หลังจากรุมโจมตีวินโดวส์จนย่อยยับแล้ว แรนซั่มแวร์ก็ได้เบนเข็มเป้าโจมตีไปยังแอนดรอยด์ ลินุกส์ และแม้แต่ MacOS เพิ่มมากขึ้น ในปี 2560 ที่ผ่านมามีแรนซั่มแวร์ 2 สายพันธุ์ที่ถูกใช้ในการโจมตีกว่า 89.5 เปอร์เซ็นต์จากทั้งหมดที่พบจากการช่วยเหลือลูกค้าของ Sophos ทั่วโลกในการรับมือและป้องกัน
Sophos (LSE:SOPH) ผู้นำระดับโลกด้านความปลอดภัยบนเครือข่ายและเอนด์พอยต์ ได้เผยแพร่รายงานทำนายสถานการณ์มัลแวร์ในปี 2561 ที่จะถึงนี้จาก SophosLabs (SophosLabs 2018 Malware Forecast) ซึ่งมีรายละเอียดเกี่ยวกับเทรนด์ด้านความปลอดภัยทางไซเบอร์โดยเฉพาะเรื่องที่เกี่ยวกับแรนซั่มแวร์ โดยวิเคราะห์ข้อมูลที่รวบรวมจากเครื่องคอมพิวเตอร์ของลูกค้า Sophos ทั่วโลกในช่วงวันที่ 1 เมษายน จนถึง 3 ตุลาคม 2560 พบข้อเท็จจริงที่สำคัญมากคือขณะที่พบการโจมตีด้วยแรนซั่มแวร์อย่างหนักหน่วงบนระบบวินโดวส์ในช่วง 6 เดือนล่าสุด และยังพบด้วยว่าแพลตฟอร์มอื่นทั้งแอนดรอยด์ ลินุกส์ และ MacOS ก็ไม่สามารถรับมือกับภัยแรนซั่มแวร์นี้ได้เช่นกัน
“แรนซั่มแวร์เริ่มแพร่กระจายแบบไม่เจาะจงแค่วินโดวส์แพลตฟอร์มอีกต่อไป แม้จะเคยพุ่งเป้าไปที่คอมพิวเตอร์ที่ใช้วินโดวส์เป็นหลัก แต่ปีนี้ SophosLabs ได้มองเห็นความถี่ที่เพิ่มขึ้นของการโจมตีแบบเข้ารหัสข้อมูลบนอุปกรณ์และระบบปฏิบัติการประเภทอื่นของลูกค้า Sophos ทั่วโลก” Dorka Palotay นักวิจัยด้านความปลอดภัยของ SophosLabs และอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecast กล่าว
รายงานฉบับนี้ยังได้ติดตามรูปแบบการเติบโตของแรนซั่มแวร์ โดยพบว่า WannaCry ที่มีการแพร่กระจายอย่างรุนแรงเมื่อพฤษภาคมที่ผ่านมานั้นถือเป็นแรนซั่มแวร์ที่มีจำนวนมากที่สุดเป็นอันดับ 1 ที่ทาง Sophos ช่วยเหลือลูกค้าของตนในการป้องกัน ถือว่าล้มอดีตแชมป์แรนซั่มแวร์เดิมอย่าง Cerber ที่เคยระบาดหนักเมื่อต้นปี 2559 โดย WannaCry เป็นแรนซั่มแวร์ที่พบจากการตรวจติดตามของ SophosLabs คิดเป็น 45.3 เปอร์เซ็นต์ของทั้งหมด ขณะที่ Cerber คิดเป็น 44.2 เปอร์เซ็นต์
“ถือเป็นครั้งแรกที่เราพบแรนซั่มแวร์ที่มีพฤติกรรมเหมือนเวิร์ม ซึ่งช่วยให้แพร่กระจาย WannaCry ได้รวดเร็วมาก แรนซั่มแวร์ตัวนี้ใช้ประโยชน์จากช่องโหว่บนวินโดวส์ที่เคยมีแพตช์ออกมาก่อนหน้าแล้วในการติดเชื้อและกระจายตัวเองบนเครือข่ายคอมพิวเตอร์ ทำให้ควบคุมได้ยากมาก แม้ว่าลูกค้าของเราจะได้รับการปกป้องจาก WannaCry อย่างสมบูรณ์แล้ว แต่เราก็ยังต้องเฝ้าติดตามอันตรายนี้ต่อไปเพื่อศึกษาธรรมชาติการสแกนหาและเข้าโจมตีคอมพิวเตอร์เครื่องอื่น เราคาดกันไว้ว่าในอนาคตจะมีอาชญากรไซเบอร์ที่นำความสามารถของในการกระจายตัวเองดังที่เห็นใน WannaCry และ NotPetya นี้ไปใช้สร้างแรนซั่มแวร์ตัวใหม่ในอนาคต ซึ่งก็ได้เห็นแล้วจากกรณีของแรนซั่มแวร์ Bad Rabbit ที่มีลักษณะหลายอย่างที่คล้ายกับ NotPetya ด้วย” Palotay กล่าวเสริม
ในรายงาน SophosLabs 2018 Malware Forecast ยังได้กล่าวถึงการเริ่มต้นระบาดและจุดสิ้นสุดของแรนซั่มแวร์ NotPetya ที่สร้างความเสียหายอย่างหนักในเดือนมิถุนายนที่ผ่านมา ซึ่ง NotPetya เริ่มต้นจากการระบาดผ่านตัวติดตั้งซอฟต์แวร์ทางบัญชีสัญชาติยูเครน ทำให้เป็นการจำกัดตำแหน่งทางภูมิศาสตร์ที่มีการโจมตี นอกจากนี้ยังสามารถแพร่ตัวเองผ่านช่องโหว่ EternalBlue ได้เหมือน WannaCry แต่เมื่อมองเหตุการณ์ครั้ง WannaCry ที่ได้เข้าไปติดเชื้อคอมพิวเตอร์ที่ไม่ได้แพตช์วินโดวส์ทันท่วงทีเกือบทั้งหมดทั่วโลกแล้ว จึงไม่สามารถมองเห็นเป้าหมายที่แท้จริงของคนปล่อย NotPetya ทั้งนี้ เนื่องจากการโจมตีมีข้อผิดพลาดและการข้ามขั้นตอนมากมาย ยกตัวอย่างเช่น บัญชีอีเมลที่เหยื่อจะต้องใช้ติดต่อผู้โจมตีนั้นไม่สามารถใช้งานได้ จนทำให้เหยื่อไม่สามารถถอดรหัสและกู้ข้อมูลที่โดนเล่นงานไปแล้วได้ เป็นต้น
“NotPetya ได้โจมตีอย่างหนักหน่วงและรวดเร็วมาก สร้างความเสียหายแก่ธุรกิจปริมาณมหาศาล เนื่องจากเป็นการทำลายข้อมูลบนคอมพิวเตอร์โดยตรงแบบกู่ไม่กลับ นอกจากนี้ NotPetya ยังหยุดการโจมตีอย่างกะทันหันให้หลังจากเริ่มต้นระบาดเพียงไม่นานนัก เราสงสัยว่าครั้งนั้นอาชญากรไซเบอร์คงเพียงแค่อยากทดลองอะไรบางอย่าง หรือวัตถุประสงค์จริงไม่ใช่การเรียกค่าไถ่ แต่เป็นการจงใจสร้างความเสียหายกับข้อมูลอย่างถาวร แต่ไม่ว่าจะด้วยเหตุใดก็ตาม Sophos แนะนำอย่างจริงจังว่าอย่าจ่ายค่าไถ่ให้เจ้าของแรนซั่มแวร์ แล้วปฏิบัติตามแนวทางการป้องกันที่ดีที่สุดแทน เช่น การสำรองข้อมูล และอัปเดตแพตช์ให้เป็นรุ่นล่าสุดอยู่เสมอ” Palotay อธิบาย
เมื่อกลับมามองที่ดาวรุ่งในอดีตอย่าง Cerber ที่มีการขายชุดโค้ดของตัวเองในเว็บตลาดมืด ถือว่าเป็นภัยร้ายที่อันตรายอย่างมาก ทั้งนี้ เพราะผู้สร้าง Cerber ยังคงบริการอัปเดตโค้ดตัวเองให้อย่างต่อเนื่อง รวมทั้งจูงใจให้แฮกเกอร์วันนาบีนำไปใช้ฟรีโดยเก็บเปอร์เซ็นต์ค่าหัวคิวจากค่าไถ่ที่ได้รับ เมื่อพิจารณาจากฟีเจอร์ล่าสุดของ Cerber แล้ว ทำให้ไม่ใช่แค่เป็นเครื่องมือในการโจมตีอย่างเดียว แต่เป็นการแจกอาวุธร้ายให้แก่อาชญากรไซเบอร์ทั่วโลก
“โมเดลธุรกิจของเว็บตลาดมืดนี้มีลักษณะคล้ายกับการทำธุรกิจของคนรุ่นใหม่ที่เปิดให้สาธารณะชนระดมทุนเพื่อพัฒนาสินค้า ซึ่งแน่นอนว่าเจ้าของโค้ดได้รับกำไรงามอย่างต่อเนื่องจนเป็นแรงจูงใจให้ขยันอัปเดตโค้ดจนถึงทุกวันนี้” Palotay สรุป
Rowland Yu นักวิจัยด้านความปลอดภัยของ SophosLabs และอีกหนึ่งอาสาสมัครวิเคราะห์สถานการณ์เกี่ยวกับแรนซั่มแวร์ในรายงาน SophosLabs 2018 Malware Forecast กล่าวเสริมว่า "อาชญากรด้านแรนซั่มแวร์ยังคงให้ความสนใจแพลตฟอร์มแอนดรอยด์อย่างต่อเนื่อง จากการวิเคราะห์ของ SophosLabs ปริมาณการโจมตีลูกค้าของ Sophos ที่ใช้อุปกรณ์แอนดรอยด์นั้นมีแนวโน้มเพิ่มขึ้นอย่างต่อเนื่องในปี 2560 แค่ในกันยายนเดือนเดียวพบว่ามัลแวร์บนแอนดรอยด์ที่ SophosLabs ตรวจพบกว่า 30.4 เปอร์เซ็นต์ล้วนเป็นแรนซั่มแวร์ทั้งสิ้น ซึ่งเราคาดว่าตัวเลขนี้จะพุ่งขึ้นเป็นประมาณ 45 เปอร์เซ็นต์ในเดือนตุลาคม สาเหตุประการหนึ่งที่ทำให้แรนซั่มแวร์บนแอนดรอยด์ระบาดหนักขึ้นเรื่อย ๆ เชื่อว่าเป็นเพราะสามารถรีดไถเงินจากเหยื่อได้มากกว่าการขโมยข้อมูลผู้ติดต่อ หรือ SMS ไปขาย การบังคับแสดงโฆษณา แม้แต่การแฮกแอปอีแบงกิ้งแบบแต่ก่อนที่ต้องใช้เทคนิคและความรู้ที่ซับซ้อนกว่า อีกหนึ่งข้อเท็จจริงสำคัญที่พบก็คือเรามักพบแรนซั่มแวร์บนแอนดรอยด์ในตลาดแอปที่อยู่นอก Google Play ซึ่งทำให้เราพยายามย้ำให้ผู้ใช้เฝ้าระวังเกี่ยวกับที่มาและตัวตนของแอปที่แท้จริงที่ตัวเองกำลังกดดาวน์โหลดอยู่เสมอ”
ในรายงานของ SophosLabs ฉบับนี้ยังได้อธิบายถึงการโจมตีแอนดรอยด์ 2 ประเภทที่กำลังแพร่หลายขึ้นเรื่อย ๆ อันได้แก่ การล็อคหน้าจอโทรศัพท์โดยไม่ได้เข้ารหัสข้อมูลภายใน กับการล็อคหน้าจอพร้อมทั้งเข้ารหัสล็อคข้อมูลบนเครื่องพร้อมกันด้วย ซึ่งแรนซั่มแวร์บนแอนดรอยด์ส่วนใหญ่ไม่ได้เข้ารหัสข้อมูลของผู้ใช้ แต่จะใช้วิธีง่าย ๆ ด้วยการล็อคหน้าจอพร้อมข้อความขู่ที่ดูน่าเชื่อถือให้คนสิ้นหวังและยอมโอนเงินค่าไถ่ให้แทน ยิ่งมองที่ความถี่ของการใช้งานสมาร์ทโฟนต่อวันของผู้ใช้ปัจจุบันแล้วยิ่งเพิ่มโอกาสในการทำเงินเป็นอย่างมาก
“Sophos แนะนำให้สำรองข้อมูลบนโทรศัพท์เป็นประจำ ลักษณะเหมือนที่ทำกับบนคอมพิวเตอร์ปกติ ทั้งนี้ เพื่อรักษาข้อมูลให้ปลอดภัยอยู่เสมอโดยไม่ต้องยอมจ่ายค่าไถ่เพื่อให้เข้าถึงข้อมูลได้อีกครั้ง เรามองเห็นการเพิ่มขึ้นอย่างต่อเนื่องของแรนซั่มแวร์บนแอนดรอยด์ และจะขึ้นเป็นกลุ่มมัลแวร์บนแพลตฟอร์มอุปกรณ์พกพาที่พบมากที่สุดในปีหน้า” Yu กล่าวเสริม
สำหรับรายงานฉบับเต็มพร้อมแผนภาพอธิบายประกอบอย่างละเอียดสามารถเข้าชมได้ที่ https://www.sophos.com/en-us/en-us/medialibrary/PDFs/technical-papers/malware-forecast-2018.pdf?la=en