ผีมีจริง ! นักวิจัยเผยวิธีการทำงานของแรนซัมแวร์ Yurei ในการลักลอบเข้ารหัสล็อกไฟล์

Yurei เป็นภาษาญี่ปุ่นที่มีความหมายว่าผีอาฆาต ซึ่งมักจะได้ยินกันตามภาพยนตร์สยองขวัญของทางประเทศญี่ปุ่น แต่ถ้าชื่อนี้กลายมาเป็นชื่อของมัลแวร์ที่ใช้ในการเรียกค่าไถ่ หรือแรนซัมแวร์ (Ransomware) คงไม่ใช่เรื่องสนุกแน่

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการที่ทีมนักวิจัยได้ออกมาเปิดเผยถึงกลไกการทำงานของแรนซัมแวร์ Yurei ซึ่งเป็นแรนซัมแวร์ตัวใหม่ที่ถูกตรวจพบครั้งแรกเมื่อเดือนกันยายนที่ผ่านมา ซึ่งในรายงานของทีมวิจัยจากสถาบัน ASEC ได้มีการเปิดเผยข้อมูลทางเทคนิคของแรนซัมแวร์ตัวนี้มากมายหลายข้อ โดยเริ่มต้นจาก มัลแวร์ตัวนี้ถูกสร้างขึ้นบนพื้นฐานของภาษา Go โดยมีจุดประสงค์คล้ายกับมัลแวร์ทั่วไป นั่นคือ การแทรกซึมเข้าระบบขององค์กร, เข้ารหัสข้อมูลสำคัญ, ทำลายข้อมูลสำรอง, และข่มขู่เรียกค่าไถ่จากข้อมูลที่ถูกขโมยไปได้ โดยหลังจากที่มีการแพร่กระจายแรนซัมแวร์ตัวนี้ออกมานั้น ได้มีการตรวจพบองค์กรที่ตกเป็นเหยื่อของแรนซัมแวร์ตัวนี้ในประเทศศรีลังกา และไนจีเรีย ซึ่งการโจมตีจะเน้นไปยังกลุ่มธุรกิจในอุตสาหกรรมการขนส่ง, โลจิสติกส์, ไอที, การตลาดและการโฆษณา และอาหารและเครื่องดื่ม เป็นหลัก

ภาพจาก : https://cybersecuritynews.com/yurei-ransomware-file-encryption/

แต่ก็ยังมีสิ่งที่แตกต่างไปจากแรนซัมแวร์ตัวอื่น นั้นคือ ทางทีมวิจัยไม่พบว่าแรนซัมแวร์ตัวนี้ถูกขาย หรือมีส่วนเกี่ยวข้องกับโมเดลธุรกิจแรนซัมแวร์แบบเช่าใช้งาน หรือ RaaS (Ransomware-as-a-Service) แต่อย่างใด รวมทั้งไม่พบความเชื่อมโยงกับการร่วมงานกับอาชญากรไซเบอร์กลุ่มอื่นอีกด้วย โดยการเรียกเงินค่าไถ่ของแฮกเกอร์นั้นจะเป็นการพิจารณาในรูปแบบตามแต่กรณี (Case-by-Case) ตามสภาวะทางการเงินของเหยื่อ ซึ่งแฮกเกอร์จะทำการให้เหยื่อติดต่อมาทางเว็บไซต์ในเครือข่ายอินเทอร์เน็ตมืด หรือ Dark Web เพื่อเจรจาในเรื่องค่าไถ่ และวิธีการจ่ายเงิน ทั้งนี้ทางทีมวิจัยไม่ได้มีการเปิดเผยถึงจำนวนเงินที่กลุ่มแฮกเกอร์เรียกจากเหยื่อ แต่อย่างใด

สำหรับในส่วนข้อมูลทางเทคนิคนั้น ตัวแรนซัมแวร์ได้มีการใช้เทคนิคการเข้ารหัสไฟล์ด้วยการใช้งานอัลกอริทึ่มแบบ ChaCha20-Poly1305 โดยตัวอัลกอริทึ่มจะสร้างกุญแจเข้ารหัสขนาด 32-byte พร้อมทั้งกุญแจ Nonce ขนาด 24-byte ด้วยค่าสุ่มออกมา ซึ่งกุญแจเข้ารหัสเหล่านี้ยังมีระบบป้องกันในรูปแบบ secp256k1-ECIES พร้อมการฝังกุญแจสาธารณะ (Embeded Public Key) ลงไปอีกชั้นหนึ่ง เพื่อสร้างความมั่นใจว่า คนที่จะเข้าถึงกุญแจแล้วทำการถอดรหัสไฟล์ได้ จะเป็นกลุ่มแฮกเกอร์ที่ใช้งานแรนซัมแวร์ดังกล่าวเท่านั้น

นอกจากนั้นเพื่อความมั่นใจในการที่เหยื่อจะยังสามารถเข้าถึงระบบโดยพื้นฐาน ตัวแรนซัมแวร์จะละเว้นการเข้ารหัสไฟล์ในโฟลเดอร์ Windows, System32, และ Program Files รวมทั้งไฟล์สกุล .sys, .exe, .dll ซึ่งเป็นโฟลเดอร์และไฟล์ที่เกี่ยวข้องกับระบบทั้งหมด นอกจากนั้นยังมีการละเว้นไฟล์ .Yurei ซึ่งเป็นสกุลไฟล์บนเครื่องที่ถูกเข้ารหัสไปแล้ว เพื่อป้องกันการเข้ารหัสซ้ำ ซึ่งหลังจากเข้ารหัสเสร็จเรียบร้อยก็จะมีการทิ้งไฟล์ “_README_Yurei.txt” ที่มีข้อความข่มขู่ พร้อมวิธีการติดต่อเพื่อชำระเงินค่าไถ่กับแฮกเกอร์ไว้ด้วย