ทีมวิจัยจากบริษัท Sophos ได้เผยเเพร่ข้อมูล RagnarLocker ransomware ซึ่งใช้เทคนิคในการหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ป้องกันไวรัสโดยการติดตั้ง VirtualBox และทำการรันตัวเองบน Virtual Machine (VM) ในเครื่องที่ติดเชื้อของผู้ใช้
รูปแบบการใช้ RagnarLocker ransomware โจมตีนั้นผู้โจมตีได้ใช้ช่องโหว่การโจมตี Windows Remote Desktop Protocol (RDP) ในกลุ่มเป้าหมาย เมื่อสามารถเข้าถึงเป้าหมายได้ ผู้โจมตีที่ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบจะใช้งาน GPO เพื่อเรียกใช้ Microsoft Installer (msiexec.exe) เพื่อทำการดาวน์โหลดและทำการติดตั้ง Oracle VirtualBox ไปที่เครื่องเหยื่อจากนั้นจะกำหนดค่า VM เพื่อให้สามารถเข้าถึงไดรฟ์ภายในและไดรฟ์ที่แชร์ทั้งหมด หลังจากนั้นใช้ VM ที่ทำการติดตั้งทำการดาวน์โหลด ransomware และทำการรัน ransomware ใน VM เพื่อซ่อนตัวจากการตรวจจับจากซอฟต์แวร์ป้องกันไวรัส
เพื่อเป็นการป้องกันผู้ใช้งานหรือผู้ดูเเลระบบควรปิดการเข้าถึงการเชื่อมต่อ RDP ผ่านอินเตอร์เน็ตหรือถ้าหากมีความจำเป็นต้องใช้ผู้ใช้งานหรือผู้ดูเเลระบบควรทำการเชื่อมต่อ RDP ผ่านเครื่อข่าย VPN เพื่อเป็นการป้องกันการเข้าถึงการเชื่อมต่อ RDP ทั้งนี้ผู้ใช้งานหรือผู้ดูแลระบบควรทำการตรวจสอบการใช้งาน VM ถ้าพบการรัน process ที่ผิดปกติให้ทำการหยุด process ที่ผิดปกติเพื่อทำการตรวจสอบและเเก้ไข
ที่มา:
You must be logged in to post a comment.