ชุดแฮกหลุดจาก NSA ไวรัสเข้ารหัสข้อมูล WannaCry เรียกค่าไถ่ทั่วโลก

น่าจะเป็นหนึ่งในเหตุการณ์สำคัญของโลกไอทีแห่งปีเลยเมื่อช่องโหว่เจาะทะลวง Windows ทั่วโลกที่เรียกว่า EternalBlue หลุดจาก NSA (สำนักงานความมั่นคงแห่งชาติ สหรัฐ) ทำให้แฮกเกอร์ใช้ช่องโหว่นี้สร้าง Ransomware ที่มีหลายชื่อทั้ง WannaCry, Wana Decrypt0r, WannaCrypt ไล่ล็อกไฟล์ในเครื่องไปทั่วโลก แต่ล่าสุดสถานการณ์เริ่มคลี่คลาย หลังนักวิจัยพบวิธีหยุดการแพร่กระจายด้วยเว็บเว็บเดียว

เรื่องเริ่มต้นเมื่อเครื่องมือ NSA ถูกแฮก

ย้อนกลับไปเมื่อเดือนสิงหาคม 2016 กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า The Shadow Broker สามารถเข้าถึงเครื่องมือระดับสูงที่คาดว่าเป็นของ NSA โดยเรียกร้องเงิน 1 ล้านเหรียญสหรัฐ แต่ไม่มีหน่วยงานไหนยอมจ่ายจึงปล่อยเครื่องมือและช่องโหว่เหล่านี้ทั้งหมดออกสู่สาธารณะในช่วงเมษายน 2017

 

EternalBlue อาศัยช่องโหว่ที่ของ SMB ที่ไมโครซอฟท์แพตช์ไปแล้วตั้งแต่เดือนมีนาคมที่ผ่านมา  หนึ่งในช่องโหว่สำคัญที่หลุดออกมา ซึ่งเจาะ SMBv1 (Microsoft Server Message Block) ใน Windows ทำให้สามารถควบคุมเครื่องได้ ซึ่ง Microsoft ก็รู้เรื่องนี้ (คาดว่า NSA รีบแจ้งหลังโดนเจาะไป) จึงออกอัปเดทเพื่อปิดช่องโหว่ตั้งแต่เดือนมีนาคมที่ผ่านมา แต่เรื่องมันไม่จบแค่นั้น…

แม้ว่าไมโครซอฟท์จะรีบอุดช่องโหว่นี้ไปเรียบร้อยแล้ว แต่ก็พบว่าคอมพิวเตอร์อีกเป็นจำนวนมากที่ไม่ได้รับอัปเดท อาจจะเพราะลงวินโดวส์เถื่อน ปิดระบบอัปเดทอัตโนมัติ ทำให้ช่องโหว่นี้ยังทำงานได้อยู่

 

วันที่ 12 พฤษภาคมจึงเริ่มพบ Ransomware ที่ชื่อว่า Wcry/ WanaCrypt0r/ WannaCry/ WanaCypt0r/ Wanacryptor กระจายไปทั่วโลกด้วยความรวดเร็ว คาดว่ามีคอมพิวเตอร์ที่ติด WannaCry มากกว่า 100,000 เครื่องทั่วโลกในระยะเวลาไม่ถึง 1 วัน

ความร้ายกาจของ WannaCry คือจะเข้ารหัสไฟล์สำคัญทั้งหมดของเครื่องเช่น .docx, .pptx, .mpeg, .zip, .backup แล้วเรียกค่าไถ่เป็นเงิน $300 ผ่านทาง Bitcoin ซึ่งแน่นอนว่าเหยื่อสามารถกดทดลองกู้ไฟล์คืนได้ถ้าไม่แน่ใจ และมีตัวเลขเวลาบอกว่าไฟล์ทั้งหมดในเครื่องจะถูกลบเมื่อไหร่ถ้าไม่จ่ายเงิน (อ่านกระบวนการทำงานอย่างละเอียดที่ TechTalkThai

ชุดเครื่องมือของ NSA ที่ถูกปล่อยมาโดยกลุ่ม Shadow Broker เริ่มถูกนำไปใช้งานแบบหวังผลมากขึ้น เมื่อมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ WannaCrypt พัฒนาโดยใช้เครื่องมือ EternalBlue เป็นฐานเพื่อเจาะเซิร์ฟเวอร์วินโดวส์ที่เปิด SMB ออกอินเทอร์เน็ต

WannaCry บุกคอมพิวเตอร์ทั่วโลกจำนวนมากที่ไม่ได้อัปเดท

เรื่องเลวร้ายได้เกิดขึ้นเมื่อ NHS (National Health Service) ระบบประกันสุขภาพของอังกฤษถูก WannaCry โจมตีและเข้ารหัสข้อมูล คนไข้จำนวนมากไม่สามารถผ่าตัดได้ในวันนี้ ทำให้ NHS ต้องยอมจ่ายค่าไถ่เพื่อนำข้อมูลกลับมา

ส่วนในไทย เซิร์ฟเวอร์ของ Garena ก็โดนเล่นงานเช่นกัน ทำให้ต้องปิดเซิร์ฟเวอร์เป็นการชั่วคราว

 สถานการณ์สร้างฮีโร่ พบวิธีหยุดการแพร่ระบาดแล้ว

นักวิจัยที่ใช้นามแฝงว่า MalwareTech ค้นพบว่าเมื่อ WannaCry กำลังจะแพร่ไปยังคอมพิวเตอร์เครื่องใหม่ๆ จะตรวจสอบ URL หนึ่งในอินเทอร์เน็ตเสมอคือ iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com นักวิจัยท่านนี้จึงลองลงทะเบียนเปิดโดเมนใหม่ตัวนี้ดู หากตรวจพบมันจะหยุดทำงาน ตอนนี้โดเมนนี้เปิดใช้งานอยู่แล้วมัลแวร์จึงหยุดการแพร่กระจายก็จบลง
คาดว่าแฮกเกอร์ตั้งกฎนี้ขึ้นมาเพื่อเป็น Kill Switch หยุดการทำงานของ WannaCry แต่ก็ถูกนักวิจัยภายนอกค้นพบเสียก่อน

ทางป้องกันมีได้หลายทาง

  1. ตั้งแต่ปิด SMBv1 เสีย,
  2. เปิดไฟร์วอลล์ไม่รับการเชื่อมต่อพอร์ต 139 และ 445 จากอินเทอร์เน็ต
  3. เครื่องที่ถูกเข้ารหัสแล้ว ก็ยังต้องแก้วิธีแก้ไขต่อไป ตอนนี้ยังไม่มีเครื่องมือแกะไฟล์ออกมา ก็ต้องจ่ายเงินปลด หรือดึงข้อมูลกลับจาก Shadow copy ของวินโดวส์ ถ้ายังไม่ถูกทำลาย
  4. แฮกเกอร์กลุ่มอื่นๆ ก็สามารถนำช่องโหว่นี้ไปใช้ต่อได้ แค่แก้โค้ดนิดหน่อย ก็กลายเป็น Malware ตัวใหม่แล้ว ทางป้องกันคืออัปเดทวินโดวส์โดยด่วน โดยเฉพาะแพทซ์ MS17-010 ที่ออกมาปิดช่องโหว่ของ SMB
  5. สำหรับ Windows รุ่นเก่าอย่าง XP, Windows 8, Windows Server 2003 ที่เลิกซัพพอร์ตไปแล้ว ไมโครซอฟท์ก็ออกตัวแก้ไขฉุกเฉินมาให้เพื่อปิดช่องโหว่นี้ ก็ตามไปดาวน์โหลดได้ที่เว็บ Microsoft

 

 

ที่มา

https://www.blognone.com