ไมโครซอฟท์เตือนภัย แรนซัมแวร์ The Gentlemen แพร่กระจายทั่วระบบองค์กรอย่างรวดเร็ว

โดย
varietypc
-
0
1
"Microsoft เตือนภัยคุกคามใหม่: แรนซัมแวร์สุภาพบุรุษ" โดย Microsoft Threat Intelligence แสดงภาพชายในชุดสูทที่มีรหัสไบนารีและใบหน้าที่ผิดเพี้ยน ด้านซ้ายแสดง "การแพร่กระจายด้วยตนเอง: แพร่กระจายอย่างรวดเร็วทั่วเครือข่าย" โดยเชื่อมต่อเซิร์ฟเวอร์ต่างๆ
ไมโครซอฟท์เตือนภัยแรนซัมแวร์ "The Gentlemen" ซึ่งเป็นอันตรายระดับสูง มีความสามารถในการแพร่กระจายอย่างรวดเร็วในเครือข่าย และใช้เทคนิค "การรีดไถแบบสองทาง" ทั้งล็อกไฟล์และขโมยข้อมูลไปขายในตลาดมืด

แรนซัมแวร์ The Gentlemen ถือเป็นภัยคุกคามทางไซเบอร์ระดับสูงที่องค์กรธุรกิจและหน่วยงานต่างๆ ทั่วโลกต้องเฝ้าระวังอย่างใกล้ชิดในขณะนี้ เมื่อมัลแวร์เรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่นี้ไม่ได้มีเพียงแค่ความสามารถในการล็อกไฟล์ข้อมูลสำคัญของระบบเท่านั้น แต่ยังมาพร้อมกับกลไกการแพร่กระจายตัวเอง (Self-Propagation) ที่ลุกลามไปยังเครือข่ายคอมพิวเตอร์ภายในองค์กร หรือแม้กระทั่งเครือข่ายของบริษัทคู่ค้าได้อย่างรวดเร็วและเป็นวงกว้าง สร้างความเสียหายระดับวิกฤตที่อาจทำให้การดำเนินงานของทั้งบริษัทต้องหยุดชะงักลง 🏢

เจาะลึกความอันตรายและรูปแบบการทำงานของแรนซัมแวร์ชนิดใหม่

จากรายงานล่าสุดของเว็บไซต์ Industrial Cyber ได้มีการอ้างอิงถึงข้อมูลจาก Microsoft Threat Intelligence ซึ่งเป็นทีมผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ของบริษัทไมโครซอฟท์ (Microsoft) โดยได้ออกประกาศเตือนถึงพฤติกรรมของมัลแวร์ตัวใหม่นี้ แรนซัมแวร์ดังกล่าวถูกพัฒนาขึ้นด้วยภาษาโปรแกรมมิ่งยอดนิยมอย่าง Go และถูกนำไปวางจำหน่ายบนตลาดมืดในรูปแบบบริการให้เช่าใช้ หรือที่รู้จักกันในชื่อ RaaS (Ransomware-as-a-Service)

รูปแบบการให้บริการเชิงพาณิชย์ในตลาดมืดเช่นนี้ ทำให้แฮกเกอร์และผู้ไม่หวังดีหน้าใหม่สามารถเข้าถึงเครื่องมือโจมตีขั้นสูงได้ง่ายขึ้น อย่างไรก็ตาม สิ่งที่ทีมวิจัยของไมโครซอฟท์กังวลมากที่สุดคือความสามารถใน “การแพร่กระจายตัวเอง” ซึ่งทำให้เมื่อมีคอมพิวเตอร์เพียงเครื่องเดียวในเครือข่ายติดมัลแวร์ มัลแวร์ตัวนี้จะสามารถค้นหาและกระจายตัวเองไปยังเครื่องอื่นๆ ในเครือข่าย (Network) เดียวกันได้โดยอัตโนมัติ 🌐

สรุปกลวิธีของแรนซัมแวร์ THE GENTLEMEN แบ่งเป็น 3 ขั้นตอนหลักพร้อมภาพประกอบและข้อความภาษาไทย ส่วนบนสุดมีหัวข้อ "อินโฟกราฟิก: สรุป กลวิธีแรนซัมแวร์ THE GENTLEMEN" และคำเตือน "ไมโครซอฟท์เตือนแรนซัมแวร์ตัวใหม่ ร้ายแรงและแพร่กระจายไว"
สรุปกลวิธีแรนซัมแวร์ “THE GENTLEMEN” ผ่านอินโฟกราฟิก แสดงกระบวนการตั้งแต่การเข้าถึงและแพร่กระจายอย่างรวดเร็วในเครือข่าย เทคนิคการเข้ารหัสไฟล์ที่ซับซ้อนและการล็อกบางส่วนเพื่อประหยัดเวลา ไปจนถึงยุทธวิธีรีดไถซ้ำซ้อนด้วยการข่มขู่เปิดเผยข้อมูลบนเว็บมืดหากไม่จ่ายค่าไถ่ พร้อมคำเตือนจากไมโครซอฟท์ถึงความร้ายแรงและรวดเร็วของภัยคุกคามใหม่นี้

กลวิธีเข้ารหัสข้อมูลและการรีดไถซ้ำซ้อน (Double Extortion)

การทำงานหลักของมัลแวร์ตัวนี้จะเน้นไปที่การเข้ารหัสไฟล์ (Encryption) เพื่อจับข้อมูลเป็นตัวประกัน โดยใช้เทคนิคการสร้างกุญแจเข้ารหัสแบบชั่วคราว (Ephemeral Key) สำหรับแต่ละไฟล์โดยเฉพาะ ผ่านชุดอัลกอริทึมที่มีความปลอดภัยสูงอย่าง Curve25519 และ XChaCha20

  • กระบวนการล็อกไฟล์: หากไฟล์มีขนาดเล็กกว่า 1MB มัลแวร์จะทำการเข้ารหัสไฟล์นั้นอย่างสมบูรณ์แบบ แต่หากไฟล์มีขนาดใหญ่กว่า 1MB จะเลือกเข้ารหัสเพียงบางส่วนเพื่อให้ไฟล์เกิดความเสียหายและไม่สามารถเปิดใช้งานได้ โดยไฟล์ที่ถูกล็อกจะถูกเปลี่ยนนามสกุลเป็น .umc16h

  • การขโมยข้อมูล: นอกจากจะล็อกไฟล์แล้ว มัลแวร์ยังสามารถขยายพื้นที่การโจมตี (Lateral Movement) และลักลอบส่งข้อมูลที่ถูกเข้ารหัสออกไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ (C2 Server)

  • การรีดไถซ้ำซ้อน: ข้อมูลที่ถูกส่งออกไปนี้จะถูกนำมาใช้เป็นเครื่องมือ “ข่มขู่ซ้ำซ้อน” (Double Extortion) โดยแฮกเกอร์จะยื่นคำขาดว่า หากเหยื่อไม่ยอมจ่ายเงินค่าไถ่เพื่อแลกกับกุญแจถอดรหัส ข้อมูลความลับทั้งหมดขององค์กรจะถูกนำไปเผยแพร่หรือขายต่อในตลาดมืด 💸

ที่น่าตกใจคือ เพื่อเป็นการตัดช่องทางการกู้คืนข้อมูลของเหยื่อ มัลแวร์ตัวนี้ยังถูกออกแบบมาให้เขียนข้อมูลขยะลงในฮาร์ดดิสก์จนเต็มพื้นที่ว่าง ขัดขวางกระบวนการกู้คืนระบบผ่านโปรแกรมอรรถประโยชน์ต่างๆ อย่างสิ้นเชิง

การควบคุมและยกระดับสิทธิ์ผู้ดูแลระบบ

ก่อนที่จะเริ่มกระบวนการเข้ารหัสไฟล์ มัลแวร์จะใช้ชุดคำสั่งผ่าน Command Line ที่ซับซ้อนเพื่อจัดเตรียมสภาพแวดล้อมให้เหมาะสมกับการโจมตี ซึ่งรวมถึงการกำหนดขอบเขต, ควบคุมความเร็วในการเข้ารหัส, ฝังตัวลงในระบบ (Persistence) ผ่านกลไกการตั้งเวลาทำงาน (Task Scheduling) และการปรับแต่งค่าใน Registry (Run Key)

หลังจากนั้น มัลแวร์จะทำการลบร่องรอยหลักฐานของตนเอง (Cleanup) ล็อกเป้าหมายไปที่ไดรฟ์จัดเก็บข้อมูล (Local Drive) และระบบแชร์ไฟล์ในเครือข่าย (Mapped Network Sharing) ท้ายที่สุด ตัวมัลแวร์จะพยายามขอยกระดับสิทธิ์การเข้าถึงให้กลายเป็นระดับ SYSTEM ซึ่งเป็นสิทธิ์สูงสุดของผู้ดูแลระบบ เพื่อให้สามารถเข้าถึงและทำลายล้างข้อมูลได้ลึกซึ้งถึงแก่นของระบบปฏิบัติการ ⚙️

คำถามที่พบบ่อย (FAQs) 💬

Q1: แรนซัมแวร์รูปแบบ RaaS (Ransomware-as-a-Service) คืออะไร? A1: เป็นโมเดลธุรกิจในตลาดมืดไซเบอร์ ที่ผู้พัฒนามัลแวร์จะเปิดให้แฮกเกอร์ทั่วไปเช่าชุดเครื่องมือแรนซัมแวร์ไปใช้โจมตี โดยผู้พัฒนาจะหักเปอร์เซ็นต์ส่วนแบ่งจากค่าไถ่ที่แฮกเกอร์เรียกเก็บจากเหยื่อได้สำเร็จ

Q2: ทำไมการที่ฮาร์ดดิสก์เต็มจึงเกี่ยวกับการกู้ข้อมูล? A2: ปกติแล้วซอฟต์แวร์กู้คืนข้อมูลมักต้องการพื้นที่ว่างในฮาร์ดดิสก์เพื่อใช้ประมวลผลและดึงไฟล์เก่าที่ถูกลบหรือเข้ารหัสกลับมา การที่แรนซัมแวร์จงใจเขียนข้อมูลขยะจนดิสก์เต็ม จึงเป็นการบล็อกไม่ให้กระบวนการกู้คืนระบบทำงานได้

Q3: องค์กรธุรกิจควรเตรียมรับมืออย่างไร? A3: ควรบังคับใช้นโยบายการสำรองข้อมูล (Backup) นอกเครือข่ายอย่างสม่ำเสมอ อัปเดตระบบปฏิบัติการและซอฟต์แวร์รักษาความปลอดภัยให้เป็นเวอร์ชันล่าสุด พร้อมทั้งจำกัดสิทธิ์ผู้ดูแลระบบ (Admin Privileges) ให้เฉพาะบุคคลที่จำเป็นเท่านั้น

สรุปข่าว แรนซัมแวร์ The Gentlemen 📰

การปรากฏตัวของแรนซัมแวร์ชนิดใหม่นี้ นับเป็นสัญญาณเตือนภัยที่สำคัญสำหรับองค์กรทุกระดับ ด้วยความสามารถในการแพร่กระจายตัวแบบก้าวกระโดดผ่านเครือข่ายคอมพิวเตอร์ และกลไกการโจมตีแบบประสงค์ร้ายขั้นสูงทั้งการล็อกไฟล์และการขโมยข้อมูล ทำให้ผลกระทบที่เกิดขึ้นอาจรุนแรงถึงขั้นหยุดชะงักกระบวนการทางธุรกิจทั้งหมด การตระหนักรู้และเตรียมความพร้อมด้านความปลอดภัยทางไซเบอร์ในระดับโครงสร้างพื้นฐาน จึงเป็นวาระเร่งด่วนที่ทุกองค์กรไม่อาจละเลยได้ในยุคดิจิทัล


ซ่อมคอมออนไลน์

บทความที่เกี่ยวข้องเพิ่มเติมจากผู้เขียน

คุณคิดเห็นอย่างไรกับข่าว/บทความนี้

This site uses Akismet to reduce spam. Learn how your comment data is processed.