วายร้าย ‘แรนซัมแวร์’ อาชญากรรมไซเบอร์ ภัยรีดค่าไถ่ยุคดิจิทัล

วายร้าย ‘แรนซัมแวร์’ อาชญากรรมไซเบอร์ ภัยรีดค่าไถ่ยุคดิจิทัล

กรณีคอมพิวเตอร์ทั้งเน็ตเวิร์กของโรงพยาบาลสระบุรีถูกถล่มด้วย “แรนซัมแวร์” เรียกค่าไถ่เป็นเงินสูงถึง 36,000 ล้านบาท ถือเป็นปรากฏการณ์ในแวดวงอาชญากรรมอีกครั้งของเมืองไทย ทั้งด้วยมูลค่าความเสียหายที่เกิดขึ้นกับยอดเงินเรียกค่าไถ่มหาศาล และด้วยรูปแบบประทุษกรรมรูปแบบใหม่ที่ไม่ค่อยคุ้นเคยกันนักในบ้านเรา

แต่ในระดับโลก การโจมตีเครือข่ายคอมพิวเตอร์ หรือโครงสร้างทางคอมพิวเตอร์ด้วยแรนซัมแวร์นี้พบพานกันมานักต่อนัก

ผู้เชี่ยวชาญด้านความปลอดภัยบนโลกไซเบอร์ยอมรับกันว่า ยิ่งนับวันปัญหานี้ยิ่งรุนแรงและร้ายแรงมากขึ้น บางคนถึงกับยกให้ “แรนซัมแวร์” เป็นภัยคุกคามทางไซเบอร์อันดับหนึ่งของโลกในปี 2020 นี้ด้วยซ้ำไป

เหตุที่เกิดขึ้นกับโรงพยาบาลสระบุรีไม่เพียงแสดงให้เห็นว่าทุกวันนี้อาชญากรรมทางไซเบอร์ขยับใกล้ตัวเราเข้ามาทุกทีแล้วเท่านั้น แต่ยังชี้ให้เห็นว่าทุกคน โดยเฉพาะองค์กรทางธุรกิจทั้งหลายควรทำความรู้จักและทำความเข้าใจปรากฏการณ์ทางไซเบอร์นี้ เพื่อใคร่ครวญหาหนทางที่เหมาะสมในการแก้ไขและหลีกเลี่ยงได้แล้ว

⦁อะไรคือแรนซัมแวร์
“แรนซัมแวร์” เป็นซับเซต (กลุ่มย่อย) หนึ่งในกลุ่ม “มัลแวร์” ซึ่งหมายถึงโปรแกรมคอมพิวเตอร์ทั้งหลายที่เขียนขึ้นเพื่อวัตถุประสงค์ในทางร้ายทั้งหมด

แต่แทนที่จะระบาดเข้าถึงคอมพิวเตอร์ในระบบแล้วลบ หรือทำลายไฟล์เหมือนอย่างที่ “ไวรัส” ทั้งหลายทำ แรนซัมแวร์กลับแฝงด้วยคำสั่งที่ “ล็อก” คอมพิวเตอร์ของเหยื่อ และแสดงข้อความให้เหยื่อดำเนินการจ่ายเงินค่าไถ่แลกกับการยินยอมให้เหยื่อเข้าถึงข้อมูลในคอมพิวเตอร์นั้นๆ อีกครั้ง

เกือบทั้งหมดของการเรียกค่าไถ่ด้วยแรนซัมแวร์นี้ กำหนดให้จ่ายเงินค่าไถ่ในรูปของสกุลเงินดิจิทัล อาทิ บิทคอยน์ เพราะช่วยปกปิดร่องรอยของผู้ลงมือโจมตีให้ยังคงเป็นความลับ และสามารถก่ออาชญากรรมทางไซเบอร์ของตนต่อไปได้นั่นเอง

แหล่งที่มาของแรนซัมแวร์นั้นเป็นไปได้หลายทาง ทางที่พบเจอกันมากที่สุดก็คือ การฝังตัวอยู่ในไฟล์แนบที่ส่งมายังเหยื่อทางอีเมล์ รองลงมาก็คือ แฝงตัวอยู่กับแอพพลิเคชั่นบางอย่าง รอให้เหยื่อดาวน์โหลดลงมาติดตั้งเอง หรือไม่ก็ติดมากับ “เอ็กซ์เทอร์นอล ฮาร์ดดิสก์ไดรฟ์” ซึ่งนำไปเชื่อมต่อกับคอมพิวเตอร์หลายๆ แหล่ง สุดท้ายก็คือ อาจอาศัยช่องโหว่ของเว็บไซต์บางเว็บไซต์แล้วเข้าไปแฝงตัวอยู่ภายในนั้น

เมื่อเข้าถึงคอมพิวเตอร์ในระบบเครือข่ายของเหยื่อเครื่องหนึ่งเครื่องใดแล้วก็จะระบาดไปยังคอมพิวเตอร์ในเครือข่ายทุกเครื่อง ก่อนที่แรนซัมแวร์นั้นๆ จะเริ่มต้นติดต่อกลับไปยังเซิร์ฟเวอร์ที่เป็นศูนย์ควบคุมโดยใช้เทคโนโลยีโปรโตคอลที่เรียกว่า “อาร์ดีพี” (RDP-Remote Desktop Protocol) ซึ่งเป็นโปรโตคอลสำหรับการติดต่อสื่อสารระหว่างคอมพิวเตอร์กับคอมพิวเตอร์เอง โดยไม่จำเป็นต้องมีเจ้าของเครื่องเข้าไปเกี่ยวข้องผ่านเครือข่ายอินเตอร์เน็ต เพื่อรอรับคำสั่ง “แอคติเวต” หรือเริ่มปฏิบัติการ

เมื่อนั้นคอมพิวเตอร์ทั้งหมดจะถูกล็อก ไม่สามารถเข้าไปใช้งานใดๆ ได้อีกต่อไป

⦁ชนิดของแรนซัมแวร์
แรนซัมแวร์มีหลากหลายชนิด บางชนิดอย่างเช่น “สแคร์แวร์” ไม่ได้มุ่งเรียกเงินค่าไถ่ แต่มีเป้าหมายเพื่อสร้างความหวั่นกลัวให้เกิดขึ้น “ด็อกซ์แวร์” ก็เป็นอีกชนิดของแรนซัมแวร์ ที่มุ่งเป้าไปที่ไฟล์เอกสารหรือไฟล์อื่นใดที่มีค่าโดยเฉพาะ ข่มขู่ว่าหากไม่จ่ายเงินก็จะนำเอาไฟล์ข้อมูลเหล่านั้นไปเผยแพร่ต่อสาธารณะ

อย่างไรก็ตาม แรนซัมแวร์ที่นิยมใช้กันมากในเวลานี้มีอยู่ 2 ชนิด หนึ่งคือ “สกรีน ล็อกเกอร์” อีกหนึ่งคือ “เอ็นคริปติง แรนซัมแวร์”

“สกรีน ล็อกเกอร์” ที่นิยมเรียกกันสั้นๆ ว่า “ล็อกเกอร์” นั้น ถูกออกแบบมาให้ทำหน้าที่ล็อก ไม่ให้ผู้ใช้หรือเจ้าของเครื่องเข้าไปใช้งานคอมพิวเตอร์ได้โดยสิ้นเชิง ไม่สามารถใช้เว็บเบราเซอร์ หรือเข้าใช้งานระบบปฏิบัติการวินโดวส์ อย่างเช่น “ทาสก์ แมเนเจอร์” หรือ “รีจิสตรี เอดิเตอร์” ได้

“ล็อกเกอร์” พบกันมากในยุคเริ่มต้นการระบาดของแรนซัมแวร์ จุดเด่นคือ มักปรากฏข้อความในลักษณะที่ทำให้เชื่อว่ามาจากหน่วยงานของทางการ อาทิ เรียกเก็บค่าใช้ไฟฟ้าค้างจ่าย หรืออ้างว่าเป็นคอมพิวเตอร์ที่ถูกใช้ในการกระทำความผิด เป็นต้น

ข้อเสียสำคัญของ “ล็อกเกอร์” ก็คือ มันถูกแก้ไขได้ง่ายด้วยกรรมวิธี “รีเวิร์ส เอ็นจิเนียริง”หรือวิศวกรรมย้อนกลับจากปลายทางไปสู่จุดเริ่มต้นใหม่

นั่นทำให้บรรดาแฮกเกอร์และอาชญากรไซเบอร์ทั้งหลายจำเป็นต้องพัฒนาวิธีการใหม่ขึ้นมาเป็นแรนซัมแวร์ ที่มีศักยภาพสูงสุด นั่นคือการนำเอากระบวนการเข้ารหัสมาใช้ ผู้ใช้หรือเจ้าของคอมพิวเตอร์ในเครือข่ายไม่สามารถเข้าถึงเครื่องของตัวเองที่ถูกปิดกั้นด้วยการเข้ารหัสเอาไว้ จนกว่าจะจ่ายเงิน และได้ “กุญแจรหัสไพรเวต” (private Key) จากผู้เรียกค่าไถ่

จุดแข็งของ “เอ็นคริปติง แรนซัมแวร์” อยู่ที่ยากต่อการแก้ไข โดยเฉพาะอย่างยิ่งหากแฮกเกอร์ใช้เทคโนโลยีเข้ารหัสแบบ “อาร์เอสเอ” หรือการเข้ารหัสแบบอสมมาตร (public-key cryptography) ที่สร้างความปวดเศียรเวียนเกล้าให้กับผู้เชี่ยวชาญมาจนถึงทุกวันนี้

ปัญหาของ “เอ็นคริปติง แรนซัมแวร์” ก็คือเกิดความเสี่ยงสูงที่ข้อมูลสำคัญในระบบเครือข่ายคอมพิวเตอร์จะหายไปเป็นการถาวร ซึ่งเกิดขึ้นในหลายกรณีแม้จะยินยอมจ่ายค่าไถ่ให้แล้วก็ตาม นี่กลายเป็นเหตุผลสำคัญที่ทำให้บรรดาผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ แนะนำว่า “ควรหลีกเลี่ยงการจ่ายค่าไถ่” ให้กับอาชญากรเหล่านี้

⦁เป้าโจมตีและความถี่
แรนซัมแวร์มีวัตถุประสงค์เพื่อกรรโชกทรัพย์โดยเฉพาะ ดังนั้น โดยทั่วไปแล้วมักพุ่งเป้าไปที่องค์กรธุรกิจ หรือหน่วยงานของรัฐ มากกว่าที่จะเป็นการโจมตีต่อตัวบุคคล เพราะสามารถเรียกค่าไถ่ได้ง่ายกว่าและมากกว่าการโจมตีรายบุคคล

โดยนัยเดียวกัน ประเทศที่พัฒนาแล้ว หรือประเทศที่มั่งคั่งกว่า ย่อมตกเป็นเหยื่อแรนซัมแวร์ได้มากกว่า ถี่กว่า

ด้วยเหตุนี้ข้อมูลของแบล็กฟ็อกถึงระบุว่า 74 เปอร์เซ็นต์ของการโจมตีด้วยแรนซัมแวร์ในปีนี้ เกิดขึ้นกับองค์กรธุรกิจและหน่วยงานในสหรัฐอเมริกา รองลงมาเป็นสหราชอาณาจักร 10 เปอร์เซ็นต์ ออสเตรเลียและแคนาดา พอๆ กันที่ 8 เปอร์เซ็นต์ ปิดท้ายด้วย เยอรมนีและญี่ปุ่น เท่ากันที่ 4 เปอร์เซ็นต์

อย่างไรก็ตาม แรนซัมแวร์มีเพิ่มมากขึ้นทุกวัน ขยายตัวไปตามสัดส่วนการเติบโตของการเข้าถึงอินเตอร์เน็ตและโมบายเซอร์วิส นอกจากนั้น การปล่อยแรนซัมแวร์เกือบทั้งหมดยังเป็นการกระจายแบบสุ่ม นั่นส่งผลให้เหยื่อของมัลแวร์ชนิดนี้เพิ่มมากขึ้นตามลำดับ

ไซแมนเทค ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ระดับโลก เคยประเมินเอาไว้ว่า มีการโจมตีด้วยแรนซัมแวร์เกิดขึ้นในแต่ละเดือนเฉลี่ยแล้วมากถึง 5,200 ครั้ง

ข้อมูลของ Safeatlast.co ผู้ให้บริการอีกราย ประเมินไว้ล่าสุดเมื่อปี 2019 ว่า ในทุกๆ 14 วินาที จะมีกิจการธุรกิจ 1 ราย ตกเป็นเหยื่อการโจมตีด้วยแรนซัมแวร์ และคาดว่าจะลดลงเหลือเพียง 11 วินาทีต่อราย ในปี 2021 นี้ โดย 95 เปอร์เซ็นต์ของทั้งหมด เรียกค่าไถ่เป็นสกุลเงินดิจิทัล หรือคริปโทเคอร์เรนซี ทั้งสิ้น

ข้อมูลเกี่ยวกับแรนซัมแวร์ทั้งหมดนี้ สะท้อนให้เห็นถึงความแพร่หลายของมัลแวร์ชนิดนี้ ที่ทุกฝ่ายตั้งแต่ผู้ใช้คอมพิวเตอร์ ผู้บริหารเครือข่าย รวมถึงเจ้าหน้าที่ที่เกี่ยวข้อง จำเป็นต้องร่วมมือกันเพื่อป้องกันและหลีกเลี่ยงอย่างเต็มที่ โดยเฉพาะอย่างยิ่งเมื่อการใช้งานอินเตอร์เน็ตแพร่หลายมากขึ้นตามลำดับ

ด้วยเหตุที่ว่า โรงพยาบาลสระบุรี คงไม่ใช่เหยื่อรายเดียวของไทยอย่างแน่นอน

เกาะติดทุกสถานการณ์จาก
Line @Matichon ได้ที่นี่

LINE @Matichon