Colonial Pipeline โดนโจมตีเรียกค่าไถ่เป็น BTC กับการกู้เงินค่าไถ่คืนของ FBI

Colonial Pipeline โดนโจมตีเรียกค่าไถ่เป็น BTC กับการกู้เงินค่าไถ่คืนของ FBI

ในวันที่ 7 พฤษภาคมที่ผ่านมานั้น Colonial Pipeline โดน Ransomware เรียกค่าไถ่เป็นจำนวน 4.4 ล้านดอลลาร์ คิดเป็นเงินไทยเกือบ 70 ล้านบาท ซึ่งต้องจ่ายผ่าน Bitcoin เท่านั้น

Colonial Pipeline คืออะไร?

Colonial Pipeline เป็นระบบท่อส่งน้ำมันที่ใหญ่ที่สุดในสหรัฐอเมริกา โดยมีความยาวถึง 5,500 ไมล์ สามารถขนส่งน้ำมันและแก๊สโซลีนได้มากกว่า 3 ล้านบาร์เรลต่อวัน โดยคิดเป็น 45% ของปริมาณการใช้น้ำมันต่อวันของสหรัฐฯ โดยระบบท่อส่งน้ำมัน Colonial Pipeline มีความยาวจากรัฐ Texas ไป New York และถือเป็นหนึ่งในโครงสร้างพื้นฐานสำคัญของประเทศ แน่นอนว่า Colonial Pipeline ควบคุมด้วยระบบดิจิทัลแทบทั้งหมด ในช่วงต้นเดือนมิถุนายนที่ผ่านมา Colonial Pipeline โดนโจมตีโดย Ransomware ทำให้ไม่สามารถควบคุมการดำเนินกิจการต่างๆได้ หากปล่อยไว้นานจะส่งผลต่อราคาและอุตสาหกรรมน้ำมันของประเทศ หลังจากถูกโจมตีไม่นานราคาน้ำมันได้สูงขึ้น รัฐบาลสหรัฐฯเมื่อทราบข่าวจึงได้มีการประกาศภาวะฉุกเฉิน

Ransomware คืออะไร?

Ransomware หรือ มัลแวร์เรียกค่าไถ่ที่ไม่ได้ขโมยข้อมูลหรือโจมตีระบบแบบมัลแวร์อื่นๆ Ransomware จะทำการล็อคไฟล์ของระบบโดยการเข้ารหัสผู้ใช้งาน/องค์กรนั้นๆ โดยผู้ใช้งาน/องค์กรที่ได้รับการโดนโจมตีจะไม่สามารถเข้าถึงไฟล์ใดๆบนเครื่องได้ จำเป็นต้องจ่ายเงินเพื่อแลกกับ Key ในการปลดล็อคจากแฮ็คเกอร์  เรียกสั้นๆว่าจ่ายค่าไถ่ โดยจำนวนเงินก็จะแตกต่างกันออกไป ข้อความเรียกค่าไถ่จะปรากฏขึ้นบนหน้าจอหลังจากไฟล์ทั้งเครื่องถูกล็อคเข้ารหัสเป็นที่เรียบร้อย แต่ไม่ได้หมายความว่าจ่ายเงินเเล้วจะได้ Key ปลดล็อคทุกครั้งไป มีกรณีที่จ่ายเงินเเล้วแฮ็คเกอร์ไม่ยอมส่ง Key ให้ตามที่ได้แจ้งไว้

Ransomware เข้ามาโจมตีได้อย่างไร?

หลายฝ่ายคาดการณ์ไว้หลายกรณี เช่นอีเมลปลอม การหาช่องโหว่ของระบบเจอจาก Third Party (บริษัทอื่นที่ Colonial Pipeline ใช้บริการ) หรือแม้แต่ขโมยรหัสผ่านจากวิศวกรควบคุมที่ทำงานแบบ Work From Home

โดยกลุ่มแฮ็คเกอร์ที่เรียกตัวเองว่า DarkSide เป็นกลุ่มที่ปล่อย Ransomware ตัวนี้ และให้บริการ Ransomware-as-a-service (ให้พันธมิตรเอา Ransomware ไปปล่อยแล้วรับส่วนแบ่งค่าไถ่) ออกมาโพสต์ขอโทษบน Darknet ว่าพวกเขาไม่ได้ต้องการสร้างปัญหาให้สังคม ต้องการเพียงเงินเท่านั้น แต่หากจะให้ Key ในการปลดล็อคคืนฟรีๆก็คงจะเป็นไปไม่ได้ และขู่ว่าจะปล่อยข้อมูลสำคัญบางส่วนลงอินเตอร์เน็ตหากไม่จ่ายเงินประกัน

FBI กู้คืน Bitcoin ได้อย่างไร?

ในวันที่ 7 มิถุนายน หน่วยงานบังคับใช้กฏหมายของสหรัฐฯออกมาประกาศว่าพวกเขากู้คืน Bitcoin มูลค่า 2.3 ล้านดอลลาร์ คืนมาได้จากค่าไถ่ 4.4 ล้านดอลลาร์ ด้วยการตามรอยธุรกรรมจนพบ Wallet หนึ่งที่มี Bitcoin อยู่ 64 BTC  จึงใช้ Private Key (FBI ปฏิเสธการให้ข้อมูลส่วนนี้ว่าหา Private Key นี้ มาได้อย่างไร) เข้ายึด Wallet เเละทำการโอน BTC ออกจากบัญชีดังกล่าว แต่หลายฝ่ายคาดการณ์ว่า การได้มาของ Private Key นั้นมาจากการที่ FBI ทำการแฮ็คเข้า Server ของแฮ็คเกอร์ ซึ่ง Server ดังกล่าวได้เก็บ Private Key ของ Wallet นั้นไว้นั่นเอง เพราะมีการรายงานว่าวันที่ 13 พฤษภาคม กลุ่ม DarkSide บอกว่า Server พวกเขาถูกยึด

มีอีกทฤษฎีกล่าวว่า FBI เข้าไปบังคับ Exchange ในประเทศให้เปิด Private Key เพราะระหว่างการโอนนั้นกลุ่ม DarkSide ได้โอน BTC ผ่าน Wallet ของ Exchange บางแห่งในสหรัฐฯเอง เปรียบเสมือนการขโมยของในบ้านคนอื่นแล้วเอาไปจำนำที่โรงรับจำนำของรัฐบาลเลยก็ว่าได้

หากเกิดปัญหานี้อีก

เจ้าหน้าที่ FBI ให้ความเห็นเพิ่มเติมกับ Wall Street Journal ว่า หากอาชญากรรมนี้เกิดในต่างประเทศก็สามารถใช้วิธีเดียวกันในการแก้ปัญหาได้ และสุดท้ายอาชญากรรมไซเบอร์ครั้งนี้อาจจะทำให้เกิดการยกระดับการป้องกันภัยจากมัลแวร์ครั้งใหญ่ในสหรัฐฯ และการที่ FBI สามารถเข้าถึง Server ของกลุ่ม DarkSide ได้นั้น ก็คงจะทำให้แฮ็คเกอร์กลุ่มอื่นที่คิดจะทำเช่นเดียวกันหยุดยั้งการก่ออาชญากรรมได้อีกสักระยะหนึ่ง

หลังจากกรณีนี้ ประธานาธิบดี Joe Biden ได้เซ็น Executive Order ยกระดับป้องกันการโจมตีทางไซเบอร์ทั่วประเทศ เพิ่มความร่วมมือระหว่างรัฐบาลและบริษัทเอกชน หากบริษัทเอกชนโดนโจมตีทางไซเบอร์ให้แจ้งรัฐบาลโดยทันที โดยมีคณะกรรมการดูแลความปลอดภัยทางไซเบอร์เป็นผู้ช่วยหากเกิดเหตุการณ์แบบนี้อีก รวมทั้งอัพเกรดระบบความปลอดภัยของหน่วยงานรัฐทั้งหมด