แรนซัมแวร์ VECTนอกจากล็อกไฟล์ได้แล้ว ยังลบล้างไฟล์
แรนซัมแวร์ VECT นอกจากล็อกไฟล์ได้แล้ว ยังลบล้างไฟล์ใหญ่กว่า 128KB ได้เกลี้ยงด้วย
มัลแวร์เพื่อการเรียกค่าไถ่ หรือ Ransomware นั้นเรียกได้ว่าเป็นภัยพิบัติร้ายแรงแห่งยุค โดยเฉพาะอย่างยิ่งสำหรับองค์กรธุรกิจทั้งหลายที่ถ้าโดนมัลแวร์ประเภทนี้เข้าไป สามารถนำไปสู่การปิดกิจการได้เลย มัลแวร์ตัวนี้นอกจากควา��มร้ายกาจแล้ว ยังมีพัฒนาการอย่างต่อเนื่องที่เสริมสร้างความน่ากลัวให้ทวีความรุนแรงขึ้นทุกวัน
จากรายงานโดยเว็บไซต์ Computer Weekly ได้กล่าวถึงการตรวจพบแรนซัมแวร์ตัวใหม่ Vect โดยทีมวิจัยจาก Check Point Research (CPR) หน่วยงานย่อยของบริษัทผู้พัฒนาโซลูชันสำหรับการรักษาความปลอดภัยไซเบอร์ในระดับองค์กร Check Point ได้ตรวจพบแรนซัมแวร์ตัวดังกล่าวมาตั้งแต่ปลายปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งในการตรวจสอบส่วนของการเข้ารหัส (Encryption) เพื่อล็อกไฟล์จับไฟล์เป็นตัวประกันนั้น ทางทีมวิจัยพบว่า ระบบการเข้ารหัสนั้นมีช่องโหว่อย่างร้ายแรงที่ทำให้ตัวระบบเข้ารหัสนั้น แทนที่จะเข้ารหัสล็อกไฟล์จับเป็นตัวประกันตามปกติ กับล้างข้อมูลทั้งหมดในไฟล์นั้น ๆ (Wipe) แทน ส่งผลให้ถึงแม้เหยื่อจะส่งเงินให้แฮกเกอร์ ก็จะไม่สามารถปลดล็อกไฟล์กลับมาใช้งานได้
ซึ่งช่องโหว่ที่ตรวจพบนั้น ทางทีมวิจัยพบว่า เมื่อตัวแรนซัมแวร์ตรวจพบไฟล์ที่มีขนาดใหญ่กว่า 128 KB (ซึ่งในระดับองค์กรนั้น หมายถึงไฟล์เกือบทั้งหมดที่องค์กรมี ตั้งแต่ไฟล์อิมเมจของเครื่องจำลอง (Virtual Machine Image), ฐานข้อมูล (Database), และข้อมูลสำรองต่าง ๆ) เครื่องมือสำหรับการเข้ารหัสจะทำการเข้ารหัสและทำลายข้อมูลสำหรับการกู้ไฟล์ (Recovery) แทน ซึ่งช่องโหว่ดังกล่าวนั้น ทำให้ทางทีมวิจัยได้ทำการเปลี่ยนนิยามของมัลแวร์ตัวนี้ใหม่ จากแรนซัมแวร์ เป็น ไวเปอร์ (Wiper หรือ เครื่องมือลบข้อมูล) แทน เพราะข้อมูลที่ใช้งานและกู้ไม่ได้นั้น ทางเทคนิคถือว่าโดยลบไปอย่างถาวรแล้ว โดยช่องโหว่นี้นั้นทางทีมวิจัยพบมาตั้งแต่ก่อนแรนซัมแวร์ Vect รุ่น Public 2.0 ถูกปล่อยให้แฮกเกอร์ในวงการใช้ ซึ่งช่องโหว่นี้กระทบแรนซัมแวร์เวอร์ชัน Windows, Linux, และ EXXi
ทางทีมวิจัยได้คาดการณ์ว่า ช่องโหว่ดังกล่าวนั้นอาจมาจากการเขียนโค้ด (Coding) ที่ผิดพลาด ที่ทำให้ตัวแรนซัมแวร์นั้นมีการทำงานในทางเทคนิคไปคนละสิ่งกับที่แรนซัมแวร์ควรจะเป็น นอกจากนั้นแรนซัมแวร์ Vect ถึงแม้จะมีการโฆษณาอย่างหนักหน่วง โดยมีความร่วมมือกับกลุ่ม TeamPCP และ เว็บบอร์ดใต้ดิน BreachForums เพื่อเปิดตัวแรนซัมแวร์ตัวนี้ พร้อมกับโปรโมชันให้สมาชิกที่ลงทะเบียนอยู่บนเว็บบอร์ดดังกล่าวนั้นสามารถเข้าถึงตัวแรนซัมแวร์ได้ฟรี แต่ตัวแรนซัมแวร์ Vect นั้นกลับทำออกมาได้ไม่ได้ตามที่โฆษณา ทั้งฟีเจอร์หลายอย่างยังไม่ได้ใช้งานได้ เช่น ฟีเจอร์การปรับความเร็วของการเข้ารหัสไฟล์ ก็ไม่สามารถใช้งานได้จริง, ฟีเจอร์การป้องกันการรันบนสภาพแวดล้อมจำลอง (Anti-Sandbox) ก็ไม่สามารถใช้งานได้ โดยทีมวิจัยสามารถทำการทดสอบมัลแวร์บน Sandbox ได้อย่างสะดวก และนอกจากนั้น ตัวแรนซัมแวร์เองยังไม่ได้ถูกเขียนขึ้นมาใหม่ทั้งหมดตามที่ได้โฆษณาโม้โอ้อวดไว้ เนื่องมีการตรวจพบว่า โค้ดหลายอย่างคล้ายกับโค้ดแรนซัมแวร์ที่หลุดออกมาช่วงปี ค.ศ. 2022 (พ.ศ. 2565) หรือ เก่ากว่า เนื่องจากตัวโค้ดมีการรวมยูเครนไว้เป็นหนึ่งในประเทศที่แรนซัมแวร์ถูกยกเว้นการทำงาน (Exclusion) ซึ่งผิดแปลกไปจากมัลแวร์จากรัสเซียในช่วงหลังสงครามยูเครน - รัสเซีย ที่ประเทศยูเครน มักจะถูกตัดออกจากบัญชียกเว้นดังกล่าว
ด้วยเหตุนี้ นอกจากการระวังตัวจากแรนซัมแวร์แล้ว ทางทีมวิจัยยังได้แนะนำว่า ถ้าเกิดเหตุสุดวิสัยขึ้นมา อย่างจ่ายเงินให้แฮกเกอร์เด็ดขาด เพราะถึงจ่ายไปก็อาจจะไม่ได้ข้อมูลคืนมา
จากประสบการณ์การติดตามและศึกษามัลแวร์เรียกค่าไถ่ ผมพบว่าการที่แรนซัมแวร์ VECT มีความสามารถในการลบล้างไฟล์ขนาดใหญ่เกิน 128KB จนไม่สามารถกู้คืนได้ ไม่ใช่แค่ปัญหาเล็กๆ แต่ถือเป็นจุดเปลี่ยนของภัยคุกคามไซเบอร์ ที่ส่งผลกระทบอย่างรุนแรงต่อองค์กร เนื่องจากไฟล์ขนาดใหญ่เช่นฐานข้อมูลหรือไฟล์สำรองมักมีความสำคัญอย่างยิ่งต่อการดำเนินงาน สิ่งที่น่าเป็นห่วงคือช่องโหว่ในการทำงานของ VECT ที่กลายเป็นไวเปอร์ ซึ่งหมายความว่าแม้เหยื่อจะจ่ายค่าไถ่ไปแล้ว ก็ไม่มีทางได้ไฟล์กลับคืน การที่แรนซัมแวร์รุ่นนี้ยังขาดฟีเจอร์บางอย่าง เช่น การปรับความเร็วหรือการป้องกัน sandbox แสดงให้เห็นถึงโค้ดที่ยังไม่เสถียรและถูกนำกลับมาใช้ใหม่จากโค้ดเก่า นี่เป็นสัญญาณให้เห็นว่าแฮกเกอร์บางกลุ่มอาจเร่งปล่อยเครื่องมือแม้ยังพัฒนาไม่สมบูรณ์ เพื่อสร้างความเสียหายให้มากที่สุด จากที่เคยเห็นในองค์กรขนาดกลางและใหญ่ เทคนิคที่สำคัญที่สุดในการลดความเสี่ยงคือการมีระบบสำรองข้อมูลที่ปลอดภัย และแยกออกจากระบบหลัก เช่น การจัดเก็บข้อมูลบนคลาวด์ที่มีการเข้ารหัส และทดสอบการกู้ข้อมูลเป็นประจำ อีกทั้งการอบรมพนักงานเรื่องความระมัดระวังในการคลิกลิงก์และแนบไฟล์ที่ไม่รู้จักก็เป็นการป้องกันเบื้องต้นที่สำคัญมาก สำหรับผู้ใช้งานปกติ ควรอัปเดตระบบปฏิบัติการและซอฟต์แวร์รักษาความปลอดภัยอย่างสม่ำเสมอ รวมถึงไม่ควรจ่ายค่าไถ่ เนื่องจากเหตุการณ์แรนซัมแวร์ VECT นี้แสดงให้เห็นชัดเจนว่าการจ่ายเงินไม่ได้หมายความว่าจะได้ข้อมูลคืน ทำให้สูญเสียทรัพยากรโดยเปล่าประโยชน์และเสี่ยงต่อการถูกโจมตีซ้ำ ข้อมูลจากไฟล์ README_!!!_ ที่แสดงข้อความเตือนหลักๆ ของแรนซัมแวร์นี้ยังบอกถึงความจริงที่ว่าเหยื่อต้องปฏิบัติตามคำแนะนำอย่างรอบคอบ แต่ในความเป็นจริงแล้ว โค้ดที่มีช่องโหว่จะทำให้ระบบกู้คืนไฟล์ล้มเหลวเสมอ ซึ่งสะท้อนว่าแรนซัมแวร์ VECT มีการทำงานที่ตรงข้ามกับความตั้งใจของเหยื่ออย่างมาก ดังนั้น ความรู้และความเข้าใจเกี่ยวกับแรนซัมแวร์ VECT เป็นสิ่งที่ทุกคนควรติดตามอย่างใกล้ชิด เพื่อเตรียมตัวรับมือและจัดการความเสี่ยงอย่างมีประสิทธิภาพในยุคที่ภัยไซเบอร์มีพัฒนาการก้าวหน้าขึ้นอย่างรวดเร็ว
