เตือนภัย เรียกค่าไถ่ไซเบอร์ จับ “ข้อมูล” เป็นตัวประกัน

ยิ่งผู้คนใช้ชีวิตบนโลกไซเบอร์มากเท่าไร ภัยคุกคามทางไซเบอร์ก็เพิ่มขึ้นเท่านั้น โดยเฉพาะเมื่อ “ข้อมูล” กลายเป็นสิ่งสำคัญที่สุด หรือ Data is King ทำให้การเรียกค่าไถ่โดยจับ “ข้อมูล” เป็น “ตัวประกัน” มีแนวโน้มเพิ่มขึ้น รวมทั้งยิ่งทวีความซับซ้อน และสร้างความเสียหายรุนแรงขึ้นเรื่อยๆ ไม่ใช่แค่ความเสียหายในรูปตัวเงินจากการเรียกค่าไถ่ แต่ยังอาจกระทบต่อความมั่นคงของประเทศด้วย

เมื่อเร็วๆ นี้ CEO ของบริษัทโคโลเนียล ไปป์ไลน์ ผู้ให้บริการท่อส่งน้ำมันขนาดใหญ่ในสหรัฐฯ ออกมายอมรับว่า ได้จ่ายเงินค่าไถ่ไซเบอร์ 4.4 ล้านดอลลาร์ เพื่อแลกกับการเปิดท่อส่งน้ำมันได้อีกครั้ง หลังถูกกลุ่มแฮกเกอร์ที่มีชื่อว่า ดาร์กไซด์ (DarkSide) โจมตีด้วยมัลแวร์เรียกค่าไถ่ (ransomware) จนต้องปิดเครือข่ายขนส่งเชื้อเพลิง ทางตะวันออกของสหรัฐฯ เกือบทั้งหมด ทำให้เกิดปัญหาเชื้อเพลิงขาดแคลน และดันให้ราคาน้ำมันขยับสูงขึ้น

ทั้งนี้ ท่อส่งน้ำมันโคโลเนียล ไปป์ไลน์ มีความยาว 8,850 กิโลเมตร ลำเลียงน้ำมันเชื้อเพลิงปริมาณ 2.5 ล้านบาร์เรลต่อวัน หรือคิดเป็น 45% ของปริมาณการใช้เชื้อเพลิงทั้งหมดในฝั่งตะวันออกของสหรัฐฯ

ขณะที่ข้อมูลจาก “เอลลิปติก” (Elliptic) บริษัทที่เชี่ยวชาญเรื่องอาชญากรรมไซเบอร์ ระบุว่า กลุ่มดาร์กไซด์สะสมเงินค่าไถ่ในรูปของ “บิตคอยน์” ได้ราวๆ 90 ล้านดอลลาร์ ในช่วง 9 เดือนที่ผ่านมา โดยมาจากเหยื่อ 47 ราย และการจ่ายค่าไถ่เฉลี่ยอยู่ที่รายละ 1.9 ล้านดอลลาร์

นอกจากนี้ ยังมีเหตุการณ์ที่บริษัทแอกซ่า พาร์ตเนอร์ บริษัทย่อยของ "แอกซ่า" บริษัทประกันรายใหญ่ของฝรั่งเศส ที่ดำเนินงานในหลายประเทศทั่วเอเชีย ถูกกลุ่ม Avaddon โจมตีแบบแรนซัมแวร์ ส่งผลกระทบทั้งในไทย มาเลเซีย ฮ่องกง และฟิลิปปินส์ โดยแฮกเกอร์เข้าถึงข้อมูลรวม 3 เทราไบต์ ทั้งข้อมูลสุขภาพ การรักษา และบัตรประชาชน

2 เหตุการณ์ใหญ่ดังกล่าวสะท้อนแนวโน้มของการเรียกค่าไถ่ไซเบอร์ที่ใกล้ตัวเราแบบคาดไม่ถึง มาทำความรู้จักกันว่า การเรียกค่าไถ่ไซเบอร์ หรือแรนซัมแวร์ คืออะไร 

“แรนซัมแวร์” เป็นมัลแวร์ (Malware) ประเภทหนึ่ง ที่มีลักษณะการทำงานที่แตกต่างกับมัลแวร์ประเภทอื่น โดยมันไม่ได้ถูกออกแบบมาเพื่อขโมยข้อมูลของผู้ใช้งาน แต่จะทำการเข้ารหัส หรือล็อกไฟล์แทน ไม่ว่าจะเป็นไฟล์เอกสาร รูปภาพ วิดีโอ ทำให้เหยื่อไม่สามารถเปิดไฟล์ใดๆ ได้ และจะต้องใช้กุญแจในการปลดล็อกเพื่อกู้ข้อมูลคืนมา หากไม่สามารถปลดล็อกได้เอง หรือไม่ได้สำรองข้อมูลไว้ที่อื่น ผู้ใช้งานจะต้องยอมจ่ายเงินตามจำนวนที่แฮกเกอร์ “เรียกค่าไถ่” เพื่อแลกกับกุญแจ ส่วนใหญ่มักจ่ายค่าไถ่เป็นเงินคริปโทเคอร์เรนซีที่ยากต่อการตามรอย

ขณะที่เหตุการณ์เรียกค่าไถ่ไซเบอร์ที่เพิ่งเกิดขึ้น เป็นเพียงยอดของภูเขาน้ำแข็ง เพราะในแต่ละปีมีเหตุการณ์ทำนองนี้เกิดขึ้นมากมายกับองค์กรต่างๆ แต่อาจไม่ได้เป็นข่าว 

หน่วยงานคลังสมองด้านนี้ที่ชื่อ Ransomware Task Force รวบรวมข้อมูลความเสียหายจากการเรียกค่าไถ่ไซเบอร์ในปีที่แล้ว พบว่า ระยะเวลาเฉลี่ยที่ระบบเกิดขัดข้องจนไม่สามารถใช้งานได้ (downtime) อยู่ที่ 21 วัน // ส่วนการที่ภาคธุรกิจจะกลับมาเป็นปกติหลังจากการถูกโจมตีใช้เวลาเฉลี่ย 287 วัน // ด้านเม็ดเงินที่โจรเรียกค่าไถ่ยุคไฮเทคกวาดไปได้ในปีที่แล้ว อยู่ที่อย่างน้อย 350 ล้านดอลลาร์ เพิ่มขึ้น 311% เมื่อเทียบกับปี 2562 // และเงินค่าไถ่โดยเฉลี่ยที่เหยื่อยอมจ่าย อยู่ที่ 312,493 ดอลลาร์ เพิ่มขึ้น 171% จากปีก่อนหน้า

ข้อมูลของ “แคสเปอร์สกี้” บริษัทรักษาความปลอดภัยทางไซเบอร์ ระบุว่า แฮกเกอร์เปลี่ยนจากการเรียกค่าไถ่ธรรมดา มาเป็นการเลือกเหยื่อแบบกำหนดเป้าหมายเพื่อให้ได้เงินเพิ่มขึ้น โดยเหยื่อมักเป็นองค์กรที่มีความสำคัญ ไม่ว่าจะเป็นบริษัท หน่วยงานของรัฐ และหน่วยงานด้านสาธารณสุข 

จากข้อมูลพบว่า ในปี 2563 จำนวนผู้ใช้งานซอฟต์แวร์แคสเปอร์สกี้ที่เผชิญการเรียกค่าไถ่แบบกำหนดเป้าหมายเฉพาะ อยู่ที่ 8,538 ครั้ง เพิ่มขึ้น 767% จากปี 2562 ที่มีจำนวน 985 ครั้ง ในขณะที่จำนวนผู้ใช้โดยรวมที่ได้รับผลกระทบจากแรนซัมแวร์ทุกประเภท อยู่ที่ 1.09 ล้านครั้ง จาก 1.54 ล้านครั้ง ลดลง 29% 

สำหรับมัลแวร์เรียกค่าไถ่ที่พบบ่อยสุด คือ “วอนนาคราย (WannaCry) ซึ่งพบการใช้ครั้งแรกเมื่อปี 2560 และสร้างความเสียหายคิดเป็นมูลค่าอย่างน้อย 4 พันล้านดอลลาร์ ใน 150 ประเทศ โดยในปีที่แล้ว “วอนนาคราย” มีสัดส่วน 16% ของการโจมตีทั้งหมด ลดลงจากเมื่อปี 2562 ที่มีสัดส่วนเกือบ 22% แม้จะมีสัดส่วนลดลง แต่ไม่ได้หมายความว่าโลกจะปลอดภัยจากมัลแวร์ชนิดนี้ เพราะแฮกเกอร์เปลี่ยนเป้าหมายจากผู้ใช้งานทั่วไป เป็นบริษัทและองค์กรขนาดใหญ่แทน ซึ่งหมายความว่าการโจมตีจะซับซ้อนและสร้างความเสียหายมากขึ้น

ที่จริงแล้ว “แรนซัมแวร์” เกิดขึ้นมาตั้งแต่เมื่อทศวรรษที่แล้ว แต่เพิ่งเป็นที่นิยมของบรรดาแฮกเกอร์ในช่วงไม่กี่ปีที่ผ่านมา โดยได้อานิสงส์จากคริปโทเคอร์เรนซีที่ได้รับการยอมรับมากขึ้น เนื่องจากการเรียกค่าไถ่ในรูปเงินดิจิทัลทำให้ตามรอยได้ยาก และสามารถโอนผ่านระบบอิเล็กทรอนิกส์ได้โดยไม่ต้องผ่านธนาคาร หรือสถาบันที่รัฐควบคุม

เมื่อลงลึกในรายละเอียดเกี่ยวกับบริษัทที่ได้รับผลกระทบจากเรื่องนี้ ผลสำรวจของ “โซฟอส” (Sophos) บริษัทที่เชี่ยวชาญด้านความปลอดภัยบนโลกไซเบอร์ ที่สอบถามพนักงานไอทีระดับหัวหน้า 5,400 คน จากองค์กรใน 30 ประเทศของทุกภูมิภาคทั่วโลก พบว่า 37% ขององค์กรที่ตอบแบบสอบถามในปีนี้ ถูกโจมตีด้วยแรนซัมแวร์ ซึ่งรวมถึงการที่คอมพิวเตอร์หลายเครื่องได้รับผลกระทบจากการโจมตี แม้ไม่ถึงขั้นถูกล็อก ลดลงจากปีที่แล้วที่อยู่ที่ 51% 

เมื่อแยกเป็นองค์กรขนาดใหญ่และเล็กซึ่งวัดจากจำนวนพนักงาน พบว่า องค์กรขนาดใหญ่ที่มีพนักงาน 1,001-5,000 คน ถูกโจมตีแบบแรนซัมแวร์ 42% ส่วนองค์กรขนาดเล็กกว่าที่มีพนักงาน 100-1,000 คน ถูกโจมตี 33%

ส่วนจำนวนองค์กรที่ยอมจ่ายค่าไถ่ในปีนี้อยู่ที่ 32% เพิ่มจากปีที่แล้วที่อยู่ที่ 26% และเงินค่าไถ่โดยเฉลี่ยของเหยื่อที่ยอมจ่ายอยู่ที่ 170,404 ดอลลาร์ สูงสุดอยู่ที่ 3.2 ล้านดอลลาร์ ขณะที่ข้อมูลที่ถูกเข้ารหัสสามารถกู้คืนได้เพียง 65% หลังจ่ายค่าไถ่ 

องค์กรที่ตกเป็นเหยื่อของกลุ่มโจรไซเบอร์ ไม่ใช่ยอมจ่ายเงินค่าไถ่เพื่อปลดล็อกแล้วจะจบ เพราะยังต้องเสียค่าใช้จ่ายในการฟื้นฟูระบบ ซึ่งอาจใช้เวลานานหลายปี ไม่ว่าจะเป็นความเสียหายจากการที่ใช้งานไม่ได้ และผลกระทบต่อลูกค้า โดยต้นทุนเฉลี่ยขององค์กรในส่วนนี้เพิ่มขึ้นกว่า 2 เท่า จาก 761,106 ดอลลาร์ในปีที่แล้ว มาเป็น 1.85 ล้านดอลลาร์ในปีนี้

สำหรับอุตสาหกรรมที่ตกเป็นเหยื่อของโจรเรียกค่าไถ่ไฮเทค อุตสาหกรรมค้าปลีกและการศึกษาโดนโจมตีมากสุด 44% ของผู้ที่ตอบแบบสอบถาม ส่วนอุตสาหกรรมเฮลท์แคร์ที่ถูกโจมตีบ่อยครั้งยังมีสัดส่วน 34% ต่ำกว่าค่าเฉลี่ยที่ 37%
“โซฟอส” มีความเห็นสอดคล้องกับ “แคสเปอร์สกี้” ที่ว่า กลุ่มแฮกเกอร์ได้เปลี่ยนจากการโจมตีที่เน้นปริมาณและรูปแบบทั่วไป มาเป็นการโจมตีที่มีเป้าหมายเฉพาะมากขึ้น ซึ่งรวมถึงการใช้ทักษะการแฮกชั้นสูงของมนุษย์ แม้จำนวนการโจมตีอาจลดลง แต่ความซับซ้อนและล้ำหน้า ทำให้การโจมตีมีศักยภาพที่จะสร้างความเสียหายได้อย่างมหาศาล

“โซฟอส” แนะนำแนวปฏิบัติ 6 ข้อ เพื่อรับมือกับแรนซัมแวร์และการโจมตีไซเบอร์ เริ่มจาก 1.สันนิษฐานว่าตัวเองจะถูกโจมตี เพราะการโจมตีแรนซัมแวร์ยังคงเกิดขึ้นแพร่หลาย ไม่ว่าจะใหญ่ระดับประเทศ หรือภาคอุตสาหกรรม หรือองค์กร ไม่มีใครรอดพ้นความเสี่ยง ทางที่ดีจึงควรเตรียมพร้อมไว้

2.สำรองข้อมูลและเก็บสำเนาแบบออฟไลน์ การสำรองข้อมูลเป็นวิธีการหลักที่หน่วยงานทำสำรวจใช้ในการกู้คืนข้อมูลหลังถูกโจมตี โดยใช้หลักสำรองข้อมูล 3 ชุด บนสื่อที่แตกต่างกัน 2 สื่อ และอีก 1 ชุดเก็บไว้แบบออฟไลน์

3.ปรับใช้การป้องกันแบบหลายระดับ เพื่อสกัดกั้นผู้โจมตีในจุดต่างๆ ให้มากที่สุดเท่าที่จะเป็นไปได้

4.ใช้ผู้เชี่ยวชาญมนุษย์และเทคโนโลยีเพื่อรับมือแรนซัมแวร์ เพราะสิ่งสำคัญคือ การป้องกันในเชิงลึก ซึ่งต้องการข้อดีของเทคโนโลยีเกี่ยวกับการจัดการแบบอัตโนมัติและปริมาณมาก ส่วนมนุษย์มีข้อดีในการตรวจจับกลวิธีต่างๆ ของโจรไซเบอร์ที่พยายามบุกรุก หากไม่มีความสามารถก็หาผู้เชี่ยวชาญจากภายนอกมาช่วย

5.อย่าจ่ายค่าไถ่ ซึ่งพูดง่ายกว่าทำ เพราะองค์กรจะหยุดชะงักจากการโจมตี แม้จะไม่ได้คำนึงถึงในแง่จริยธรรม แต่การจ่ายค่าไถ่อาจไม่ใช่วิธีที่ดีในการดึงข้อมูลกลับคืนมา และหากตัดสินใจที่จะจ่ายค่าไถ่ ก็อาจจะกู้คืนไฟล์ได้เฉลี่ยเพียง 2 ใน 3 ของทั้งหมด

6.เตรียมแผนกู้คืนข้อมูล วิธีที่ดีที่สุดในการยุติการโจมตีไซเบอร์ไม่ให้เสียหายหนัก คือ เตรียมแผนแก้ไขไว้ล่วงหน้า เพื่อหลีกเลี่ยงการสูญเสียเงินและการหยุดชะงักขององค์กร

ตราบใดที่เรายังต้องพึ่งพาอินเทอร์เน็ต ภัยคุกคามไซเบอร์ และการจับข้อมูลเป็นตัวประกัน ก็ไม่ใช่เรื่องไกลตัว ควรให้ความสำคัญกับการสำรองข้อมูลและอัพเดทโปรแกรมป้องกันเป็นระยะ เพื่อไม่ให้ตกเป็นเหยื่อ