การรั่วไหลของ LockBit 3.0 ransomware builder ในปีที่ผ่านมา ส่งผลให้ผู้โจมตีใช้เครื่องมือนี้เพื่อสร้าง ransomware เวอร์ชันใหม่ออกมาจำนวนมาก

Kaspersky บริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียระบุว่า ตรวจพบการโจมตีของแรนซัมแวร์ที่ใช้โค้ดของ LockBit แต่มีขั้นตอนการเรียกค่าไถ่ที่แตกต่างอย่างชัดเจน

โดยนักวิจัยด้านความปลอดภัย Eduardo Ovalle และ Francesco Figurell ระบุว่า “ผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ ได้ใช้ข้อความเรียกค่าไถ่ที่แตกต่างออกไป โดยเกี่ยวข้องกับกลุ่มที่ไม่เคยรู้จักมาก่อนที่ชื่อว่า 'NATIONAL HAZARD AGENCY' "

การเรียกค่าไถ่รูปแบบใหม่นี้จะระบุจำนวนเงินที่ต้องชำระโดยตรงเพื่อรับคีย์ถอดรหัส และให้ติดต่อผ่านบริการ Tox และอีเมล ซึ่งแตกต่างกับกลุ่ม LockBit ที่ไม่ได้ระบุจำนวนเงิน และใช้แพลตฟอร์มการสื่อสาร และการเจรจาของตนเอง

NATIONAL HAZARD AGENCY ไม่ใช่กลุ่มผู้โจมตีกลุ่มเดียวที่ใช้ LockBit 3.0 builder ที่รั่วไหลครั้งนี้ โดยยังพบผู้โจมตีกลุ่มอื่นที่ใช้เครื่องมือนี้ รวมถึง Bl00dy และ Buhti อีกด้วย

Kaspersky ได้บันทึกว่าตรวจพบ 396 ตัวอย่างของ LockBit ที่แตกต่างกัน โดยในจำนวนนี้ 312 ตัว ถูกสร้างจาก builders ที่รั่วไหล อีกทั้งยังมีตัวอย่างทั้งหมด 77 ตัวที่ไม่มีการอ้างอิงถึง "LockBit" ในข้อความเรียกค่าไถ่

นักวิจัยระบุว่า "parameters ที่ตรวจพบหลายตัวสอดคล้องกับการกำหนดค่าเริ่มต้นของ builder โดยมีบางส่วนที่เปลี่ยนแปลงเล็กน้อย" แสดงให้เห็นว่าตัวอย่างนั้นเป็นไปได้ว่าถูกพัฒนาขึ้นเพื่อความเร่งด่วน หรือโดยผู้โจมตีที่ไม่มีความเชี่ยวชาญเท่าไร

การเปิดเผยนี้เกิดขึ้นเมื่อ Netenrich ได้สำรวจร่องรอยของ ransomware ที่เรียกว่า ADHUBLLKA ซึ่งได้มีการเปลี่ยนแบรนด์หลายครั้งตั้งแต่ปี 2019 (BIT, LOLKEK, OBZ, U2K, และ TZW) ในขณะที่กำหนดเป้าหมายไปที่กลุ่มบุคคล และธุรกิจขนาดเล็กเพื่อรับเงินค่าไถ่ที่ต่ำมากในช่วง 800 ถึง 1,600 ดอลลาร์สหรัฐจากเหยื่อ

แม้ว่าแต่ละเวอร์ชันของ ransomware จะมาพร้อมกับการปรับเปลี่ยนเล็กน้อยในรูปแบบการเข้ารหัส, ข้อความเรียกค่าไถ่ และวิธีการที่ใช้ในการสื่อสาร แต่จากการตรวจสอบพบว่าถูกเชื่อมโยงไปที่ ADHUBLLKA เนื่องจากมีความคล้ายคลึงใน source code และ infrastructure ที่ใช้

Rakesh Krishnan นักวิจัยด้านความปลอดภัยระบุว่า "เมื่อ ransomware ประสบความสำเร็จ มักจะพบว่าผู้โจมตีมักใช้ ransomware ตัวเดียวกัน โดยปรับปรุง codebase เล็กน้อย เพื่อนำร่องโปรเจกต์อื่น ๆ"

"ตัวอย่างเช่น ผู้โจมตีอาจเปลี่ยนแปลงวิธีการเข้ารหัสข้อมูล ข้อความเรียกค่าไถ่ หรือช่องทางการสื่อสาร command-and-control (C2) แล้วเปลี่ยนชื่อเป็น ransomware ตัวใหม่"

Ransomware ยังคงถูกพัฒนาอย่างต่อเนื่อง โดยมีการเปลี่่ยนแปลงวิธีการโจมตี และเป้าหมายอยู่บ่อยครั้ง เพื่อมุ่งไปหมายไปยัง Linux เช่น Trigona, Monti, และ Akira ซึ่งมีความเชื่อมโยงกับผู้โจมตีที่เกี่ยวของกับกลุ่ม Conti

Akira ยังถูกเชื่อมโยงกับการโจมตีที่ใช้ผลิตภัณฑ์ Cisco VPN เป็นช่องทางการโจมตีเพื่อเข้าถึงเครือข่ายขององค์กรโดยไม่ได้รับอนุญาต โดย Cisco ได้ยอมรับว่ากลุ่มผู้โจมตีได้ใช้ประโยชน์จาก Cisco VPNs ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication

Cisco ระบุว่า "ผู้โจมตีมักจะมุ่งเน้นไปที่ผู้ใช้งานที่ไม่ได้เปิดใช้งาน multi-factor authentication (MFA) และช่องโหว่ของซอฟต์แวร์ VPN"

เมื่อผู้โจมตีเข้าถึงฐานข้อมูลของเครือข่ายเป้าหมายได้ มันจะพยายามดึงข้อมูล credentials ผ่านการ dumps SASS (Local Security Authority Subsystem Service) เพื่อโจมตีต่อไปยังภายในเครือข่าย และเพิ่มระดับสิทธิ์หากจำเป็น

การพัฒนานี้เกิดขึ้นในช่วงเวลาที่เกิดการเพิ่มขึ้นของการโจมตีด้วย ransomware โดยกลุ่ม Cl0p ransomware ได้โจมตีองค์กรมากกว่า 1,000 แห่งโดยใช้ช่องโหว่ในแอปพลิเคชัน MOVEit Transfer เพื่อเข้าถึงระบบเบื้องต้น และทำการเข้ารหัสเครือข่ายเป้าหมาย

องค์กรที่ตั้งอยู่ในสหรัฐฯ มีผู้เสียหายในอัตรา 83.9% ตามด้วยเยอรมนี (3.6%) แคนาดา (2.6%) และสหราชอาณาจักร (2.1%) โดยมีรายงานว่ามีผู้ได้รับผลกระทบจำนวนกว่า 60 ล้านคน จากแคมเปญการโจมตีขนาดใหญ่ที่เริ่มต้นในเดือนพฤษภาคม 2023

อย่างไรก็ตาม พื้นที่ที่ได้รับผลกระทบจากการโจมตีของ ransomware มีปริมาณเพิ่มขึ้นเป็นอย่างมาก แสดงให้เห็นว่ากลุ่มผู้โจมตีจะได้รับผลกำไรราว ๆ 75 ล้านถึง 100 ล้านดอลลาร์จากการพยายามโจมตีดังกล่าว

Coveware ระบุว่า "ในขณะที่แคมเปญการโจมตีช่องโหว่ของ MOVEit อาจส่งผลกระทบต่อบริษัทมากกว่า 1,000 แห่งโดยตรง แต่มีเพียงส่วนน้อยมากของผู้เสียหายที่พยายามเจรจาต่อรอง หรือพิจารณาในการยอมชำระเงิน"

ผู้ที่ยอมจ่ายเงินมีจำนวนมากกว่าแคมเปญ CloP ก่อนหน้านี้ และจ่ายเงินมากกว่าค่าไถ่เฉลี่ยระดับโลกที่ 740,144 ดอลลาร์สหรัฐ (+126% จากไตรมาส 1 ปี 2023)"

นอกจากนี้ตามรายงานของ Sophos เรื่อง "Active Adversary Report ปี 2023" ระยะเวลาเฉลี่ยสำหรับเหตุการณ์การดจมตีจาก ransomware ลดลงจาก 9 วันในปี 2022 เหลือเพียง 5 วันในครึ่งปีแรกของปี 2023 ซึ่งแสดงให้เห็นว่ากลุ่ม ransomware กำลังโจมตีได้เร็วกว่าที่เคยเป็นมา

"ใน 81% ของการโจมตีด้วย ransomware payload อยู่ในช่วงนอกเวลาทำการปกติ และสำหรับการโจมตีในช่วงเวลาทำการ มีเพียง 5 ครั้งเท่านั้นที่เกิดขึ้นในวันธรรมดา โดยการโจมตีด้วย ransomware เกือบครึ่ง (43%) ถูกตรวจพบในวันศุกร์ หรือไม่ก็วันเสาร์"

ที่มา : thehackernews

นักวิจัยได้พัฒนา DarkBERT โมเดลภาษาที่ได้รับการฝึกฝนล่วงหน้าด้วยข้อมูลจากดาร์กเว็บ เพื่อช่วยผู้เชี่ยวชาญด้านความปลอดภัยสามารถดึงข้อมูลสำหรับ Cyber Threat Intelligence : CTI จากส่วนลึกของอินเทอร์เน็ตได้

DarkBERT : โมเดลภาษาสำหรับดาร์กเว็บ

เป็นเวลานานที่นักวิจัย และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ใช้การประมวณผลแบบ Natural Language Processing : NLP เพื่อทำความเข้าใจ และจัดการกับขอบเขตของภัยคุกคาม โดย NLP เป็นส่วนสำคัญของการวิจัยเกี่ยวกับ CTI

ดาร์กเว็บเปรียบเหมือน "สนามเด็กเล่น" ของบุคคลที่เกี่ยวข้องกับกับพฤติกรรมที่ผิดกฏหมาย ซึ่งถือเป็นความท้าทายสำหรับการดึงข้อมูลดังกล่าวสำหรับการทำ CTI

ทีมนักวิจัยจากสถาบันวิทยาศาสตร์ และเทคโนโลยีขั้นสูงของเกาหลี (Korea Advanced Institute of Science and Technology : KAIST) และบริษัท S2W (บริษัทข่าวกรองข้อมูลที่เชี่ยวชาญด้านข่าวกรองภัยคุกคามทางไซเบอร์ การละเมิดแบรนด์ดิจิดัล และบล็อกเชน) ได้ตัดสินใจทดสอบโมเดลภาษาที่ถูกฝึกมาแบบเฉพาะ DarkBERT ที่ได้รับการฝึกฝนล่วงหน้าด้วยข้อมูลของดาร์กเว็บ

สถานการณ์การใช้งานที่เป็นไปได้

DarkBERT ได้ผ่านการฝึกฝนล่วงหน้าอย่างครอบคลุมบนข้อความภาษาอังกฤษประมาณ 6.1 ล้านหน้าบนดาร์กเว็บ (โดยนักวิจัยกรองหน้าเว็บที่ไม่มีความหมาย และไม่เกี่ยวข้องออก) และถูกนำมาเปรียบเทียบประสิทธิภาพกับโมเดล NLP ยอดนิยมอีก 2 โมเดล ได้แก่ BERT ซึ่งเป็นโมเดล masked-language จาก google ในปี 2018 และ RoBERTa ที่เป็นวิธีการประมวลผล AI พัฒนาโดย Facebook ในปี 2019

นักวิจัยทดสอบ DarkBERT เพื่อใช้งานในกรณีที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์ 3 กรณี คือ

1. การตรวจจับเว็บไซต์ที่ปล่อยข้อมูลของเหยื่อที่โดน Ransomware

กลุ่ม Ransomware ใช้ดาร์กเว็บเพื่อสร้างเว็บไซต์ที่พวกเขาจะปล่อยข้อมูลขององค์กรที่ปฏิเสธการจ่ายค่าไถ่ โดยโมเดลภาษาทั้งสามได้รับมอบหมายให้ระบุ และจัดประเภทเว็บไซต์ดังกล่าว และ DrakBERT มีประสิทธิภาพดีกว่าโมเดลที่เหลือ ซึ่งแสดงให้เห็นถึงข้อดีในการทำความเข้าใจภาษาใน hacking forums บนดาร์กเว็บ

นักวิจัยระบุว่า DarkBERT ที่ได้รับข้อมูลที่ผ่านการประมวลผลมา ดีกว่าข้อมูลที่ไม่ได้รับการประมาณผล แสดงถึงความสำคัญของขั้นตอนก่อนการประมาณผลข้อความเพื่อลดข้อมูลที่ไม่จำเป็น

2. การตรวจจับเธรดที่น่าสนใจ

forums บนดาร์กเว็บมักถูกใช้เพื่อแลกเปลี่ยนข้อมูลที่ผิดกฎหมาย และบ่อยครั้งที่นักวิจัยด้านความปลอดภัยจะคอยตรวจสอบเธรดที่น่าสนใจเพื่อลดความเสี่ยงที่เกี่ยวข้องได้ แต่เนื่องจากมีจำนวน forums และ post forum จำนวนมาก ความสามารถในการค้นหา และประเมินความน่าสนใจของเธรดโดยอัตโนมัติสามารถช่วยลดภาระของงานได้อย่างมาก และอีกปัญหาหลักคือภาษาเฉพาะที่ใช้ในดาร์กเว็บ

นักวิจัยพบว่า เนื่องจากความยากลำบากของงานเอง ผลลัพธ์โดยรวมของ DarkBERT สำหรับการตรวจจับเธรดที่น่าสนใจในโลกความเป็นจริงยังไม่ดีเท่าเมื่อเทียบกับการประเมินก่อนหน้านี้ อย่างไรก็ตาม การแสดงผลของ DarkBERT ยังคงเหนือกว่าโมเดลภาษาอื่น ๆ เป็นอย่างมากในงานด้านดาร์กเว็บ ซึ่งเชื่อว่าการเพิ่มตัวอย่างในการฝึกฝน และพัฒนา features เพิ่มเติม เช่น ข้อมูลผู้เขียน สามารถปรับปรุงประสิทธิภาพการตรวจจับให้ดียิ่งขึ้น

3.การอนุมาน Keyword ที่เป็นภัยคุกคาม

นักวิจัยใช้ฟังก์ชั่น Fill-mask เพื่อระบุ Keywords ที่เกี่ยวข้องกับภัยคุกคาม และการขายยาในดาร์กเว็บ ซึ่ง Fill-mask เป็นฟังก์ชันหลักของโมเดลภาษาตระกูล BERT ซึ่งจะค้นหาคำที่เหมาะสมที่สุดกับตำแหน่งที่ถูกซ่อนไว้ของประโยค ซึ่งมีประโยชน์ในการบันทึกว่า Keywords ใดเป็นตัวบ่งชี้ว่าถูกใช้ในการโจมตีจริง

โดยผลลัพธ์ของ DarkBERT ในการทดสอบแบบเฉพาะนี้ดีกว่าการทดสอบผลการทดสอบอื่น ๆ

ข้อสรุป

นักวิจัยพบว่า DarkBERT มีประสิทธิภาพสูงกว่าโมเดลภาษาอื่นในทุกงานที่นำเสนอ อย่างไรก็ตามจำเป็นต้องมีการปรับแต่งเพิ่มเติม เพื่อเพิ่มประสิทธิภาพมากขึ้นในการใช้งานที่หลากหลาย

นักวิจัยระบุเพิ่มเติมว่า "ในอนาคต มีการวางแผนปรับปรุงประสิทธิภาพของโมเดลภาษาที่ผ่านการฝึกล่วงหน้าในโดเมนดาร์กเว็บโดยใช้สถาปัตกรรมล่าสุด และเก็บรวบรวมข้อมูลเพิ่มเติมเพื่อสร้างโมเดลภาษาหลากหลายภาษาได้"

ที่มา: https://www.