ตำนานนอร์สโบราณพูดถึงงูขนาดมหึมาชื่อ Jörmungandr ซึ่งมีขนาดใหญ่มากจนโอบล้อมโลกและมีหางอยู่ภายในฟัน
ตำนานที่น่าอัศจรรย์เช่นนี้มักถูกกล่าวถึงในตำนานเท่านั้น แต่เมื่อวันศุกร์ที่แล้ว เราได้เห็นการกำเนิดของ "งูโลก" ในโลกดิจิทัลในชีวิตจริง หนอนที่แพร่กระจายไปไกลจนห้อมล้อมไปทั่วโลก แพร่ระบาดในบริการต่างๆ เช่น หน่วยงานระดับชาติของสหราชอาณาจักร บริการด้านสุขภาพและบริษัทขนาดใหญ่ในส่วนอื่นๆ ของโลก เช่น Telefónica ในสเปน
แม้ว่าผู้เชี่ยวชาญยังคงพยายามค้นหาว่าเวิร์มนี้ยังคงแพร่กระจายต่อไปอย่างไรและจะรับมือกับภัยคุกคามได้อย่างไร แต่เราก็มีความคิดที่ดีเกี่ยวกับสิ่งที่เกิดขึ้นและวิธีที่คุณสามารถดำเนินการเพื่อป้องกันอันตรายต่อระบบของคุณ
เกิดอะไรขึ้น?
เมื่อวันที่ 12 พฤษภาคม 2017 การโจมตีทางไซเบอร์ครั้งใหญ่เกิดขึ้นจากแรนซัมแวร์ที่ไม่รู้จัก (อ่านเพิ่มเติมเกี่ยวกับแรนซัมแวร์ที่นี่) ในที่สุดชื่อ WannaCry ก็แพร่ระบาดไปยังระบบ 230,000 อย่างที่ไม่เคยเกิดขึ้นมาก่อนใน 150 ประเทศโดยใช้ฟิชชิงและการใช้ประโยชน์จากระบบที่ไม่ได้รับการแพตช์ผ่านบล็อกข้อความเซิร์ฟเวอร์ในเครื่อง (SMB)
แรนซัมแวร์จะล็อคคุณออกจากไฟล์ของคุณและแสดงหน้าจอ (แสดงด้านล่าง) ที่เรียกร้อง $300 ใน Bitcoin ภายในสามวันเพื่อเข้าถึงไฟล์เหล่านั้น มิฉะนั้นราคาจะเพิ่มเป็นสองเท่า
แม้ว่านี่จะเป็นวิธีที่แรนซัมแวร์โดยทั่วไปทำงาน แต่ก็มีปัญหาเล็กน้อยที่ทำให้แพร่กระจายเร็วขึ้น WannaCry ใช้ประโยชน์จากข้อบกพร่องใน SMB (ซึ่งรับผิดชอบในการแชร์ไฟล์และเครื่องพิมพ์) ที่อนุญาตให้แพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่นภายในเครือข่ายย่อยเดียวกัน ใช้การติดไวรัสของคอมพิวเตอร์เครื่องเดียวเพื่อทำลายเครือข่ายทั้งหมด โดยพื้นฐานแล้วสิ่งนี้ทำให้การติดเชื้อกลายเป็นฝันร้ายสำหรับ NHS และสถาบันขนาดใหญ่อื่นๆ
บางทีสิ่งหนึ่งที่น่าสังเกตอีกประการหนึ่งที่จะกล่าวถึงในที่นี้คือข้อเท็จจริงที่ว่าการใช้ประโยชน์จาก SMB นั้นถูกพรากไปจากการรั่วไหลของชุดเครื่องมือแฮ็ค NSA เมื่อเดือนที่แล้ว เราได้รายงานเกี่ยวกับการรั่วไหลของไฟล์ Vault 7 ของ CIA ที่คล้ายคลึงกัน ซึ่งมีช่องโหว่จากการทำงานที่หลากหลาย ซึ่งแฮกเกอร์สามารถใช้ในช่วงเวลาที่กำหนดเพื่อเขียนมัลแวร์ที่คล้ายกัน
สวิตช์ฆ่า
นักวิจัยด้านความปลอดภัยที่ไม่รู้จักบางคนซึ่งใช้ชื่อเล่นว่า “MalwareTech” จดทะเบียนโดเมนที่พบในรหัสของ WannaCry ซึ่งหยุดการแพร่กระจายของซอฟต์แวร์ คุณจะเห็นว่าทุกครั้งที่มัลแวร์ทำงานบนคอมพิวเตอร์ มันจะตรวจสอบเพื่อดูว่ามีโดเมนอยู่หรือไม่ (คือ iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com , อนึ่ง). หากมีการลงทะเบียนมัลแวร์จะสามารถเชื่อมต่อกับมันได้และเมื่อทำเช่นนั้นจะหยุดการแพร่กระจายทันที ดูเหมือนว่าแฮ็กเกอร์ที่เขียนว่าต้องการทดสอบน่านน้ำและมีแผนฉุกเฉินในกรณีที่สิ่งต่างๆ ยุ่งเหยิงไปหมด เหตุการณ์ที่เกิดขึ้นโดยบังเอิญนี้หยุดแรนซัมแวร์ไม่ให้สร้างความเสียหายมากขึ้น … อย่างน้อยก็ในตอนนี้
นี่คือความจริงที่น่าสยดสยอง:ไม่มีตอนจบที่มีความสุขที่นี่ ถอดรหัสรหัส และคุณสามารถค้นหาชิ้นส่วนที่แอปพลิเคชันเรียกใช้ฟังก์ชัน WinAPI “InternetOpenURLA()” หรือ “InternetOpenA() ได้อย่างง่ายดาย” ในที่สุด คุณจะสามารถแก้ไขข้อมูลโค้ดที่พยายามเชื่อมต่อกับโดเมน kill switch ไม่จำเป็นต้องมีโปรแกรมเมอร์ที่มีทักษะพิเศษในการทำเช่นนี้ และหากแฮ็กเกอร์บางคนมีความคิดที่สดใสที่จะสร้างเวอร์ชันใหม่ของ WannaCry โดยที่ kill switch ถูกแก้ไขก่อนที่ทุกคนจะแพตช์ระบบของพวกเขา การแพร่กระจายจะดำเนินต่อไป แฮ็กเกอร์ที่กล้าได้กล้าเสียมากขึ้นจะแก้ไขบัญชี Bitcoin ที่ต้องชำระเงินและทำกำไรได้มาก
เวอร์ชันของ WannaCry ที่มีโดเมน kill switch ต่างกันได้ถูกตรวจพบแล้ว และเรายังไม่ได้ยืนยันว่ามีเวอร์ชันที่ไม่มี kill switch ปรากฏขึ้นหรือไม่
คุณทำอะไรได้บ้าง
ในแง่ของสิ่งที่เกิดขึ้น Microsoft ได้ตอบสนองอย่างรวดเร็วด้วยแพตช์ แม้จะครอบคลุมเวอร์ชันของระบบปฏิบัติการที่ไม่รองรับ เช่น Windows XP ตราบใดที่คุณทำให้ระบบของคุณทันสมัยอยู่เสมอ คุณไม่ควรประสบกับการติดเชื้อระดับ SMB อย่างไรก็ตาม คุณยังสามารถติดเชื้อได้หากคุณเปิดอีเมลฟิชชิ่ง จำไว้ว่าอย่าเปิดไฟล์ปฏิบัติการที่ส่งเป็นไฟล์แนบในอีเมล ตราบใดที่คุณใช้ความรอบคอบเพียงเล็กน้อย คุณก็จะสามารถเอาตัวรอดจากการโจมตีได้
สำหรับหน่วยงานของรัฐที่ถูกแฮ็ก สิ่งนี้จะไม่เกิดขึ้นหากพวกเขาเพียงแต่เปิดช่องว่างของระบบที่สำคัญต่อภารกิจ
เราควรคาดหวังการโจมตีที่กล้าหาญมากขึ้นหลังจากที่แฮกเกอร์ใช้ช่องโหว่ที่พบในการรั่วไหลด้านความปลอดภัยของสหรัฐฯ เมื่อเร็ว ๆ นี้หรือไม่? บอกเราว่าคุณคิดอย่างไรในความคิดเห็น!
