เมื่อ “ธรรมะ” ถูกขาย

เมื่อไม่นานมานี้ รายงานจากแหล่งข่าวนิรนามได้กล่าวว่า มีการซื้อขายรหัสต้นฉบับของแรนซัมแวร์ “ธรรมะ (Dharma)” บนเว็บไซต์ของแฮกเกอร์ชาวรัสเซียมากกว่า 2 เว็บ โดยนำไปวางขายในตลาดใต้ดิน ซึ่งถือเป็นการติดอาวุธเพิ่มให้กับอาชญากรไซเบอร์ โดยราคาสำหรับการเริ่มเจรจาต่อรอง ซื้อขายรหัสต้นฉบับของแรนซัมแวร์ตัวนี้อยู่ที่ 2,000 ดอลลาร์สหรัฐ ถือว่าเป็นราคาที่ไม่แพงเลยเมื่อเทียบกับสิ่งที่จะเอาไปต่อยอดในการสร้างแรนซัมแวร์เพื่อหาผลประโยชน์จากเหยื่อต่อไป

ส่วนมากแล้วธรรมะจะถูกใช้ในการแพร่กระจายด้วยวิธีการส่งสแปมอีเมล์ พร้อมแฝงซอฟต์แวร์ติดตั้งโทรจันเข้าไป โดยจะติดตั้งผ่านช่องทางรีโมท (RDP Connection) หลังจากนั้นจะมีการติดตั้งโดยใช้ Credential ของผู้ใช้ที่ถูกแฮกมาทำการติดตั้ง โดยจะมุ่งเป้าไปที่หน่วยงานภาคสาธารณสุขของสหรัฐอเมริกา ซึ่งตัวผู้พัฒนาแรนซัมแวร์ตัวนี้ได้พัฒนาและอัพเดทตัวมันอย่างต่อเนื่อง เพื่อที่จะส่งแรนซัมแวร์ไปทำการเข้ารหัสไฟล์ด้วยสกุลไฟล์ที่หลากหลาย บางครั้งตัวแรนซัมแวร์จะถอนซอฟต์แวร์ที่ป้องกันความปลอดภัยออกจากเครื่องของเหยื่อได้อีกด้วย ถือเป็นการโจมตีของตัวแรนซัมแวร์ชนิดนี้รูปแบบหนึ่ง

จากรายงานของทาง FBI “ธรรมะ” ถือว่าเป็นแรนซัมแวร์ที่อยู่ในอันดับ 2 ในการทำเงินที่ผ่านมา โดยทำเงินไปกว่า 24.48 ล้านตั้งแต่ปี 2016 ถึง 2019 เป็นรองจากแรนซัมแวร์ “ Ryuk” เท่านั้น รวมถึงทิ้งอันดับ 3 อย่าง “BitPaymer” ด้วยยอดทำเงินมากกว่าถึง 3 เท่า

หากรหัสต้นฉบับของแรนซัมแวร์ “ธรรมะ”ถูกนำไปขายหรือแพร่กระจายไปยังมือของอาชญกรไซเบอร์รายอื่นๆ ก็อาจจะเป็นจุดเริ่มต้นของการพัฒนาสายพันธุ์ของแรนซัมแวร์ตัวนี้ให้หลากหลายและแข็งแกร่งยิ่งขึ้น เหมือนกับเหตุการณ์ที่เคยเกิดขึ้นมาแล้วกับมิราอิ (Mirai Botnet) ที่ผมเคยกล่าวไปแล้ว ที่ในครั้งนั้นถูกนำมาเผยแพร่ใน Opensource เมื่อปี 2016 จนทำให้เกิดการแพร่กระจายไปทั่วโลก

ทั้งนี้หากเรามองในแง่ดี เรื่องนี้อาจทำให้นักวิจัยแรนซัมแวร์ สามารถเข้าถึงรหัสต้นฉบับของแรนซัมแวร์ตัวนี้ได้ และทำการพัฒนากุญแจใหม่ๆ มาทำการถอดรหัสแรนซัมแวร์ตัวนี้ก็ได้นะครับ ทุกภัยไซเบอร์สามารถป้องกันได้ด้วยการรู้เท่าทันและการวางแผนป้องกันระบบที่รัดกุมทั้งในด้านของโซลูชั่นและบุคคล ผมหวังว่าบทความที่ผ่านมาและในอนาคตของผมจะเป็นประโยชน์กับทุกท่านครับ