Ransomware Source Code for Sale

เมื่อ “ธรรมะ” ถูกขาย

อาหารที่อร่อย ย่อมเกิดจากสูตรลับที่ไม่เผยให้ใครรู้ เปรียบเสมือนกับโปรแกรม หรือมัลแวร์ ที่มีรหัสต้นฉบับ (Source Code) เป็นความลับสูงสุดที่ต้องถูกเก็บงำไว้

เมื่อไม่นานมานี้รายงานจากแหล่งข่าวนิรนามได้กล่าวว่า มีการซื้อขายรหัสต้นฉบับของแรนซัมแวร์ “ธรรมะ (Dharma)” บนเว็บไซต์ของแฮกเกอร์ชาวรัสเซียมากกว่า 2 เว็บ โดยนำไปวางขายในตลาดใต้ดิน

ซึ่งถือเป็นการติดอาวุธเพิ่มให้กับอาชญากรไซเบอร์ โดยราคาสำหรับการเริ่มเจรจาต่อรอง ซื้อขายรหัสต้นฉบับของแรนซัมแวร์ตัวนี้อยู่ที่ 2,000 ดอลลาร์สหรัฐ ถือว่าเป็นราคาที่ไม่แพงเลยเมื่อเทียบกับสิ่งที่จะเอาไปต่อยอดในการสร้างแรนซัมแวร์เพื่อหาผลประโยชน์จากเหยื่อต่อไป

ไม่มีใครตั้งคำถามเลยว่ารหัสต้นฉบับนี้เป็นของจริงหรือไม่ ยิ่งไปกว่านั้นคือไม่มีใครสงสัยเลยว่า ผู้ที่นำรหัสต้นฉบับนี้มาขาย เบื้องหลังอาจเป็นคนในกลุ่ม Dharma/Phobos แรนซัมแวร์เองหรือไม่ นั่นคงเป็นเพราะว่าถ้ารหัสต้นฉบับนี้มาจากเวอร์ชั่นเก่า ก็มีจะคีย์ที่สามารถนำมาถอดรหัสกับธรรมะได้ ซึ่งกลุ่มที่อยู่เบื้องหลังของแรนซัวแวร์ธรรมะนั้นขึ้นชื่อในเรื่องการอัพเดทรหัสต้นฉบับ รวมไปถึงการแก้ไขช่องโหว่ต่างๆของมันอยู่เสมอ จนทำให้ธรรมะแข็งแกร่งและรอดพ้นจากการถูกถอดรหัสได้ดีอีกด้วย

ส่วนมากแล้วธรรมะจะถูกใช้ในการแพร่กระจายด้วยวิธีการส่งสแปมอีเมล์ พร้อมแฝงซอฟท์แวร์ติดตั้งโทรจันเข้าไป  โดยจะติดตั้งผ่านช่องทางรีโมท (RDP Connection) หลังจากนั้นจะมีการติดตั้งโดยใช้ Credential ของผู้ใช้ที่ถูกแฮกมาทำการติดตั้ง โดยจะมุ่งเป้าไปที่หน่วยงานภาคสาธารณสุขของสหรัฐอเมริกา ซึ่งตัวผู้พัฒนาแรนซัมแวร์ตัวนี้ได้พัฒนาและอัพเดทตัวมันอย่างต่อเนื่อง เพื่อที่จะส่งแรนซัมแวร์ไปทำการเข้ารหัสไฟล์ด้วยสกุลไฟล์ที่หลากหลาย บางครั้งตัวแรนซัมแวร์จะถอนซอฟต์แวร์ที่ป้องกันความปลอดภัยออกจากเครื่องของเหยื่อได้อีกด้วย ถือเป็นการโจมตีของตัวแรนซัมแวร์ชนิดนี้รูปแบบหนึ่ง

จากรายงานของทาง FBI “ธรรมะ” ถือว่าเป็นแรนซัมแวร์ที่อยู่ในอันดับ 2 ในการทำเงินที่ผ่านมา โดยทำเงินไปกว่า 24.48 ล้านตั้งแต่ปี 2016 ถึง 2019 เป็นรองจากแรนซัมแวร์ “ Ryuk” เท่านั้น รวมถึงทิ้งอันดับ 3 อย่าง “BitPaymer” ด้วยยอดทำเงินมากกว่าถึง 3 เท่า

หากรหัสต้นฉบับของแรนซัมแวร์ “ธรรมะ”ถูกนำไปขายหรือแพร่กระจายไปยังมือของอาชญกรไซเบอร์รายอื่นๆ ก็อาจจะเป็นจุดเริ่มต้นของการพัฒนาสายพันธุ์ของแรนซัมแวร์ตัวนี้ให้หลากหลายและแข็งแกร่งยิ่งขึ้น เหมือนกับเหตุการณ์ที่เคยเกิดขึ้นมาแล้วกับมิราอิ (Mirai Botnet) ที่ผมเคยกล่าวไปแล้ว ที่ในครั้งนั้นถูกนำมาเผยแพร่ใน Opensource เมื่อปี 2016 จนทำให้เกิดการแพร่กระจายไปทั่วโลก

ทั้งนี้หากเรามองในแง่ดี เรื่องนี้อาจทำให้นักวิจัยแรนซัมแวร์สามารถเข้าถึงรหัสต้นฉบับของแรนซัมแวร์ตัวนี้ได้  และทำการพัฒนากุญแจใหม่ๆมาทำการถอดรหัสแรนซัมแวร์ตัวนี้ก็ได้นะครับ ทุกภัยไซเบอร์สามารถป้องกันได้ด้วยการรู้เท่าทันและการวางแผนป้องกันระบบที่รัดกุมทั้งในด้านของโซลูชั่นและบุคคล ผมหวังว่าบทความที่ผ่านมาและในอนาคตของผมจะเป็นประโยชน์กับทุกท่านครับ