ปฏิบัติการแรนซัมแวร์ที่ซับซ้อนสองกลุ่ม ได้กลายมาเป็นภัยคุกคามสำคัญต่อผู้ให้บริการด้านการจัดการระบบ (MSPs) และธุรกิจขนาดเล็ก โดยกลุ่ม Akira และ Lynx ได้ใช้เทคนิคการโจมตีขั้นสูงที่ผสมผสานการใช้ข้อมูล Login Credential ** ที่ถูกขโมยมา ร่วมกับการเจาะช่องโหว่ด้านความปลอดภัย
Ransomware-as-a-Service (RaaS) เหล่านี้ได้โจมตีองค์กรต่าง ๆ รวมกว่า 365 แห่ง แสดงให้เห็นถึงประสิทธิภาพในการกำหนดเป้าหมายการโจมตีไปยังผู้ให้บริการโครงสร้างพื้นฐานมูลค่าสูงที่ให้บริการลูกค้าหลายราย
กลุ่มแรนซัมแวร์ Akira แสดงให้เห็นถึงความมุ่งมั่นอย่างต่อเนื่อง นับตั้งแต่ปรากฏตัวครั้งแรกในปี 2022 โดยพัฒนาจากภัยคุกคามที่ไม่เป็นที่รู้จักมากนัก กลายมาเป็นหนึ่งใน 10 กลุ่มแรนซัมแวร์ชั้นนำภายในปี 2023
ด้วยจำนวนเหยื่อที่ได้รับการยืนยันแล้วมากกว่า 220 ราย Akira ได้กำหนดเป้าหมายการโจมตีอย่างเป็นระบบต่อสำนักงานกฎหมาย, บริษัทบัญชี, บริษัทก่อสร้าง และที่สำคัญคือผู้ให้บริการด้านการจัดการระบบ รวมถึง Hitachi Vantara และ Toppan Next Tech
การที่กลุ่มนี้มุ่งเน้นไปที่ MSPs ถือเป็นการเปลี่ยนแปลงเชิงกลยุทธ์เพื่อสร้างผลกระทบสูงสุด เนื่องจากการเจาะระบบของผู้ให้บริการเหล่านี้จะทำให้สามารถเข้าถึงเครือข่ายลูกค้าขนาดใหญ่ได้ และเพิ่มโอกาสในการจ่ายค่าไถ่มากขึ้น
ในขณะเดียวกัน ปฏิบัติการเรียกค่าไถ่ Lynx ได้โจมตีเหยื่อประมาณ 145 ราย ผ่านกลยุทธ์การโจมตีแบบเน้นปริมาณสูง โดยมุ่งเป้าไปที่ธุรกิจเอกชนเป็นหลัก
นักวิจัยของ Acronis ระบุว่า Lynx น่าจะนำองค์ประกอบจากซอร์สโค้ด LockBit ที่รั่วไหลมาใช้ และมีความคล้ายคลึงกับแรนซัมแวร์ตระกูล INC ซึ่งแสดงให้เห็นถึงโครงข่ายที่ซับซ้อนของการแบ่งปันซอร์สโค้ด และการพัฒนาในระบบของแรนซัมแวร์
เหยื่อที่มีชื่อเสียง ได้แก่ สถานีโทรทัศน์เครือข่าย CBS ในเมืองแชตทานูกา รัฐเทนเนสซี ซึ่งแสดงให้เห็นถึงความตั้งใจของกลุ่มนี้ในการมุ่งเป้าโจมตีโครงสร้างพื้นฐานสำคัญ และองค์กรสื่อ
ทั้งสองตระกูลแรนซัมแวร์ใช้กลยุทธ์ขั้นสูง โดยผสมผสานการเข้ารหัสไฟล์เข้ากับการขโมยข้อมูล เพื่อกดดันเหยื่อให้ยอมจ่ายค่าไถ่
กลุ่มเหล่านี้ยังมีความคล้ายคลึงทางเทคนิคกับแรนซัมแวร์ที่มีชื่อเสียงอย่าง Conti ซึ่งเคยเชื่อมโยงกับกลุ่มภัยคุกคาม Russian Wizard Spider ก่อนที่จะถูกยุบหลังจากเกิดการรั่วไหลของข้อมูลครั้งใหญ่ในปี 2022
ความเชื่อมโยงนี้ แสดงให้เห็นถึงความเป็นไปได้ในการนำซอร์สโค้ดมาใช้ซ้ำ หรือการชักชวนอดีตผู้ปฏิบัติการของ Conti มาร่วมในปฏิบัติการใหม่เหล่านี้
กลไกการติดมัลแวร์ และการหลบเลี่ยงการตรวจจับขั้นสูง
แคมเปญโจมตีปี 2025 เผยให้เห็นถึงวิวัฒนาการที่สำคัญในความสามารถทางเทคนิค และกระบวนการปฏิบัติการของทั้งสองกลุ่ม
กลุ่ม Akira ได้เปลี่ยนรูปแบบการโจมตีหลักจากการฟิชชิ่ง และการเจาะช่องโหว่แบบดั้งเดิม ไปสู่การใช้ข้อมูล Credentials ของผู้ดูแลระบบที่ถูกขโมย หรือซื้อมา
เมื่อสามารถเข้าถึงระบบด้วยข้อมูล Credentials สำเร็จ ผู้โจมตีจะปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัยทันทีเพื่อสร้างการแฝงตัวอยู่ในระบบ
อย่างไรก็ตาม หากการเข้าถึงด้วยข้อมูล Credentials ล้มเหลว กลุ่มนี้จะใช้กลยุทธ์สำรอง ซึ่งเกี่ยวข้องกับการขโมยข้อมูลจากระยะไกล ตามด้วยการเข้ารหัสไฟล์โดยใช้เครื่องมือที่ถูกต้อง และได้รับการอนุญาตในระบบ ซึ่งมักหลีกเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยได้
การวิเคราะห์ทางเทคนิคพบว่า Akira ใช้ไฟล์ปฏิบัติการ PE64 ที่เขียนด้วยภาษา C/C++ และคอมไพล์ด้วย Visual Studio Build Tools
มัลแวร์นี้ใช้การเข้ารหัส ChaCha20 ร่วมกับการป้องกันคีย์ด้วย RSA โดยเก็บคีย์ ChaCha20 ไว้ใน buffer ขนาด 512 ไบต์ที่ถูกเข้ารหัสด้วย RSA
แรนซัมแวร์จะสร้างเธรดหลายชุดตามจำนวน CPU Core โดยเธรดการเข้ารหัสจะสัมพันธ์โดยตรงกับโปรเซสเซอร์ที่มีอยู่
ตัวอย่างเช่น ในระบบที่มี Logical Processor 6 ตัว จะสร้าง 2 เธรดสำหรับการวิเคราะห์โฟลเดอร์ และจัดสรร 4 เธรดสำหรับการเข้ารหัสไฟล์โดยเฉพาะ
Lynx แสดงให้เห็นถึงการใช้งานทางเทคนิคที่ซับซ้อนไม่แพ้กัน โดยใช้ไฟล์ปฏิบัติการ PE32 C/C++ ที่รองรับการส่ง command-line arguments เพื่อความยืดหยุ่นในการปฏิบัติการ
มัลแวร์นี้มีความสามารถต่าง ๆ เช่น --encrypt-network สำหรับโจมตี Network Share, --kill สำหรับหยุดการทำงานของ process และ services และที่สำคัญคือ --no-print เพื่อป้องกันไม่ให้พิมพ์บันทึกค่าไถ่ไปยัง printers ที่เชื่อมต่อ
กระบวนการเข้ารหัสใช้ AES ร่วมกับการสร้าง public key แบบ ECC โดยมี public key ที่เข้ารหัส Base64
"8SPEMzUSI5vf/cJjobbBepBaX7XT6QT1J8MnZ+IEG3g="
ทั้งสองตระกูลแรนซัมแวร์ใช้เทคนิคการหลีกเลี่ยงการป้องกันอย่างครอบคลุม เช่น การลบ Shadow Copy ผ่าน Windows API และการหยุดการทำงาน strategic process ที่กำหนดเป้าหมายไปยังซอฟต์แวร์สำรองข้อมูล ฐานข้อมูล และแอปพลิเคชันด้านความปลอดภัย
มัลแวร์จะหยุดการทำงานของ process ที่เกี่ยวข้องกับ SQL, Veeam, ระบบสำรองข้อมูล และ Exchange Server โดยเฉพาะ เพื่อให้การเข้ารหัสไฟล์สำเร็จได้โดยไม่ถูกรบกวนจากแอปพลิเคชันที่กำลังทำงานอยู่ หรือกระบวนการสำรองข้อมูล
ที่มา : cybersecuritynews
You must be logged in to post a comment.