พร้อมกับบอกที่ดาวน์โหลดโปรแกรมถอดรหัสและใบ้ให้ว่ามีรหัสผ่านทิ้งไว้อยู่ในเครื่อง

รหัสผ่านของ EduCrypt คือ HDJ7D-HF54D-8DN7D เหมือนกันทุกเครื่อง

นักพัฒนาและบริษัทด้านความปลอดภัยทางไซเบอร์พยายามจะพัฒนาซอฟต์แวร์ที่ตรวจจับ Crypto Ransomware รวมถึงพยายามหาทางปลดล็อกการเข้ารหัสไฟล์มาอย่างต่อเนื่อง ขณะที่ฝั่งแฮกเกอร์เองก็พยายามทำให้ Ransomware ของตัวเองให้ก้าวล้ำอย่างต่อเนื่องเช่นกัน เนื่องจากเป็นช่องทางที่อาจเรียกได้ว่าสร้างรายได้ค่อนข้างมาก

Avanan ผู้ให้บริการซอฟต์แวร์ด้านความปลอดภัยบนคลาวด์ได้ตรวจพบการระดมโจมตีด้วย ransomware ที่ถูกเรียกว่า Cerber ไปยังกลุ่มลูกค้าองค์กรที่ใช้ Office 365 โดยอาศัยช่องโหว่ของซอฟต์แวร์ เมื่อวันที่ 22 มิถุนายนที่ผ่านมา

นอกจากการแจ้งเตือนเป็นป๊อปอัพหรือตัวอักษรแบบทั่วไปแล้ว Cerber ยังแจ้งเตือนผู้ใช้เป็นไฟล์เสียงด้วยว่า ไฟล์ในเครื่องถูกเข้ารหัสเอาไว้ทั้งหมดแล้ว พร้อมเรียกค่าไถ่เพื่อปลดล็อกไฟล์ในเครื่องเป็นจำนวน 1.24 BTC ก่อนที่ทางไมโครซอฟท์จะตรวจพบการโจมตีและบล็อกไฟล์ที่มี ransomware แนบมาด้วย

Avanan คาดว่ามีองค์กรราว 57% ที่ใช้ Office 365 ได้รับไฟล์ที่ฝังมัลแวร์ผ่านทางอีเมล์ขององค์กรอย่างน้อย 1 ไฟล์

Trend Micro ประกาศนำเทคโนโลยี Connected Threat Defense บุกตลาดองค์กรขนาดกลาง เพื่อรับมือกับภัยคุกคามด้านไซเบอร์ที่มีความรุนแรงและใช้รูปแบบวิธีการโจมตีที่ล้ำหน้ามากขึ้นเรื่อยๆ โดยคุณคงศักดิ์ ต่อตระกูล ผู้จัดการอาวุโสฝ่ายเทคนิคของ Trend Micro ประเทศไทยได้มาบรรยายถึงสถานการณ์ความปลอดภัยทางไซเบอร์ที่องค์กรต้องเผชิญและเตรียมรับมือในปัจจุบัน ผมเลยสรุปมาฝากกันย่อๆ ครับ

นักวิจัยของ Trend Micro ประกาศพบโค้ด ransomware ใหม่ที่สามารถล็อคดาวน์ได้ทั้งบนสมาร์ทโฟนและทีวีที่รันแอนดรอยด์

มัลแวร์ตัวนี้มีชื่อว่า FLocker (ANDROIDOS_FLOCKER.A / Frantic Locker) ถูกปล่อยออกมาครั้งแรกตั้งแต่ช่วงเดือนเมษายน 2015 ซึ่งแต่เดิมมัลแวร์ตัวนี้จะทำงานเฉพาะบนสมาร์ทโฟนแอนดรอยด์ ก่อนที่แฮกเกอร์จะพัฒนาเพิ่มฟีเจอร์มาเรื่อยๆ จนล่าสุดสามารถล็อกสมาร์ททีวีได้ด้วยแล้ว

Ransomware ที่ระบาดอย่างหนักในทุกวันนี้ไม่ได้เป็นเพียงธุรกิจที่มีกลุ่มอาชญากรความรู้สูงพัฒนามัลแวร์ที่มีความสามารถในการเข้ารหัสที่ซับซ้อนเท่านั้น แต่มัลแวร์เหล่านี้อาศัยกลุ่มคนทำงานในส่วนต่างๆ เพื่อช่วยกันประสานงานจนกระทั่งเหยื่อติดมัลแวร์และยอมจ่ายเงิน Flashpoint ออกรายงานติดตามกลุ่มอาชญากรกลุ่มหนึ่งที่ออกประกาศหาผู้ร่วมงาน

หัวหน้ากลุ่มนี้ประกาศรับสมัครคนเข้าร่วมกลุ่มบน Dark Web ประกาศระบุว่าผู้เข้าร่วมไม่จำเป็นตั้งมีความสามารถพิเศษ เพียงแต่ต้องตั้งใจจริงก็สามารถสร้างรายได้ได้

PhishMe ผู้ให้บริการป้องกันการโจมตีองค์กรด้วยการฟิชชิ่งแบบเจาะจงเป้าหมาย (spear phishing) ออกรายงานภัยอีเมลไตรมาสแรกของปี 2016 พบว่ามัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ยังคงเติบโตต่อเนื่อง เนื่องจากความสำเร็จของมัลแวร์ก่อนหน้านี้ที่สามารถเรียกเงินจากเหยื่อได้

รายงานฉบับนี้ระบุว่ามีการโจมตีด้วยอีเมลฟิชชิ่งทั้งหมด 612 ระลอกในช่วงสามเดือนแรกของปีนี้ รวมเป็นอีเมล 6.3 ล้านฉบับ ในจำนวนนี้ มีอีเมลที่มาพร้อมกับมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่มากขึ้นเรื่อยๆ จนเดือนมีนาคมที่ผ่านมามีสัดส่วนถึง 50% ของอีเมลฟิชชิ่งทั้งหมด ขณะที่เมื่อปีที่แล้วสัดส่วนนี้เกิน 10% เมื่อเดือนธันวาคมเท่านั้น

มัลแวร์เข้ารหัสไฟล์เรียกค่าไถ่ส่วนมากมักจะส่งมาทางอีเมลเพื่อล่อให้เหยื่อกดลิงก์ แต่มัลแวร์ Ransom:Win32/ZCryptor.A เพิ่มความสามารถในการแพร่กระจายตัวเองผ่านทางแฟลชไดรฟ์ โดยเพิ่มไฟล์ autorun.inf เข้าไปในไดรฟ์แบบถอดได้ หากไฟล์ถูกรันก็จะแพร่กระจายต่อไปเรื่อยๆ

ตัวมัลแวร์เรียกค่าไถ่ 1.2 BTC หรือประมาณ 17,500 บาท และหากไม่ยอมจ่ายในสี่วันก็จะเพิ่มเป็น 5 BTC หรือประมาณ 77,000 บาท

ไมโครซอฟท์แนะนำให้ผู้ใช้อัพเดตระบบปฎิบัติการ, สำรองไฟล์สม่ำเสมอ, เปิดระบบ file history, และระวังตัวเองจากอีเมลปลอม

Kansas Heart Hospital โรงพยาบาลเฉพาะทางด้านโรคหัวใจประจำมลรัฐแคนซัส กลายเป็นเหยื่อรายล่าสุดที่โดน ransomware ของแฮกเกอร์เข้าโจมตีระบบของโรงพยาบาล ด้วยการเข้ารหัสข้อมูลของโรงพยาบาล ที่ซ้ำร้ายกว่านั้นคือทางโรงพยาบาลได้จ่ายค่าถอดรหัสให้กับกลุ่มแฮกเกอร์แล้ว แต่ถูกเรียกเงินเพิ่มเป็นครั้งที่สอง พร้อมกับข้อมูลบางส่วนที่ยังถูกเข้ารหัสอยู่

Forkbombus Labs รายงานถึงมัลแวร์ข่มขู่เรียกค่าไถ่ที่มุ่งเป้าโจมตีเว็บไซต์ Drupal โดยอาศัยช่องโหว่ CVE-2014-3704 อายุสองปี และเป็นช่องโหว่ที่แก้ไปแล้วใน Drupal 7.32

ตัวมัลแวร์เมื่อโจมตีเว็บเหยื่อสำเร็จ จะสร้างหน้าอัพโหลดไฟล์ และอัพโหลดไบนารีที่พัฒนาด้วยภาษา Go จากนั้นเว็บจะแสดงหน้าจอแสดงข้อความ "Website is locked. Please transfer 1.4 BitCoin to address 3M6SQh8Q6d2j1B4JRCe2ESRLHT4vTDbSM9 to unlock content."

ตัวมัลแวร์ไม่ได้ทำลายข้อมูลส่วนใหญ่ในเว็บ ทำให้ส่วนมากมักจะกู้คืนฐานข้อมูลได้ จนตอนนี้ยังไม่มีรายงานว่ามีเหยื่อรายใดจ่ายเงินให้กับบัญชีบิตคอยน์นี้ แต่รายงานล่าสุดคาดว่ามีเว็บไซต์ที่เป็นเหยื่อมัลแวร์แล้วกว่า 400 เว็บไซต์

TeslaCrypt ซึ่งรู้จักกันว่าเป็นหนึ่งในสายพันธุ์ของมัลแวร์เรียกค่าไถ่ที่ยังคงมีการแพร่กระจายและสร้างความเสียหายต่อเนื่องมาตลอดระยะเวลาหลายปีได้ประกาศปิดโครงการและหยุดการแพร่กระจายแล้ว อ้างอิงจากการค้นพบโดยนักวิจัยด้านความปลอดภัยจาก ESET โดยยังมีการเผยแพร่กุญแจลับสำหรับถอดรหัสไฟล์ออกมาด้วย

สำนักข่าว Reuters รายงานว่าฝ่ายไอทีของสภาผู้แทนราษฎรสหรัฐฯ (House of Representative) ได้บล็อกการเข้าถึง Yahoo Mail และบริการต่างๆ ของ Google รวมถึงแอพและเว็บไซต์ที่เช่าโฮสต์จาก Google บนเครือข่ายของสภาผู้แทนฯ เพื่อป้องกันภัยจาก ransomware

Yahoo Mail ถูกบล็อกไปตั้งแต่ช่วงต้นสัปดาห์ที่ผ่านมา ขณะที่บริการของ Google เพิ่งถูกปิดกั้นการเข้าถึงเมื่อวันพุธที่ผ่านมาตามเวลาในสหรัฐฯ ซึ่งฝ่ายไอทีของสภาฯ เผยว่าในระยะหลัง มี phishing เมลจากผู้ให้บริการอีเมลภายนอก เพิ่มขึ้นค่อนข้างมาก โดยเฉพาะ Yahoo Mail และ Gmail โดยก่อนหน้านี้เคยมีคอมพิวเตอร์ของพนักงานสภาผู้แทนฯ ติด ransomware หลังกดเปิดไฟล์ Word บนอีเมล แต่ทางเจ้าหน้าที่ก็สามารถกู้ไฟล์คืนได้โดยไม่ต้องจ่ายค่าไถ่แต่อย่างใด

เมื่อวันศุกร์ที่ผ่านมา บริษัทความปลอดภัย Symantec แถลงข้อมูลจากรายงานสถานการณ์ความปลอดภัยอินเทอร์เน็ตประจำปี (รายงานฉบับเต็ม 2016 Internet Security Threat Report) มีประเด็นน่าสนใจหลายอย่าง สาระสำคัญในภาพรวมคือปี 2015 ที่ผ่านมา ภัยคุกคามอินเทอร์เน็ตรุนแรงมากขึ้นทั้งในแง่ปริมาณและเทคนิค และยังไม่มีทีท่าจะลดระดับลงในปี 2016 นี้

Talos หน่วยวิจัยความปลอดภัยของ Cisco ออกมาเตือนภัย ransomware บนเครื่องเซิร์ฟเวอร์ ที่อาศัยช่องโหว่จาก JBoss เวอร์ชันเก่า

ransomware ชุดนี้มีชื่อว่า Samas/Samsam/MSIL.B/C ระบาดมาตั้งแต่เดือนมีนาคม โดยเน้นไปที่เซิร์ฟเวอร์ของโรงพยาบาล รูปแบบการโจมตีจะใช้ JexBoss สแกนหาเซิร์ฟเวอร์ JBoss ที่มีช่องโหว่ แล้วใช้เซิร์ฟเวอร์ตัวนั้นเป็นฐานในการปล่อย ransomware ไปยังพีซีในองค์กรต่อไป

ล่าสุด Talos วิเคราะห์รูปแบบการโจมตีในเชิงลึก พบว่ามัลแวร์ชุดนี้ยังแพร่ระบาดไปยังแวดวงการศึกษา ที่ใช้ซอฟต์แวร์จัดการห้องสมุด Follett Destiny ด้วย ส่วนพฤติกรรมการโจมตี JBoss พบว่าเครื่องที่โดนเจาะจะถูกฝัง webshell เป็น backdoor ให้แฮ็กเกอร์เข้ามาใช้งานในภายหลัง

ผู้เชี่ยวชาญความปลอดภัยสามารถแกะการเข้ารหัสของ ransomware ได้อีกตัวแล้ว

ransomware ตัวนี้ชื่อว่า Petya รูปแบบการทำงานของมันจะเขียนข้อมูลทับ master boot record (MBR) ของฮาร์ดดิสก์ใหม่ แล้วเข้ารหัสตารางไฟล์ของฮาร์ดดิสก์ (master file table หรือ MFT) ส่งผลให้ OS ไม่ทราบว่าข้อมูลส่วนไหนคือไฟล์ใดบ้าง (แต่ตัวข้อมูลไม่ถูกเข้ารหัส) เมื่อผู้ใช้บูตเครื่องขึ้นมา ก็จะพบหน้าจอเรียกค่าไถ่ของ Petya แทน

จากข่าวเมื่อวานนี้ Adobe ออก Flash Player 21.0.0.213 อุดรูรั่วที่พบการโจมตีแล้ว ล่าสุดมีรายงานเพิ่มเติมว่าพบ ransomware ที่ใช้ช่องโหว่นี้แล้วเช่นกัน

ransomware ดังกล่าวมีสองตระกูล ถูกตั้งชื่อว่า Locky และ Cerber เดิมทีมันถูกแพร่ผ่านเอกสาร Microsoft Word ที่เปิดมาโครไว้ แต่เมื่อช่องโหว่ตัวใหม่ของ Flash ถูกค้นพบและกระจายในแวดวงแฮ็กเกอร์ผ่านชุด exploit kit ในท้องตลาด บรรดาแฮ็กเกอร์ก็หันมาแพร่ ransomware เหล่านี้ผ่านช่องโหว่ใหม่ตัวนี้ด้วย

ใครที่ยังไม่อัพเดต อ่านข่าวนี้จบแล้วก็ควรลงมือทำทันทีครับ (เช็คเวอร์ชันของ Flash ได้จากหน้า About Flash Player)

ปัญหามัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ (ransomware) ดูจะไม่มีวี่แววเบาลงแต่อย่างใด ตอนนี้หน่วยงานแจ้งเตือนความปลอดภัยไซเบอร์ของสหรัฐฯ (US-CERT) และแคนาดา (CCIRT) ก็ออกประกาศร่วมกัน แจ้งเตือนผู้ที่ยังไม่เจอมัลแวร์เหล่านี้เสียเองให้ตระหนักและป้องกัน

ประกาศแจ้งเตือนนี้ระบุว่าจุดเริ่มต้นของ ransomware เกิดมาในช่วงปี 2012 ที่เริ่มมีรายงานจาก Symantec ว่ามัลแวร์ประเภทนี้ทำเงินได้อย่างมากเดือนละเกือบสี่แสนดอลลาร์จากเซิร์ฟเวอร์ควบคุมเพียงตัวเดียว หลังจากนั้นมัลแวร์สายใหม่ๆ ในประเภทเดียวกันก็เพิ่มขึ้นอย่างรวดเร็ว

ประกาศแจ้งเตือนนี้ระบุทางป้องกันเอาไว้ 7 แนวทาง

IBM Security หน่วยงานด้านความปลอดภัยของ IBM เปิดแพลตฟอร์มแลกเปลี่ยนสารสนเทศด้านความปลอดภัย X-Force Exchange มาตั้งแต่ปีที่แล้ว

สัปดาห์ก่อน มีผู้เชี่ยวชาญด้านความปลอดภัยของ IBM Security คือคุณ Diana Kelley ตำแหน่ง Executive Security Advisor มาเยือนเมืองไทย และผมมีโอกาสได้พูดคุยเกี่ยวกับสภาพการณ์ของวงการความปลอดภัยโลก ในสายตาของ IBM มีประเด็นที่น่าสนใจหลายอย่างทั้งเรื่อง ransomware, blockchain และความสำคัญของ security auditing ครับ

เว็บไซต์ Threatpost ซึ่งเป็นเว็บไซต์รายงานข่าวด้านความปลอดภัยของ Kaspersky Lab รายงานว่ากำลังพบการแพร่ระบาดของ ransomware สองตัวใหม่ที่มีชื่อว่า SamSam และ Maktub ซึ่งมุ่งเป้าไปยังเครื่องแม่ข่ายที่ให้บริการ (server) ของสถานพยาบาล (เช่น โรงพยาบาล คลินิก) ต่างๆ

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ LeChiffre เพิ่งโจมตีองค์กรขนาดใหญ่ของอินเดียไปเมื่อต้นปีที่ผ่านมา ตอนนี้ Intel Security ได้ตัวอย่างมัลแวร์มาสองเวอร์ชั่นและพบว่าตัวมัลแวร์อิมพลีเมนต์การเข้ารหัสอย่างหละหลวมจนสามารถถอดรหัสด้วยตัวเองได้

มัวแวร์สองเวอร์ชั่นนั้นมีกระบวนการสร้างกุญแจเข้ารหัสเหมือนๆ กัน โดยเริ่มจาก ค่าคงที่ที่ต่างกันไปในแต่ละเวอร์ชั่น, ชื่อเครื่อง, วันที่, เลขเวอร์ชั่น, และชื่อผู้ใช้ แล้วสร้างกุญแจ Blowfish มาเข้ารหัสข้อมูล

ปัญหา ransomware เป็นเรื่องใหญ่ของแวดวงความปลอดภัยคอมพิวเตอร์ในรอบ 2-3 ปีมานี้ ไม่ใช่เฉพาะที่เมืองไทยเท่านั้น ในสหรัฐอเมริกาเองก็มี ransomware ระบาดอยู่บ่อยๆ ถึงขนาดระบบคอมพิวเตอร์โรงพยาบาลหลายแห่งใช้งานไม่ได้ ด้วยซ้ำ

ransomware ป้องกันยากเพราะเปลี่ยนคีย์การเข้ารหัสไปเรื่อยๆ ได้ไม่ซ้ำแบบ เพื่อหลีกเลี่ยงปัญหาข้อมูลสูญหายหรือเรียกค่าไถ่ เราจึงต้องระมัดระวังตัวเองตั้งแต่แรก

ผมไปเจอบทความ 8 เทคนิคหลีกเลี่ยง ransomware จากบล็อก Naked Security ของบริษัทความปลอดภัย Sophos เลยสรุปมาฝากกันครับ

สำนักข่าวบีบีซีของสหราชอาณาจักร รายงานว่าระบบสารสนเทศอิเล็กทรอนิกส์ของโรงพยาบาล 3 แห่งในสหรัฐอเมริกาฯ ถูกโจมตีจาก ransomware ทำให้ระบบถูกเข้ารหัสทั้งหมด แต่สามารถแก้ไขและเรียกคืนระบบทั้งหมดกลับมาได้ โดยไม่มีการระบุว่าในท้ายที่สุดทางโรงพยาบาลทั้งสามแห่งได้จ่ายเงินเพื่อปลดล็อกข้อมูลหรือไม่ และสำนักงานหน่วยสอบสวนกลางของสหรัฐ (FBI) ได้เริ่มเข้ามาสอบสวนหาสาเหตุแล้ว

จากปัญหา พบมัลแวร์เรียกค่าไถ่บน Mac มาพร้อมอัพเดตของ Transmission ตัวแทนของโครงการ Transmission ให้สัมภาษณ์กับสำนักข่าว Reuters ว่ามีคนดาวน์โหลดไฟล์เวอร์ชันที่มีปัญหาไปแล้ว 6,500 ครั้ง

ส่วนสาเหตุของมัลแวร์ ransomware มาจากเว็บเซิร์ฟเวอร์ของ Transmission โดนแฮ็ก ซึ่งทางผู้ดูแลได้เสริมระบบความปลอดภัยให้เว็บเซิร์ฟเวอร์แล้ว

โครงการยังแนะนำให้ผู้ใช้ทุกคนอัพเดตเป็นเวอร์ชัน 2.92 ซึ่งเป็นเวอร์ชันล่าสุดด้วย

หลังจาก Transmission ซึ่งเป็น BitTorrent client ได้ออกอัพเดตใหม่ 2.90 หลังจากที่ร้างไป 2 ปี ก็เจอปัญหาจนได้เมื่อมีคนค้นพบว่า Transmission เวอร์ชันใหม่นี้ติดมัลแวร์เรียกค่าไถ่บน OS X มาด้วย

มัลแวร์เรียกค่าไถ่นี้ชื่อว่า KeRanger ถูกค้นพบโดย Palo Alto Networks Inc ตัวมัลแวร์จะใช้เวลาประมาณ 3 วันในการติดต่อไปยังเซิร์ฟเวอร์ของผู้สร้างมัลแวร์ จากนั้นจัดการเข้ารหัสข้อมูลทั้งดิสก์ และเรียกค่าไถ่ถ้าต้องการให้ปลดล็อก 1 bitcoin (ประมาณ 400 ดอลลาร์)