CryptoWall มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ที่ระบาดหนักสายหนึ่ง แถมกลุ่มพัฒนามีการอัพเกรดต่อเนื่อง มีช่องทางการติดที่หลากหลาย นับแต่อีเมล ไปจนถึงการซื้อโฆษณาหน้าเว็บ ตอนนี้ทาง Cyber Threat Alliance (CTA) ก็ออกรายงานวิเคราะห์ CryptoWall 3.0 และพบว่ามันสร้างความเสียหายไปแล้วจำนวนมาก

โครงสร้างของตลาดมืดในโลกใต้ดินของ CryptoWall เป็นอย่างซับซ้อน จากการล่อผู้ใช้ให้รันโปรแกรมที่มากับอีเมลหรือเข้าเว็บที่มีโค้ดเจาะระบบ จากนั้นเซิร์ฟเวอร์จึงส่งโค้ดมัลแวร์มายังเครื่องของเหยื่อและรันมัลแวร์ กระบวนการเชื่อมต่อทั้งหมดจะเข้ารหัสด้วย RC4 แม้ว่ากุญแจการเข้ารหัสเป็นเพียงการซ่อนไว้ใน HTTP request ตัวเซิร์ฟเวอร์จะจ่ายกุญแจสาธารณะ RSA สำหรับการเข้ารหัสเครื่อง พร้อมกับ URL ของเครือข่าย TOR สำหรับการจ่ายเงิน

CTA พบว่า CryptoWall 3.0 ถูกใช้โจมตีหลายสิบครั้งในแคมเปญต่างกันไป แต่ละแคมเปญมีความร้ายแรงไม่เท่ากัน เช่น crypt7 ติดเครื่องมากกว่า 8,000 ครั้งเมื่อช่วงต้นปี 2015 แต่ละแคมเปญอาจจะมีการแชร์เซิร์ฟเวอร์กัน เฉพาะแคมเปญ crypt100 ครั้งเดียวมีเครื่องติดมากกว่า 15,000 เครื่อง ทำกำไรให้กับกลุ่มผู้ใช้มัลแวร์กว่า 5 ล้านดอลลาร์ รวมทั้งหมด มีความพยายามเข้ารหัสเครื่องกว่าสี่แสนครั้ง รวมความเสียหาย 325 ล้านดอลลาร์

ทาง CTA เปิดเผยเครื่องมือต่างๆ ที่ใช้วิเคราะห์มัลแวร์เอาไว้ใน GitHub พร้อมกับรายการ URL ของเซิร์ฟเวอร์ควบคุมสามารถดึงรายการเป็น CSV ไปใช้งานได้ ผู้ดูแลระบบอาจจะพิจารณาตั้งสคริปต์ดาวน์โหลดไปบล็อคในองค์กรกันได้

ที่มา - eWeek, Cyber Threat Alliance (PDF)