ตัวถอดรหัสแรนซัมแวร์ FunkSec มาแล้ว ใครเคยโดนเล่นงานโหลดไปใช้ได้เลย ไม่ต้องจ่ายค่าไถ่แล้ว
นักวิจัยจาก Gen Digital ได้เผยแพร่เครื่องมือถอดรหัส (decryptor) สำหรับแรนซัมแวร์ FunkSec ให้เหยื่อสามารถกู้คืนไฟล์ได้โดยไม่เสียค่าใช้จ่าย และไม่ต้องจ่ายค่าไถ่ หลังกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแรนซัมแวร์ดังกล่าวไม่มีความเคลื่อนไหวใด ๆ มาตั้งแต่ต้นปี 2025 และเชื่อว่าอาจยุติบทบาทไปแล้วอย่างไม่เป็นทางการ
FunkSec ปรากฏตัวในช่วงปลายปี 2024 และกลายเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่สร้างความเสียหายอย่างรวดเร็ว โดยอ้างว่ามีเหยื่อแล้วอย่างน้อย 172 ราย ตามข้อมูลจาก Ransomware.live โดยเหยื่อส่วนใหญ่อยู่ในสหรัฐอเมริกา อินเดีย และบราซิล ซึ่งครอบคลุมทั้งภาคเทคโนโลยี หน่วยงานรัฐ และการศึกษา
รายงานวิเคราะห์จากบริษัท Check Point เมื่อเดือนมกราคม 2025 ระบุว่า ตัวเข้ารหัสของ FunkSec มีลักษณะที่ชี้ว่าอาจใช้เครื่องมือ AI เป็นส่วนช่วยในการพัฒนาโค้ด โดยเฉพาะในส่วนของการจัดการกระบวนการเข้ารหัส ทั้งนี้ ไม่มีเหยื่อใหม่ถูกเพิ่มลงในเว็บไซต์ data leak ของกลุ่มตั้งแต่วันที่ 18 มีนาคม 2025 ซึ่งเป็นสัญญาณว่ากลุ่มอาจยุติกิจกรรมแล้ว แม้จะไม่มีข้อมูลยืนยันว่าเลิกเองหรือถูกบังคับให้หยุด
นักวิจัยเชื่อว่า FunkSec อาจเป็นกลุ่มแฮกเกอร์มือใหม่ที่มุ่งหวังชื่อเสียงมากกว่ากำไร โดยใช้วิธีโพสต์ข้อมูลหลุดจากเหตุการณ์เก่าและแคมเปญ hacktivism ที่ไม่ได้เป็นผลงานของตนเอง
ในเชิงเทคนิค FunkSec เขียนด้วยภาษา Rust ซึ่งกำลังได้รับความนิยมในหมู่กลุ่มแรนซัมแวร์ยุคใหม่ เช่น BlackCat และ Agenda โดยใช้ไลบรารี orion-rs เวอร์ชัน 0.17.7 ประกอบกับอัลกอริธึม Chacha20 และ Poly1305 ในการเข้ารหัสแบบบล็อกต่อบล็อก
Ladislav Zezula นักวิจัยจาก Gen Digital ระบุว่าแรนซัมแวร์จะแบ่งข้อมูลเป็นบล็อกขนาด 128 ไบต์ พร้อมแนบเมทาดาต้าเพิ่ม 48 ไบต์ต่อบล็อก ซึ่งทำให้ไฟล์ที่ถูกเข้ารหัสมีขนาดใหญ่กว่าต้นฉบับประมาณ 37%
แม้ Gen Digital จะไม่เปิดเผยวิธีที่สามารถพัฒนา decryptor ได้ หรือไม่ได้ระบุว่ามีช่องโหว่ในการเข้ารหัสหรือไม่ แต่ขณะนี้ผู้ใช้สามารถดาวน์โหลดเครื่องมือถอดรหัสดังกล่าวได้แล้วผ่านเว็บไซต์ของโครงการ No More Ransom ซึ่งเป็นความร่วมมือระหว่างหน่วยงานรัฐและภาคเอกชนในระดับนานาชาติ
สำหรับผู้ที่ต้องการใช้งานเครื่องมือนี้ ควรตรวจสอบก่อนว่าไฟล์ที่ถูกเข้ารหัสตรงกับรูปแบบของ FunkSec จริง โดยดูจากนามสกุล .funksec หรือโครงสร้างเมทาดาต้าภายในไฟล์ No More Ransom มีคำแนะนำขั้นตอนการใช้งานเบื้องต้นไว้เรียบร้อย แต่แนะนำให้ผู้ดูแลระบบสำรองไฟล์ที่ได้รับผลกระทบไว้ก่อน เพื่อป้องกันความเสียหายหากการถอดรหัสไม่สมบูรณ์
แม้แรนซัมแวร์ FunkSec จะดูเหมือนหมดฤทธิ์ไปแล้ว แต่กรณีนี้สะท้อนถึงแนวโน้มที่น่ากังวลของโลกไซเบอร์ยุคใหม่ ซึ่งอาชญากรสามารถใช้เครื่องมือ AI มาพัฒนามัลแวร์ที่มีความซับซ้อนได้รวดเร็วขึ้น จึงเป็นสิ่งเตือนให้องค์กรทุกแห่งต้องยกระดับการป้องกันเชิงรุก ทั้งในด้านเทคนิค บุคลากร และกระบวนการสำรองข้อมูลอย่างมีระบบ