ยังไม่ยืนยัน : บริษัทด้าน SI (Systems Integrator) รายใหญ่ในประเทศไทย ถูกโจมตีจาก Snatch Ransomware

เมื่อไม่กี่วันที่ผ่านมามีข้อมูลว่าบริษัทด้าน SI (Systems Integrator) รายใหญ่ในประเทศไทย ถูกโจมตีจาก Snatch Ransomware และมีข้อมูลรั่วไหลออกมาประมาณ 1.5 GB จากข่าวดังกล่าวยังไม่ได้รับการยืนยันว่าเป็นเรื่องจริงหรือไม่

Snatch Ransomware คืออะไร?

Snatch Ransomware ถูกตรวจพบมาเป็นเวลานานแล้ว โดยเป็นมัลแวร์ที่สามารถทำงานใน Safe Mode ของ Windows ได้ จึงทำให้มันสามารถ bypass การตรวจจับของ Antivirus ได้ นอกจากที่ Snatch Ransomware จะสามารถทำงานได้บน Safe Mode ได้แล้ว ยังพบว่าผู้โจมตียังใช้เครื่องมือ เช่น Process Hacker, IObit Uninstaller, PowerTool, และ PsExec ในการพยายามปิดการทำงานของ Antivirus อีกด้วย

วิธีการโจมตี

Snatch Ransomware เคยถูกพบว่าโจมตีเครื่องของเหยื่อด้วยวิธีการ Brute Force Attack ไปที่เครื่องที่มีการเปิด RDP ไว้จาก Internet จากนั้นเมื่อได้ account ของ domain administrator แฮ็กเกอร์จะโจมตีต่อไปยังเครื่อง Domain Controller

หลังจากนั้นผู้โจมตีจะนำเครื่องมือต่างๆมาติดตั้งลงเครื่องของเหยื่อที่ Path C:
Windows เมื่อติดตั้งเสร็จเรียบร้อยก็จะทำการเชื่อมต่อกลับไปยัง C2 Server ที่อยู่บน TOR Network ผ่านทาง RDP tunnel ที่สร้างขึ้น ถัดมาก็จะมีการสร้าง reverse shell กลับไปยัง C2 Server ผ่าน HTTPS/443 ไปที่ IP 91.229.77.161 ผ่าน Process cplXen.