นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบความเชื่อมโยงของเงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ (Ransomware) ที่แพร่ระบาดในประเทศอิสราเอล เชื่อมโยงกับเว็บไซต์ร้านนวดเฉพาะจุด
การโจมตีในครั้งนี้เกิดขึ้นโดยมัลแวร์เรียกค่าไถ่ในปฏิบัติการชื่อ Ever101 ซึ่งโจมตีผู้ให้บริการคอมพิวเตอร์สัญชาติอิสราเอลด้วยการเข้ารหัสข้อมูลบนอุปกรณ์ทำให้ไม่สามารถใช้งานได้
จากรายงานที่เผยแพร่โดย Profero และ Security Joes ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอสัญชาติอิสราเอล และเป็นผู้ที่เข้ารับมือเหตุการณ์โจมตีครั้งนี้ แสดงให้เห็นว่า Ever101 เป็นมัลแวร์เรียกค่าไถ่สายพันธ์เดียวกันกับ Everbe และ Payment45
เมื่อเริ่มทำการเข้ารหัสไฟล์ นามสกุลไฟล์จะถูกต่อท้ายด้วยคำว่า ".ever101" และทำการสร้างไฟล์ชื่อ """=READMY="".txt" สำหรับข่มขู่เรียกค่าไถ่เอาไว้ในทุกๆ โฟลเดอร์บนเครื่องคอมพิวเตอร์
ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี นักวิจัยพบว่าโฟลเดอร์ชื่อ “Music” ถูกใช้เป็นที่เก็บไฟล์สำหรับใช้เป็นเครื่องมือในการโจมตีจำนวนมาก ซึ่งเผยให้เห็นถึง Tactics, Techniques, Procedures (TTPs) ของผู้โจมตี
ตามรายงานของ Profero และ Security Joe กล่าวไว้ว่า “ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี เราพบข้อมูลที่สำคัญเก็บไว้ภายในโฟลเดอร์ Music โดยภายในนั้นมีไฟล์ไบนารี่ของมัลแวร์เรียกค่าไถ่รวมถึงไฟล์อีกจำนวนหนึ่งที่เข้ารหัสไว้ และที่ยังไม่ได้เข้ารหัสซึ่งเราเชื่อว่าผู้โจมตีใช้เครื่องมือเหล่านี้ในการรวบรวมข้อมูล และโจมตีไปยังเครือข่ายต่อไป”
เครื่องมือที่ถูกใช้โดยกลุ่ม Ever101 เช่น
xDedicLogCleaner - ใช้เพื่อกลบร่องรอยใน Windows event logs, system logs, และโฟลเดอร์ Temp
PH64.exe - โปรแกรม Process Hacker (64-bit) ที่ถูกเปลี่ยนชื่อเพื่อหลีกเลี่ยงการตรวจจับ
Cobalt Strike - ใช้เพื่อให้สามารถเข้าถึงเครื่องได้จากระยะไกล โดยในการโจมตีครั้งนี้ Cobalt Strike Beacon ถูกฝังอยู่ในไฟล์ชื่อ WEXTRACT.exe
SystemBC - ใช้เพื่อซ่อนข้อมูลการเชื่อมต่อของ Cobalt Strike บน SOCKS5 Proxy เพื่อหลีกเลี่ยงการตรวจจับ
ไฟล์เครื่องมือที่เหลือถูกเข้ารหัสจากการทำงานของมัลแวร์เรียกค่าไถ่แต่ทว่าสามารถคาดเดาลักษณะการทำงานได้จากชื่อของไฟล์ได้ เช่น
SoftPerfect Network Scanner - ใช้เพื่อสแกน IPv4/IPv6 network
shadow.bat - อาจจะเป็นไฟล์ประเภท Batch ใช้สำหรับลบไฟล์ Shadow Copy ของระบบปฏิบัติการ Windows
NetworkShare_pre2.exe - ใช้เพื่อตรวจสอบ Shared Folders และ Drives บนระบบเครือข่ายของระบบปฏิบัติการ Windows
สิ่งที่น่าสนใจเป็นพิเศษคือไฟล์ที่ถูกใช้ร่วมกันโดยผู้โจมตีหลายกลุ่ม เช่น WinRar มี User Interface เป็นภาษาอราบิก
อย่างไรก็ตาม Omri Moyal, CEO ของ Profero บอกกับ BleepingComputer ว่า การที่ไฟล์เครื่องมือบางส่วนใช้ภาษาอราบิกสำหรับ User Interface นั้นเป็น "False Flag"
ตามรอยเงินค่าไถ่ไปถึงเว็บไซต์ร้านนวดเฉพาะจุด
ประเด็นที่น่าสนใจคือสิ่งที่นักวิจัยพบหลังจากใช้บริการของ CipherTrace ในการติดตามบิทคอยน์ที่ใช้ในการจ่ายค่าไถ่ซึ่งมีการ รับ-ส่ง ผ่านกระเป๋าเงินบิทคอยน์หลายแห่ง
ผลจากการติดตามร่องรอยดังกล่าว นักวิจัยฯพบว่ามีบิทคอยน์จำนวน 0.01378880 BTC หรือประมาณ 19,000 บาท (คำนวณจากราคาบิทคอยน์ ณ 22 มิ.ย.64) ถูกส่งในรูปแบบของ "Tip Jar" ไปยังเว็บไซต์ชื่อ RubRatings
RubRatings เป็นเว็บไซต์ที่ให้บริการพื้นที่โฆษณาสำหรับ "ผู้ให้บริการนวดตัวสำหรับการผ่อนคลาย" ในสหรัฐอเมริกาโฆษณาบริการของตน แต่มีผู้ใช้งานจำนวนมากที่ใช้รูปโป๊เปลือย และแอบแฝงการบริการในลักษณะนวดเฉพาะจุด ซึ่งในโปรไฟล์ของผู้ใช้งานแต่ละคนจะมีปุ่ม "Tip Jar" ซึ่งใช้สำหรับรับทิปด้วยบิทคอยน์จากผู้ใช้บริการได้
นักวิจัยเชื่อว่าเงินค่าไถ่ที่ได้จากมัลแวร์เรียกค่าไถ่ได้ไปถึงมือของผู้โจมตีที่อยู่เบื้องหลัง Ever101 ในประเทศสหรัฐอเมริกา และถูกใช้ในการจ่ายทิปให้กับผู้ให้บริการนวด หรือเป็นไปได้ว่าเว็บไซต์ดังกล่าวถูกใช้ในการฟอกเงินที่ได้จากมัลแวร์เรียกค่าไถ่
นักวิจัยได้อธิบายเพิ่มเติมสิ่งที่เกิดขึ้นไว้ว่า
"อีกความเป็นไปได้หนึ่งคือบัญชีผู้ใช้งานบนเว็บไซต์นั่นถูกใช้เพื่อกลบเกลื่อนร่องรอยการเคลื่อนย้ายบิทคอยน์"
"บางทีบัญชีผู้ใช้งานซึ่งรับทิปไปนั้นทำงานให้กับกลุ่มผู้โจมตี หรือเป็นไปได้ว่านี่อาจจะเป็นบัญชีผู้ใช้งานปลอมซึ่งถูกสร้างมาเพื่อรับโอนบิทคอยน์โดยเฉพาะ"
"บิทคอยน์ถูกส่งไปยังกระเป๋าบิทคอยน์ที่ผูกกับบัญชีผู้ใช้งานบนเว็บไซต์ RubRatings ในเวลาประมาณ 15:48 UTC และถูกโอนออกไปไม่กี่นาทีให้หลังในเวลา 15:51 UTC"
ผลจากการที่บิทคอยน์ถูกติดตามร่องรอยได้ง่ายขึ้นเรื่อยๆ หรือแม้กระทั่งถูกเรียกคืนได้โดยผู้บังคับใช้กฏหมาย ทำให้กลุ่มผู้โจมตีพยายามสรรหาวิธีการในการฟอกเงินที่แยบยลมากยิ่งขึ้น ดังนั้นจึงมีความเป็นไปได้ที่กลุ่มผู้อยู่เบื้องหลัง Ever101 จะสร้างบัญชีผู้ใช้งานปลอมบน RubRatings และใช้ระบบ "Tip Jar" ในการฟอกเงินเพื่อให้ดูเหมือนการส่งทิปให้กับผู้ให้บริการนวดตามปกติ
ที่มา : bleepingcomputer
You must be logged in to post a comment.