ทีมนักวิจัยจาก Check Point ได้ออกโรงเตือนถึงความอันตรายของ VECT 2.0 ซึ่งเป็นซอฟต์แวร์เรียกค่าไถ่ ตัวใหม่ที่กำลังเป็นประเด็นร้อนในโลกมืด หลังจากพบว่ามันมีข้อผิดพลาดร้ายแรงในขั้นตอนการเขียนโปรแกรม โดยเฉพาะกลไกการจัดการค่า Nonce หรือรหัสสุ่มที่ใช้ในการเข้ารหัสลับ ซึ่งแทนที่มันจะทำหน้าที่ล็อกไฟล์เพื่อรอการถอดรหัสตามปกติ บั๊กตัวนี้กลับทำให้กระบวนการเข้ารหัสไฟล์ขนาดใหญ่กลายเป็นการทำลายข้อมูลทิ้งอย่างถาวร ส่งผลให้ VECT 2.0 ทำหน้าที่ไม่ต่างจาก “Data Wiper” หรือมัลแวร์ล้างข้อมูลที่สร้างความเสียหายแบบกู่ไม่กลับ
สาเหตุเชิงเทคนิคที่น่าตกใจคือ มัลแวร์ตัวนี้ถูกออกแบบมาให้เน้นความเร็วในการเข้ารหัสไฟล์ขนาดใหญ่ด้วยการแบ่งไฟล์ออกเป็นส่วนๆ แต่ดันมีข้อผิดพลาดตรงที่มันใช้หน่วยความจำตำแหน่งเดิมซ้ำในการเก็บค่ารหัสลับของแต่ละส่วน ทำให้ค่าใหม่ไปเขียนทับค่าเก่าไปเรื่อยๆ จนสุดท้ายเหลือเพียงค่ารหัสลับของส่วนสุดท้ายเพียง 25% เท่านั้นที่ถูกบันทึกลงเครื่อง ผลที่ตามมาคือข้อมูลอีก 75% ที่เหลือจะสูญหายไปทันทีเพราะไม่มีกุญแจดอกไหนในโลกจะมาปลดล็อกได้ แม้แต่ตัวอาชญากรไซเบอร์ที่เป็นเจ้าของมัลแวร์เองก็ไม่สามารถกู้คืนให้ได้ ต่อให้เหยื่อจะยอมจ่ายเงินค่าไถ่มหาศาลเพียงใดก็ตาม
สิ่งที่น่ากังวลสำหรับองค์กรคือ เกณฑ์ที่มัลแวร์ตัวนี้ใช้ตัดสินว่าเป็น “ไฟล์ขนาดใหญ่” นั้นต่ำอย่างเหลือเชื่อ โดยตั้งไว้ที่เพียง 128 KB เท่านั้น ซึ่งในโลกของการทำงานยุคปัจจุบัน แทบไม่มีไฟล์สำคัญไหนที่มีขนาดเล็กกว่านี้ ไม่ว่าจะเป็นเอกสาร Word, ตาราง Excel, อีเมล, ฐานข้อมูลธุรกิจ ไปจนถึงไฟล์สำรองข้อมูล และ Virtual Machine ซึ่งล้วนตกอยู่ในข่ายที่จะถูกทำลายทิ้งทันทีหากโดนโจมตี โดยนักวิจัยยืนยันว่าบั๊กนี้พบในทุกเวอร์ชันไม่ว่าจะเป็น Windows, Linux หรือ ESXi ทำให้ความเสี่ยงนั้นครอบคลุมไปทั่วทุกโครงสร้างระบบไอที
นอกจากปัญหาด้านเทคนิคแล้ว ความเคลื่อนไหวของกลุ่มผู้พัฒนายังน่ากลัวไม่แพ้กัน โดยล่าสุดกลุ่ม VECT ได้ประกาศจับมือเป็นพันธมิตรกับ TeamPCP กลุ่มแฮกเกอร์สายแสบผู้อยู่เบื้องหลังการโจมตี Supply-chain ระดับโลกมาแล้วหลายครั้ง ความร่วมมือนี้มีเป้าหมายชัดเจนในการใช้ช่องโหว่จากซอฟต์แวร์ต้นน้ำเพื่อแพร่กระจายตัว VECT 2.0 เข้าไปในระบบของเหยื่อวงกว้างและทำลายล้างข้อมูลอย่างรวดเร็วที่สุด
.jpg)
เหตุการณ์นี้ถือเป็นบทเรียนสำคัญที่ย้ำเตือนว่า การสำรองข้อมูล แบบออฟไลน์หรือแบบที่แก้ไขไม่ได้ คือปราการด่านสุดท้ายที่แท้จริง เพราะในกรณีของ VECT 2.0 นี้ การเจรจาต่อรองกับคนร้ายไม่ใช่ทางเลือกอีกต่อไป เนื่องจากตัวคนร้ายเองก็ “ทำกุญแจหาย” ตั้งแต่เริ่มล็อกกุญแจแล้ว การป้องกันเชิงรุกและการหมั่นตรวจสอบความปลอดภัยของซัพพลายเออร์ซอฟต์แวร์จึงเป็นสิ่งที่ทุกองค์กรต้องให้ความสำคัญเป็นอันดับหนึ่งในตอนนี้
ที่มา : BPC
