ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศอัปเกรดตัวเองเป็นเวอร์ชัน 3.0 ซึ่งในครั้งนี้มีการเพิ่มฟีเจอร์ใหม่ ๆ เข้ามา เช่น ป้องกันการวิเคราะห์ และตรวจสอบจากอุปกรณ์ต่างๆ, เพิ่มรางวัลกับผู้ที่เจอบั๊กของโปรแกรม รวมไปถึงเพิ่มวิธีการใหม่ ๆ ในการโจมตี
อย่างไรก็ตาม ในวันที่ 21 กันยายนที่ผ่านมา 3xp0rt ผู้เชี่ยวชาญด้าน Cybersecurity ได้โพสบน Twitter ว่าพบบัญชีสร้างใหม่ที่มีชื่อว่า "Ali Qushji" ซึ่งอ้างว่าตน และทีมได้แฮ็กเซิฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0
หลังจากที่ 3xp0rt แชร์ทวีตไม่นาน ก็มีทีมงานผู้เชี่ยวชาญอีกกลุ่มที่ชื่อว่า VX-Underground ได้แชร์ทวีตในลักษณะเดียวกัน โดยระบุว่าตนได้รับการติดต่อจากผู้ที่อ้างว่ามีข้อมูล Builder ของ LockBit 3.0 เช่นกัน
ต่อมาตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็ก ข้อมูลที่ถูกเผยแพร่มาจากทีม Developer ที่มีปัญหากันเองภายในกลุ่ม
ลักษณะการทำงาน
- จากการตรวจสอบไฟล์ Builder ที่ถูกเผยแพร่ออกมา พบว่าผู้ใช้งานสามารถสร้าง Ransomware ที่ใช้ในการโจมตีขึ้นมาได้อย่างรวดเร็ว ซึ่งในไฟล์ที่ถูกสร้างนั้นประกอบไปด้วยเครื่องมือที่ใช้ในการเข้ารหัส, เครื่องมือถอดรหัส, รวมไปถึง Tools พิเศษอื่น ๆ ที่ใช้ในการถอดรหัส
- เมื่อตรวจสอบ Builder พบว่าประกอบด้วย 4 ไฟล์หลัก ๆ ได้แก่
- เครื่องมือ Generate Key ที่ใช้สำหรับการเข้ารหัส
- Builder ที่ใช้ในการสร้าง Execute File
- Configuration Files ที่ผู้ใช้งานสามารถปรับแก้ไขให้ตรงตามที่ต้องการได้
- Batch File สำหรับสร้าง File ทั้งหมดที่ผู้ใช้งานกำหนดไว้
- ในไฟล์ config.json ผู้ใช้งานสามารถปรับแต่ง Ransomware ให้ตรงกับจุดประสงค์ที่ต้องการ เช่น แก้ไข Ransomware Note, แก้ไข Process ในการ Encrypt ให้หยุดการทำงานเมื่อทำครบตามเงื่อนไขที่กำหนด นอกจากนี้ยังสามารถส่ง Command ไปยัง Server ที่ถูกเข้ารหัสได้อีกด้วย
ผู้เชี่ยวชาญจาก BleepingComputer ทำการทดสอบไฟล์ Builder ที่ได้รับมา โดยการสร้าง Ransomware แล้วทดสอบโดยการเข้ารหัส และถอดรหัส พบว่าสามารถใช้งานได้จริงตามที่ทีม Developer ของ LockBit ได้ระบุไว้ และจากที่ข้อมูลตัว Builder ถูกเผยแพร่ออกมาในครั้งนี้ อาจส่งผลให้ผู้ไม่หวังรายอื่น ๆ นำไปใช้สร้าง Ransomware ที่เป็นของตัวเองเพิ่มขึ้นอีกเป็นจำนวนมาก
ที่มา : bleepingcomputer
You must be logged in to post a comment.