วันนี้ผมขอพูดถึงแรนซัมแวร์ตัวหนึ่งที่มีชื่อว่า HardBit ซึ่งตอนนี้ได้รับการพัฒนาเป็นเวอร์ชัน 2.0 และเวอร์ชันนี้เองที่เหล่าบรรดาแฮ็กเกอร์ใช้โน้มน้าวเหยื่อให้เปิดเผยรายละเอียดเกี่ยวกับการประกันทั้งหมด
เพื่อให้แฮ็กเกอร์สามารถจัดการกับข้อมูลและการกำหนดเงินค่าไถ่เพื่อช่วยให้บริษัทประกันจะต้องรับผิดชอบค่าใช้จ่ายที่เกิดขึ้นทั้งหมดตามคำกล่าวอ้างของแฮ็กเกอร์
HardBit Ransomware เวอร์ชันแรกมีการเปิดตัวช่วงเดือนต.ค. 2565 ขณะที่เวอร์ชัน 2.0 ออกตามมาโดยใช้เวลาเพียง 1 เดือนเท่านั้น โดยหลักการทำงานของ HardBit Ransomware จะมีความแตกต่างการแรนซัมแวร์ส่วนใหญ่ตรงที่จะไม่ใช่ฟีเจอร์ที่ทำให้ข้อมูลในไซต์รั่วไหล
ถึงแม้ว่าแฮ็กเกอร์จะขโมยข้อมูลของเหยื่อและขู่ว่าจะปล่อยข้อมูลเหล่านี้ถ้าไม่มีการจ่ายเงินค่าไถ่ก็ตาม นอกจากนี้ HardBit 2.0 ยังสามารถปรับเปลี่ยนการลงทะเบียนเพื่อปิดใช้งานการตรวจสอบพฤติกรรมแบบเรียลไทม์ของ Windows Defender กระบวนการในการสแกน และการป้องกันการเข้าถึงไฟล์ เป็นต้น
มัลแวร์ยังมีการกำหนดเป้าหมายทั้งหมด 86 กระบวนการที่จะทำให้ไฟล์ที่มีความละเอียดอ่อนนั้นมีความพร้อมและสามารถรองรับการเข้ารหัส โดยการเพิ่มโฟลเดอร์ “Startup” และลบสำเนา Volume Shadow เพื่อทำให้การกู้คืนข้อมูลยากขึ้น
โดยองค์ประกอบที่น่าสนใจเกี่ยวกับขั้นตอนการเข้ารหัสคือ แทนที่จะเขียนข้อมูลที่เข้ารหัสเพื่อคัดลอกไฟล์และลบต้นฉบับเหมือนที่แรนซัมแวร์ตัวอื่นๆ แต่ HardBit 2.0 เลือกที่จะเปิดไฟล์และเขียนทับเนื้อหาด้วยข้อมูลที่เข้ารหัส วิธีการนี้ทำให้ผู้เชี่ยวชาญกู้คืนไฟล์ต้นฉบับได้ยากมากขึ้น และทำให้การเข้ารหัสเร็วขึ้น
HardBit 2.0 ที่แทรกซึมเข้าไปที่ระบบของเหยื่อจะไม่ได้แจ้งจำนวนเงินค่าไถ่ที่แฮ็กเกอร์ต้องการในการแลกกับคีย์ถอดรหัส ดังนั้นเหยื่อจะมีเวลา 48 ชั่วโมงในการติดต่อผู้โจมตีผ่านแอปส่งข้อความแบบ Peer-to-Peer (P2P) คือการเชื่อมต่อระหว่างผู้ใช้งานกับผู้ใช้งานที่จะเข้ารหัสแบบโอเพ่นซอร์ส โดยแฮ็กเกอร์จะแนะนำเหยื่อว่าให้ติดต่อเจรจาตรงกับพวกเขาเลยเพื่อเป็นการหลีกเลี่ยงต้นทุนที่อาจเพิ่มสูงขึ้น
สำหรับบริษัทที่มีการทำประกันด้านการโจมตีทางไซเบอร์ เหล่าบรรดาแฮ็กเกอร์ก็จะมีชุดคำสั่งที่ซับซ้อนขึ้นกว่าปกติ และกระตุ้นให้บริษัทเหล่านี้เปิดเผยจำนวนเงินประกัน
อีกทั้งยังพยายามพูดให้ดูเหมือนว่าการให้ข้อมูลเหล่านี้จะเป็นประโยชน์ต่อเหยื่อ เพราะการที่แฮ็กเกอร์ทราบยอดเงินประกันทั้งหมด จะทำให้พวกเขาสามารถบังคับให้บริษัทประกันจ่ายเงินให้ครอบคลุมอย่างที่ควรจะเป็น และเป็นการลดโอกาสการถูกเอาเปรียบเกี่ยวกับเงินชดเชย พร้อมเน้นย้ำว่าข้อมูลนี้จะไม่เป็นประโยชน์ต่อบริษัทประกันอย่างแน่นอน
อย่างไรก็ตาม ผมมองว่าเป้าหมายของการแรนซัมแวร์ก็คือการเรียกค่าไถ่ แฮ็กเกอร์จะพูดอะไรก็ได้เพื่อให้ได้เงิน เพราะฉะนั้นเราไม่สามารถเชื่อถือแฮ็กเกอร์ได้เลย และการปฏิเสธที่จะจ่ายค่าไถ่รวมถึงการแจ้งเหตุการณ์ที่เกิดขึ้นต่อหน่วยงานที่เกี่ยวข้อง พร้อมกับการมีกลยุทธ์การสำรองข้อมูลเป็นวิธีเดียวที่จะต่อสู้กับภัยคุกคามประเภทนี้และยุติให้มันให้จบได้
สุดท้ายไม่มีอะไรดีไปกว่า การป้องกันและการเตรียมตัวสำหรับการรับมือภัยไซเบอร์ หากมองในแง่การลงทุนจะต้องครอบคลุมในเชิง proactive ให้มากยิ่งขึ้น เพื่อที่เราจะได้ทราบว่าระบบขององค์กรถูกโจมตีแล้วหรือไม่
เพราะแน่นอนว่าแฮ็กเกอร์ต้องใช้เวลาในการหาข้อมูล บางครั้งการที่เราสามารถพบและตรวจจับภัยต่างๆ ได้ก่อนจะเกิดเรื่องนั้น ทำให้มีโอกาสที่จะไม่โดนแรนซัม
แรนซัมแวร์จะไม่มีวันหายไปจากโลกนี้ เนื่องจากมีปัจจัยเรื่องเงินเป็นเดิมพันและชื่อเสียงขององค์กรเป็นเครื่องต่อรองอยู่เสมอๆ ครับ
บทความโดย นักรบ เนียมนามธรรม
————————————————————————————————————————-
ที่มา : กรุงเทพธุรกิจออนไลน์ / วันที่เผยแพร่ 13 มี.ค. 2566
Link :https://www.bangkokbiznews.com/tech/gadget/1057457
