สงคราม cyber เพิ่งเริ่มต้นเท่านั้น... สงครามยังไม่จบ อย่าเพิ่งนับศพทหาร

โดยขณะนี้ปรากฏว่ามีเครื่องมือของ NSA ที่รั่วไหลออกมาจริง ซึ่งพัฒนาโดยใช้เครื่องมือ EternalBlue เป็นฐานเพื่อเจาะเซิร์ฟเวอร์วินโดวส์ และปล่อย ransomware ชื่อ WannaCry กระจายไปทั่วโลกอย่างรวดเร็ว
โดย ransomware ได้เข้าโจมตีระบบของโรงพยาบาลในสหราชอาณาจักรอย่างหนักหน่วง ส่งผลให้ต้องปิดตึกผู้ป่วยทั้งหมด คนไข้ถูกส่งตัวกลับ และพนักงานบางส่วนถูกส่งกลับบ้าน โดย Barts Health ซึ่งเป็นศูนย์กลางขององค์กรด้านสาธารณสุข (NHS) ในลอนดอน ต้องแจ้งให้คนไข้ไปรักษาที่อื่น ในขณะที่องค์กรอื่นของ NHS กล่าวว่าต้องปิดรับผู้ป่วยนอกและจำกัดการให้บริการด้านรังสีวิทยา ในเมือง Essex ของ Colchester ซึ่งโรงพยาบาลตัดสินใจที่จะปิดแผนกฉุกเฉินและจะยอมรักษาเฉพาะผู้ที่อาการเข้าขั้นวิกฤตเท่านั้น
โดย NHS ยืนยันว่ามี 16 หน่วยงานของ NHS ถูกโจมตีโดย ransomware ที่ชื่อ WannaCry แต่การแพร่กระจายของ WannaCry ได้เข้าโจมตีแล้วอย่างน้อย 11 ประเทศทั่วโลก ซึ่ง Jakub Kroustek นักวิจัยด้านความปลอดภัยของ AVG Avast กล่าวว่าเขาได้บันทึกว่ามีการตรวจพบมัลแวร์จำนวน 36,000 รายการในวันนี้ สำหรับ Kaspersky Security บริษัทด้านความปลอดภัยของรัสเซียกล่าวในภายหลังว่าพบว่ามีมัลแวร์ถึง 45,000 รายการใน 74 ประเทศ นอกจากนี้ MalwareHunterTeam ยังกล่าวว่า WannaCry กำลังแพร่กระจายไปทั่วโลก และรัสเซียเป็นประเทศที่ได้รับผลกระทบมากที่สุด แต่สเปนก็ดูเหมือนจะเป็นเป้าการโจมตีด้วยเช่นกัน
นอกจากนี้ยังพบว่ามีอย่างน้อย 1,600 รายที่ถูกโจมตีโดย WannaCry ในอเมริกา ในขณะที่มี 11,200 รายในรัสเซียและ 6,500 รายในประเทศจีน โดยมีการเรียกค่าไถ่จากผู้ตกเป็นเหยื่อเพื่อกำจัดมัลแวร์ออกจากคอมพิวเตอร์ ถ้าไม่จ่ายไฟล์ก็จะยังถูกล็อคและคอมพิวเตอร์ก็ยังใช้งานไม่ได้
บริษัท Fedex ยืนยันว่าบริษัทเป็นหนึ่งในองค์กรของอเมริกาที่ถูกโจมตีเช่นเดียวกับบริษัทอื่น ๆ อีกหลายแห่ง โดย Fedex กำลังประสบปัญหาถูกรบกวนการทำงานจากระบบปฏิบัติการ Windows บางตัวที่เกิดปัญหาจากมัลแวร์ และกำลังดำเนินการแก้ไขให้เร็วที่สุดเท่าที่จะเป็นไปได้ ซึ่ง Fedex ได้ขออภัยต่อลูกค้าต่อเหตุการณ์ที่เกิดขึ้น
Kevin Beaumont นักวิจัยในสหราชอาณาจักร ทวีตว่า WannaCry ใช้ NSA ในการโจมตีซึ่งใช้ประโยชน์จากช่องโหว่ของ Microsoft Windows คือ MS17-010 และทีม Computer Emergency Response Team (CERT) ในสเปน ยังบอกว่าช่องโหว่ดังกล่าวถูกใช้โดย ransomware ด้วยจากรายงานของ Forbes ก่อนหน้านี้ที่ว่า กลุ่มอาชญากรรมทางไซเบอร์ของรัสเซียกำลังหาทางใช้ประโยชน์จากการรั่วไหลของกลุ่มแฮกเกอร์ Shadow Brokers ซึ่งรวมถึงความเป็นไปได้ในการใช้ EternalBlue ซึ่งใช้ Server Message Block (SMB) เป็นเครือข่ายในการแชร์ไฟล์
Matthew Hickey ผู้ร่วมก่อตั้ง Hacker House ที่เป็นศูนย์ฝึกอบรมด้านความปลอดภัยไซเบอร์ของอังกฤษ กล่าวว่า "MS17-010 เป็นตัวเลือกที่ดีที่สุดสำหรับการโจมตีโดย ransomware" โดยเขาได้เปรียบเทียบกับการระบาดของมัลแวร์ครั้งใหญ่ในอดีต ที่เรียกว่า Conficker ที่ใช้ลักษณะเป็นหนอนคอมพิวเตอร์ (worm-like features) เพื่อให้แพร่กระจายไปทั่วโลก
ถ้า MS17-010 มีการใช้ในการโจมตีของอาชญากรไซเบอร์เหล่านี้ ก็แสดงว่าคอมพิวเตอร์จำนวนมากไม่ได้มีการ patch หรืออัพเดท อย่างไรก็ตาม MS17-010 จะถูกนำมาใช้อย่างแพร่หลายกับการโจมตีนี้Adam Meyers รองประธานบริษัท CrowdStrike เห็นว่าการแพร่กระจายเริ่มต้นของ WannaCry นั้นเป็นเพราะสแปม เช่นสแปมที่ส่งใบแจ้งหนี้ปลอม หรือนำเสนองานให้ทำแบบไม่จริง เป็นต้น ที่เป็นการส่งไปยังอีเมล์ต่างๆ แบบสุ่ม โดยในอีเมลจะมีไฟล์แนบที่เป็น.zip ซึ่งเมื่อผู้ใช้งานคลิกเข้าไปก็จะทำให้ WannaCry แพร่กระจายได้
Cisco มีความเห็น โดยเชื่อว่าไม่น่าจะเป็นการใช้ phishing email ถึงแม้ Microsoft จะออกมาบอกว่ามีการใช้อีเมล์ดังกล่าวในการเผยแพร่ ransomware แต่ Cisco เชื่อว่ามีช่องโหว่ของระบบถูกเปิดทิ้งไว้ และถูกโจมตีโดยไม่จำเป็นต้องใช้ phishing email ใดๆนอกจากนี้ สิ่งที่น่ากังวลมากที่สุดเกี่ยวกับ WannaCry คือการใช้ worm-like EternalBlue exploit ซึ่งเป็น ransomware ที่มีอำนาจทำลายล้างสูง (WMD) เมื่อได้แพร่เข้าสู่คอมพิวเตอร์ PC ที่ไม่มีการอัพเดท (unpatched) จะมีการแพร่กระจายอย่างรวดเร็ว โดยจะมีผลกระทบต่อธุรกิจการเงิน, พลังงาน, และธุรกิจด้าน Healthcare
สงคราม cyber เพิ่งเริ่มต้นเท่านั้น..."สงครามยังไม่จบ อย่าเพิ่งนับศพทหาร"

Referencehttps://www.forbes.com/sites/thomasbrewster/2017/05/12/nsa-exploit-used-by-wannacry-ransomware-in-global-explosion/#6d34bab3e599

พ.อ.ดร.เศรษฐพงค์ มะลิสุวรรณรองประธาน กสทช. และประธานกรรมการกิจการโทรคมนาคมwww.เศรษฐพงค์.comLINE id : @march4G