ภัยคุกคามแรนซัมแวร์รูปแบบใหม่จากกลุ่มอาชญากรไซเบอร์ใต้ดิน ซึ่งมุ่งเป้าโจมตีทั้งแพลตฟอร์ม Android และ Windows ด้วยความสามารถที่ขยายออกไปไกลกว่าการเข้ารหัสไฟล์แบบเดิม
Anubis Ransomware ซึ่งถูกพบครั้งแรกในเดือนพฤศจิกายน 2024 แสดงให้เห็นถึงการพัฒนาอันน่ากังวลในการออกแบบมัลแวร์ โดยรวมการทำลายข้อมูลของ ransomware เข้ากับเทคนิคการขโมยข้อมูล credential ของ banking trojans
ภัยคุกคามแบบข้ามแพลตฟอร์มนี้ได้สร้างความกังวลให้กับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทั่วโลกอย่างรวดเร็ว
การปรากฏตัวของมัลแวร์นี้เกิดขึ้นพร้อมกับการเพิ่มขึ้นอย่างน่ากังวลของปฏิบัติการจาก ransomware ทั่วโลก ตามข้อมูลจากข่าวกรองกับภัยคุกคามล่าสุด พบเหยื่อแรนซัมแวร์ที่ปรากฎในเว็บไซต์ที่เปิดเผยข้อมูลเพิ่มขึ้นเกือบ 25% ในขณะที่จำนวนเว็บไซต์ที่เปิดเผยข้อมูลซึ่งดำเนินการโดยกลุ่มแรนซัมแวร์ เพิ่มขึ้น 53%
Anubis มีส่วนสำคัญในสถิติเหล่านี้ โดยมุ่งเป้าโจมตีโครงสร้างพื้นฐานที่สำคัญ และองค์กรที่มีมูลค่าสูงในภาคการดูแลสุขภาพ การก่อสร้าง และบริการระดับมืออาชีพ
นักวิจัยจาก Bitsight ระบุว่า Anubis เป็นภัยคุกคามที่อันตราย เนื่องจากการใช้วิธีการข้ามแพลตฟอร์มที่ซับซ้อน และความสามารถในการทำลายล้าง
กลุ่มแรนซัมแวร์ ที่ถูกพบว่าใช้สื่อสารเป็นภาษารัสเซียในฟอรัม dark web ได้นำโมเดล Ransomware-as-a-Service มาใช้ พร้อมด้วยโครงสร้างการชำระเงินแบบ Affiliate ที่ยืดหยุ่น
สิ่งที่ทำให้ Anubis แตกต่างจากกลุ่มแรนซัมแวร์อื่น ๆ คือความสามารถในการลบข้อมูลอย่างถาวร โดยเหยื่อบางรายรายงานถึงการสูญหายของข้อมูลทั้งหมด แม้จะมีการจ่ายเงินค่าไถ่แล้วก็ตาม
กลยุทธ์การโจมตีของมัลแวร์เริ่มต้นด้วยแคมเปญ spear-phishing ที่ออกแบบมาอย่างละเอียด โดยการส่ง payloads ที่เป็นอันตรายผ่านการสื่อสารทางอีเมลที่ดูน่าเชื่อถือ
บนอุปกรณ์ Android Anubis ทำหน้าที่หลักเป็น banking trojan โดยการใช้ phishing overlays ที่เลียนแบบอินเทอร์เฟซของแอปพลิเคชันจริงเพื่อขโมยข้อมูลประจำตัวของผู้ใช้
มัลแวร์นี้ยังดำเนินการบันทึกหน้าจอ และบันทึกการกดแป้นพิมพ์เพื่อรวบรวมข้อมูลการยืนยันตัวตน พร้อมทั้งแพร่กระจายตัวเองผ่านรายชื่อผู้ติดต่อของเหยื่อโดยการส่งข้อความ SMS จำนวนมาก
กลไกการดำเนินการ และการรักษาการแฝงตัว
Anubis แสดงให้เห็นถึงความสามารถทางเทคนิคที่ซับซ้อนในการดำเนินการ โดยเฉพาะอย่างยิ่งผ่านการใช้พารามิเตอร์คำสั่งที่ปรับแต่งได้ ซึ่งช่วยให้ผู้โจมตีสามารถปรับแต่งสถานการณ์การโจมตีได้
มัลแวร์ใช้พารามิเตอร์คำสั่งเฉพาะ เช่น /KEY=, /elevated, /PATH=, /PFAD=, และ /WIPEMODE ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถควบคุมกระบวนการเข้ารหัส การยกระดับสิทธิ์ การเลือกไดเร็กทอรีเป้าหมาย และฟังก์ชันการลบข้อมูล
ในระบบ Windows แรนซัมแวร์ใช้ Elliptic Curve Integrated Encryption Scheme (ECIES) สำหรับการเข้ารหัสไฟล์ ซึ่งเป็นการเข้ารหัสที่แข็งแกร่ง ทำให้การถอดรหัสเป็นเรื่องยากอย่างยิ่ง
มัลแวร์ทำลายตัวเลือกการกู้คืนข้อมูลโดยการลบ Volume Shadow Copies และหยุดบริการระบบที่สำคัญ ขณะเดียวกันก็ยกระดับสิทธิ์ผ่านเทคนิคการจัดการ access token
การใช้วิธีการหลากหลายนี้ ช่วยให้สามารถสร้างผลกระทบสูงสุดในขณะที่ป้องกันไม่ให้เหยื่อใช้กลไกการกู้คืนตามมาตรฐาน ทำให้องค์กรต้องเผชิญกับการตัดสินใจที่ยากลำบากระหว่างการจ่ายค่าไถ่กับการสูญหายถาวรของข้อมูล
ที่มา : cybersecuritynews
You must be logged in to post a comment.