เมื่อสัปดาห์ที่ผ่านมาเกิดการระบาดไปทั่วโลกของมัลแวร์ที่เรียกค่าไถ่ในชื่อ Petya มัลแวร์สายพันธุ์ใหม่ที่ร้ายแรงเช่นเดียวกับ Wannacry โดยสร้างความเดือดร้อนให้กับหลายบริษัทใหญ่ทั่วโลกที่ใช้ระบบปฏิบัติการ Windows และไม่ได้อัพเดต Patch ซึ่งเรียกได้ว่าเป็นเหตุการณ์ใหญ่ครั้งที่ 2 แล้วที่เกิดเหตุการณ์การโจมตีทางไซเบอร์และได้รับผลกระทบในวงกว้าง ในเวลานี้ผ่านไป 1 สัปดาห์แล้ว มาดูกันว่าเกิดอะไรขึ้นบ้างและมีอะไรบ้างที่เราต้องรู้

• Ransomware ได้จู่โจมธุรกิจไปทั่วโลก ส่งผลให้บริษัทส่วนมากต้องทำการปิดระบบคอมพิวเตอร์
• นักวิจัยยังคงตรวจสอบซอฟแวร์ที่อยู่เบื้องหลังการจู่โจมนี้ มีการเตือนว่ามันซับซ้อนมากกว่า WannaCry ซึ่งโจมตีเครื่องคอมพิวเตอร์นับร้อยนับพันเครื่องทั่วโลก
• แบรนด์ระดับโลก อาทิเช่น Mondelez (MDLZ) ผู้ผลิต Oreos และ British advertising giant WPP (WPPGF) กล่าวว่า ระบบ IT ของพวกเขาก็ประสบปัญหานี้
• Microsoft วิเคราะห์ว่า Petya เป็นมัลแวร์ที่ซับซ้อนมาก และถือว่าพัฒนาจาก WannaCry ไปอีกขั้นตรงที่มันกระจายตัวต่อผ่านช่องโหว่หลายตัว
• เครื่องที่ติด Petya อยู่ในยูเครน โดยส่วนมากเป็น Windows 7 โดย Microsoft กล่าวว่า Windows 10 Creators Update มีฟีเจอร์ด้านความปลอดภัยที่ช่วยคุ้มครองจากมัลแวร์แบบ Petya ได้

มันทำงานอย่างไร?

• Ransomware จะติดไปกับคอมพิวเตอร์และ lock down ระบบการปฏิบัติการ โดยต้องนำค่าไถ่จำนวน $300 บิตคอยน์ (Bitcoin) ซึ่งเป็นสกุลเงินดิจิทัลมาเป็นค่าไถ่ (แต่อีเมลถูกบล็อคแล้ว) แต่ถึงแม้ว่าเหยื่อจะจ่ายเงินไปแล้ว แต่พวกเขากลับไม่ได้ไฟล์กลับคืนมา ซึ่งมีการบังคับใช้กฎหมาย และมีผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์มีความเห็นว่าผู้ที่ตกเป็นเหยื่อไม่ควรจ่ายค่าไถ่ในการโจมตีดังกล่าว

มันแพร่กระจายอย่างไร?

• นักวิจัยกล่าวว่าไวรัส ransomware เป็น worm ที่ส่งไปยังเครื่องคอมพิวเตอร์อื่นๆโดยอาศัยการเจาะผ่านช่องโหว่ของเครือข่ายคอมพิวเตอร์อีกเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง โดยใช้เครื่องมือที่เรียกว่า EternalBlue ซึ่งใช้ประโยชน์จากจุดอ่อนในไมโครซอฟท์วินโดว์ ไมโครซอฟท์ (MSFT, Tech30) ได้ออกตัวแก้ไขสำหรับการปิดข้อบกพร่องในเดือนมีนาคม แต่ก็ไม่ใช่ว่าทุกบริษัทจะใช้ได้มัน โดย EternalBlue จัดอยู่ในกลุ่มของเครื่องมือแฮ็กที่รั่วไหลไปก่อนหน้านี้ โดยหน่วยงานรักษาความปลอดภัยแห่งชาติของสหรัฐอเมริกา

ใครถูกโจมตีบ้าง?

• ธุรกิจต่างประเทศที่มีสำนักงานใหญ่ในยุโรปและสหรัฐอเมริกาก็อยู่ภายใต้การโจมตีนี้ รวมไปถึง Rosneft ธุรกิจน้ำมันและก๊าซยักษ์ใหญ่เชื้อชาติรัสเซีย Maersk บริษัทขนส่งสินค้า บริษัทยาและบริษัทกฎหมาย ธุรกิจค้าปลีกของฝรั่งเศสของกลุ่ม Auchan และส่วนของอสังหาริมทรัพย์ของ BPN Paribas ก็ได้รับผลกระทบ
• ในยูเครนนั้นได้รับผลกระทบในวงกว้าง ทั้งธนาคาร หน่วยงานของรัฐ ไปรษณีย์ ก็ประสบปัญหาดังกล่าว โดย Ransomware ยังส่งผลให้เกิดปัญหาของระบบตรวจสอบของโรงไฟฟ้านิวเคลียร์
• มันยังไม่ชัดเจนว่าบริษัทในภูมิภาคเอเชียแปซิฟิกได้รับผลกระทบอย่างชัดเจน
• Mondelez กล่าวว่า โรงงานผลิตอันดับห้าในออสเตรเลียและนิวซีแลนด์ทั้งหมดถูกโจมตี แต่บางส่วนก็ยังคงสามารถดำเนินการได้ และ Maersk ซึ่งเป็นบริษัทขนส่งสินค้าในเมืองมุมไบของอินเดียถูกปิดลง’
• เห็นได้ชัดว่าบริษัทในเอเชียได้รับผลกระทบนี้ แต่ระดับความสำเร็จลดลง ทั้งๆที่เป็นการโจมตีเช่นเดียวกันกับ WannaCry

แล้วเราจะเป็นผู้เสียงภัยไหม?

• ผู้เชี่ยวชาญกล่าวว่า โดยปกติผู้บริโภคที่มีการอัพเดทวินโดว์คอมพิวเตอร์จะปลอดภัยจากการโจมตีนี้ อย่างไรก็ตามถ้ามีระบบปฏิบัติการหนึ่งของเครือข่ายคอมพิวเตอร์ยังไม่มีการอัพเดท มันสามารถติดเชื้อไปยังเครือข่ายคอมพิวเตอร์อื่นๆได้
• ไม่มีทางที่กำจัดหรือหยุดการแพร่กระจายของ ransomware ได้อย่างอัตโนมัติ ในระหว่างที่ wannacry ได้โจมตีเมื่อเดือนที่แล้ว นักวิจัยได้มีการสร้าง a kill switch โดยการลงทะเบียนมัลแวร์ อย่างไรก็ตาม Amit Serper นักวิจัยด้าน cybereason กล่าวว่าเป็นทางแก้ชั่วคราว แต่สำหรับ petya ที่ยังเหลืออยู่ ธุรกิจสามารถเพิ่มไฟล์ที่จัดเก็บเอกสารในคอมพิวเตอร์แต่ละตัวเพื่อเป็นการหลอกล่อ ransomware ในการที่จะแพร่ไวรัสไปยังระบบปฏิบัติงาน

มันเริ่มมาจากไหน/ เกิดขึ้นได้อย่างไร?

นักวิจัยยังคงไม่ทราบสาเหตุแน่ชัดว่าเกิดอะไรขึ้น แต่ทาง Cisco Talos กล่าวว่ามีหนึ่งทางที่ ransomware สามารถเข้าไปในระบบคอมพิวเตอร์ได้คือการผ่านทางซอฟแวร์ในยูเครน ซึ่งเป็นประเทศที่ถูกโจมตีอย่างหนัก บริษัทยูเครนที่เรียกว่า MeDoc ส่งการอัพเดทไปยังซอฟแวร์ที่มีการบรรจุมัลแวร์อยู่ โดยคอมพิวเตอร์ที่มีการติดเชื้อจะยังคงทำงานอยู่ วิลเลี่ยมซึ่งเป็นผู้เชี่ยวชาญที่ Cisco Talos กล่าว ซึ่งพนักงานของยูเครนยืนยันความเชื่อมโยงที่เป็นไปได้ไปยัง MeDoc แต่บริษัทได้ระงับซอฟแวร์นี้ในการแพร่กระจายของไวรัส ซึ่งได้กล่าวใน Facebook Post ที่มีการอัพเดทถูกส่งเมื่อสัปดาห์ที่แล้ว

ใครเป็นผู้อยู่เบื้องหลัง?

• มันยังเร็วเกินไปที่จะพูดว่าใครเป็นอยู่เบื้องหลังในการปล่อยไวรัสนี้
• เมื่อเดือนที่แล้วหน่วยข่าวกรองและนักวิจัยด้านความปลอดภัย ได้เชื่อมโยงการโจมตีของ WannaCry เชื่อมโยงไปยังเกาหลีเหนือ แต่ยังไม่ชัดเจนว่า ransoware ตัวใหม่มีการเชื่อมต่อ

มันแตกต่างจาก WannaCry อย่างไร?

มัลแวร์ตัวนี้มีลักษณะเหมือนกับ WannaCry เพียงแต่ ransomware จะมีการโจมตีโดยใช้เครื่องมือ EternalBlue ในการแพร่กระจาย แต่นักวิจัยกล่าวว่ายังมีการใช้ส่วนอื่นๆของวินโดว์ในการแพร่เชื้อไปยังคอมพวเตอร์ รวมไปถึงการเข้าควบคุมตัวตนของผู้ใช้ แต่สิ่งที่แตกต่างคือ มันจะหยุดการทำงาน Hard Drive ทั้งหมดของคอมพิวเตอร์แทนที่จะเป็นไฟล์ และมันไม่พุ่งไปที่อินเตอร์เน็ตเหมือนที่ WannaCry ทำ ซึ่งมันแพร่ไปยังเครือข่ายของบริษัท

ที่มาของภาพและข่าว CNN