ทาง BleepingComputer ออกมายืนยันว่า Garmin ได้รับกุญแจที่ใช้ในการถอดรหัสเพื่อใช้ในการกู้ไฟล์ที่ถูกเข้ารหัสจากการถูก Ransomware ที่ชื่อ WastedLocker โจมตี
อย่างที่เป็นข่าวใหญ่ก่อนหน้านี้ เมื่อวันที่ 23 กรกฎาคมที่ผ่านมา Garmin มีการดาวน์ระบบและบริการต่างๆ ทั่วโลกหลังถูก Ransomware โจมตี เป็นผลให้ผู้ใช้งานทั่วโลกไม่สามารถเข้าถึงระบบ และบริการต่างๆ ของ Garmin ได้ เช่น Garmin Connect, flyGarmin, Strava และ inReach solutions เป็นต้น
และเป็นทาง BleepingComputer ที่ออกมายืนยันเป็นเจ้าแรกว่า Garmin นั้นถูกโจมตีโดย Ransomware ที่ชื่อ WastedLocker หลังจากที่พนักงานของ Garmin แชร์ภาพที่เวิร์คสเตชั่นถูกเข้ารหัสเอาไว้ และมีการแจ้งภายหลังว่ามีการเรียกค่าไถ่ไฟล์ในมูลค่า 10 ล้านดอลลาร์
หลังการโจมตีผ่านไป 4 วัน ทาง Garmin ประกาศว่า พวกเขาเริ่มจะฟื้นฟูระบบและบริการต่างๆ กลับคืนมาได้ ทำให้มีหลายคนสงสัยว่า พวกเขาอาจจะยอมจ่ายเงินค่าไถ่เพื่อให้ได้กุญแจเพื่อมาปลดล็อคไฟล์ที่ถูกเข้ารหัส แต่ Garmin ปฏิเสธที่จะให้ข้อมูลเกี่ยวกับประเด็นนี้
และวันนี้ (3 สิงหาคม) BleepingComputer ได้สิทธิ์เข้าถึงไฟล์ที่ประมวลผลได้จากแผนกไอทีของ Garmin เพื่อถอดรหัสเวิร์คสเตชั่น และทำการติดตั้งซอร์ฟแวร์ระบบความปลอดภัยหลายตัวบนเครื่อง
Ransomware อย่าง WastedLocker นั้นพุ่งเป้าไปที่การเรียกค่าไถ่ไฟล์ในระดับองค์กร และที่สำคัญคือยังไม่มีผู้ที่ทราบจุดอ่อนในอัลกอริธึมการเข้ารหัสของ Ransomware ตัวนี้
ทำไมสื่อต่างๆ จึงคิดว่า Garmin ยอมจ่ายค่าไถ่?
การไม่มีจุดอ่อนทำให้การถอดรหัสนั้นไม่น่าหาวิธีถอดรหัสฟรีๆ หรือทำได้ในราคาที่ถูก ดังนั้นการที่ Garmin ได้กุญแจถอดรหัสไฟล์ที่ถูกเข้ารหัสเอาไว้ มีความเป็นไปได้สูงที่พวกเขาต้องจ่ายเงินค่าไถ่ให้กับแฮ็กเกอร์ แต่ไม่ทราบจำนวนเงินที่จ่ายไปสำหรับค่าไถ่ มีเพียงข้อมูลจากข่าวก่อนหน้านี้ว่าค่าไถ่ที่ถูกเรียกมีมูลค่า 10 ล้านดอลลาร์
จากรูป จะเห็นว่ามีไฟล์สคริปที่ลงวันที่ไว้เมื่อ ’07/25/2020′ (วันที่ 25 กรกฎาคม 2020) นั่นแปลว่า ทาง Garmin อาจมีการจ่ายค่าไถ่ไฟล์ช่วงวันที่ 24 หรือ 25 กรกฎาคม 2020
จากวิดีโอ เป็นการนำตัวอย่างไฟล์ของ Garmin ที่ถูก WastedLocker โจมตีมาลองทำการถอดรหัสไฟล์ ผลที่ได้คือ สามารถถอดรหัสไฟล์ได้โดยไม่มีปัญหาใดๆ
คำแนะนำ คือ เมื่อคอมพิวเตอร์และระบบต่างๆ ถูกโจมตี Ransomware ควรจะล้างเครื่องและจัดให้มีการติดตั้งโปรแกรมใหม่ทั้งหมด การลงโปรแกรมใหม่เป็นสิ่งสำคัญมาก เพราะ คุณไม่สามารถรู้ได้เลยว่าแฮ็กเกอร์ทำอะไรกับระบบไปบ้างตอนที่ทำการเข้ารหัสไฟล์
แต่จากไฟล์สคริปด้านบน ไม่ปรากฏว่า Garmin ทำตามคำแนะนำที่บอกไป แต่ทำแค่เพียงถอดรหัสเวิร์คสเตชั่น และทำแค่ติดตั้งซอร์ฟแวร์ความปลอดภัยระบบลงไป
ตัวถอดรหัส WastedLocker ที่อยู่ในแพคเกจดังกล่าว มีการอ้างอิงถึงบริษัท Emsisoft ที่ดูแลเรื่องความปลอดภัยบนโลกไซเบอร์ และ Coveware ผู้ให้บริการด้านการเจรจา Ransomware จากนั้น BleepingComputer ได้ติดต่อไปทาง Coveware แต่พวกเขาปฏิเสธที่จะตอบและให้ข้อมูลใดๆ เกี่ยวกับเรื่อง Ransomware ที่เป็นข่าว รวมถึง Emsisoft ที่ปฏิเสธจะให้ข้อมูลเช่นกัน แต่บอกเพียงแค่ว่าพวกเขามีส่วนในการสร้างเครื่องมือในการถอดรหัสขึ้นมา และไม่มีส่วนเกี่ยวข้องกับการจ่ายเงินค่าไถ่
ทำไม Garmin ไม่สามารถบอกได้ว่า ยอมจ่ายค่าไถ่เพื่อให้ได้คีย์มาปลดล็อคไฟล์หรือไม่?
กลับมาที่ประเด็นที่หลายคนสงสัย ที่ Garmin สามารถถอดรหัสไฟล์ที่ถูก Ransomwareโจมตีได้ มีความเป็นไปได้สูง ที่บริษัทน่าจะต้องจ่ายค่าไถ่ไฟล์ให้ทาง Evil Corp ที่เป็นผู้สร้าง WastedLocker ขึ้นมา แต่ทว่าแฮกเกอร์กลุ่มนี้ ถูกทางการสหรัฐฯ คว่ำบาตรและขึ้นบัญชีดำ ถ้าหาก Garmin จ่ายเงินค่าไถ่โดยตรง ให้ Evil Corp จริง อาจมีความเสี่ยงที่จะถูกรัฐบาลสหรัฐฯปรับเงินได้
ข้อมูลจากแหล่งข่าวที่ใกล้ชิดกับบริษัท Coveware เผยกับทาง BleepingComputer ว่าบริษัทที่ให้บริการด้านการเจรจา Ransomware นั้นขึ้นบัญชี WastedLocker ใน restricted list ตั้งแต่ต้นเดือนกรกฎาคม แต่ไม่ได้ทำการเจรจาต่อรองการโจมตีใดๆ รวมถึงตอนนี้ ยังไม่มีการตอบกลับ หรือให้ความเห็นใดๆ จาก Garmin เกี่ยวกับประเด็นเรื่องการจ่ายค่าไถ่ไฟล์
ที่มา : BleepingComputer
รูปจาก : sensors TECH FORUM