ทีมนักวิจัยจาก Avast ปล่อยเครื่องมือถอดรหัสไฟล์ที่ตกเป็นเหยื่อแรนซัมแวร์ FunkSec ให้ใช้งานได้ฟรี!

แรนซัมแวร์นั้นเป็นปัญหาที่เรียกได้ว่า ใหญ่โตสำหรับธุรกิจทั้งหลาย เพราะว่าการสูญเสียไฟล์ระบบ และไฟล์ธุรกิจที่สำคัญสามารถนำไปสู่ความล่มสลายของธุรกิจได้เลย แต่ก็ยังมีข่าวดีคือในขณะเดียวกัน ทีมพัฒนาเครื่องมือปราบมัลแวร์ก็แข่งกันพัฒนาเครื่องมือสำหรับถอดรหัสกู้ไฟล์แจกให้ใช้งานกันฟรี ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Security Affair ได้กล่าวถึงการที่ทางทีมวิจัยจาก Avast บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ที่มีชื่อเสียง ได้ทำการพัฒนาเครื่องมือสำหรับการถอดรหัสเพื่อกู้ไฟล์ หรือ Decryptor สำหรับผู้ที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ (Ransomware) Funksec ซึ่งจะเป็นการแจกแบบให้ใช้งานได้ฟรีเพื่อเป็นการบรรเทาทุกข์ให้กับผู้ที่ได้รับผลกระทบ โดยโครงการพัฒนา และแจกจ่ายดังกล่าวนั้น เป็นความร่วมมือกันระหว่างทางบริษัท Avast และองค์กรบังคับใช้กฎหมาย (Law Enforcer) หลายแห่ง อันเป็นส่วนหนึ่งในโครงการปราบปรามแรนซัมแวร์ และช่วยเหลือผู้ได้รับผลกระทบ

ภาพจาก : https://securityaffairs.com/180616/malware/researchers-released-a-decryptor-for-the-funksec-ransomware.html

สำหรับในส่วนของแรนซัมแวร์ FunkSec นั้นเรียกได้ว่าค่อนข้างใหม่ เนื่องจากทางทีมวิจัยจาก Check Point บริษัทผู้พัฒนาโซลูชันด้านความปลอดภัยไซเบอร์อีกแห่งหนึ่ง ได้ตรวจพบว่าแรนซัมแวร์ดังกล่าว ถูกพัฒนาขึ้นในช่วงเดือนตุลาคม ค.ศ. 2024 (พ.ศ. 2567)  เริ่มเคลื่อนไหวในช่วงเดือนธันวาคมปีเดียวกัน ซึ่งจากรายชื่อเหยื่อที่หลุดมานั้นทางทีมวิจัยพบว่า มีผู้โชคร้ายตกเป็นเหยื่อมากถึง 113 ราย โดยไทม์ไลน์การระบาดนั้นทางทีมวิจัยพบว่า มีผู้ตกเป็นเหยื่อรายแรกในวันที่ 4 ธันวาคม ค.ศ. 2024 (พ.ศ. 2567), ตัวอย่างไวรัสบางส่วน (Initial Source) ถูกอัปโหลดขึ้นบนเว็บไซต์ VirusTotal ในวันที่ 15 ธันวาคม ค.ศ. 2024 (พ.ศ. 2567), และได้มีการตรวจพบตัวอย่างแรนซัมแวร์ในช่วงวันที่ 31 ธันวาคม ขณะที่เหยื่อรายล่าสุดนั้นถูกตรวจพบในวันที่ 15 มีนาคม ค.ศ. 2025 (พ.ศ. 2568)

ภาพจาก : https://securityaffairs.com/180616/malware/researchers-released-a-decryptor-for-the-funksec-ransomware.html

นอกจากไทม์ไลน์การระบาดแล้ว ทางทีมวิจัยได้พบว่าทางทีมแฮกเกอร์ที่พัฒนาแรนซัมแวร์ได้มีการนำเอาเทคโนโลยีล่าสุดอย่าง AI เข้ามาช่วยในการพัฒนาเครื่องมือระดับสูงเพื่อสนับสนุนการทำงานของแรนซัมแวร์อีกด้วย ไม่เพียงเท่านั้น ทางทีมวิจัยยังตั้งข้อสังเกตหลายอย่าง เช่น ข้อมูลที่รั่วออกมาของกลุ่มนั้นอาจเป็นสิ่งที่ทางทีมพัฒนาปล่อยออกมาเองแต่เป็นการรีไซเคิลข้อมูลของทีมแฮกเกอร์ทีมอื่นปล่อยออกมาเพื่อหวังที่ได้มีชื่อเสียงเท่านั้น, แรนซัมแวร์อาจถูกพัฒนาโดยทีมแฮกเกอร์มือใหม่ที่ไร้ประสบการณ์, การที่ตัวแรนซัมแวร์นั้นขอค่าไถ่ในระดับที่เรียกว่า “ต่ำมาก” เทียบกับแรนซัมแวร์ตัวอื่น โดยขอจากเหยื่อบางรายแค่เพียง 10,000 ดอลลาร์สหรัฐ (323,299.94 บาท) เท่านั้น นอกจากค่าไถ่ที่ถูกแล้ว ข้อมูลที่ถูกขโมยไปยังถูกนำไปขายต่อในตลาดมืดในราคาแบบลดกระหน่ำอีกด้วย ไม่เพียงเท่านั้นยังมีการตรวจพบความเชื่อมโยงกับขบวนการปลดปล่อยปาเลสไตน์ หรือ Free Palestine อีกด้วย โดยจะมุ่งเน้นการโจมตีเหยื่อในประเทศอินเดียและสหรัฐอเมริกาเป็นหลัก ทั้งยังมีความเชื่อมโยงกับกลุ่มแฮกเกอร์นักกิจกรรมการเมือง (Hacktivist) ที่ล่มสลายไปแล้วอย่าง Ghost Algéria และ Cyb3r Fl00d

ในส่วนข้อมูลเชิงเทคนิคของมัลแวร์นั้น แรนซัมแวร์ดังกล่าวนั้นถูกเขียนขึ้นบนภาษา Rust ถูกอัปโหลดขึ้น VirusTotal จากประเทศอัลจีเรีย โดยไส้ในนั้นจะมีเครื่องมือสำหรับการเข้ารหัสไฟล์ (ทีมวิจัยระบุว่ายังอยู่ในระดับต้นแบบ หรือ Prototype), เครื่องมือสร้างโน้ตข่มขู่เรียกค่าไถ่ หรือ Ransom Note, เครื่องมือปรับเปลี่ยนสภาพแวดล้อมการทำงาน (Environment Modifying), และเครื่องมือตรวจสอบสิทธิ์ในการเข้าถึงในระดับผู้ดูแลระบบ (Admin Privilege) โดยหลังจากจากที่ตัวมัลแวร์ถูกรันขึ้นมาแล้ว ตัวแรนซัมแวร์จะทำการปิดระบบรักษาความปลอดภัยต่าง ๆ ที่อยู่บนเครื่องของเหยื่อ เช่น Windows Defender, ระบบบันทึก Log, ระบบจำกัดการใช้งาน PowerShell, และ ระบบสำรองข้อมูลเงา (Shadow Copy) หลังจากนั้นจะตามมาด้วยการเข้ารหัสไฟล์ต่าง ๆ ในรูปแบบนามสกุล .funcksec และทำการวาง Ransom Note ลงบนไดร์ฟบันทึกข้อมูลของเหยื่อเป็นขั้นตอนสุดท้ายเพื่อข่มขู่ และบอกวิธีจ่ายค่าไถ่

สำหรับผู้ที่ได้รับผลกระทบสามารถเข้าถึงเครื่องมือดังกล่าวได้เพียงแค่คลิกลิงก์บนแหล่งอ้างอิง เพื่อเข้าสู่หน้าดาวน์โหลดได้เลย