เมื่อสัปดาห์ที่ผ่านมาเกิดการระบาดไปทั่วโลกของมัลแวร์ที่เรียกค่าไถ่ในชื่อ Petya มัลแวร์สายพันธุ์ใหม่ที่ร้ายแรงเช่นเดียวกับ Wannacry โดยสร้างความเดือดร้อนให้กับหลายบริษัทใหญ่ทั่วโลกที่ใช้ระบบปฏิบัติการ Windows และไม่ได้อัพเดต Patch ซึ่งเรียกได้ว่าเป็นเหตุการณ์ใหญ่ครั้งที่ 2 แล้วที่เกิดเหตุการณ์การโจมตีทางไซเบอร์และได้รับผลกระทบในวงกว้าง ในเวลานี้ผ่านไป 1 สัปดาห์แล้ว มาดูกันว่าเกิดอะไรขึ้นบ้างและมีอะไรบ้างที่เราต้องรู้

  • Ransomware ได้จู่โจมธุรกิจไปทั่วโลก ส่งผลให้บริษัทส่วนมากต้องทำการปิดระบบคอมพิวเตอร์
  • นักวิจัยยังคงตรวจสอบซอฟแวร์ที่อยู่เบื้องหลังการจู่โจมนี้ มีการเตือนว่ามันซับซ้อนมากกว่า WannaCry ซึ่งโจมตีเครื่องคอมพิวเตอร์นับร้อยนับพันเครื่องทั่วโลก
  • แบรนด์ระดับโลก อาทิเช่น Mondelez (MDLZ) ผู้ผลิต Oreos และ British advertising giant WPP (WPPGF) กล่าวว่า ระบบ IT ของพวกเขาก็ประสบปัญหานี้
  • Microsoft วิเคราะห์ว่า Petya เป็นมัลแวร์ที่ซับซ้อนมาก และถือว่าพัฒนาจาก WannaCry ไปอีกขั้นตรงที่มันกระจายตัวต่อผ่านช่องโหว่หลายตัว
  • เครื่องที่ติด Petya อยู่ในยูเครน โดยส่วนมากเป็น Windows 7 โดย Microsoft กล่าวว่า Windows 10 Creators Update มีฟีเจอร์ด้านความปลอดภัยที่ช่วยคุ้มครองจากมัลแวร์แบบ Petya ได้

มันทำงานอย่างไร?

  • Ransomware จะติดไปกับคอมพิวเตอร์และ lock down ระบบการปฏิบัติการ โดยต้องนำค่าไถ่จำนวน $300 บิตคอยน์ (Bitcoin) ซึ่งเป็นสกุลเงินดิจิทัลมาเป็นค่าไถ่ (แต่อีเมลถูกบล็อคแล้ว) แต่ถึงแม้ว่าเหยื่อจะจ่ายเงินไปแล้ว แต่พวกเขากลับไม่ได้ไฟล์กลับคืนมา ซึ่งมีการบังคับใช้กฎหมาย และมีผู้เชี่ยวชาญด้านความปลอดภัยทางคอมพิวเตอร์มีความเห็นว่าผู้ที่ตกเป็นเหยื่อไม่ควรจ่ายค่าไถ่ในการโจมตีดังกล่าว

มันแพร่กระจายอย่างไร?

  • นักวิจัยกล่าวว่าไวรัส ransomware เป็น worm ที่ส่งไปยังเครื่องคอมพิวเตอร์อื่นๆโดยอาศัยการเจาะผ่านช่องโหว่ของเครือข่ายคอมพิวเตอร์อีกเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง โดยใช้เครื่องมือที่เรียกว่า EternalBlue ซึ่งใช้ประโยชน์จากจุดอ่อนในไมโครซอฟท์วินโดว์ ไมโครซอฟท์ (MSFT, Tech30) ได้ออกตัวแก้ไขสำหรับการปิดข้อบกพร่องในเดือนมีนาคม แต่ก็ไม่ใช่ว่าทุกบริษัทจะใช้ได้มัน โดย EternalBlue จัดอยู่ในกลุ่มของเครื่องมือแฮ็กที่รั่วไหลไปก่อนหน้านี้ โดยหน่วยงานรักษาความปลอดภัยแห่งชาติของสหรัฐอเมริกา

ใครถูกโจมตีบ้าง?

  • ธุรกิจต่างประเทศที่มีสำนักงานใหญ่ในยุโรปและสหรัฐอเมริกาก็อยู่ภายใต้การโจมตีนี้ รวมไปถึง Rosneft ธุรกิจน้ำมันและก๊าซยักษ์ใหญ่เชื้อชาติรัสเซีย Maersk บริษัทขนส่งสินค้า บริษัทยาและบริษัทกฎหมาย ธุรกิจค้าปลีกของฝรั่งเศสของกลุ่ม Auchan และส่วนของอสังหาริมทรัพย์ของ BPN Paribas ก็ได้รับผลกระทบ
  • ในยูเครนนั้นได้รับผลกระทบในวงกว้าง ทั้งธนาคาร หน่วยงานของรัฐ ไปรษณีย์ ก็ประสบปัญหาดังกล่าว โดย Ransomware ยังส่งผลให้เกิดปัญหาของระบบตรวจสอบของโรงไฟฟ้านิวเคลียร์
  • มันยังไม่ชัดเจนว่าบริษัทในภูมิภาคเอเชียแปซิฟิกได้รับผลกระทบอย่างชัดเจน
  • Mondelez กล่าวว่า โรงงานผลิตอันดับห้าในออสเตรเลียและนิวซีแลนด์ทั้งหมดถูกโจมตี แต่บางส่วนก็ยังคงสามารถดำเนินการได้ และ Maersk ซึ่งเป็นบริษัทขนส่งสินค้าในเมืองมุมไบของอินเดียถูกปิดลง’
  • เห็นได้ชัดว่าบริษัทในเอเชียได้รับผลกระทบนี้ แต่ระดับความสำเร็จลดลง ทั้งๆที่เป็นการโจมตีเช่นเดียวกันกับ WannaCry

แล้วเราจะเป็นผู้เสียงภัยไหม?

  • ผู้เชี่ยวชาญกล่าวว่า โดยปกติผู้บริโภคที่มีการอัพเดทวินโดว์คอมพิวเตอร์จะปลอดภัยจากการโจมตีนี้ อย่างไรก็ตามถ้ามีระบบปฏิบัติการหนึ่งของเครือข่ายคอมพิวเตอร์ยังไม่มีการอัพเดท มันสามารถติดเชื้อไปยังเครือข่ายคอมพิวเตอร์อื่นๆได้
  • ไม่มีทางที่กำจัดหรือหยุดการแพร่กระจายของ ransomware ได้อย่างอัตโนมัติ ในระหว่างที่ wannacry ได้โจมตีเมื่อเดือนที่แล้ว นักวิจัยได้มีการสร้าง a kill switch โดยการลงทะเบียนมัลแวร์ อย่างไรก็ตาม Amit Serper นักวิจัยด้าน cybereason กล่าวว่าเป็นทางแก้ชั่วคราว แต่สำหรับ petya ที่ยังเหลืออยู่ ธุรกิจสามารถเพิ่มไฟล์ที่จัดเก็บเอกสารในคอมพิวเตอร์แต่ละตัวเพื่อเป็นการหลอกล่อ ransomware ในการที่จะแพร่ไวรัสไปยังระบบปฏิบัติงาน

มันเริ่มมาจากไหน/ เกิดขึ้นได้อย่างไร?

นักวิจัยยังคงไม่ทราบสาเหตุแน่ชัดว่าเกิดอะไรขึ้น แต่ทาง Cisco Talos กล่าวว่ามีหนึ่งทางที่ ransomware สามารถเข้าไปในระบบคอมพิวเตอร์ได้คือการผ่านทางซอฟแวร์ในยูเครน ซึ่งเป็นประเทศที่ถูกโจมตีอย่างหนัก บริษัทยูเครนที่เรียกว่า MeDoc ส่งการอัพเดทไปยังซอฟแวร์ที่มีการบรรจุมัลแวร์อยู่ โดยคอมพิวเตอร์ที่มีการติดเชื้อจะยังคงทำงานอยู่ วิลเลี่ยมซึ่งเป็นผู้เชี่ยวชาญที่ Cisco Talos กล่าว ซึ่งพนักงานของยูเครนยืนยันความเชื่อมโยงที่เป็นไปได้ไปยัง MeDoc แต่บริษัทได้ระงับซอฟแวร์นี้ในการแพร่กระจายของไวรัส ซึ่งได้กล่าวใน Facebook Post ที่มีการอัพเดทถูกส่งเมื่อสัปดาห์ที่แล้ว

ใครเป็นผู้อยู่เบื้องหลัง?

  • มันยังเร็วเกินไปที่จะพูดว่าใครเป็นอยู่เบื้องหลังในการปล่อยไวรัสนี้
  • เมื่อเดือนที่แล้วหน่วยข่าวกรองและนักวิจัยด้านความปลอดภัย ได้เชื่อมโยงการโจมตีของ WannaCry เชื่อมโยงไปยังเกาหลีเหนือ แต่ยังไม่ชัดเจนว่า ransoware ตัวใหม่มีการเชื่อมต่อ

มันแตกต่างจาก WannaCry อย่างไร?

มัลแวร์ตัวนี้มีลักษณะเหมือนกับ WannaCry เพียงแต่ ransomware จะมีการโจมตีโดยใช้เครื่องมือ EternalBlue ในการแพร่กระจาย แต่นักวิจัยกล่าวว่ายังมีการใช้ส่วนอื่นๆของวินโดว์ในการแพร่เชื้อไปยังคอมพวเตอร์ รวมไปถึงการเข้าควบคุมตัวตนของผู้ใช้ แต่สิ่งที่แตกต่างคือ มันจะหยุดการทำงาน Hard Drive ทั้งหมดของคอมพิวเตอร์แทนที่จะเป็นไฟล์ และมันไม่พุ่งไปที่อินเตอร์เน็ตเหมือนที่ WannaCry ทำ ซึ่งมันแพร่ไปยังเครือข่ายของบริษัท

ที่มาของภาพและข่าว CNN

RELATED ARTICLE

Responsive image

กรมพัฒน์ฯ DBD เตรียมนำ AI จองชื่อตั้งบริษัทใหม่ ใช้เวลาไม่เกิน 2 นาที

กรมพัฒนาธุรกิจการค้าเดินหน้าอำนวยความสะดวกการจดทะเบียนจัดตั้งบริษัทใหม่ นำ AI มาใช้ในการจองชื่อนิติบุคคล ใช้เวลาไม่เกิน 2 นาที พร้อมเชื่อมโยงข้อมูลกับหน่วยงานรัฐ 382 หน่วยงาน...

Responsive image

Tony Fernandes แห่ง AirAsia เปิดร้านอาหารและกาแฟท้าชนธุรกิจ Fastfood

Tony Fernandes Disruptor ตัวยง CEO แห่ง Airasia เปิดร้านอาหารหวังตีตลาดอาหาร Fast Food...

Responsive image

Xiaomi กำไรเพิ่ม 25.2% เผยย้ายสำนักงานใหญ่มาไทย เตรียมเพิ่มร้าน Mi Store และช่องทางค้าปลีกให้มากขึ้น

Xiaomi เผยกำไรเพิ่ม 25.2% โดยล่าสุดย้ายสำนักงานใหญ่มาไทย ทั้งยังเตรียมเพิ่มร้าน Mi Store และช่องทางค้าปลีกให้มากขึ้น...