เจาะลึก เข้าใจและรู้จริงความอันตรายของแรนซัมแวร์ทั้ง 4 รูปแบบ

แรนซัมแวร์ (Ransomware) คือมัลแวร์ชนิดหนึ่งที่ถูกออกแบบมาเพื่อ เข้ารหัสไฟล์ หรือ จำกัดการเข้าถึงระบบ ของเหยื่อ แล้วเรียกค่าไถ่เพื่อคืนสิทธิ์ในการเข้าถึงข้อมูลนั้นๆ บทความนี้เราจะมาทำความเข้าใจและรุ้จักตัวแรนซัมแวร์ตัวอันตรายให้ลึกซึ้งมากขึ้น

• Crypto-Ransomware เป็นแรนซัมแวร์ที่มุ่งเป้าหมายไปที่ ไฟล์ข้อมูลภายในเครื่องของเหยื่อ
• เมื่อแพร่เข้าสู่ระบบ จะทำการ เข้ารหัสไฟล์ทั้งหมด เช่น .docx, .xlsx, .pdf, .jpg ฯลฯ
• การเข้ารหัสจะใช้ อัลกอริธึมขั้นสูง (เช่น AES, RSA) ทำให้ไม่สามารถถอดรหัสได้โดยไม่มี “กุญแจ” ที่แฮกเกอร์ถือไว้
• แฮกเกอร์จะทิ้ง “โน้ตเรียกค่าไถ่” ไว้ในเครื่อง พร้อมคำแนะนำวิธีชำระเงิน (มักเป็น Bitcoin)

• ไฟล์ถูกใช้งานไม่ได้ทั้งหมด
• องค์กรที่ไม่มี Backup อาจต้องจ่ายเงินหลายล้านบาทเพื่อกู้คืนข้อมูล

• WannaCry (2017) อ้างอิงที่มา https://www.england.nhs.uk/long-read/case-study-wannacry-attack/
  • โจมตีองค์กรกว่า 150 ประเทศภายในเวลาไม่กี่วัน
  • ใช้ช่องโหว่ SMBv1 ใน Windows
  • ส่งผลกระทบต่อ NHS (ระบบสาธารณสุขของอังกฤษ), FedEx, Renault และอีกมากมาย

• แรนซัมแวร์ชนิดนี้จะ ไม่เข้ารหัสไฟล์ แต่จะทำการ ล็อกหน้าจอหรือระบบปฏิบัติการ
• เหยื่อไม่สามารถใช้งานคอมพิวเตอร์ได้เลย (แม้แต่ Ctrl+Alt+Del ก็ไม่ช่วย)
• มักแสดงหน้าจอหลอกว่าเป็นหน่วยงานกฎหมาย เช่น FBI หรือ ป.ป.ง. เพื่อข่มขู่ให้จ่ายเงิน

• ผู้ใช้ทั่วไป (โดยเฉพาะผู้ไม่มีทักษะไอที) ตื่นตระหนกและยอมจ่ายเงิน
• ไม่สามารถเข้าถึงแม้กระทั่งระบบเพื่อกู้ไฟล์ด้วยตนเอง

• Reveton Locker (2012)
  • หน้าจอหลอก FBI และ Interpol พร้อมข้อกล่าวหา “ดูเนื้อหาผิดกฎหมาย”
  • เรียกค่าไถ่ $100-300 ผ่านบัตรเติมเงิน

• แรนซัมแวร์ประเภทนี้ ผสมผสาน Crypto-Ransomware กับการขู่เปิดเผยข้อมูล
• หลังเข้ารหัสไฟล์แล้ว แฮกเกอร์จะขโมยข้อมูลออกจากระบบก่อน
• หากเหยื่อไม่จ่ายค่าไถ่: ไฟล์จะไม่ถูกกู้คืน หรือข้อมูลจะถูกเปิดเผยต่อสาธารณะหรือขายใน Dark Web

• ความเสียหายทางธุรกิจและกฎหมาย ทวีคูณ
• ข้อมูลลับลูกค้า, ข้อมูลทางการเงิน, แผนธุรกิจอาจรั่วไหล
• ทำลายชื่อเสียงองค์กรในระยะยาว

• Maze Ransomware (2019–2020)
  • กลุ่ม Maze เป็นผู้เริ่มใช้วิธี Double Extortion
  • โจมตีบริษัทพลังงาน สื่อ และการขนส่งหลายแห่ง
  • เปิดเว็บเฉพาะกิจเผยข้อมูลของเหยื่อที่ไม่ยอมจ่าย

• แรนซัมแวร์ชนิดนี้เป็น “บริการพร้อมใช้งาน” สำหรับอาชญากรไซเบอร์ทั่วไป
• ผู้สร้าง RaaS จะพัฒนาแรนซัมแวร์แล้วเปิดให้ “ผู้ใช้” (Affiliates) ไปใช้โจมตีเหยื่อ โดยแบ่งรายได้ตามสัดส่วน
• ทำให้แม้แต่ผู้ไม่มีทักษะเขียนโค้ดก็สามารถ เช่าใช้แรนซัมแวร์ ได้
• RaaS แพร่กระจายผ่าน Dark Web โดยมี Dashboard สำหรับบริหารจัดการ, ตัวเข้ารหัส, การส่งโน้ต และระบบชำระเงิน

• เพิ่มจำนวนแรนซัมแวร์อย่างรวดเร็วทั่วโลก
• แฮกเกอร์รุ่นใหม่สามารถโจมตีองค์กรขนาดเล็กได้ง่ายขึ้น
• ความเสี่ยงเพิ่มขึ้นแบบ “ทั่วถึง”

• REvil (aka Sodinokibi)
  • เป็น RaaS ที่โด่งดังในปี 2020–2021
  • โจมตีบริษัท Acer, Kaseya และ Apple
  • เรียกค่าไถ่สูงถึง $70 ล้าน USD