จะมีอะไรใหม่ๆจากแรนซัมแวร์อีก

เดวิด แมคซีแจค หัวหน้าทีมวิจัยและพัฒนาไลอ้อน ศูนย์ฟอร์ติการ์ดแล็ปส์ ประจำภูมิภาคเอเชียแปซิฟิค  ฟอร์ติเน็ต ออกบทความเรื่อง จะมีอะไรใหม่ๆ จากแรนซัมแวร์อีก

เอฟบีไอได้แจ้งในเดือนเมษายนที่ผ่านมานี้ว่า เหยื่อของแรนซัมแวร์ได้จ่ายเงินสูงถึง 209 ล้านเหรียญสหรัฐในช่วงไตรมาส 1 ปีคศ.  2016  เมื่อเปรียบเทียบกับจำนวน 24 ล้านเหรียญสหรัฐในปี 2015 ทั้งปี  จึงทำให้แรนซัมแวร์กลายเป็นหัวข้อใหญ่ในการสนทนาในด้านภัยคุกคามในปัจจุบัน  ทั้งนี้ ทีมวิจัยและพัฒนาในศูนย์ฟอร์ติการ์ดแล็ปส์เอง ได้เห็นสายพันธุ์ใหม่ของแรนซัมแวร์ทุกวันเช่นกัน

ที่ผ่านมา แรนซัมแวร์มี 2 ประเภท คือ แรนซัมแวร์ที่ทำการบล็อค (ไม่ให้คอมพิวเตอร์ทำงานได้) และ แรนซัมแวร์ที่ทำการเข้ารหัส (เช่น เข้ารหัสไฟล์ส่วนตัวของท่าน ทำให้ท่านอ่านเอกสารไม่ได้)   เมื่อเร็วๆ นี้ พบว่าแรนซัมแวร์ทั้งสองประเภทเริ่มรวมตัวกันทำงานเข้าด้วยกัน เช่น แรนซัมแวร์ที่ทำการเข้ารหัสนั้น ได้บล็อคไม่ให้คอมพิวเตอร์เข้าเว็ปไซต์บางแห่ง จนกว่าจะจ่ายเงินให้กับแฮกเกอร์ก่อน

อุปกรณ์ที่เป็นเป้าหมายการโจมตีของแรนซัมแวร์ยังไม่แน่ชัด – พบแรนซัมแวร์ที่อยู่บนอุปกรณ์โมบายโจมตีทั้งอุปกรณ์คอมพิวเตอร์และสมาร์ทโฟน  และเนื่องจากสมาร์ทโฟนบางค่ายใช้ระบบปฏิบัติการแอนดรอยด์  เราจึงเริ่มพบบางกรณี (อาทิ สายพันธุ์ FLocker) ที่การติดเชิ้อแพร่ระหว่างอุปกรณ์ไอโอที เช่น สมาร์ททีวีกับแรนซัมแวร์ที่ขู่กรรโชกขอบางอย่าง เช่น  ขอบัตรของขวัญไอทูนส์มูลค่า 200 เหรียญสหรัฐจากท่าน ก่อนที่ท่านจะสามารถดูการแข่งขัน NHL Stanley Cup รอบไฟนัลได้

โดยองค์กรวิจัยการ์ทเนอร์พบว่า จะมีอุปกรณ์ที่เชื่อมโยงกันใช้งานในปี 2016 มากถึง 6.4 พันล้านชึ้น และจะเพิ่มเป็น  21 พันล้านชึ้นในปี   2020    สำหรับแฮกเกอร์แล้ว หมายถึงการที่จะมีจำนวนเหยื่อมากขึ้น

มัลแวร์มีพัฒนาการเมื่อเวลาผ่านไป และการที่แรนซัมแวร์ย้ายจากคอมพิวเตอร์ไปยังอุปกรณ์สมาร์ทดีไวซ์ต่างๆ จึงเป็นขั้นตอนในการพัฒนาที่เป็นธรรมชาติมาก  เราได้พบการเคลื่อนไหวไปแนวข้างเครือข่ายของพวกตระกูล SamSam และ ZCryptor   ทั้งนี้ มัลแวร์บางสายพันธุ์มีพฤติกรรมคล้ายพวกหนอนที่จะแพร่พันธุ์ไปยังเครือข่ายข้างเคียง   ถ้าท่านเปรียบเทียบสิ่งเกิดขึ้นเหล่านี้กับวิวัฒนาการทางชีววิทยาในทฤษฎีของดาร์วินแล้ว  จะพบว่าเหมือนเวลาที่ปลาออกจากน้ำทะเลและเริ่มใช้ครีบของพวกเขาเป็นเท้าที่จะเดินไปสำรวจดินแดนใหม่ๆ

วิวัฒนาการนี้จะเกิดขึ้นเร็วหรือช้า ขึ้นอยู่กับเหตุผลเดียว ที่ว่า เหยื่อจะจ่ายค่าไถ่ตามที่ถูกขู่มาหรือไม่   ไม่ได้จำเป็นว่าเหยื่อทุกรายจะต้องจ่ายค่าไถ่  แต่แค่มีเงินค่าไถ่มากพอที่จะดำเนินกิจการต่อ ยอดต่อไปได้ก็พอ  ซึ่งผู้สร้างแรนซัมแวร์นั้นดำเนินธุรกิจของตนเหมือนองค์กรแห่งหนึ่งเลยทีเดียว คือมีการลงทุนจากเงินค่าไถ่ที่ได้มาที่การวิจัยและพัฒนาต่อไป

ระบบควบคุมอุตสาหกรรม คลาวด์และตัวเราเองตกอยู่ในความเสี่ยง

เราเห็นการติดเชื้อแรนซัมแวร์เกิดขึ้นในวันนี้อยู่แล้ว  ท่านอาจคิดว่าจะมีอะไรที่จะแย่ไปกว่านี้อีกหรือ

อันดับแรก  ยังมีหนึ่งอณาจักรที่แรนซัมแวร์ยังไม่ได้เข้าไป คือ   ระบบควบคุมอุตสาหกรรม หรือ Industrial Control Systems (ICS) เราจะพบซอฟท์แวร์นี้ในแอปพลิเคชั่นอุตสาหกรรมต่างๆ อาทิ โรงงานผลิตสารเคมี โรงงานไฟฟ้านิวเคลียร์ และเครื่องกำเนิดไฟฟ้าพลังงาน

จนในปัจจุบันนี้ ยังไม่พบการรายงานสาธารณะที่เห็นว่า แรนซัมแวร์แพร่เชื้อในระบบ ICS  แต่ไม่ได้หมายความว่า จะผ่านทะลุระบบนี้ไม่ได้เหมือนที่บางท่านคิด  ตัวอย่างเช่น เราพบว่าเขื่อน Bowman Avenue ในรัฐนิวยอร์คตกเป็นเหยื่อภัยประเภท Reconnaissance ที่สอดแนมเพื่อเก็บข้อมูลทั้งหมดในปี 2013  และ Calpine ซึ่งเป็นเครื่องกำเนิดไฟฟ้าใหญ่ที่สุดของอเมริกาของการผลิตไฟฟ้าจากแหล่งก๊าซธรรมชาติและความร้อนใต้พิภพยังถูกแฮกเกอร์ขโมยภาพรายละเอียดทางวิศวกรรมไปได้

แรนซัมแวร์สายพันธุ์ปัจจุบันไม่ต้องการอะไรมากไปกว่าจู่โจมเหยื่อที่ต้องการ  ซึ่งหมายความว่า จะเกิดภัยที่แรนซัมแวร์จะเข้าไปที่เทคโนโลยีเชิงปฏิบัติงานหรือ  Operational Technology (OT) ภายในไม่กี่เดือนข้างหน้านี้ และจะเป็นภัยที่มีมูลค่าสูงมากที่เดียว  เหยื่อเหล่านี้เป็นเป้าหมายที่น่าสนใจสำหรับผู้ผลิตแรนซัมแวร์ ท่านลองคิดเล่นๆ ดูว่า รัฐบาลจะยินดีจ่ายค่าไถ่เท่าไหร่เพื่อป้องกันโรงงานไฟฟ้านิวเคลียร์

คลาวด์   

นอกจากระบบ ICS แล้ว เจ้าของแรนซัมแวร์ยังมุ่งเป้าหมายไปที่คลาวด์  ในทุกวันนี้ คลาวด์บรรจุข้อมูลมากมายที่เป็นธรรมดาที่แฮกเกอร์จะสนใจ

ตัวอย่างล่าสุด เช่น เมื่อแอปเปิ้ลประกาศว่าจะอัปเกรดบัญชี iCloud  จาก 20Gb เป็น 150Gb ให้ฟรี หมายความว่า หลังจากนี้ อีกไม่กี่เดือนหรือไม่กี่ปี ข้อมูลแทบทั้งหมดของพวกเราจะไปเก็บอย่างรวดเร็วแบบเกือบเรียลไทม์ในคลาวด์   ดังนั้น อาชญากรไซเบอร์อาจจะถือโอกาสใช้ช่องโหว่ของ API ในการเข้ารหัสข้อมูลออนไลน์ของเรา และเรียกร้องขอค่าไถ่

ในกรณีนี้  คำแนะนำที่ว่าเราควรทำสำรองข้อมูลไว้ก่อนนั้นไม่ใช่เรื่องพูดเกินจริง  และรวมถึงสิ่งที่ควรปฏิบัติอื่นๆ  ด้วย อาทิ การทำสำรองข้อมูลของท่านอย่างสม่ำเสมอ  สำรองข้อมูลแบบออฟไลน์ในอุปกรณ์ที่แยกจากกัน จัดเครือข่ายของท่านให้เป็นโซนที่มีความปลอดภัยในระดับต่างกัน จะไม่ทำให้การติดเชื้อจากส่วนหนึ่งกระจายข้ามไปยังส่วนอื่นๆ ได้อย่างง่ายดาย   และมีแผนสำรองเพื่อให้แน่ใจว่าอุปกรณ์ต่างๆ ยังทำงานอยู่ในช่วงเวลาขณะท่านต้องแก้ไขระบบคอมพิวเตอร์หรือเครือข่าย

สำหรับฟอร์ติเน็ตแล้ว เรายังคงมุ่งมั่นทำการวิเคราะห์ต่อไป เพื่อหาหนทางใหม่ๆ ในการต่อสู้กับภัยที่เกิดขึ้นใหม่  ทั้งนี้ รวมถึงการพัฒนาการดักจับภัยและการโต้ตอบภัย การพัฒนาโมเดลการป้องกันภัยใหม่ๆ อีกด้วย

ตัวเราเองอาจจะตกเป็นเหยื่อแรนซัมแวร์

ในระยะยาวแล้ว น่าจะมีเหยื่อแรนซัมแวร์ที่น่าหวาดเสียวขี้นอีก ทั้งนี้ ในเดือนพฤษภาคมปี 2010 นักวิทยาศาสตร์ชาวอังกฤษได้แสดงให้เห็นว่าการปลูกถ่ายทางการแพทย์ในมนุษย์สามารถติดเชื้อไวรัสคอมพิวเตอร์หลายประเภทได้

จึงน่าจะคาดเดาได้ว่า วันหนึ่งข้างหน้า แรนซัมแวร์อาจจะไม่ให้ท่านใช้แขนเทียมขาเทียมได้หรือหรือขู่ว่าจะหยุดการกระตุ้นหัวใจของท่าน  นี่เป็นนิยายวิทยาศาสตร์หรือเปล่า  ท่านลองพิจารณาว่า เทคโนโลยีไอซีทีมาไกลถึงไหนแล้ว และแฮกเกอร์มีความฉลาดเพียงใด เรื่องเหล่านี้อาจไม่น่าจะใช่นิยายวิทยาศาสตร์เสียแล้ว