คล้ายๆกับการดูหนัง series ก็ว่าได้ เมื่อมีการเปิดเผยจาก Proofpoint ว่าเจอ malware ที่โจมตีโดยใช้
MS17-010 ไม่มีผิด แต่เป็นการฝังตัวของ Application เพื่อขุดเงิน cryptocurrency (ประมาณ Bitcoin) ให้กับ Hacker ก่อนที่จะเริ่มมีการระบาด WannaCry ด้วยซำ้ โดย malware ตัวนั้นมีชื่อว่า Adylkuzz
Adylkuzz เป็น Malware ที่โจมตีและแพร่กระจายตัวเหมือนกับ WannaCry คือการโจมตีไปเป็น MS17-010 แต่แตกต่างกันที่ Adylkuzz จะไม่ได้มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่จะเน้นเรื่องการแอบรันโปรแกรมขุดเงิน cryptocurrency แบบเงียบๆในเครื่องของเหยื่อแทน โดย Proofpoint เชื่อว่า Adylkuzz เริ่มกระจายตัวตั้งแต่วันที่ 2 พค. 2017 เผลอๆอาจจะเป็นวันที่ 24 เมษายน 2017 ซึ่งก่อน WannaCry แพร่กระจายถึง 2 สัปดาห์
การพบ Adylkuzz ถือเป็นเรื่องบังเอิญด้วยซ้ำ หลังจากที่ WannaCry เริ่มแพร่กระจาย, Proofpoint พยายามตั้ง Honeypot ดักล่อ WannaCry เพื่อนำมาวิเคราะห์แต่กลับกลายเป็นได้ Malware ที่พฤติกรรมการแพร่กระจายคล้ายๆกับ WannaCry แทน ซึ่งนั่นก็คือ Adylkuzz
เมื่อ Adylkuzz ถูกติดตั้งลงไปในเครื่องของเหยื่อเรียบร้อยแล้วก็จะติดต่อไปยังเครื่อง C&C ของ Hacker เพื่อดึงตัวเครื่องมือขุด cryptocurrency และดึงขั้นตอนการขุดมา โดยในตัวอย่างที่พบจะเป็นการขุด cryptocurrency ที่ชื่อว่า Monero (คล้ายๆกับ Bitcoin) โดย ณ เวลาตอนนี้ 7.58 Monero จะมีค่าประมาณ 205$
ซึ่งบ่งบอกว่า ไม่ใช่แค่มี WannaCry เท่านั้นที่พยายามโจมตีและแพร่กระจายไปย้ง 445 (SMBv1) ดังนั้นหากเป็นไปได้ก็รีบ patch รีบป้องกันให้เร็วที่สุดเท่าที่จะได้ทำได้นะครับ
ที่มา: proofpoint
You must be logged in to post a comment.