นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ ransomware สายพันธุ์ใหม่ที่เรียกว่า Helldown ในรูปแบบ Linux โดยระบุว่ากลุ่มผู้โจมตีกำลังขยายขอบเขตการโจมตีของตนให้กว้างขึ้น
Sekoia ได้แชร์ข้อมูลให้กับ The Hacker News โดยระบุว่า "Ransomware Helldown สำหรับ Windows ที่ถูกพัฒนาจากโค้ดของ LockBit 3.0 จากการพัฒนาล่าสุด ได้มุ่งเป้าหมายไปที่ ESX ซึ่งมีความเป็นไปได้ที่กลุ่มนี้กำลังพัฒนาปฏิบัติการเพื่อโจมตี VMware"
Helldown ถูกพบครั้งแรกโดย Halcyon ในช่วงกลางเดือนสิงหาคม 2024 โดยถูกระบุว่าเป็นกลุ่ม ransomware ที่มีความ aggressive ที่สามารถแทรกซึมเข้าสู่เครือข่ายของเป้าหมายโดยอาศัยการเจาะช่องโหว่ด้านความปลอดภัย กลุ่มอาชญากรรมไซเบอร์กลุ่มนี้มีเป้าหมายในภาคส่วนที่สำคัญ เช่น บริการด้าน IT, ด้านโทรคมนาคม, ด้านการผลิต และด้านการดูแลสุขภาพ
เช่นเดียวกับกลุ่ม ransomware อื่น ๆ Helldown เป็นที่รู้จักจากการใช้ data leak sites เพื่อกดดันเหยื่อให้จ่ายค่าไถ่ โดยข่มขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยมา วิธีการนี้ถูกเรียกว่า "double extortion" โดยคาดว่ามัลแวร์ตัวนี้ได้ทำการโจมตีบริษัทไปแล้วอย่างน้อย 31 แห่งภายในระยะเวลาเพียง 3 เดือน
Truesec ได้เผยแพร่การวิเคราะห์เมื่อต้นเดือนที่ผ่านมา โดยให้รายละเอียดเกี่ยวกับลำดับการโจมตีของ Helldown ที่พบว่ามีการใช้ช่องโหว่ใน Firewall Zyxel ที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อเข้าถึงระบบในขั้นแรก, ตามด้วยการแฝงตัวในระบบ, รวบรวมข้อมูลที่สำคัญของผู้ใช้, สำรวจเครือข่าย, หลบเลี่ยงการป้องกัน และโจมตีต่อไปในเครือข่ายเพื่อติดตั้งมัลแวร์ในที่สุด
การวิเคราะห์ใหม่ของ Sekoia แสดงให้เห็นว่าผู้โจมตีกำลังใช้ช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก และยังไม่เป็นที่รู้จักในอุปกรณ์ Zyxel เพื่อเจาะระบบเครือข่าย โดยใช้วิธีการนี้ขโมยข้อมูลที่สำคัญ และสร้างช่องทาง SSL VPN ชั่วคราวสำหรับผู้ใช้งาน
ในเวอร์ชัน Windows มัลแวร์ Helldown เมื่อถูกเรียกใช้งาน มันจะดำเนินการตามขั้นตอนต่าง ๆ ก่อนที่จะขโมย และเข้ารหัสไฟล์ รวมถึงการลบ System Shadow Copies และหยุดการทำงานของ processes ต่าง ๆ ที่เกี่ยวข้องกับฐานข้อมูล และ Microsoft Office และในขั้นตอนสุดท้ายไฟล์ ransomware จะถูกลบเพื่อปกปิดร่องรอย แต่จะมีการทิ้งโน้ตเรียกค่าไถ่ไว้ และเครื่องจะถูกปิดลง
สำหรับเวอร์ชัน Linux ตามรายงานของบริษัทด้านความปลอดภัยทางไซเบอร์ของฝรั่งเศส พบว่าไม่มีการใช้เทคนิคการปกปิดโค้ด หรือการป้องกันการ debugging แต่จะมีชุดคำสั่งที่ใช้สำหรับการค้นหา และเข้ารหัสไฟล์ แต่ก่อนจะทำเช่นนั้น จะทำการสแกน และปิดการทำงานของเครื่อง VM ทั้งหมดที่กำลังทำงานอยู่
บริษัทระบุว่า "การวิเคราะห์แบบ static และแบบ dynamic ไม่พบการสื่อสารทางเครือข่าย รวมถึงไม่มีการใช้ public key หรือ shared secret วิธีการนี้น่าสนใจ เนื่องจากทำให้เกิดคำถามว่าผู้โจมตีจะสามารถจัดหาชุดเครื่องมือสำหรับถอดรหัสได้อย่างไร (ในกรณีที่เหยื่อยอมจ่ายค่าไถ่)"
"การปิดเครื่อง VM ก่อนการเข้ารหัสจะช่วยให้ ransomware สามารถเข้าถึงไฟล์ image เพื่อเขียนข้อมูลได้ อย่างไรก็ตาม การวิเคราะห์แบบ static และแบบ dynamic แสดงให้เห็นว่า ถึงแม้ฟังก์ชันนี้จะมีอยู่ในโค้ด แต่ไม่ได้ถูกเรียกใช้งานจริง ข้อสังเกตทั้งหมดนี้แสดงให้เห็นว่า ransomware ตัวนี้ยังไม่ได้มีความซับซ้อนมากนัก และอาจยังอยู่ในขั้นตอนของการพัฒนา"
จากการตรวจสอบพบว่า Helldown ในเวอร์ชัน Windows มีพฤติกรรมที่คล้ายคลึงกับ DarkRace ซึ่งถูกพบในเดือนพฤษภาคม 2023 โดยใช้โค้ดจาก LockBit 3.0 และต่อมาเปลี่ยนชื่อเป็น DoNex โดย Avast ได้เปิดตัวโปรแกรมถอดรหัสสำหรับ DoNex เมื่อเดือนกรกฎาคม 2024 ที่ผ่านมา
Sekoia ระบุว่า "โค้ดของมัลแวร์ทั้งสองตัวนี้เป็นของ LockBit 3.0 เมื่อพิจารณาจากประวัติของ DarkRace และ DoNex ที่มีการเปลี่ยนชื่อ รวมถึงมีความคล้ายคลึงเป็นอย่างมากกับ Helldown จึงมีความเป็นไปได้ที่ Helldown อาจเป็นอีกชื่อหนึ่งที่มีการถูกเปลี่ยนมา อย่างไรก็ตาม ความเชื่อมโยงนี้ยังไม่สามารถยืนยันได้อย่างแน่ชัด"
Cisco Talos ระบุในรายงานว่า พบการพัฒนา ransomware ตระกูลใหม่ที่รู้จักกันในชื่อ Interlock โดยได้เลือกเป้าหมายการโจมตีไปที่ภาคส่วนด้านการดูแลสุขภาพ เทคโนโลยี และหน่วยงานรัฐบาลในสหรัฐฯ รวมถึงภาคการผลิตในยุโรป โดยมัลแวร์ตัวนี้สามารถเข้ารหัสได้ทั้งเครื่อง Windows และ Linux
ลำดับการโจมตีที่ใช้แพร่กระจาย ransomware ตัวนี้ ถูกพบว่ามีการใช้ไฟล์ปลอมที่อ้างว่าเป็นตัวอัปเดตเบราว์เซอร์ Google Chrome ซึ่งโฮสต์อยู่ในเว็บไซต์ข่าวที่ถูกแฮ็ก เมื่อไฟล์นี้ถูกเรียกใช้งาน จะทำการติดตั้งโทรจันเพื่อการเข้าควบคุมจากระยะไกล (RAT) ที่ช่วยให้ผู้โจมตีสามารถดึงข้อมูลสำคัญ และเรียกใช้คำสั่ง PowerShell เพื่อติดตั้ง payloads สำหรับเก็บข้อมูลสำคัญ และทำการสำรวจระบบ
นักวิจัยของ Talos ระบุว่า "Interlock อ้างว่าพวกเขาเล็งเป้าหมายไปที่โครงสร้างพื้นฐานขององค์กรโดยการเจาะช่องโหว่ที่ยังไม่ได้รับการแก้ไข และอ้างว่าการกระทำของพวกเขามีเป้าหมายเพื่อเรียกร้องให้บริษัทต่าง ๆ รับผิดชอบต่อระบบการรักษาความปลอดภัยทางไซเบอร์ที่ง่ายต่อการโจมตี นอกเหนือจากการแสวงหาผลประโยชน์ทางการเงิน"
บริษัทระบุเพิ่มเติมว่า Interlock ถูกประเมินว่าเป็นกลุ่มใหม่ที่แยกตัวออกมาจากผู้ปฏิบัติการ หรือนักพัฒนาของ Rhysida โดยอ้างถึงความคล้ายคลึงกันในด้านเทคนิคการโจมตี เครื่องมือ และพฤติกรรมของมัลแวร์เรียกค่าไถ่
บริษัทระบุอีกว่า "ความเป็นไปได้ที่ Interlock จะมีความเกี่ยวข้องกับผู้ปฏิบัติการ หรือนักพัฒนาของ Rhysida สอดคล้องกับแนวโน้มที่กว้างขึ้นหลายประการของภัยคุกคามทางไซเบอร์ โดยพบว่ากลุ่ม ransomware ที่กำลังเพิ่มความสามารถของพวกเขาเพื่อสนับสนุนการดำเนินงานที่ซับซ้อน และหลากหลายมากขึ้น และกลุ่มเหล่านี้มีแนวโน้มที่จะทำงานร่วมกันมากขึ้น เนื่องจากพบปฏิบัติการการทำงานร่วมกันของกลุ่ม ransomware หลายกลุ่มมากขึ้น"
พร้อมกับการปรากฏตัวของ Helldown และ Interlock ยังมีมัลแวร์เรียกค่าไถ่ตัวใหม่อีกตัวหนึ่งที่ชื่อว่า SafePay ซึ่งอ้างว่าได้โจมตีบริษัทไปแล้ว 22 แห่งในปัจจุบัน ตามข้อมูลจาก Huntress มัลแวร์ SafePay ใช้ LockBit 3.0 เป็นพื้นฐาน แสดงให้เห็นว่าการรั่วไหลของซอร์สโค้ดของ LockBit ได้ก่อให้เกิดมัลแวร์ตัวใหม่หลายตัว
นักวิจัยของ Huntress ระบุว่า ในเหตุการณ์สองกรณีที่บริษัทได้ทำการตรวจสอบ "พบว่าพฤติกรรมของผู้โจมตีเริ่มต้นจาก gateway หรือ portal VPN โดยที่อยู่ IP ทั้งหมดที่ได้ถูกกำหนดให้กับเครื่องคอมพิวเตอร์ของผู้โจมตีอยู่ในช่วง IP ที่อยู่ภายในเครือข่าย"
"ผู้โจมตีสามารถใช้ข้อมูลสำคัญที่ถูกต้องเพื่อเข้าถึงระบบปลายทางของเหยื่อ และไม่พบว่ามีการเปิดใช้งาน RDP หรือการสร้างบัญชีผู้ใช้ใหม่ หรือสร้างการแฝงตัวในระบบในรูปแบบอื่นใด"
ที่มา : thehackernews