จากที่เป็นข่าวอยู่เสมอ ๆ โดยเฉพาะในช่วง 2-3 ปีที่ผ่านมาสำหรับ Ransomware หรือโปรแกรมเรียกค่าไถ่โดยใช้ข้อมูลเป็นตัวประกัน ซึ่งมีวิวัฒนาการให้เห็นตลอดระยะเวลาที่ภัยคุกคามทางไซเบอร์ (Cyber-Threat) ประเภทนี้ปรากฏตัว ทั้งในเชิงเทคนิค ความเสียหาย และโมเดลธุรกิจ (Business Model) วันนี้ CYNIUS Advisor จะพาไปย้อนดูอดีตช่วงที่สำคัญ ๆ ของ Ransomware พร้อมทั้งพัฒนาการจนมาถึงปัจจุบัน และในอนาคตเราคาดหวังอะไรจากภัยคุกคามตัวนี้ได้บ้าง พร้อมทั้งไปดูสถิติตัวเลขที่น่าสนใจจากผลการวิจัยของ Sophos ที่เกี่ยวข้องกับ Ransomware ในปี 2021 กันครับ
Estimated reading time: 6 minutes
Table of contents
กำเนิด Ransomware
ในจุดเริ่มต้นของ Ransomware นั้น เป็นการแปลงเทคโนโลยีการป้องกันให้เป็นอาวุธ (Weaponization) ซึ่งเทคโนโลยีที่ว่านั้นคือ การเข้ารหัสข้อมูล (Encryption) ที่ถูกสร้างขึ้นมาเพื่อเป็นวิธีการในการปกป้องข้อมูล เพื่อรักษาความลับระหว่างผู้ส่งสารและผู้รับสาร
Ransomware ตัวแรกเท่าที่มีบันทึกไว้ (และเท่าที่ผู้เขียนหาข้อมูลได้) เกิดขึ้นในปี ค.ศ. 1989 ในรูปแบบของ Trojan ที่มากับโปรแกรมการวิเคราะห์โอกาสที่บุคคล ๆ หนึ่งจะเป็นโรค AIDS ผ่านการตอบคำถาม แพร่กระจายผ่าน Floppy Disk ที่อาศัยเทคนิค Social Engineering ในการหลอกล่อผู้ที่ได้รับให้ทำการเปิดอ่าน Floppy Disk ที่ได้รับนั้นด้วย Malware ตัวนี้มีชื่อว่า PC CYBORG (AIDS) แต่ PC CYBORG เข้ารหัสเพียงแต่ชื่อไฟล์เฉย ๆ ไม่ได้เข้ารหัสข้อมูลจริง ๆ ในไฟล์เหมือนในปัจจุบัน แล้วจะทำการซ่อน (Hidden) Folders ใน Drive C: หลังจากนั้นจึงทำการเรียกเงิน แค่นี้ก็ปั่นป่วนมากแล้วสำหรับยุคนั้น และจากข้อมูลที่ได้ไม่มีวิธีการในการเข้ารหัสบอกไว้
ศาสตร์แห่งการเข้ารหัส (Cryptography) มีมานานมากแล้ว และได้ถูกประยุกต์ใช้กับข้อมูลหลากหลายรูปแบบตามแต่ยุคสมัย โดยองค์ประกอบสำคัญของการเข้ารหัสคือ วิธีการ (Algorithm) และกุญแจ (Key)
- Algorithm คือขั้นตอนในการนำ Key มาใช้กับ ข้อมูล (Data) เพื่อแปลงข้อมูลตั้งต้น (Plaintext) ให้อยู่ในรูปแบบที่ไม่สามารถอ่านเข้าใจได้ (Ciphertext) โดยผู้ที่ไม่มี Key อยู่ในมือ
- Key คือหัวใจของความเป็นความลับของข้อมูลและเป็นส่วนที่ต้องเก็บให้ปลอดภัย รู้กันเฉพาะผู้ส่งสารและรับสาร
- หลักของกลไกการเข้ารหัสที่ดีคือ Algorithm เปิดเผยได้ไม่เป็นไร การรักษาความลับต้องขึ้นอยู่กับการรักษา Key เท่านั้น ทั้งนี้เพราะ Algorithm ที่ดีต้องไม่สามารถถูกคำนวณย้อนกลับโดยไม่มี Key ได้
สำหรับข้อมูลดิจิทัล กลไกในการเข้ารหัสรวมถึงการรักษาความถูกต้องสมบูรณ์ของข้อมูลที่สำคัญคือ Symmetric Encryption, Asymmetric Encryption และ Hashing ในบทความนี้จะไม่ได้ลงรายละเอียดในเรื่องเหล่านี้ ประเด็นที่สำคัญคือ Ransomware จะใช้วิธีการเข้ารหัสแบบ Asymmetric Encryption เป็นหลักในการเข้ารหัสข้อมูลของเหยื่อเพื่อเรียกค่าไถ่แลกกับ Key ในการถอดรหัส เนื่องด้วย Asymmetric Encryption นั้นจะใช้ Key ในการเข้า และ ถอดรหัสเป็นคนละ Key กัน ทำให้ผู้โจมตีสามารถบริหารจัดการ Key ได้ง่าย ประกอบกับยากต่อการถอดรหัส
สำหรับการแพร่กระจายของ Ransomware ในช่วงเริ่มต้นนี้ การแพร่กระจายจะอยู่ในรูปแบบของ Social Engineering ประเภท Spear Phishing โดยการส่ง Email แนบไฟล์อันตรายที่เป็น Ransomware แล้วหลอกล่อให้เหยื่อเปิดไฟล์บนเครื่องคอมพิวเตอร์ของตัวเอง ก่อนจะมีการใช้ Exploit Kit ในการโจมตีเครื่องคอมพิวเตอร์ผ่านเครือข่ายอัตโนมัติในเวลาต่อมา
Ransomware ในปัจจุบัน
จุดอ่อนของ Ransomware รุ่นเก่า ๆ ก็ได้รับการแก้ไขในรุ่นใหม่ ๆ ไม่ว่าจะเป็นในเชิงเทคนิคหรือ รูปแบบการทำเงิน เราจะเห็นได้ว่านอกจาก Ransomware จะสามารถที่จะแพร่กระจายตัวได้เองแล้วโดยใช้ช่องโหว่ของระบบปฏิบัติการ หรือ Application ต่าง ๆ แล้ว เมื่อ Ransomware สามารถเข้าถึงและติดตั้งลงบนระบบก็ยังมีการส่งข้อมูลออกไปให้กับผู้ที่เป็นคนปล่อย Ransomware เพื่อใช้ในการเป็นแผน 2 เพื่อกรรโชกทรัพย์ ถึงแม้เราจะกู้ข้อมูลของเราคืนจาก Backup ได้ก็ตาม โดยมักจะขู่ว่าหากไม่จ่ายเงินจะทำการปล่อย (Leak) ข้อมูลที่สำคัญของเราออกสู่แหล่งสาธารณะ
ในส่วนของรูปแบบการสร้างรายได้นั้น ผู้ผลิต Ransomware เองก็ถือได้ว่ามีหัวคิดในเชิงธุรกิจเพื่อขยาย (Scale) ธุรกิจของตัวเอง โดยใช้แรงน้อยลง ก่อให้เกิดบริการรูปแบบใหม่ที่ชื่อว่า Ransomware-as-a-Service (RaaS) ในการให้บริการลักษณะนี้มีกลุ่มเป้าหมายคืออาชญากรทางไซเบอร์ (Cyber Criminal) ที่ไม่มีความพร้อมหรืออาจจะขี้เกียจสร้าง Ransomware ออกมาเอง แต่มีช่องทางหรือวิธีการปล่อย Ransomware ได้ ก็สามารถที่จะซื้อรวมถึงปรับแต่ง Ransomware ที่ได้จาก RaaS เพื่อที่จะนำไปปล่อยเพื่อหารายได้ โดยที่รายได้ที่ได้มานั้นจะทำการแบ่งกลับไปให้กับผู้ที่เป็นเจ้าของ RaaS ตามจำนวนหรือรูปแบบที่ได้ตกลงกันไว้ ไม่ใช่เพียงแค่ Ransomware เท่านั้นที่มีให้บริการ ระบบที่จำเป็นต่าง ๆ เช่น การบริหารจัดการ Key ก็มีให้ รวมถึงการเจรจาต่อรองค่าไถ่และอำนวยความสะดวกให้กับผู้ที่จะจ่ายค่าไถ่ด้วย
อนาคตของ Ransomware
ในแง่ความรุนแรง มีหลายปัจจัยมากที่อาจจะทำให้ Ransomware นั้นระบาดและสร้างความเสียหายรุนแรงขึ้น อย่างเช่นการเพิ่มขึ้นของอุปกรณ์ที่เชื่อมต่อทางเครือข่ายโดยเฉพาะ Internet of Things (IoT) ที่จะส่งผลให้เป้าหมายของการโจมตีมีมากขึ้นพร้อมกับความง่ายในการโจมตีเนื่องจากการรักษาความปลอดภัยยังไม่แข็งแรงเท่า Desktop PC และ Servers ถัดมาคือการมีประกันภัยทางไซเบอร์ (Cyber Insurance) ที่ชดเชยความเสียหายจากการโจมตีทางไซเบอร์ ซึ่งเป็นที่สนใจอย่างยิ่งของ Cyber Criminal เพราะการมีประกันภัยทางไซเบอร์ที่รับผิดชอบความเสียหายจาก Ransomware ก็ย่อมเพิ่มโอกาสของการจ่าย Ransomware และส่งผลให้ผู้โจมตียอมสละเวลาเพื่อใช้การโจมตีที่ซับซ้อน (Sophisticated Attack) เพื่อโจมตีผู้ที่ถือกรมธรรม์ประเภทนี้อยู่ให้ได้ โดยเฉพาะองค์กรที่มีขนาดใหญ่ ในส่วนนี้ผู้ออกกรมธรรม์ก็ต้องมีกลไกในการลดความน่าสนใจในส่วนนี้มาเช่นกัน
ปัจจัยที่จะช่วยลดความรุนแรงก็มีอยู่เช่นกัน ไม่ว่าจะเป็นเทคโนโลยีในการป้องกันและการสำรองข้อมูลที่ถูกพัฒนามาให้รองรับ Ransomware รวมถึงความตระหนักรู้ของผู้คนที่มากขึ้น
เป็นสิ่งที่น่าจับตามองว่าใครจะอยู่ใครจะไปครับ แต่สิ่งหนึ่งที่เห็นได้จากพัฒนาการของ Ransomware ที่ต่างจาก Malware ตัวอื่น ๆ คือการมี Business Model และการ Scale ตัวเองของผู้สร้าง Ransomware ผ่าน Platform Ransomware-as-a-Service ทำให้ผู้เขียนอดคิดไม่ได้ว่า ถ้า Momentum ของ Ransomware ยังไม่หยุดนิ่งภายในเร็ว ๆ นี้ เราอาจจะได้เห็น Ransomware เป็นตัวเลือกหนึ่งในการลงทุน (Ransomware as an investment option) ให้กับคนที่สนใจผลตอบแทนที่ได้จาก Ransomware แต่ไม่มีทักษะใด ๆ เลยก็เป็นได้ แน่นอนว่าการลงทุนในลักษณะนี้เข้าข่าย High-Yield Investment Plan (HYIP) ซึ่งถือว่าไม่ยั่งยืนครับ
จุดอ่อนของ Ransomware และคำแนะนำหากโดนโจมตีสำเร็จ
Ransomware เองก็มีจุดอ่อน ซึ่งส่วนใหญ่จะมากับวิธีในการ Implement เทคนิคในขั้นตอนต่าง ๆ ของการโจมตีตั้งแต่ติดตั้ง จนเริ่มเข้ารหัส และกรรโชกทรัพย์ ทำให้บางครั้งไฟล์ที่ถูกเข้ารหัสสามารถถูกถอดรหัสออกได้โดยที่ไม่ต้องเสียค่าไถ่ เช่น การลบ (Delete) ไฟล์ต้นฉบับโดยที่ไม่ได้เขียนทับ (Wipe/Overwrite) ทำให้นักวิเคราะห์ด้านความปลอดภัยกู้ข้อมูลกลับมาได้โดยที่ไม่ต้องทราบ Key หรือเสียค่าไถ่ อีกจุดอ่อนหนึ่งคือการใช้ Offline Key หรือ Hardcoded Key ที่เป็นแผนสำรองหาก Ransomware ไม่สามารถติดต่อไปยังเครื่องสั่งการ (Command & Control/C&C/C2) เพื่อขอ Key มาใช้เข้ารหัสข้อมูลของเหยื่อได้ ทำให้นักวิเคราะห์ด้านความปลอดภัยสามารถที่จะดึงเอา Hardcoded/offline Key ออกมาจาก Binary ของ Ransomware หรือจากหน่วยความจำหลัก (RAM) ของเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อ เพื่อนำมาถอดรหัสได้ แต่แน่นอนว่าการจะกู้ข้อมูลตามที่กล่าวมานี้มีปัจจัยที่ส่งผลสำเร็จและไม่ได้ผล 100%
จุดอ่อนของ Ransomware เองยังมีอีกเยอะขึ้นอยู่กับความชำนาญและประสบการณ์ของผู้สร้าง แต่สิ่งที่แน่ ๆ คือจุดอ่อนเก่า ๆ จะถูกแก้ไขในรุ่นใหม่ ซึ่งรุ่นที่ใหม่หรือ Ransomware เกิดใหม่อาจมีจุดอ่อนใหม่ ๆ ก็ได้เช่นกัน ฉะนั้นคำแนะนำจาก CYNIUS Advisor คือ หากโดน Ransomware โจมตีเข้าแล้ว ให้:
- ตัดการเชื่อมต่อเครือข่ายทันที
- ถอดอุปกรณ์ต่อพ่วงทั้งหมดออกจากคอมพิวเตอร์
- ตั้งสติเก็บข้อมูลและติดต่อทีม Cyber Incident Response (แต่ละองค์กรอาจใช้ชื่อเรียกต่างกัน)
การดำเนินการตามนี้เป็นการเพิ่มโอกาสในการแก้ไขสถานการณ์ หากอยู่ในบริบทที่สามารถทำได้ครับ
ตัวเลขทางสถิติที่น่าสนใจเกี่ยวกับ Ransomware ในปี 2021
จากรายงานการวิจัยของ Sophos State of Ransomware 2021 จากกลุ่มตัวอย่างผู้ที่มีอำนาจในการตัดสินใจเกี่ยวกับ IT (IT Decision Makers) จำนวน 5,400 คน จาก 30 ประเทศทั่วโลก ที่ทำงานอยู่ในองค์กรที่มีพนักงานตั้งแต่ 100 – 5,000 คน (สรุปคือ 5,400 องค์กรทั่วโลก)
ข้อมูลที่น่าสนใจสำหรับใช้ในการตัดสินใจ โดยเฉพาะเรื่องที่ว่าจะจ่ายค่าไถ่ดีหรือไม่ และระมัดระวังตัวเรา มีดังนี้ครับ
- 37% ของผู้ให้ข้อมูลเคยถูกโจมตีโดย Ransomware ในปี 2020
- 54% ของผู้ที่โดนโจมตี ถูกเข้ารหัสข้อมูลสำเร็จ
- 96% ของผู้ที่โดนเข้ารหัสข้อมูล สามารถกู้ข้อมูลกลับมาได้
- โดยเฉลี่ยแล้วปริมาณข้อมูลที่กู้กลับคืนมาได้หลังจากมีการจ่ายค่าไถ่แล้วจะมีแค่ 65% (คิดง่าย ๆ คือโดนเข้ารหัส 100 ไฟล์ ได้คืน 65 ไฟล์โดยเฉลี่ย)
- 8% ของผู้ให้ข้อมูลเท่านั้นที่กู้ข้อมูลคืนได้ 100% หลังจากที่ได้จ่ายค่าไถ่
- มูลค่าเฉลี่ยของค่าไถ่ที่ได้จากองค์กรขนาดกลางคือ USD170,404 (ประมาณ 555,000 บาท)
- มูลค่าความเสียหายโดยรวมจาก Ransomware รวมค่าใช้จ่ายในการแก้ไข (downtime, people time, device cost, network cost, ค่าเสียโอกาส ฯลฯ) เฉลี่ยแล้วจะอยู่ที่ USD1.85M (ประมาณ 60 ล้านบาท)
- องค์กรขนาดใหญ่มีโอกาสถูกโจมตีมากกว่า
- ธุรกิจค้าปลีก (Retail) และภาคการศึกษา (Education) โดนโจมตีเยอะที่สุด
- แนวโน้มจำนวนของผู้ที่จ่ายค่าไถ่มีมากขึ้น
- ภาคธุรกิจพลังงานและสาธารณูปโภค (Energy, Oil/Gas, Utilities) และรัฐบาล (Local Government) มีแนวโน้มในการจ่ายค่าไถ่มากที่สุด
การป้องกัน
เราขอแบ่งออกเป็น การป้องกันก่อนที่จะถูกโจมตี (Proactive Action) และการแก้ไขหลังถูกโจมตี (Reactive Action) โดยมีรายละเอียดดังนี้
Proactive Action
- เราต้องไม่หวังพึ่งพากลไกในการป้องกันเท่านั้น เราต้องสามารถตอบสนองต่อการโจมตีหากสำเร็จได้ด้วย โดยการจัดให้มี Cyber Incident Response Plan และ Team พร้อมทั้งมีการฝึกซ้อมการรับมือกับ Ransomware ที่มีขนาดและขอบเขตความเสียหายในระดับแตกต่างกันไป
- สำรองข้อมูล (Backup) อย่างเป็นประจำและควรสำรองข้อมูลลงบนอุปกรณ์สำหรับจัดเก็บข้อมูลภายนอกเครือข่ายเพื่อป้องกันข้อมูลที่เรา Backup ถูกเข้ารหัสไปด้วย (Single Point Of Failure)
- อัพเดตซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ
- ติดตั้งซอฟต์แวร์แอนตี้ไวรัส (Antivirus Software) ทำการสแกนเครื่องคอมพิวเตอร์ที่ใช้งานอย่างเป็นประจำ และหมั่น Update ให้เป็นเวอร์ชั่นปัจจุบันอยู่เสมอ
- Awareness หรือความตระหนักรู้ต่อภัยคุกคาม ควรตรวจสอบและระวังในการเปิดไฟล์ที่ไม่ทราบแหล่งที่มา ไม่ใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ รวมถึงการกำหนดรหัสผ่านของทุก User account ให้ยากต่อการคาดเดา
Reactive Action
- Restore File จาก Backup ที่เก็บไว้ ใช้งานฟังก์ชัน Restore ของระบบปฏิบัติการหรือฟังก์ชัน Shadow Copy แต่ทั้งหมดนี้จำเป็นที่จะต้องอาศัยการ Backup ข้อมูลมาสร้าง Restore Point ไว้ และ/หรือ เปิดการทำงานของ Shadow Copy ล่วงหน้าแต่ Ransomware ตัวใหม่ ๆ สามารถที่จะลบ Shadow Copy และ Restore Point ได้เหมือนกัน
- Ransomware บางตัวสามารถถูกถอดรหัสได้โดยใช้เครื่องมือที่ผู้ผลิต Antivirus หรือผู้เชี่ยวชาญจากที่อื่น ๆ ได้ทำไว้ ซึ่งมักจะมีเฉพาะ Ransomware รุ่นเก่า ๆ และผู้ใช้ต้องระมัดระวังการดาวน์โหลดโปรแกรมแก้ไขเหล่านี้ ควรดาวน์โหลดจากแหล่งที่น่าเชื่อถือเท่านั้น
- โดยปกติแล้วตัว Ransomware จะบอก Algorithm ที่ใช้ในการเข้ารหัสไฟล์ต่าง ๆ ไว้ เราสามารถใช้ข้อมูลนี้ในการที่จะทำการคาดเดา key (Bruteforce Attack หรือ Dictionary attack) แต่อย่างไรก็ตาม key ที่ใช้นั้นอาจมีความยาวมาก ๆ ประกอบกับ Algorithm ที่แข็งแกร่ง ทำให้ระยะเวลาที่จะทำสำเร็จนั้นไม่ได้เป็นช่วงระยะเวลาที่ยอมรับได้ คืออาจจะเป็นเดือนหรือเป็นปี และยังมีปัจจัยทางเทคนิคอีกหลายอย่างที่ทำให้วิธีนี้ไม่ถูกมองว่าเป็นการแก้ไขปัญหาที่มีประสิทธิผลพอ และต่อให้ถอดรหัสได้ที่เครื่องเหยื่อเครื่องใดเครื่องหนึ่งแล้ว ก็ไม่สามารถนำไปช่วยเครื่องอื่น ๆ ได้
- ใช้โปรแกรม Ransomware Removal ที่จะช่วยลบ Ransomware ออกจากเครื่อง แต่โปรแกรมประเภทนี้ไม่สามารถถอดรหัสไฟล์ที่ถูกเข้ารหัสได้ ทำได้เพียงเอา Ransomware ออกไปเท่านั้น และต้องทราบไว้ด้วยว่าการล้าง Ransomware ออกจากเครื่องโดยที่ไฟล์ยังเข้ารหัสอยู่อาจทำให้ไม่สามารถถอดรหัสไฟล์ได้