ปี 2016 การโจมตีด้วยแรนซั่มแวร์ต่อวงการธุรกิจเพิ่มขึ้นถึง 3 เท่า ซึ่งดูจากการเปลี่ยนแปลงจากโจมตีทุก 2 นาทีในเดือนมกราคม มาเป็นโจมตี 1 ครั้งในทุกๆ 40 วินาทีเมื่อเดือนตุลาคม สำหรับผู้ใช้รายบุคคลทั่วไป อัตราการโจมตีได้เปลี่ยนแปลงจากโจมตีทุกๆ 20 วินาที มาเป็นทุกๆ 10 วินาที และปีนี้พบแรนซั่มแวร์หน้าใหม่มากกว่า 62 กลุ่มถูกปล่อยออกมา ภัยคุกคามเช่นนี้ขยายตัวอย่างรวดเร็วต่อเนื่องจนกระทั่งแคสเปอร์สกี้แลปได้ตั้งให้แรนซั่มแวร์นี้เป็นหัวข้อหลักประจำปี 2016
รายงาน “Story of the Year” เรื่องเด่นแห่งปี เป็นส่วนหนึ่งของรายงานด้านความปลอดภัยประจำปีของแคสเปอร์สกี้แลปที่นำเสนอข้อมูลเกี่ยวกับภัยคุกคามในช่วงปีที่ผ่านมา รวมทั้งคาดการณ์ทิศทางรูปแบบในปี 2017
ที่น่าสนใจคือ ในช่วงปี 2016 พบว่าธุรกิจแรนซั่มแวร์รับจ้าง (Ransomware-as-a-Service) ได้รับความสนใจจากอาชญากรไซเบอร์ที่ไม่มีทักษะ ทรัพยากรหรือศักยภาพในการพัฒนาแรนซั่มแวร์ขึ้นมาได้เอง ภายใต้การตกลงซื้อบริการกันนี้ ผู้เขียนโค้ดจะจัดสินค้าคือโค้ดมหันตภัยนี้แบบ “ออนดีมานด์” หรือตามที่ผู้ซื้อระบุความต้องการ ปรับแต่งตามให้เป็นเวอร์ชั่นตัวของลูกค้า ซึ่งก็จะนำไปแพร่กระจายต่อผ่านสแปม เว็บไซต์ ชำระค่านายหน้าค่าว่าจ้างให้แก่คนเขียนโค้ดซึ่งเป็นผู้รับผลประโยชน์หลัก
เฟเดอร์ ซินิทซิน นักวิเคราะห์มัลแวร์อาวุโส แคสเปอร์สกี้แลป กล่าว “รูปแบบธุรกิจแบบร่วมกันกระทำเช่นนี้ถือว่าคลาสสิกมาก และได้ผลดีสำหรับอาชญากรที่อาศัยแรนซั่มแวร์ เหมือนกับที่เคยทำเงินให้แก่มัลแวร์อื่นมาแล้ว เหยื่อมักจะยอมจ่าย จึงมีเงินหล่อเลี้ยงอยู่ในระบบ จึงเป็นเรื่องที่เลี่ยงไม่ได้เลยที่จะเห็นโจรแรนซั่มแวร์หน้าใหม่เกิดขึ้นรายวันเลยทีเดียว”
วิวัฒนาการแรนซั่มแวร์ปี2016
ปี 2016 แรนซั่มแวร์ออกอาละวาดทั่วโลก มีความซับซ้อนและหลากหลายมากขึ้น และมีสมรรถนะมากขึ้นในการยึดครองข้อมูลและอุปกรณ์ ตัวบุคคลและองค์กรธุรกิจ
-อัตราการโจมตีองค์กรธุรกิจเพิ่มขึ้นอย่างเห็นได้ชัด จากข้อมูลการสำรวจของแคสเปอร์สกี้แลป พบว่าธุรกิจ 1 ในทุก 5 ธุรกิจทั่วโลกได้รับผลกระทบจากแรนซั่มแวร์ และ 1 ในทุก 5 ธุรกิจขนาดย่อมลงมาไม่เคยได้ไฟล์ที่ถูกยึดไปกลับคืนมาเลย แม้จะจ่ายค่าไถ่ไปแล้วก็ตาม
-อุตสาหกรรมในบางภาคส่วนก็ถูกโจมตีหนักหนากว่าส่วนอื่น อย่างไรก็ตาม ไม่มีส่วนใดที่จะเรียกได้ว่า มีความเสี่ยงน้อย ภาคส่วนที่ถูกโจมตีสูงที่สุดประมาณ 23% (การศึกษา) และต่ำที่สุดที่ 16% (ค้าปลีกและสันทนาการ)
-แรนซั่มแวร์ “เชิงการศึกษา” พัฒนาขึ้นเพื่อเป็นเครื่องมือของผู้ดูแลระบบในการจำลองการจู่โจมของแรนซั่มแวร์ แต่กลับถูกอาชญากรไซเบอร์นำมาใช้ประโยชน์อย่างรวดเร็ว เป็นที่มาของ Ded_Cryptor และ Fantom เป็นต้น
-วิธีการโจมตีแบบใหม่ของแรนซั่มแวร์ พบเห็นเป็นครั้งแรกในปี 2016 ได้แก่ เข้ารหัสดิสก์ ซึ่งโจรไซเบอร์จะบล็อกแอคเซส หรือเข้ารหัส มิใช่เพียงบางไฟล์แต่ทั้งหมดทุกไฟล์บนดิสก์นั้นพร้อมกันทีเดียว – Petya เป็นตัวอย่างหนึ่ง Dcryptor หรือรู้จักกันในชื่อ แมมบ้า ได้ยกระดับขึ้นไปอีกขั้นด้วยการล็อกทั้งฮาร์ดไดรฟ์ เพื่อเรียกค่าไถ่ด้วยรหัสผ่านจากระยะไกลเข้าเครื่องของเหยื่อ
-แรนซั่มแวร์ Shade สามารถเปลี่ยนวิธีการเจาะเข้าหาเหยื่อ หากว่าเครื่องนั้นเป็นของแผนกการเงินก็จะเปลี่ยนเป็นดาวน์โหลดและติดตั้งสปายแวร์แทนการยึดไฟล์บนเครื่องมาเข้ารหัส
-และเป็นที่น่าสังเกตว่ามีแรนซั่มแวร์โทรจันแบบลวกๆ ไม่มีคุณภาพเกิดขึ้นมากมาย พบข้อบกพร่องผิดพลาดในซอฟต์แวร์ที่ไม่น่าจะมีในจดหมายเรียกค่าไถ่ – ยิ่งเป็นสัญญาณว่าโอกาสที่เหยื่อจะได้ข้อมูลคืนมานั้นยิ่งน้อยลงไปกันใหญ่
อย่างไรก็ตาม โชคเข้าข้างที่ในปี 2016 ได้มีการร่วมมือกันทั่วโลกเพื่อต่อกรกับอาชญากรรมแรนซั่มแวร์ มีโครงการ No More Ransom เกิดขึ้นเมื่อเดือนกรกฎาคมที่หน่วยงานบังคับใช้กฎหมายและเวนเดอร์ระบบความปลอดภัยประสานกำลังติดตามสืบค้นเพื่อกวาดล้างกลุ่มแรนซั่มแวร์ทั้งหลาย ให้ความช่วยเหลือแก่รายบุคคลในการกู้คืนข้อมูล และพยายามทำลายสายป่านการเงินของรูปแบบธุรกิจแรนซั่มแวร์
