เผยโฉม! แท้จริงแล้ว Petwrap ไม่ใช่ Ransomware แต่เป็น “อาวุธไซเบอร์” ที่ถอดรหัสกู้คืนไฟล์ไม่ได้

Post Date:6/29/2017

Petwrap หรือ NotPetya หรือ Petya Ransomware ที่แพร่ระบาดอย่างหนักและโจมตีธุรกิจชั้นนำในช่วง 2-3 วันที่ผ่านมานี้ อาจไม่ใช่ Ransomware แบบที่ทุกคนเข้าใจ หลังจากที่มีผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ทำการวิเคราะห์และพบว่า จริงๆ แล้วมัน “อาวุธไซเบอร์” ต่างหาก

Anton Ivanov ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยจาก Kaspersky ได้ออกมาให้ความเห็นหลังตรวจสอบการทำงานของ Petwrap แล้วว่าการเข้ารหัสเพื่อทำลายข้อมูลของ Petwrap นี้ไม่สามารถถอดรหัสได้ เพราะภายในโค้ดของการทำงานไม่ได้มีการสร้าง ID เฉพาะสำหรับผู้ใช้งานแต่ละคนเพื่อเอาไว้ใช้ในขั้นตอนการระบุว่าผู้ใช้งานคนใดควรได้กุญแจถอดรหัสใดไปใช้เลย ดังนั้นแปลว่าต่อให้เหยื่อจ่ายค่าไถ่ไป ทางผู้พัฒนา Ransomware ก็ไม่สามารถสร้างกุญแจถอดรหัสที่ถูกต้องเพื่อส่งกลับมาให้ใช้ถอดรหัสได้อยู่ดี

อีกประเด็นหนึ่ง การเข้ารหัสของ Petwrap นั้นก็เรียกได้ว่าเป็นการทำลายดิสก์ทิ้งไปเลยก็ว่าได้ โดย Matt Suiche นักวิจัยจาก Comae Technologies ก็ได้ออกมาเผยถึงรายงานที่แสดงว่า Master Tree File (MFT) ที่ถูก Petwrap เข้ารหัสนี้จะไม่สามารถถูกถอดรหัสได้เลย ต่างจาก Petya ตัวต้นฉบับที่ยังถอดรหัสและนำข้อมูลกลับมาใช้งานได้

ด้วยเหตุเหล่านี้ ทำให้เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยลงความเห็นกันว่า Petwrap นี้ถูกสร้างมาเพื่อสร้างความเสียหายให้กับธุรกิจต่างๆ ด้วยการทำลายข้อมูล (Wiper Malware) มากกว่าที่จะเป็นการเรียกค่าไถ่ด้วยการเข้ารหัสข้อมูล (Ransomware) เพียงแต่วิธีการที่ Petwrap ใช้ในการทำลายข้อมูลนั้นก็คือการเข้ารหัสโดยไม่เก็บกุญแจถอดรหัสไว้เท่านั้น ทำให้การกู้คืนข้อมูลแทบจะเป็นไปไม่ได้เลย

อย่างไรก็ดี การที่ผู้โจมตีนั้นแฝงพฤติกรรมแบบ Wiper เอาไว้ภายใต้ชื่อ Ransomware ก็เริ่มกลายเป็นการโจมตีที่ได้รับความนิยมมากขึ้นเรื่อยๆ เพื่อให้เหล่าองค์กรต่างๆ หลงทางในการรับมือกับกรณีการโจมตีที่เกิดขึ้นไม่ให้ผู้ถูกโจมตีทราบถึงวัตถุประสงค์ที่แท้จริง และเสียเวลากับความพยายามในการถอดรหัสหรือจ่ายค่าไถ่ โดยก่อนหน้านี้ก็เคยมีกรณีของ Shamoon และ KillDisk เกิดขึ้นมาแล้ว และนี่ก็เป็นสาเหตุที่ทำไม Petwrap จึงถูกจัดเอาไว้อยู่ในตระกูลของอาวุธไซเบอร์ (Cyber Weapon) และต้องได้รับการวิเคราะห์จากในแง่มุมที่แตกต่างไปจากการวิเคราะห์ Ransomware

ความรุนแรงของ Petwrap นี้ถือได้ว่าเทียบเท่ากับ Stuxnet และ Blackenergy ซึ่งเป็น Malware ที่มุ่งทำลายเป้าหมายชื่อดังในประวัติศาสตร์ที่ผ่านมา

เรื่องราวเหล่านี้ทำให้การที่ Posteo บล็อคอีเมล์ของผู้พัฒนา Petwrap ไปนั้นกลายเป็นความบังเอิญซ้ำสองที่ตอกย้ำชัดเจนว่า “เหยื่อจะไม่สามารถกู้คืนข้อมูลได้” ไปทันที



ที่มา: https://www.techtalkthai.com/petwrap-is-not-a-ransomware-but-cyber-weapon/


Back