Petya ransomware ไม่ใช่มาเพื่อไถเงินแต่มาเพื่อล่มระบบเท่านั้น

แน่นอนว่าตอนนี้ทุกคนรู้จัก Petya ransomware โปรแกรมไถเงินอันใหม่นี้กันบ้างแล้ว. ซึ่งมันเริ่มป่วนกันตั้งแต่วันที่ 27 มิถุนายนที่ผ่านมาและกวนไปทั่วประมาณ 64 ประเทศ, ติดเชื้อกันไปรวม ณ ตอนนี้ 12,500 เครื่องเข้าไปแล้วเฉพาะประเทศ Ukraine, สร้างความวิกฤตไปยังโครงสร้างพื้นฐานภายในประเทศ-เหตุผลเดียวดูว่าระบบคุณนั้นดีขนาดไหน- และประเทศที่โดนหนักที่สุดก็เป็นประเทศ Ukraine, แต่มันก็กระจายไปถึงส่วนราชการของ Russian Federation, Poland, และแน่นอน USA ก้ไม่พลาด แต่ตอนนี้, สิ่งหนึ่งที่เป็นที่น่าสนใจได้เปิดเผยออกมาถึงสาเหตุตัว ransomware ใหม่นี้. หรือจะเป็นเพียงแค่ Petya (ที่หมายถึงหรือเรียก NotPetya/SortaPetya/Petna ก็อาจเป็นได้, แล้วแต่จะเข้าใจกัน, ซึ่งพยายามให้เป็นหรือทำให้ดังแบบ ransomware) ที่มันไม่ใช่ ransomware หรือความตั้งใจตั้งแต่ต้น

จริงๆแล้วมันก็มีส่วนที่ใช่ที่เป็นการก่อกวนด้วย ransomware ตัวใหม่นี้. Petya มีนิสัยแบบเดียวกันกับ ransomwares ทั่วไป: มันจะมาใส่รหัสให้กับ computer files และ NTFS libraries, และจะบังคับให้เครื่องนั้นทำการ reboot ใหม่, และหลังจากนั้นก็จะมีหน้าจอใหม่พร้อมข้อความหรือขั้นตอนการไถ่ตัวประกันเพื่อไปถอดรหัสไฟลส์นั้นๆ. ถึงกระนั้นก็ตาม, มันมีสิ่งที่น่าผิดสังเกตุหรือขั้นตอนที่เปลี่ยนไป. อย่างแรกมันมีหลายวิธีที่จะไถ่ตัวประกัน; อันแรกคือการเรียกเงินสกุล cryptocurrency ซึ่งเป็นวิธีที่ง่ายและปรกติที่สุด. สิ่งที่แปลกก็คือผู้กระทำนั้นใช้ email address แบบทั่วไป (จาก Posteo) สำหรับการเรียกค่าไถ. Posteo ก็ถูกปิด e-mail account ทันทีหลังจากรู้มาว่าการบริการถูกนำไปใช้ที่ผิดเจตนา. แต่การกระทำแบบนี้ทำให้การติดต่อระหว่างผู้เรียกและผู้ถูกเรียกไม่สามารถติดต่อกันได้อีกต่อไปและบรรลัยก็เกิดซิครับ. แน่นอนว่าสำหรับมืออาชีพที่ทำ ransomware ขึ้นมาคงจะไม่มาตายน้ำตื้นๆแบบนี้ ไม่มีใครเชื่อแน่นอน.

มีนักพัฒนาและวิจัยทางด้าน security โดยใช้นามแฝงว่า “the grugq” ได้ออกมให้ความเห็นในส่วน Petya/NotPetya ว่า:

“ถึงแม้ตัวป่วนใหม่นี้มีวิธีการและนิสัยซึ่งส่อไปยัง Petya ransomware, อยากจะบอกว่ามันใช้วิธีเรียกค่าไถ่ได้แย่ที่สุด.  อย่างแรกมีเพียงที่อยู่เดียวสำหรับ BTC wallet/Bitcoin address และคำสั่งก็คือการโต้ตอบทาง email พร้อมด้วยคำสั่งที่สลับซับซ้อนมากมายที่แน่นอนเจ้าของเครื่องคอมทั่วไปไม่สามารถจะกระทำตามได้หรือเข้าใจได้. และหากนี้เป็นไวรัสที่ถูกสร้างขึ้นมาจากมืออาชีพเพื่อการเรียกค่าไถแล้วละก็ น่าจะเป็นวิธีที่โง่เคล้าที่สุดที่เคยเจอมา เช่นคุณสามารถส่งเช็คไปยังตู้ ปณ อันนี้น่าจะฮาดี. สิ่งเดียวที่ดูเหมือน Petya จะทำได้ก็คือมาป่วนนั้นเอง. จริงอยู่ว่ามีการแชร์โค๊ดกัน, แต่ Petya ตัวจริงมันเป็นผู้ร้ายทีมีสมาชิกไม่น้อยเพื่อการกระทำและเรียกค่าไถ่. และแน่นอนว่าไวรัสใหม่นี้ไม่ได้มีเจตนาในการเรียกเอาเงินตั้งแต่แรก. แต่ทำขึ้นมาเพื่อสร้างความเสียหายและรุกรามได้อย่างรวดเร็ว ไม่ใช่”ransomware.”

สำหรับช่องทางและตัวโค๊ดที่สร้างขึ้นมาเพื่อเรียกค่าไถ่นั้นน่าจะกล่าวได้เพียงอย่างเดียวว่า แย่ที่สุด หากเป็นตัวจริงคงจะหนาวๆกันมากกว่านี้. ทาง Kaspersky labs ได้มีการอัพเดท, ส่วนทางด้าน Anton Ivanov และ Orkhan Mamedov ออกมายืนยันว่า ผู้กระทำไม่สามารถถอดรหัสให้ผู้ถูกกระทำได้ หากถึงแม้จะจ่ายค่าไถ่ให้ก็ตาม. สรุปได้ว่าตัว malware ใหม่นี้ไม่ได้มีเจตนาเรียกเอาเงินตั้งแต่ต้น-แต่ตั้งใจออกมาเพื่อล่มระบบเสียมากกว่าแทนที่จะเป็น ransomware. (…)

มีผู้วิเคราะห์อีกท่านจาก Comae Technologies ก็ออกมาสรุปแบบเดียวกันถึงต้วไวรัสใหม่นี้และกล่าวว่า “Ransomware และ hackers ตอนนี้กลายเป็นแพะรับบาปไปเลยส่วน Petya นั้นเป็นตัวล่มระบบไม่ใช่ ransomware.”

และความจริงมีอยู่ว่าตัว Petya ransomware ตัวปลอมนี้เป็น patient zero/ตัวแรก ในระบบ Me-doc software, ซึ่งเป็นเพียงแค่หนึ่งในสองบัญชีที่อนุมัติใน Ukraine และเป็นซอร์ฟแวร์ที่ใช้กันอย่างแพร่หลายในบริษัทและราชการในประเทศ Ukrainian, หมายความว่า “ผู้กระทำนั้นได้เปิดการโจมตีใน MeDoc ซึ่งมันจะไม่เพียงป่วนเฉพาะระบบราชการใน Ukraine เท่านั้นแต่ยังรามไปถึงนักลงทุนต่างชาติและบริษัทต่างๆ.” หลังจ่ากนั้นหน่วยราชการที่เป็นตำรวจไซเบอร์ หรือ Ukrainian police’s cyber-security department ได้ออกมายืนยันสำหรับ Me-doc infection/ตัวแพร่ติดเชื้อ ครั้งนี้.

การป่วนครั้งใหม่นี้กล่าวได้เลยว่าออกมาเพื่อทำลายระบบ, ซึ่งแตกต่างออกไปจาก ransomware, สร้างมาเพื่อทำลายและล่มระบบโครงสร้างพื้นฐานของประเทศ Ukraine ให้มากเท่าที่จะเป็นได้, เผอิญไปโดนเอากับบริษัทที่ต่อยอดไปยังต่างประเทศก็เลยติดกันไปตามช่องทาง.

การป้องกันในเบื้องต้นสำหรับ Petya รุ่นนี้, มีนักวิจัยท่านหนึ่งจาก Serper กล่าวเอาไว้ว่า (ได้ยืนยันแล้วว่าใช้ได้จากองค์กรอิสระทางด้านความปลอดภัย) ตัวไวรัส Petya จะมองหาไฟลที่จำเพาะเจาะจงเท่านั้นในระบบ, ต้องทำการล้มการติดตั้งทันทีหากมันเจอไฟลนั้นๆ. เพื่อสร้างตัวล่อหรือป้องกันการติดตั้งหรือ Petya installation, อ้างอิงจากนักวิจัย คุณควรจะสร้างไฟลขึ้นมา “create a file เรียกว่า perfc ใน C:\Windows folder และทำให้มันเป็น read only. มี batch file มาให้ลองกันแล้วสร้างโดย Lawrence Abrams.

ที่มาเครดิต/Sources:

https://www.techpowerup.com/234772/petya-notpetya-the-ransomware-that-wasnt-actually-looking-to-ransom-anything