แรนซัมแวร์ Nitrogen ตัวโคดพังมาก
นักวิจัยเผย แรนซัมแวร์ Nitrogen ตัวโค้ดพังมาก ขนาดแฮกเกอร์ที่ใช้ยังถอดรหัสไฟล์ที่ยึดมาไม่ได้
ตามปกติแล้วมัลแวร์ประเภทเรียกค่าไถ่ หรือ Ransomware นั้นมักจะเรียกร้องเงินจากเหยื่อในระดับที่สูงมากเพื่อปลดล็อกไฟล์ ซึ่งก็อาจจะได้กุญแจ (Key) สำหรับปลดล็อกได้บ้างไม่ได้บ้าง แต่ในบางกรณีนั้นตัวแรนซัมแวร์กลับถูกเขียนมาแย่มาก ที่เหยื่อถึงจ่ายเงินก็อาจจะเป็นจ่ายฟรี เพ�ราะแฮกเกอร์เองก็ยังปลดล็อกไฟล์ไม่ได้
จากรายงานโดยเว็บไซต์ The Register กล่าวถึงผลของการตรวจสอบการทำงานของแรนซัมแวร์ตัวใหม่ Nitrogen ซึ่งเป็นแรนซัมแวร์ที่ถูกพัฒนาโดยกลุ่มแฮกเกอร์ชื่อเดียวกัน โดยทีมวิจัยจาก Coveware บริษัทผู้เชี่ยวชาญด้านการกู้ไฟล์ที่ได้รับผลจากการถูกเล่นงานแรนซัมแวร์ โดยทางทีมวิจัยพบว่าการโปรแกรมตัวแรนซัมแวร์ดังกล่าวนั้นทำได้แย่มาก เช่น การเข้ารหัสไฟล์ (Encryption) บนเครื่องของเหยื่อนั้นก็มีการใช้งานกุญแจสาธารณะ (Public Key) ที่ผิด ซึ่งความผิดพลาดดังกล่าวนั้นเกิดจากการที่ตัวแรนซัมแวร์ทำการโหลดตัวแปร (Variable) QWORD ขนาด 8 ไบต์ (Byte) ลงไปยังหน่วยความจำ (Memory) ด้วย Offset rsp+0x1c ซึ่งเป็นการทำงานที่ทับซ้อนกับ Public Key ที่โหลดใช้งานด้วย Offeset rsp+0x20 ทำให้เกิดการเขียนค่าทับ 4 ไบต์แรกของตัว Public Key จนนำมาสู่ปัญหาดังกล่าวที่เกิดขึ้น
ซึ่งทางทีมวิจัยกล่าวว่า การทำงานของแรนซัมแวร์ดังกล่าวนั้นเป็นการทำงานที่ผิดขั้นตอน เพราะโดยทั่วไปแล้ว ในเวลาที่คู่กุญแจส่วนตัว (Private Key) และ Public Key Curve25519 ถูกสร้างขึ้นมานั้น ตัว Private Key จะถูกสร้างขึ้นมาก่อน แล้วค่อยสร้าง Public Key จากตัว Private Key อีกที แต่สิ่งที่เกิดขึ้นกับแรนซัมแวร์ตัวนี้นั้นเป็นสิ่งที่ผิดขั้นตอนจนทำให้ได้ Public Key ที่ไม่สามารถใช้งานได้ โดยสรุปแล้วคือ ไฟล์ที่ถูกเข้ารหัสนั้น ถ้าเหยื่อจ่ายเงินให้กับแฮกเกอร์ไปก็ไม่มีทางได้ไฟล์คืนมาอย่างแน่นอน เพราะแม้แต่ตัวแฮกเกอร์ที่ใช้ และผู้พัฒนาเองก็ไม่สามารถถอดรหัส (Decryption) ไฟล์ของเหยื่อได้
สำหรับกลุ่มแรนซัมแวร์ Nitrogen นั้น ตัวกลุ่มเองเป็นกลุ่มที่ไม่ใหญ่หรือโด่งดังมากนัก โดยเริ่มปฏิบัติการมาตั้งแต่ช่วงปี ค.ศ. 2023 (พ.ศ. 2566) ด้วยการยืมโค้ดมัลแวร์มาจากเครื่องมือ�สร้างมัลแวร์ Conti 2 Builder เพื่อสร้างมัลแวร์สำหรับการเปิดทางเข้าสู่ระบบ (Initial Access) ให้กับแฮกเกอร์รายอื่นที่มาใช้บริการ แล้วจึงค่อยพัฒนามาเป็นกลุ่มพัฒนาแรนซัมแวร์ โดยเริ่มมีข่าวว่ากลุ่มดังกล่าวนี้ได้เริ่มปฏิบัติงานไถเงินองค์กรต่าง ๆ มาตั้งแต่ช่วงเดือนกันยายน ค.ศ. 2024 (พ.ศ. 2567) ที่ผ่านมา
#ติดเทรนด์ #ป้ายยากับlemon8 #lemon8ไดอารี่ #freedomhack #แรนซัมแวร์
ประสบการณ์การติดตามข่าวสารเกี่ยวกับแรนซัมแวร์ Nitrogen ทำให้ผมเห็นภาพว่าแม้เทคโนโลยีการโจมตีไซเบอร์จะพัฒนาไปอย่างรวดเร็ว แต่ความผิดพลาดในการเขียนโปรแกรมก็ยังคงเกิดขึ้นได้เสมอ เหมือนกับการที่แรนซัมแวร์ตัวนี้ใช้คู่กุญแจ Public Key และ Private Key แบบผิดขั้นตอนอย่างร้ายแรงจนทำให้ไม่สามารถถอดรหัสไฟล์ได้ แม้ว่าคนร้ายจะพยายามเรียกค่าไถ่ ก็ตาม จากข้อมูลที่อ่านและติดตาม พบว่ากลุ่ม Nitrogen นั้นไม่ใช่กลุ่มก่อการร้ายไซเบอร์ที่ใหญ่หรือโด่งดังมากนัก แต่กลับมีการใช้โค้ดจากเครื่องมือสร้างมัลแวร์ Conti 2 Builder ซึ่งโดยปกติจะถูกใช้ในกลุ่มแฮกเกอร์มืออาชีพ แต่การนำโค้ดมาปรับใช้โดยไม่มีความรู้เพียงพอ ทำให้โปรแกรมมีจุดบกพร่องร้ายแรงนี้ สิ่งนี้ทำให้ผมนึกถึงความสำคัญของการทดสอบทบทวนซอฟต์แวร์ในทุกกระบวนการ โดยเฉพาะในส่วนของการจัดการกับกุญแจเข้ารหัสซึ่งมีความละเอียดอ่อนสูง การเขียนโปรแกรมแบบผิดตำแหน่งที่อยู่ของตัวแปรหรือการคำนวณค่าของคีย์เป็นสิ่งที่ผู้พัฒนาควรระมัดระวังอย่างมาก สำหรับผู้ที่เคยตกเป็นเหยื่อของแรนซัมแวร์ตัวนี้ อาจจะรู้สึกว่าการจ่ายค่าไถ่เป็นเรื่องไร้ประโยชน์และเสียทรัพยากรไปโดยเปล่าประโยชน์ ซึ่งตรงกันข้ามกับแรนซัมแวร์ทั่วไปที่บางครั้งยังมีโอกาสถอดรหัสไฟล์ได้ถ้าจ่ายเงินให้ถูกต้อง ผมมองว่าเรื่องนี้ชี้ให้เห็นว่ากลุ่มแฮกเกอร์บางกลุ่มยังขาดทักษะหรือความระมัดระวังในเชิงเทคนิค ทั้งที่ถือเป็นอาวุธที่ร้ายแรงและสร้างความเสียหายได้มากในวงการไซเบอร์ สุดท้ายแล้ว ผู้ใช้ทั่วไปและองค์กรควรให้ความสำคัญกับการสำรองข้อมูลอย่างสม่ำเสมอ และวางมาตรการป้องกันแรนซัมแวร์อย่างเข้มงวดเพื่อลดความเสี่ยงที่จะได้รับผลกระทบจากการโจมตีที่ผิดพลาดหรือแม้แต่กับแรนซัมแวร์ตัวใหม่ๆ ที่ยังไม่เคยเจอมาก่อน
