ผู้โจมตีมุ่งเป้าไปที่ Microsoft SQL Servers เพื่อติดตั้ง FreeWorld Ransomware

Microsoft SQL Servers to Deploy FreeWorld Ransomware

นักวิจัยพบว่าผู้โจมตีกำลังใช้ประโยชน์จาก Microsoft SQL (MS SQL) เซิร์ฟเวอร์ที่มีช่องโหว่ เพื่อติดตั้ง Cobalt Strike และ ransomware ที่ชื่อว่า FreeWorld

นักวิจัยด้านความปลอดภัย Den Iuzvyk, Tim Peck และ Oleg Kolesnikov จากบริษัทรักษาความปลอดภัยทางไซเบอร์ Securonix พบแคมเปญการโจมตีที่ชื่อว่า DB#JAMMER ซึ่งแคมเปญการโจมตีดังกล่าวมีการใช้งานชุดเครื่องมือ และโครงสร้างพื้นฐาน เช่น enumeration software, RAT payloads, exploitation, credential stealing software และสุดท้ายคือ ransomware payloads ที่ดูเหมือนว่าเป็นเวอร์ชันใหม่ของ Mimic ransomware ที่ชื่อว่า FreeWorld

การเข้าถึงโฮสต์เบื้องต้นของเหยื่อทำได้โดยการ brute-forcing MS SQL server เพื่อใช้ในการเข้าถึงข้อมูล และใช้ xp_cmdshell เพื่อรันคำสั่ง shell และสแกนหาช่องโหว่บนระบบ

ขั้นตอนต่อไปคือ การดำเนินการเพื่อแฝงตัวบนระบบของเหยื่อ โดยการเชื่อมต่อกลับไปยัง SMB server ภายนอก เพื่อรับส่งไฟล์จากระบบของเหยื่อ รวมถึงติดตั้งเครื่องมือที่เป็นอันตราย เช่น Cobalt Strike

ซึ่งเป็นการปูทางสำหรับการแพร่กระจายซอฟต์แวร์ AnyDesk เพื่อทำการติดตั้ง FreeWorld ransomware ในที่สุด แต่ก่อนหน้านั้นพบว่าผู้โจมตีพยายามโจมตีผ่านทาง RDP ด้วยการใช้ Ngrok Service แต่ไม่สำเร็จ

เนื่องจากจุดเริ่มต้นของการโจมตีเริ่มจากการพยายาม brute force MS SQL server แสดงให้เห็นถึงความสำคัญในการตั้งรหัสผ่านให้ปลอดภัย โดยเฉพาะระบบที่จำเป็นต้องเปิดให้เข้าถึงจากภายนอก

รายงานดังกล่าวเกิดขึ้นภายหลังจากที่กลุ่ม Rhysida ransomware อ้างว่าได้โจมตีเหยื่อไปกว่า 41 ราย โดยมากกว่าครึ่งหนึ่งอยู่ในยุโรป

Rhysida เป็นหนึ่งในกลุ่มแรนซัมแวร์สายพันธุ์ใหม่ที่ถูกพบในเดือนพฤษภาคม 2023 โดยนำวิธีการที่ได้รับความนิยมในการเข้ารหัส และขโมยข้อมูลที่มีความสำคัญจากองค์กรต่าง ๆ และขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะหากเหยื่อปฏิเสธที่จะจ่ายเงิน

Microsoft SQL Servers to Deploy FreeWorld Ransomware

นอกจากนี้นักวิจัยจาก EclecticIQ ยังปล่อยเครื่องมือถอดรหัสฟรีสําหรับ ransomware ที่ชื่อว่า Key Group เนื่องจากข้อผิดพลาดในการเข้ารหัสหลายครั้งในโปรแกรม อย่างไรก็ตามเครื่องมือถอดรหัสดังกล่าว ใช้งานได้กับ ransomware ที่ compiled หลังจากวันที่ 3 สิงหาคม 2023 เท่านั้น

ปี 2023 พบการโจมตีจาก ransomware มากขึ้น ภายหลังจากหยุดนิ่งไปในปี 2022 ถึงแม้ว่าเปอร์เซ็นต์ของเหตุการณ์ที่ทําให้เหยื่อยอมจ่ายเงินจะลดลงถึง 34% ตามสถิติที่รายงานโดย Coveware ในเดือนกรกฎาคม 2023

ในทางกลับกันจํานวนเงินค่าไถ่ที่เหยื่อยอมจ่ายนั้นสูงถึง $740,144 เพิ่มขึ้น 126% จากไตรมาสที่ 1 ปี 2023

ที่มา : thehackernews