LockBit ransomware goes ‘Green,’ uses new Conti-based encryptor

LockBit 3.0 ใช้วิธีการเข้ารหัสแบบใหม่ในชื่อ LockBit Green

ผู้เชี่ยวชาญจาก VX-Underground ได้รายงานว่าผู้พัฒนา LockBit Ransomware มีการเปลี่ยนแปลงตัวเข้ารหัสอีกครั้ง ซึ่งในครั้งนี้หันมาใช้ชนิดเดียวกับ Conti Ransomware ที่เพิ่งปิดตัวลงไป และมีการใช้ชื่อใหม่ว่า LockBit Green

ตั้งแต่ LockBit Ransomware เปิดตัวก็มีการปรับเปลี่ยนวิธีการโจมตีรวมถึงวิธีการเข้ารหัสมาตลอด เวอร์ชันล่าสุดที่มีการประกาศอย่างเป็นทางการคือ LockBit 3.0 (หรือที่เรียกว่า LockBit Black) ซึ่งใช้วิธีการเข้ารหัสแบบเดียวกับ BlackMatter Ransomware

ในปัจจุบันมีการค้นพบว่า LockBit มีการใช้ตัวเข้ารหัสชนิดเดียวกับ Conti ซึ่งคาดว่าได้มาจาก Source Code ที่หลุดออกมาหลังจาก Conti ปิดตัวลง โดยหลังจากที่ Source Code ของ Conti หลุดได้ไม่นาน ก็มีกลุ่มแฮ็กเกอร์กลุ่มอื่น ๆ เริ่มใช้มันเพื่อสร้างตัวเข้ารหัสให้เป็นของตนเช่นเดียวกัน

ลักษณะการทำงาน

ตั้งแต่ข่าวของ LockBit Green เผยแพร่สู่สาธารณะ นักวิจัยก็ได้ตัวอย่างของ LockBit Green จากไฟล์บน VirusTotal และเว็บไซต์แชร์มัลแวร์อื่น ๆ
ต่อมาผู้เชี่ยวชาญจาก CyberGeeksTech ได้ใช้วิธีการ reverse-engineered กับตัวอย่างของ LockBit Green และระบุในรายงานกับ BleepingComputer ว่า ตัวเข้ารหัสที่ใช้เป็นตัวเข้ารหัสเดียวกับ Conti ที่พวกเขาเคยวิเคราะห์ไว้ก่อนหน้านี้อย่างแน่นอน โดยอัลกอริธึมการถอดรหัสก็เป็นชนิดเดียวกัน
จากนั้นบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง PRODAFT มีการแชร์ข้อมูล IOC ของ LockBit Green พร้อมกับส่งไฟล์ตัวอย่าง และระบุในรายงานกับ BleepingComputer ว่ามีเป้าหมายมากกว่า 5 รายที่ถูกโจมตีโดย LockBit Green แล้ว
หลังจากได้รับไฟล์ตัวอย่างจาก PRODAFT ทีมงาน BleepingComputer ได้ทดสอบไฟล์ดังกล่าว พบว่าไฟล์เรียกค่าไถ่ได้ถูกแก้ไขรายละเอียดจาก Conti ให้มาเป็นของ LockBit 3.0 แล้ว

อย่างไรก็ตาม การเปลี่ยนแปลงที่เห็นได้ชัดสุดคือ LockBit Green จะใช้ extension แบบสุ่ม แทนที่จะใช้ .lockbit แบบเวอร์ชั่นเก่า

IOC

ที่มา : bleepingcomputer

กลุ่มแรนซัมแวร์กลุ่มใหม่ Monti ใช้ Conti code ของ Conti แรนซัมแวร์ในการโจมตี

ทีมวิจัย และข่าวกรองของ BlackBerry รายงานว่า มีการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ที่ชื่อว่า “Monti” ซึ่งมีการนำ Conti code มาใช้ในการโจมตี โดยกลุ่ม Monti ransomware ถูกพบในช่วงสุดสัปดาห์ของ independence day ด้วยการใช้ช่องโหว่ Log4Shell เพื่อเข้ารหัส BlackBerry user hosts 20 ราย และเซิร์ฟเวอร์ 20 เครื่องได้สำเร็จ

จากการวิเคราะห์เพิ่มเติม นักวิจัยพบว่า IOC ของการโจมตีด้วย ransomware ค่อนข้างคล้ายกับการโจมตีของ Conti ransomware ในอดีต ซึ่งคาดว่า Monti ได้นำโครงสร้างของระบบของ Conti ที่รั่วไหลออกมาเมื่อช่วงเดือน กุมภาพันธ์ และมีนาคมมาปรับใช้ ซึ่งคาดว่าจะมีกลุ่มผู้โจมตีอื่น ๆ ที่น่าจะนำโซลูชัน ransomware-as-a-service (RaaS) และซอร์สโค้ดที่รั่วไหลออกมาของกลุ่ม Conti มาใช้โจมตีอีก

ความเกี่ยวข้องของ Monti ransomware กับ Conti

มัลแวร์เรียกค่าไถ่ Monti ที่พึ่งถูกค้นพบ เกิดขึ้นหลังจากการล่มสลายของมัลแวร์เรียกค่าไถ่ Conti

นักวิจัยของ Intel471 ไม่แน่ใจว่า Monti เป็นการรีแบรนด์ของ Conti หรือเป็นเพียงกลุ่มผู้โจมตีใหม่ที่ใช้ซอร์สโค้ดของ Conti ransomware ที่รั่วไหลออกมา แต่รายงานจาก BlackBerry ได้ประเมินว่า Monti นั้นเป็นการเลียนแบบ Conti มากกว่า

ไม่ว่า Conti จะถูกรีแบรนด์เป็น Monti หรือเป็นแรนซัมแวร์ตัวใหม่ก็มีแนวโน้มว่าเราจะยังคงเห็นแรนซัมแวร์ตัวใหม่ ๆ ทำการโจมตี และส่งผลกระทบต่อธุรกิจทั่วโลกต่อไป" Intel471 กล่าว

ที่มา: darkreading , scmagazine

ธนาคารกลางอินโดนีเซียยอมรับถูกโจมตีโดยมัลแวร์เรียกค่าไถ่ Conti Ransomware

Bank Indonesia (BI) ธนาคารกลางของสาธารณรัฐอินโดนีเซีย ได้ออกมายอมรับว่าถูกมัลแวร์เรียกค่าไถ่โจมตีระบบเครือข่ายเมื่อเดือนที่ผ่านมา

โฆษกของธนาคารกลางอินโดนีเซียยังบอกกับ BleepingComputer ว่าการทำงานของธนาคารไม่ได้รับผลกระทบจากเหตุการณ์การโจมตีเมื่อเดือนที่ผ่านมา

“เราต้องการแจ้งให้ทราบถึงการถูกโจมตีจากมัลแวร์เรียกค่าไถ่เมื่อเดือนที่ผ่านมา แต่อย่างไรก็ตามทางธนาคารได้ดำเนินการประเมินเกี่ยวกับผลกระทบที่เกิดขึ้นทั้งหมดแล้ว” ธนาคารกลางอินโดนีเซียกล่าวกับ BleepingComputer

“เราเชื่อว่าการทำงานของธนาคารไม่ถูกรบกวน อยู่ภายใต้การควบคุม และยังคงสามารถให้บริการกับผู้ใช้งานต่อไปได้ตามปกติ”

จากรายงานของ CNN Indonesia กล่าวว่า ในช่วงที่ถูกโจมตี ทางกลุ่มผู้โจมตีได้ขโมยข้อมูลที่ไม่ได้สำคัญออกไป ซึ่งเป็นข้อมูลของพนักงานของธนาคารกลางอินโดนีเซีย ก่อนที่จะทำการโจมตีด้วยการปล่อยมัลแวร์เรียกค่าไถ่ลงบนระบบเครือข่ายของธนาคาร

จากคำกล่าวอ้างของธนาคารกลางอินโดนีเซีย การโจมตีนั้นถูกป้องกัน และลดความอันตรายลงก่อนที่จะส่งผลกระทบกับระบบที่ให้บริการกับผู้ใช้งานทั่วไป โดยรายงานจาก Reuters

“ธนาคารกลางอินโดนีเซียได้รับทราบถึงการโจมตีจากมัลแวร์เรียกค่าไถ่เมื่อเดือนที่ผ่านมา เรารับรู้ว่าเราถูกโจมตี เราถือว่านี่เป็นการก่อการร้าย มันเกิดขึ้นจริง และเรากำลังเผชิญหน้ากับมัน” Erwin Haryono หัวหน้าแผนกการสื่อสารของธนาคารกลางอินโดนีเซีย กล่าวกับสื่อท้องถิ่น

มัลแวร์เรียกค่าไถ่ Conti ออกมาอ้างการโจมตี และเริ่มทำการปล่อยข้อมูล

ในขณะที่ในช่วงแรกทางธนาคารกลางอินโดนีเซียไม่ได้ออกมายืนยันว่าเป็นการโจมตีของกลุ่มมัลแวร์เรียกค่าไถ่กลุ่มใด แต่ทางมัลแวร์เรียกค่าไถ่ Conti ได้มีการอ้างถึงการโจมตีในวันนี้ หลังจากมีการปล่อยข้อมูลบางส่วนที่ขโมยมาจากระบบเครือข่ายของธนาคารกลางอินโดนีเซีย
กลุ่มมัลแวร์เรียกค่าไถ่อ้างว่ามีข้อมูลสำคัญถึง 13.88 GB พร้อมที่จะปล่อยออกไปหากธนาคารกลางอินโดนีเซียไม่ยอมจ่ายเงินค่าไถ่
ซึ่งโฆษกของธนาคารกลางอินโดนีเซีย ไม่พร้อมที่จะแสดงความคิดเห็นเมื่อได้รับการติดต่อจาก BleepingComputer เมื่อเช้าวันนี้

กลุ่มมัลแวร์เรียกค่าไถ่ Conti

มัลแวร์เรียกค่าไถ่ Conti คือ Ransomware-as-a-Service (RaaS) ที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ของรัสเซีย Wizard Spider ซึ่งเป็นที่รู้จักในนามของมัลแวร์ที่มีชื่อเสียงในด้านลบ อีกทั้งยังมีการเชื่อมโยงกับกลุ่มมัลแวร์เรียกค่าไถ่อื่น ๆ เช่น Ryuk, TrickBot และ BazarLoader

กลุ่ม Conti มักจะใช้วิธีการเข้าไปในระบบเครือข่ายของเป้าหมาย หลังจากที่ระบบของเป้าหมายติดมัลแวร์จาก BazarLoader หรือ TrickBot ซึ่งมัลแวร์ดังกล่าวจะทำให้กลุ่มผู้โจมตีสามารถเข้าถึงระบบเครือข่ายได้จากระยะไกล

หลังจากนั้นกลุ่มปฎิบัติการของ Conti ก็จะทำการแพร่กระจายมัลแวร์ไปยังอุปกรณ์ทั้งหมดของเหยื่อผ่านระบบเครือข่าย การกระทำเช่นนี้ ทำให้พวกเขาสามารถเก็บรวบรวม และนำข้อมูลออกไป เพื่อนำไปเรียกค่าไถ่

กลุ่มมัลแวร์เรียกค่าไถ่ Conti เป็นที่รู้จักจากการโจมตีองค์กรที่มีชื่อเสียงต่างๆทั่วโลก เช่น Department of Health (DoH) และ Health Service Executive (HSE) ของไอร์แลนด์ และ RR Donnelly (RRD) ซึ่งเป็นบริษัทยักษ์ใหญ่ด้านการตลาดของไอร์แลนด์

เนื่องจากมีการเคลื่อนไหวจาก Conti เพิ่มมากขึ้น ทาง FBI, CISA และ NSA US ได้ออกมาแจ้งเตือน และให้คำแนะนําเกี่ยวกับการโจมตีจากแรนซัมแวร์กลุ่มนี้

ที่มา: bleepingcomputer

Ryuk ransomware is the top threat for the healthcare sector

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

รวมสถิติ Ransomware ที่โกหกจาก Coveware Q3 2020 Ransomware Report

บริษัทด้านความปลอดภัย Coveware ออกรายงานเกี่ยวกับ Ransomware ประจำ Q3 2020 เมื่อวานที่ผ่านมา โดยหนึ่งในประเด็นของรายงานที่น่าสนใจนั้นคือสถิติเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ไม่รักษาคำพูดกับเหยื่อ ตัวอย่างการโป้ปดที่น่าสนใจมีดังนี้

กลุ่ม REvil หรือ Sodinokibi มีการเรียกค่าเหยื่อรายเดิมซ้ำอีกครั้งหลังจากเหยื่อจ่ายเงินค่าไถ่ไปแล้วหนึ่งอาทิตย์ โดยการใช้ข้อมูลจากข้อมูลชุดเดิม
กลุ่ม Netwalker และ Mespinoza มีการปล่อยข้อมูลของเหยื่อแม้ว่าเหยื่อจะมีการจ่ายค่าไถ่เพื่อไม่ให้มีการปล่อยข้อมูล
กลุ่ม Conti มีการลบไฟล์ปลอมโชว์เหยื่อหลังจากที่เหยื่อจ่ายค่าไถ่แล้ว โดยเก็บไฟล์จริงเอาไว้

ด้วยพฤติกรรมดังกล่าว Coveware จึงมีการเพิ่มคำแนะนำเพิ่มเติมเพื่อแจ้งให้ผู้ที่อาจตกเป็นเหยื่อหรือเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ ดังนี้

ข้อมูลที่ถูกนำไปโดยผู้โจมตีอาจไม่สามารถพิสูจน์ได้ว่าถูกลบจริงหลังจากมีการจ่ายค่าไถ่แล้ว พึงระลึกไว้เสมอว่ากลุ่มมัลแวร์เรียกค่าไถ่อาจมีการแลกเปลี่ยน นำไปขายต่อหรือถือครองข้อมูลเดิมไว้เพื่อเรียกค่าไถ่ซ้ำ
ข้อมูลที่ถูกขโมยไปอาจถูกถือครองโดยบุคคลหลายกลุ่มและอาจไม่ได้รับความปลอดภัยอย่างเหมาะสม แม้กลุ่มมัลแวร์เรียกค่าไถ่จะลบข้อมูลไปแล้วจริง ก็อาจมีการลักลอบเข้าถึงและทำสำเนาข้อมูลเก็บเอาไว้ได้โดยบุคคลที่สาม
ข้อมูลที่ถูกขโมยไปอาจถูกโพสต์หรือถูกปล่อยสู่สาธารณะไม่ว่าจะได้ความตั้งใจหรือไม่ก็ตาม ในบางครั้งกลุ่มมัลแวร์เรียกค่าไถ่อาจตั้งใจโพสต์ก่อนที่จะมีการเรียกค่าไถ่ด้วย

ไอ-ซีเคียวขอแนะนำให้ผู้อ่านพิจารณาข้อเท็จจริงด้านบนเพื่อนำไปใช้ปรับปรุงแผนและแนวทางเพื่อรับมือและตอบสนองเหตุการณ์ความปลอดภัยจากมัลแวร์เรียกค่าไถ่ให้มีประสิทธิภาพมากยิ่งขึ้น

ที่มา: bleepingcomputer