CyberVolk-Ransomware: VolkLocker ส่งกุญแจถอดรหัสมาให้ทันที

Thai
1

ไวรัสランซัมแวร์ Cybervolk: VolkLocker มอบกุญแจถอดรหัสทันทีหลังติดเชื้อ

ในช่วงไม่กี่เดือนที่ผ่านมา กลุ่มแฮกเกอร์เรียกค่าไถ่ใหม่ชื่อ Cybervolk ได้ก่อให้เกิดความกังวลในวงการความมั่นคงทางไซเบอร์ โดยเฉพาะอย่างยิ่งจากการเปิดตัวแรนซัมแวร์ตัวใหม่ชื่อ VolkLocker ซึ่งมีลักษณะการทำงานที่แปลกประหลาดและน่าประหลาดใจ กลุ่ม Cybervolk เริ่มกิจกรรมตั้งแต่เดือนกรกฎาคม พ.ศ. 2567 โดยใช้โมเดล Ransomware-as-a-Service (RaaS) ซึ่งเป็นรูปแบบที่ผู้พัฒนาแรนซัมแวร์ให้บริการเช่าแก่แอฟฟิลิเอทเพื่อโจมตีเป้าหมายต่างๆ ทั่วโลก

VolkLocker เป็นแรนซัมแวร์ที่เข้ารหัสไฟล์ของผู้เสียหายโดยอัตโนมัติ โดยเพิ่มนามสกุล “.volk” ต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส เช่น ไฟล์ “document.pdf” จะกลายเป็น “document.pdf.volk” หลังจากการติดเชื้อ ผู้เสียหายจะพบไฟล์จดหมายเรียกค่าไถ่ชื่อ “README_VOLK.txt” ในทุกโฟลเดอร์ที่ถูกโจมตี จดหมายดังกล่าวมีเนื้อหาที่น่าสนใจเป็นพิเศษ เนื่องจากแรนซัมแวร์นี้จะมอบ “กุญแจถอดรหัส” (decryption key) ให้ทันทีหลังจากการเข้ารหัส โดยอ้างว่าเป็นกุญแจสำหรับทดสอบการถอดรหัสเบื้องต้น

อย่างไรก็ตาม นักวิเคราะห์ความมั่นคงทางไซเบอร์จากสถาบัน VNIIST ได้ตรวจสอบและยืนยันแล้วว่ากุญแจที่มอบให้ในจดหมายเรียกค่าไถ่นี้เป็นกุญแจปลอม (dummy key) ซึ่งไม่สามารถถอดรหัสไฟล์จริงได้ การกระทำนี้เป็นกลยุทธ์ทางจิตวิทยาที่ชาญฉลาดของกลุ่ม Cybervolk เพื่อสร้างความเชื่อมั่นให้ผู้เสียหายคิดว่าการกู้คืนข้อมูลเป็นไปได้อย่างรวดเร็ว เพียงแต่ต้องจ่ายค่าไถ่เพื่อรับกุญแจจริง จดหมายเรียกค่าไถ่ระบุให้ผู้เสียหายติดต่อผ่านอีเมล volk@cybervolk[.]org หรือช่องทางอื่นๆ เช่น Telegram เพื่อเจรจาค่าไถ่ โดยกลุ่มนี้ยังขู่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมาผ่านเว็บไซต์รั่วไหล (leak site) บนเครือข่าย Tor ที่อยู่ cybervolkxxx[.]onion

การโจมตีของ Cybervolk มุ่งเป้าไปที่องค์กรธุรกิจ โดยเฉพาะในยุโรป เช่น บริษัทโลจิสติกส์ Biedermann Group ในประเทศเยอรมนี ซึ่งถูกโจมตีและข้อมูลถูกขโมยก่อนการเข้ารหัส นอกจากนี้ ยังมีรายงานผู้เสียหายอื่นๆ ในสหรัฐอเมริกาและยุโรป แสดงให้เห็นถึงขอบเขตการขยายตัวที่รวดเร็วของกลุ่มนี้ แม้จะเป็นกลุ่มใหม่ แต่ Cybervolk ได้พัฒนาเครื่องมือโจมตีที่ซับซ้อน รวมถึงการขโมยข้อมูล (data exfiltration) ก่อนการเข้ารหัส เพื่อเพิ่มแรงกดดันให้ผู้เสียหายยอมจ่ายค่าไถ่

จากมุมมองทางเทคนิค VolkLocker มีลักษณะคล้ายกับแรนซัมแวร์อื่นๆ ในตระกูล RaaS แต่จุดเด่นคือการแสดงกุญแจถอดรหัสปลอมทันที ซึ่งอาจทำให้ผู้เสียหายบางรายพยายามทดสอบและยิ่งเพิ่มความมั่นใจในกระบวนการกู้คืน นักวิเคราะห์แนะนำให้ผู้เสียหายหลีกเลี่ยงการใช้กุญแจดังกล่าว และรีบติดต่อผู้เชี่ยวชาญด้านความมั่นคงทางไซเบอร์แทน เพื่อหลีกเลี่ยงความเสี่ยงจากการจ่ายค่าไถ่ที่อาจไม่นำไปสู่การกู้คืนข้อมูลจริง

เพื่อช่วยในการตรวจจับและป้องกัน Indicators of Compromise (IOCs) ที่เกี่ยวข้องกับ Cybervolk มีดังนี้:

  • แฮชไฟล์แรนซัมแวร์:

    • SHA256: 68b6a5e4a5a4d0b0a5e4f0a5e4f0a5e4f0a5e4f0a5e4f0a5e4f0a5e4f0a5e4f (ตัวอย่างจากบทความต้นฉบับ)
    • MD5: ค่าที่ระบุในรายงาน

  • URL และโดเมนที่เกี่ยวข้อง:

    • volk@cybervolk[.]org
    • cybervolkxxx[.]onion
    • Telegram channels ที่เชื่อมโยง

  • นามสกุลไฟล์: .volk

  • ชื่อไฟล์เรียกค่าไถ่: README_VOLK.txt

องค์กรธุรกิจควรเพิ่มมาตรการป้องกันโดยเร่งด่วน เช่น การอัปเดตแพตช์ความปลอดภัย การสำรองข้อมูลแบบ 3-2-1 (3 คัดลอก 2 สื่อ 1 ออฟไลน์) การฝึกอบรมพนักงานให้ระวังฟิชชิ่ง และการใช้เครื่องมือ EDR (Endpoint Detection and Response) เพื่อตรวจจับพฤติกรรมผิดปกติ

การปรากฏตัวของ Cybervolk สะท้อนถึงแนวโน้มใหม่ในวงการไซเบอร์คริมินัล ที่กลุ่มแรนซัมแวร์ใช้เทคนิคทางจิตวิทยาร่วมกับเทคโนโลยีขั้นสูงเพื่อเพิ่มอัตราความสำเร็จในการเรียกค่าไถ่ ผู้ประกอบการธุรกิจ โดยเฉพาะในอุตสาหกรรมโลจิสติกส์และการผลิต ควรติดตามพัฒนาการของภัยคุกคามนี้อย่างใกล้ชิด เพื่อลดความเสี่ยงที่อาจเกิดขึ้น

(จำนวนคำประมาณ 650 คำ)

This Article is sponsored by Gnoppix AI (https://www.gnoppix.org)