New Ransomware “Sodinokibi”

แรนซัมแวร์น้องใหม่ อาละวาดเซิร์ฟเวอร์ชื่อดัง

นายนักรบ เนียมนามธรรม

กรรมการผู้จัดการ บริษัท nForce Secure

            ข่าวการแพร่ระบาดของแรนซัมแวร์มีอย่างต่อเนื่องทุกปีและตลอดปี รวมไปถึงเหล่าแฮกเกอร์ที่พัฒนาและส่งแรนซัมแวร์ตัวใหม่ๆออกมาเสมอ ล่าสุดเกิดการระบาดของแรนซัมแวร์น้องใหม่ที่ชื่อ โซดิโนกิบิ (Sodinokibi) แรนซัมแวร์ประเภท File-Locking Virus ที่เข้ารหัสข้อมูล โดยถูกค้นพบจากการอาศัยช่องโหว่ CVE-2019-2725 ของ Oracle WebLogic Server

นักวิจัยพบว่า แรนซัมแวร์ โซดิโนกิบิ (Sodinokibi) เป็นแรนซัมแวร์ที่มีความอันตรายอย่างมากเพราะสามารถใช้ช่องโหว่ในการแพร่ระบาด Cryptovirus นอกเหนือจากการแพร่กระจายแบบทั่วไป โดยในการโจมตีช่องโหว่ครั้งนี้ ถูกค้นพบว่า ผู้โจมตีหรือผู้ปล่อย แรนซัมแวร์ โซดิโนกิบิ (Sodinokibi) ได้อาศัยช่องโหว่และโจมตีเหยื่อที่โดนแรนซัมแวร์ โซดิโนกิบิ (Sodinokibi) ไปแล้วในการโจมตีรอบสองด้วยการส่งแรนซัมแวร์ชื่อดังอย่าง แกนด์แครบ (GandCrab) เวอร์ชั่น 5.2 ที่มีกลไกในการหลบเลี่ยงการตรวจจับและไม่สามารถใช้ซอฟแวร์เครื่องมือแก้ไขแค่เพียงชนิดเดียวได้ จึงเป็นแรนซัมแวร์ที่น่ากลัวอย่างมาก ซึ่งมีมูลค่าเรียกค่าไถ่อยู่ที่ 600-6,000 เหรียญสหรัฐ ในขณะที่แรนซัมแวร์ โซดิโนกิบิ (Sodinokibi) เรียกค่าไถ่อยู่ที่ 2,000 – 5,000 เหรียญสหรัฐ ซึ่งอาจมีมูลค่าที่สูงขึ้นได้อีก ทั้งนี้มูลค่าค่าไถ่ของ แรนซัมแวร์ โซดิโนกิบิ (Sodinokibi) ขึ้นอยู่กับความเร็วในการจ่ายค่าไถ่ของเหยื่อซึ่งแฮกเกอร์จะมีตั้งเวลาในการจ่ายเงินอยู่ที่ 48 หรือ 72 ชั่วโมง เรียกได้ว่าค่าไถ่ของแรนซัมแวร์ทั้งสองตัวมีมูลค่าที่สูงมาก

นอกเหนือจากแรนซัมแวร์ทั้งสองตัวแล้ว แฮกเกอร์ยังใช้ช่องโหว่ของ Oracle WebLogic Server ในการแพร่กระจายเหล่าภัยร้ายแบบอื่น ทั้งนี้ช่องโหว่ที่เกิดขึ้นเป็นลักษณะของช่องโหว่ที่ให้แฮกเกอร์โจมตีและควบคุมได้จากระยะไกล และกระทบทุกรุ่น อย่างไรก็ตามทาง Oracle ได้ออกแพทช์อัพเดทเพื่ออุดช่องโหว่นี้แล้ว

คำแนะนำจากผู้เชี่ยวชาญ คือ การหมั่นอัพเดทแพทช์อยู่เสมอ รวมทั้งการสำรองข้อมูลเป็นประจำ เพื่อป้องกันและลดความเสี่ยงของการโจมตี สิ่งสำคัญคือการมีระบบความปลอดภัยที่ครอบคลุมแน่นหนา รวมถึงการปลูกฝังให้ผู้ใช้มีสติและรอบครอบในการใช้งาน ตรวจสอบแหล่งที่มาของอีเมลหรือแอพลิเคชั่นต่างๆ คิดก่อนคลิกทุกครั้ง