แรนซัมแวร์ VECT นอกจากล็อกไฟล์ได้แล้ว ยังลบล้างไฟล์ใหญ่กว่า 128KB ได้ด้วย

แรนซัมแวร์ VECT นอกจากล็อกไฟล์ได้แล้ว ยังลบล้างไฟล์ใหญ่กว่า 128KB ได้

เกลี้ยงด้วย

มัลแวร์เพื่อการเรียกค่าไถ่ หรือ Ransomware นั้นเรียกได้ว่าเป็นภัยพิบัติร้ายแรงแห่งยุค โดยเฉพาะอย่างยิ่งสำหรับองค์กรธุรกิจทั้งหลายที่ถ้าโดนมัลแวร์ประเภทนี้เข้าไป สามารถนำไปสู่การปิดกิจการได้เลย มัลแวร์ตัวนี้นอกจากความร้ายกาจแล้ว ยังมีพัฒนาการอย่างต่อเนื่องที่เสริมสร้างความน่ากลัวให้ทวีความรุนแรงขึ้นทุกวัน

จากรายงานโดยเว็บไซต์ Computer Weekly ได้กล่าวถึงการตรวจพบแรนซัมแวร์ตัวใหม่ Vect โดยทีมวิจัยจาก Check Point Research (CPR) หน่วยงานย่อยของบริษัทผู้พัฒนาโซลูชันสำหรับการรักษาความปลอดภัยไซเบอร์ในระดับองค์กร Check Point ได้ตรวจพบแรนซัมแวร์ตัวดังกล่าวมาตั้งแต่ปลายปี ค.ศ. 2025 (พ.ศ. 2568) ซึ่งในการตรวจสอบส่วนของการเข้ารหัส (Encryption) เพื่อล็อกไฟล์จับไฟล์เป็นตัวประกันนั้น ทางทีมวิจัยพบว่า ระบบการเข้ารหัสนั้นมีช่องโหว่อย่างร้ายแรงที่ทำให้ตัวระบบเข้ารหัสนั้น แทนที่จะเข้ารหัสล็อกไฟล์จับเป็นตัวประกันตามปกติ กับล้างข้อมูลทั้งหมดในไฟล์นั้น ๆ (Wipe) แทน ส่งผลให้ถึงแม้เหยื่อจะส่งเงินให้แฮกเกอร์ ก็จะไม่สามารถปลดล็อกไฟล์กลับมาใช้งานได้

ซึ่งช่องโหว่ที่ตรวจพบนั้น ทางทีมวิจัยพบว่า เมื่อตัวแรนซัมแวร์ตรวจพบไฟล์ที่มีขนาดใหญ่กว่า 128 KB (ซึ่งในระดับองค์กรนั้น หมายถึงไฟล์เกือบทั้งหมดที่องค์กรมี ตั้งแต่ไฟล์อิมเมจของเครื่องจำลอง (Virtual Machine Image), ฐานข้อมูล (Database), และข้อมูลสำรองต่าง ๆ) เครื่องมือสำหรับการเข้ารหัสจะทำการเข้ารหัสและทำลายข้อมูลสำหรับการกู้ไฟล์ (Recovery) แทน ซึ่งช่องโหว่ดังกล่าวนั้น ทำให้ทางทีมวิจัยได้ทำการเปลี่ยนนิยามของมัลแวร์ตัวนี้ใหม่ จากแรนซัมแวร์ เป็น ไวเปอร์ (Wiper หรือ เครื่องมือลบข้อมูล) แทน เพราะข้อมูลที่ใช้งานและกู้ไม่ได้นั้น ทางเทคนิคถือว่าโดยลบไปอย่างถาวรแล้ว โดยช่องโหว่นี้นั้นทางทีมวิจัยพบมาตั้งแต่ก่อนแรนซัมแวร์ Vect รุ่น Public 2.0 ถูกปล่อยให้แฮกเกอร์ในวงการใช้ ซึ่งช่องโหว่นี้กระทบแรนซัมแวร์เวอร์ชัน Windows, Linux, และ EXXi

ทางทีมวิจัยได้คาดการณ์ว่า ช่องโหว่ดังกล่าวนั้นอาจมาจากการเขียนโค้ด (Coding) ที่ผิดพลาด ที่ทำให้ตัวแรนซัมแวร์นั้นมีการทำงานในทางเทคนิคไปคนละสิ่งกับที่แรนซัมแวร์ควรจะเป็น นอกจากนั้นแรนซัมแวร์ Vect ถึงแม้จะมีการโฆษณาอย่างหนักหน่วง โดยมีความร่วมมือกับกลุ่ม TeamPCP และ เว็บบอร์ดใต้ดิน BreachForums เพื่อเปิดตัวแรนซัมแวร์ตัวนี้ พร้อมกับโปรโมชันให้สมาชิกที่ลงทะเบียนอยู่บนเว็บบอร์ดดังกล่าวนั้นสามารถเข้าถึงตัวแรนซัมแวร์ได้ฟรี แต่ตัวแรนซัมแวร์ Vect นั้นกลับทำออกมาได้ไม่ได้ตามที่โฆษณา ทั้งฟีเจอร์หลายอย่างยังไม่ได้ใช้งานได้ เช่น ฟีเจอร์การปรับความเร็วของการเข้ารหัสไฟล์ ก็ไม่สามารถใช้งานได้จริง, ฟีเจอร์การป้องกันการรันบนสภาพแวดล้อมจำลอง (Anti-Sandbox) ก็ไม่สามารถใช้งานได้ โดยทีมวิจัยสามารถทำการทดสอบมัลแวร์บน Sandbox ได้อย่างสะดวก และนอกจากนั้น ตัวแรนซัมแวร์เองยังไม่ได้ถูกเขียนขึ้นมาใหม่ทั้งหมดตามที่ได้โฆษณาโม้โอ้อวดไว้ เนื่องมีการตรวจพบว่า โค้ดหลายอย่างคล้ายกับโค้ดแรนซัมแวร์ที่หลุดออกมาช่วงปี ค.ศ. 2022 (พ.ศ. 2565) หรือ เก่ากว่า เนื่องจากตัวโค้ดมีการรวมยูเครนไว้เป็นหนึ่งในประเทศที่แรนซัมแวร์ถูกยกเว้นการทำงาน (Exclusion) ซึ่งผิดแปลกไปจากมัลแวร์จากรัสเซียในช่วงหลังสงครามยูเครน - รัสเซีย ที่ประเทศยูเครน มักจะถูกตัดออกจากบัญชียกเว้นดังกล่าว

ด้วยเหตุนี้ นอกจากการระวังตัวจากแรนซัมแวร์แล้ว ทางทีมวิจัยยังได้แนะนำว่า ถ้าเกิดเหตุสุดวิสัยขึ้นมา อย่างจ่ายเงินให้แฮกเกอร์เด็ดขาด เพราะถึงจ่ายไปก็อาจจะไม่ได้ข้อมูลคืนมา