Marcus Hutchins หรือ MalwareTech แฮกเกอร์ผู้หยุดมัลแวร์ WannaCry จากการจดโดเมนเซิร์ฟเวอร์ควบคุม ทำให้มัลแวร์หยุดทำงาน แต่หลังจากเป็นฮีโร่อยู่ครึ่งปีเขาก็ถูกจับฐานสร้างมัลแวร์ โดยช่วงแรกเขาปฎิเสธข้อกล่าวหาทั้งหมด แต่ตอนนี้เขาก็ยอมรับข้อกล่าวหาสองข้อหาจาก 10 ข้อหา โดยอัยการตกลงที่จะถอนข้อหาที่เหลือทั้งหมด

ข้อหาของ Hutchins คือการสร้างมัลแวร์ UPAS และ Kronos สำหรับขโมยข้อมูลธนาคารให้ผู้อื่นใช้งาน โดยเขาขายผ่านตัวแทนที่ใช้ชื่อว่า Vinny นำมัลแวร์ไปขายในตลาดมืด และ FBI ไปล่อซื้อมาในราคา 1,500 ดอลลาร์

เมื่อวันที่ 13 พฤษภาคมปีที่แล้ว รายงานการระบาดของมัลแวร์ WannaCrypt หรือ WannaCry ปรากฎต่อสาธารณะเป็นครั้งแรก และภายในเวลาเพียงไม่กี่ชั่วโมง หน่วยงานจำนวนมากก็ตกเป็นเหยื่อของมัลแวร์ต้วนี้อย่างต่อเนื่อง สร้างความเสียหายมหาศาล มูลค่าความเสียหายรวมน่าจะเกิน 8,000 ล้านดอลลาร์สหรัฐฯ

WannaCry อาศัยเครื่องมือที่ชื่อว่า EthernalBlue ซึ่งน่าจะหลุดจาก NSA โดยกลุ่มที่ชื่อว่า Shadow Broker นำออกมาเผยแพร่ หลักจากเรียกร้องเงินค่าเผยแพร่ 1 ล้านดอลลาร์ โดยไม่มีคำยืนยันว่ามีคนจ่ายล้านดอลลาร์จริงหรือไม่

สำนักข่าว The Seattle Times รายงานว่า โรงงานของ Boeing ในเมือง Charleston รัฐ South Carolina ได้ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ WannaCry เมื่อวันพุธที่ผ่านมา

Mike VanderWel หัวหน้าวิศวกรของการผลิตเครื่องบินพาณิชย์ Boeing ได้ส่งจดหมายด่วนภายในเพื่อให้พนักงานรับทราบและตื่นตัว โดยระบุว่า มีการแพร่ระบาดอย่างรวดเร็วของไวรัสในโรงงานที่ North Charleston ซึ่งเขาได้ยินว่ามันส่งผลกระทบทำให้เครื่องมือที่ใช้ผลิตเครื่องบิน Boeing 777 ต้องดาวน์ลง และกังวลว่าไวรัสอาจจะมีผลกระทบกับเครื่องมือที่ใช้ในการทดสอบการปฏิบัติการของเครื่องบินที่พร้อมส่งให้ลูกค้า รวมถึงเสี่ยงที่จะแพร่กระจายไปยังซอฟต์แวร์ในเครื่องบินด้วย

ข่าวใหญ่ข่าวหนึ่งในปี 2017 คือการแพร่ระบาดของมัลแวร์เข้ารหัสข้อมูล WannaCry/WannaCrypt ที่อาศัยช่องโหว่ EternalBlue ของโพรโทคอล SMB ที่หลุดออกมาจาก NSA เป็นตัวแพร่กระจาย

ปีนี้ EternalBlue กลับมาอีกครั้งในร่างใหม่ตามสมัยนิยม นั่นคือเจาะระบบเพื่อนำคอมพิวเตอร์ที่โดนเจาะมาขุดเหรียญคริปโตนั่นเอง

Thomas P. Bossert เจ้าหน้าที่อาวุโสของทำเนียบขาว ตำแหน่งที่ปรึกษาความมั่นคงมาตุภูมิ (Homeland Security Advisor) กล่าวในบทความที่เขียนให้ The Wall Street Journal ว่าเกาหลีเหนืออยู่เบื้องหลังการแพร่ระบาดของมัลแวร์เรียกค่าไถ่ WannaCrypt โดยตรง (บทความต้นฉบับของ Bossert ใช้คำว่า "directly responsible")

Bossert กล่าวว่าสิ่งที่เขากล่าวนั้นอยู่บนพื้นของหลักฐาน ("based on evidence" -- ถึงกระนั้นไม่มีการนำหลักฐานมาแสดง) และทำเนียบขาวจะออกแถลงการณ์อย่างเป็นทางการในวันอังคาร (ตามเวลาสหรัฐอเมริกา)

มัลแวร์ WannaCry/WannaCrypt ระบาดในช่วงสามเดือนก่อนสร้างความเสียหายกับบริษัทขนาดใหญ่จำนวนมาก แต่ในโค้ดกับมีการตรวจสอบโดเมนหนึ่ง ถ้าเปิดเว็บไว้มัลแวร์จะหยุดทำงาน เมื่อ Marcus Hutchins หรือชื่อออนไลน์ว่า MalwareTech พบโดเมนนี้ในโค้ดและไปจดโดเมน มัลแวร์ทั้งหมดจึงหยุดทำงานลง แต่หลังงาน DEF CON ในลาสเวกัส เขากลับถูก FBI จับกุมตัวขณะกำลังรอขึ้นเครื่องกลับอังกฤษ ด้วยข้อหาสร้างมัลแวร์ Kronos

สัปดาห์ที่ผ่าน ไมโครซอฟท์ออก Windows 10 Insider Preview Build 16226 มีการเปลี่ยนแปลงที่สำคัญคือปิดโพรโทคอล SMB1 ที่เป็นต้นเหตุของมัลแวร์ WannaCrypt โดยมีรายละเอียดดังนี้

• การเปลี่ยนแปลงจะมีผลเฉพาะการติดตั้งระบบปฏิบัติการใหม่ (clean install) เท่านั้น ถ้าเป็นการอัพเกรดข้ามเวอร์ชัน จะยังมี SMB1 เหมือนเดิม
• สำหรับ Windows 10 รุ่น Home/Pro จะปิดเฉพาะ SMB1 server แต่ยังมี SMB1 client เพื่อให้ตัว Windows 10 ยังสามารถเรียกไฟล์จากเครื่องอื่นผ่าน SMB1 ได้อยู่ แต่เครื่องอื่นจะไม่สามารถเชื่อมต่อกับ Windows 10 ผ่าน SMB1 ได้
• ไมโครซอฟท์แนะนำว่าถ้าเราไม่จำเป็นต้องใช้ SMB1 client ก็สามารถเลือก uninstall ออกไปได้เลย โดยไม่มีผลกระทบใดกับส่วนอื่นของระบบ
• สำหรับ Windows 10 รุ่น Enterprise/Education จะปิด SMB1 ทั้งหมด

ช่วงนี้มัลแวร์ WannaCry กำลังระบาดไปเรื่อย ๆ และล่าสุดก็เป็นคิวของศูนย์รับแจ้งเหตุ ฉุกเฉิน 191 ของจังหวัดศรีสะเกษ และจังหวัดฉะเชิงเทราที่โดนมัลแวร์โจมตี

ไทยรัฐรายงานว่า เมื่อเวลา 18.00 น. วันที่ 20 พฤษภาคม เจ้าหน้าที่ผู้รับผิดชอบและดูแลระบบศูนย์รับแจ้งเหตุฉุกเฉิน 191 ของ บก.ภ.จว.ศรีสะเกษ และ บก.ภ.จว.ฉะเชิงเทรา รายงานเหตุขัดข้องของระบบแจ้งเหตุฉุกเฉิน 191 ว่าคอมพิวเตอร์ประจำศูนย์ฯ ของกองบังคับการตำรวจภูธรทั้งสองแห่งไม่สามารถใช้งานได้ เนื่องจากโดนมัลแวร์ WannaCry โจมตี ไม่สามารถให้บริการประชาชนได้อย่างเต็มศักยภาพ

Costin Raiu นักวิจัยจาก Kaspersky Lab เปิดเผยผลการศึกษาพบว่าคอมพิวเตอร์ที่ถูกโจมตีจากมัลแวร์ WannaCry นั้น 98% ใช้ระบบปฏิบัติการ Windows 7 ไม่ได้มาจากระบบปฏิบัติการเวอร์ชันเก่ากว่านั้นอย่างที่เข้าใจกัน โดย Windows XP และ 2008 R2 Server นั้นมีรวมกันเพียง 1% เท่านั้น

โดยส่วนใหญ่ของ Windows 7 ที่ถูกโจมตีเป็นเวอร์ชัน Windows 7 x64

ตัวเลขนี้ถือว่าสมเหตุสมผลเพราะ Windows 7 ปัจจุบันมีจำนวนผู้ใช้งานสูงกว่า Windows 10 ถึง 4 เท่า ถือเป็นระบบปฏิบัติการยอดนิยมตอนนี้ก็มีโอกาสที่จะมีจำนวนการถูกโจมตีที่สูงกว่าระบบปฏิบัติการอื่น

ที่มา: The Verge

หลัง WannaCry (WannaCrypt) ระบาดเป็นวงกว้าง นักวิจัยก็พากันหาวิธีว่าจะสามารถถอดรหัสไฟล์โดยไม่ต้องจ่ายเงินกันได้บ้างหรือไม่ ตอนนี้ก็มีแนวทางออกมาแล้ว แม้จะใช้ได้เฉพาะ Windows XP และต้องอาศัยโชคช่วยประมาณหนึ่ง

หลังชุดเครื่องมือ EternalBlue ของ NSA ถูกขโมยและปล่อยออกมา จนนำไปสู่ปรากฎการณ์มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ WannaCry/WannaCrypt ที่ส่งผลกระทบเป็นวงกว้างมากที่สุดครั้งหนึ่ง จนไมโครซอฟท์ออกมาวิจารณ์หน่วยงานรัฐบาลที่เก็บสะสมช่องโหว่เอาไว้ ล่าสุดอดีตผู้อำนวยการ NSA ออกมาแก้ตัวให้แทนในประเด็นนี้แล้ว

นายพล Keith Alexander อดีตผู้อำนวยการ NSA และหัวหน้าฝ่าย Central Security Service ขึ้นเวทีในงาน TechCrunch Disrupt ในประเด็นนี้ และเมื่อถูกถามว่า NSA มีส่วนรับผิดชอบต่อการแพร่ระบาดของ Ransomware ครั้งนี้แค่ไหน เจ้าตัวได้แก้ตัวว่าสำนักงานความมั่นคงแห่งชาติสหรัฐ ไม่ใช่เป็นคนปล่อย WannaCry/WannaCrypt แต่เป็นแฮกเกอร์

จีนยังใช้งาน Windows XP อยู่จำนวนมากอาจจะทำให้มัลแวร์ WannaCrypt ระบาดได้มากกว่าชาติอื่นๆ แต่ตัวเลขก็ยังสรุปได้ไม่ชัดเจนนักว่าอัตราการระบาดหนักแค่ไหน ตอนนี้ Threat Intelligence Center ของ Qihoo360 ผู้ผลิตซอฟต์แวร์ป้องกันไวรัสในจีนก็ออกมาระบุว่าการระบาดไปถึง 30,000 องค์กรทั่วจีน เฉพาะสถาบันการศึกษาก็มากกว่า 4,300 สถาบัน

แต่ทางกระทรวงศึกษาธิการของจีนออกมาปฎิเสธตัวเลขนี้ ระบุว่ารายงานของ Qihoo360 นั้นชี้นำผิด โดยตัวเลขมหาวิทยาลัยที่ติด WannaCrypt มีเพียง 66 มหาวิทยาลัย จากทั้งหมด 1,600 มหาวิทยาลัย

โลกของมัลแวร์เป็นโลกที่ซับซ้อนและมีกลุ่มต่างๆ จำนวนมาก และกลุ่มต่างๆ ก็อาจจะแข่งขันกันหรือแม้แต่โจมตีกันเอง รายงานจาก poofpoint อธิบายถึงการทำงานของมัลแวร์ Adylkuzz ที่ใช้เครื่องมือ EternalBlue และ DoublePulsar แบบเดียวกับมัลแวร์ WannaCrypt และอาจจะแพร่เป็นวงกว้างกว่ามาก

ความพิเศษอย่างหนึ่งของ Adylkuzz คือหลังจากเครื่องเหยื่อติดแล้ว มันจะสั่งบล็อคพอร์ต 445 เพื่อป้องกันมัลแวร์ตัวอื่น รวมถึง WannaCrypt มาใช้ช่องโหว่เดียวกันติดเครื่องของเหยื่ออีก

Adylkuzz ใช้ซีพียูเครื่องเหยื่อขุดเงิน Monero (XMR) ทำให้มันไม่ต้องทำลายข้อมูลใดๆ ในเครื่องของเหยื่อ ผู้ใช้เครื่องอาจจะรู้สึกเครื่องช้าลง หรือรำคาญที่อยู่ดีๆ ก็แชร์ไฟล์ไม่ได้เท่านั้น

จากเหตุการณ์มัลแวร์ WannaCrypt ที่ระบาดไปทั่วโลก ก็ส่งผลให้ราคาหุ้นของบรรดาบริษัทขายโซลูชั่นความปลอดภัยทางไซเบอร์ (Cyber Security) ปรับตัวสูงขึ้นหลังจากเหตุดังกล่าว

โดยเมื่อต้นสัปดาห์ มูลค่าของกองทุนเปิด ETF PureFunds ISE Cyber Security ซึ่งลงทุนในหุ้นบริษัทด้านความปลอดภัยทางไซเบอร์ปรับเพิ่มขึ้นถึง 5,900 ล้านดอลลาร์ โดยมีหุ้นที่ราคาปรับเพิ่มสูง อาทิ Cisco (+2.8%), Symantec (+4%), Mimecast (+11%), Proofpoint (+7.3%), Fireeye (+7%) และ Palo Alto Networks (+3.7%)

มีการค้นพบร่างกลายพันธุ์ของมัลแวร์เรียกค่าไถ่ WannaCrypt ที่ตั้งชื่อว่า WannaCrypt 4.0 พร้อมอินเทอร์เฟซและข้อความเป็นภาษาไทย

ข้อมูลนี้มาจากฐานข้อมูลไวรัส VirusTotal (ปัจจุบันเป็นบริษัทลูกของกูเกิล) ถูกส่งเข้ามาเมื่อวานนี้ (14 พ.ค.) ช่วงบ่าย ตอนนี้มัลแวร์ตัวนี้ยังมีเฉพาะภาพหน้าจอภาษาไทยเท่านั้น และยังไม่มีความสามารถการเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ คาดว่ายังอยู่ในระหว่างการพัฒนา

จากภาพหน้าจอที่หลุดออกมา WannaCrypt 4.0 เรียกค่าไถ่เป็นเงินสกุล Bitcoin พร้อมชี้เป้าให้ไปซื้อหาได้ที่ bitcoin.co.th ส่วนชื่อเวอร์ชัน 4.0 จะมีความเกี่ยวข้องใดกับนโยบาย Thailand 4.0 หรือไม่ก็คงต้องคิดตามกันต่อไป

ปัญหามัลแวร์เรียกค่าไถ่ WannaCrypt ระบาดไปทั่วโลก โดยมีระบบปฏิบัติการเป้าหมายหลักคือ Windows XP และ Windows เวอร์ชันเก่าๆ ที่หมดระยะการซัพพอร์ตแล้ว

อย่างไรก็ตาม ด้วยความรุนแรงของการระบาด ส่งผลให้ไมโครซอฟท์ออกแพตช์ฉุกเฉินให้ Windows XP, Windows 8, Windows Server 2003 เพื่ออุดช่องโหว่ไม่ให้ติดมัลแวร์ตัวนี้ไปด้วย

เนื่องจากในบ้านเรายังมีผู้ใช้งาน Windows XP จำนวนไม่น้อย บทความนี้จะสอนวิธีการติดตั้งแพตช์ความปลอดภัยของ Windows XP แบบทีละขั้นตอนพร้อมภาพประกอบ

มัลแวร์ WannaCrypt สร้างความเดือดร้อนระดับโลก (และเมืองไทยเองพอเปิดทำงานในวันนี้น่าจะมีคนได้รับผลกระทบอีกไม่น้อย) บริษัทเอกชนหลักที่ต้องรับมือกับตัวมัลแวร์กลายเป็นไมโครซอฟท์ที่ออกแพตช์มาแล้วหลายเดือน และถึงกับต้องออกแพตช์ให้กับวินโดวส์ที่หมดอายุซัพพอร์ตไปแล้วหลายรุ่น วันนี้ Brad Smith ประธานบริษัทและหัวหน้าฝ่ายกฎหมายของไมโครซอฟท์ก็ออกมาเขียนบล็อกวิจารณ์หน่วยงานรัฐบาลที่สะสมช่องโหว่เอาไว้

เขาระบุถึงเหตุการณ์สองครั้งติดๆ กันในปีนี้ ที่ช่องโหว่ซอฟต์แวร์หลุดออกมาจาก CIA ผ่าน WikiLeaks และเหตุการณ์ WannaCrypt ก็หลุดมาจาก NSA สร้างความเสียหายที่เทียบได้กับกองทัพสหรัฐฯ โดนขโมยจรวดโทมาฮอว์ก และรัฐบาลโลกควรตระหนักว่าต้องมีกระบวนการควบคุมการสะสมอาวุธเช่นนี้

WannaCrypt ออกอาละวาดไปทั่วโลกอาจทำให้หลายคนแปลกใจว่าหน่วยงานที่ให้บริการสำคัญๆ ยังใช้วินโดวส์ที่หมดซัพพอร์ตไปแล้วอย่าง Windows XP หรือหากใช้รุ่นที่ยังซัพพอร์ตอยู่ก็ไม่ยอมอัพเดตซอฟต์แวร์กัน แต่ประเทศที่มีอัตราการใช้ Windows XP สูงอย่างจีนก็กลายเป็นเหยื่อของ WannaCrypt ได้อย่างไม่ยากเย็น

ตัวเลขจาก StatCounter ผู้ใช้ในจีนยังใช้งานเว็บด้วย Windows XP สูงถึง 18.9% แถมตัวเลขนี้ลดลงอย่างเชื่องช้าในช่วงปีที่ผ่านมา

ชั่วโมงนี้หลายคนคงรู้จักมัลแวร์ WannaCry ซึ่งเป็นมัลแวร์เรียกค่าไถ่ชื่อดังที่กำลังระบาดไปทั่วโลก และตอนนี้ในไทยก็มีองค์กรที่ประกาศว่าได้รับผลกระทบแล้วคือช่องสถานีโทรทัศน์ฟ้าวันใหม่

ทางสถานีได้ประกาศเรื่องดังกล่าวเมื่อคืนวานทางแฟนเพจ BLUESKY Channel โดยผลลัพธ์จากมัลแวร์นี้ทำให้ทางสถานีต้องหยุดให้บริการเว็บไซต์ fahwanmai.com (ณ เวลาที่เขียนข่าว ยังไม่สามารถเข้าได้) และย้ายไปให้บริการที่เว็บไซต์ blueskychannel.tv เป็นการชั่วคราว เพื่อให้ฝ่ายไอทีของบริษัททำการล้างคอมพิวเตอร์ที่ได้รับผลกระทบ

มัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ WannaCrypt (หรือ WannaCry, WCry) ที่ระบาดมาเพียงไม่กี่วัน มีข้อดีคือมันจะตรวจเว็บตามโดเมนที่กำหนดไว้ หากพบโดเมนจะหยุดการทำงานทันที ตอนนี้นักวิจัยพบเวอร์ชั่นใหม่ที่ตัดเอาฟีเจอร์นี้ออกไปแล้ว ทำให้มันสามารถทำงานต่อไปได้

ขณะนี้มัลแวร์เรียกค่าไถ่ WannaCry / WannaCrypt กำลังระบาดหนักทั่วโลก มีคอมพิวเตอร์โดนโจมตีไปแล้วกว่า 200,000 เครื่องใน 99 ประเทศภายในเวลาเพียง 2 วันเท่านั้น

เรามีวิธีป้องกันตัวเองจากมัลแวร์ดังกล่าวอยู่ 2 อย่าง คือการอัพเดตวินโดวส์เพื่ออุดช่องโหว่ และอีกอย่างคือการปิดโปรโตคอล Server Message Block (SMB) ที่เป็นโปรโตคอลสำหรับการรับส่งไฟล์ระหว่างคอมพิวเตอร์ที่อยู่ในเครือข่ายเดียวกัน

แม้ว่าไมโครซอฟท์จะปล่อยอัพเดตแพตช์เพื่ออุดช่องโหว่ไปเมื่อเดือนมีนาคม และไมโครซอฟท์ยังออกอัพเดทแพตช์ให้กับ OS เก่าๆ อย่าง Windows XP, Windows 8, และ Windows Server 2003 เป็นกรณีพิเศษแล้วก็ตาม

แต่ยังมีข่าวระบบไอทีโดนโจมตีอย่างต่อเนื่อง ซึ่งเซิร์ฟเวอร์ Blade & Soul ประเทศไทยที่ดูแลโดยบริษัท การีนา ออนไลน์ (ประเทศไทย) ก็ถูกพิษของ WannaCrypt เล่นงานไปด้วย

วันนี้ มัลแวร์ WannaCrypt สร้างความปั่นป่วนไปทั่วโลก ถึงแม้ระบบปฏิบัติการ Windows ออกแพตช์มาตั้งแต่เดือนมีนาคม แต่ก็ยังมีคอมพิวเตอร์จำนวนมากที่ไม่ได้อัพเดตแพตช์และไม่มีระบบแอนตี้ไวรัสช่วยป้องกัน

มาตรการของไมโครซอฟท์คือ ออกแพตช์ฉุกเฉินให้ระบบปฏิบัติการที่หมดระยะซัพพอร์ตแล้วอย่าง Windows XP และ Windows 8 นอกจากนี้ ไมโครซอฟท์ยังประกาศว่าอัพเดตฐานข้อมูลมัลแวร์ให้ Windows Defender แล้วเช่นกัน ดังนั้นถ้าไม่สามารถอัพเดตแพตช์ของระบบปฏิบัติการโดยตรง แต่สามารถอัพเดต Windows Defender ก็จะช่วยป้องกันได้

National Health Service (NHS) ระบบประกันสุขภาพของรัฐบาลอังกฤษถูกมัลแวร์เข้ารหัสเรียกค่าไถ่ WannaCrypt โจมตี 16 หน่วยงานย่อย ทำให้ต้องยกเลิกการผ่าตัดคนไข้จำนวนมากทั่วประเทศ

ระบบไอทีของหน่วยงานต่างๆ ล่มทำให้โรงพยาบาลที่ได้รับผลกระทบต้องออกมาประกาศขอความร่วมมือคนไข้ให้ไปโรงพยาบาลเฉพาะภาวะฉุกเฉินระดับที่เป็นภัยต่อชีวิตเท่าน

ชุดเครื่องมือ EternalBlue ที่น่าจะเป็นของ NSA แสดงให้เห็นว่ามันมีประสิทธิภาพสูงยิ่ง สามารถเจาะเครื่องวินโดวส์ที่ไม่ได้อุดช่องโหว่นี้อย่างง่ายดาย มัลแวร์ที่พัฒนาต่ออย่าง WannaCrypt มีอัตราการแพร่ระบาดสูง ตอนนี้ไมโครซอฟท์ก็ประกาศปล่อยแพตช์ KB4012598 ให้กับ Windows XP, Windows 8, และ Windows Server 2003 ที่หมดอายุซัพพอร์ตไปแล้วเป็นกรณีพิเศษ

ตอนนี้ผมทดลองเข้าลิงก์ดาวน์โหลดของไมโครซอฟท์พบหน้า error อยู่ แต่น่าจะหากมีการแก้ไขแล้วก็น่าจะดาวน์โหลดกันได้เร็วๆ นี้ครับ