หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส หรือ ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ได้เปิดเผยถึงการค้นพบ Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ซึ่งจะสามารถแพร่กระจายไปยังอุปกรณ์อื่น ๆ บน Local network ของผู้ที่ตกเป็นเหยื่อได้
ความสามารถใหม่ของ Ryuk ransomware ที่หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศสพบจากการตรวจสอบการโจมตีเมื่อต้นปี 2021 คือ Ryuk ransomware ที่ทำการเเพร่กระจายตัวเองไปยัง Local network โดยการใช้ ARP cache และตัว Ryuk ยังมีแพ็คเกจที่สามารถส่ง Wake-on-LAN (WOL) ไปยังอุปกรณ์ที่ค้นพบและเมื่อแรนซัมแวร์ทำการเชื่อมต่อกับอุปกรณ์ที่พบในเครือข่ายตัวแรนซัมแวร์จะสามารถเข้ารหัสเนื้อหาทั้งหมดบนเครื่อง
นอกจากนี้ความสามารถในการเเพร่กระจายตัวไปยังเครือข่ายในลักษณะแบบ Worm แล้ว Ryuk ransomware ยังสามารถดำเนินการเองได้จากระยะไกลโดยใช้ Scheduled tasks ที่สร้างขึ้นในแต่ละโฮสต์ที่ถูกบุกรุกภายในเครือข่ายด้วยเครื่องมือ schtasks.exe ของ Windows
ANSSI ได้มีคำแนะนำในการแก้ไขปัญหาหากตกเป็นเหยื่อของการโจมตี Ryuk ransomware ในรูปแบบใหม่ ซึ่ง ANSSI ได้แนะนำให้ผู้ดูแลระบบเปลี่ยนรหัสผ่านหรือปิดการใช้งานบัญชีผู้ใช้ที่ถูกตรวจพบว่าเป็นเหยื่อ จากนั้นดำเนินการเปลี่ยนรหัสผ่านโดเมน KRBTGT สองครั้ง (การเปลี่ยนรหัสผ่านโดเมน KRBTGT สองครั้งเนื่องจากการเปลื่ยนรหัสผ่านครั้งเเรกคือการรีเซ็ตรหัสผ่านและการเปลื่ยนครั้งที่สองคือการเคลียร์ History บนโดเมน) เพื่อป้องกันการเเพร่กระจายไปยัง Local network ทั้งนี้ผู้ที่สนใจรายละเอียดของ Indicators of compromise (IOCs) เพิ่มเติมสามารถดูได้ที่: cert
ที่มา: bleepingcomputer
You must be logged in to post a comment.