การรั่วไหลของ LockBit 3.0 ransomware builder ในปีที่ผ่านมา ส่งผลให้ผู้โจมตีใช้เครื่องมือนี้เพื่อสร้าง ransomware เวอร์ชันใหม่ออกมาจำนวนมาก

Kaspersky บริษัทรักษาความปลอดภัยทางไซเบอร์ของรัสเซียระบุว่า ตรวจพบการโจมตีของแรนซัมแวร์ที่ใช้โค้ดของ LockBit แต่มีขั้นตอนการเรียกค่าไถ่ที่แตกต่างอย่างชัดเจน

โดยนักวิจัยด้านความปลอดภัย Eduardo Ovalle และ Francesco Figurell ระบุว่า “ผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ ได้ใช้ข้อความเรียกค่าไถ่ที่แตกต่างออกไป โดยเกี่ยวข้องกับกลุ่มที่ไม่เคยรู้จักมาก่อนที่ชื่อว่า 'NATIONAL HAZARD AGENCY' "

การเรียกค่าไถ่รูปแบบใหม่นี้จะระบุจำนวนเงินที่ต้องชำระโดยตรงเพื่อรับคีย์ถอดรหัส และให้ติดต่อผ่านบริการ Tox และอีเมล ซึ่งแตกต่างกับกลุ่ม LockBit ที่ไม่ได้ระบุจำนวนเงิน และใช้แพลตฟอร์มการสื่อสาร และการเจรจาของตนเอง

NATIONAL HAZARD AGENCY ไม่ใช่กลุ่มผู้โจมตีกลุ่มเดียวที่ใช้ LockBit 3.0 builder ที่รั่วไหลครั้งนี้ โดยยังพบผู้โจมตีกลุ่มอื่นที่ใช้เครื่องมือนี้ รวมถึง Bl00dy และ Buhti อีกด้วย

Kaspersky ได้บันทึกว่าตรวจพบ 396 ตัวอย่างของ LockBit ที่แตกต่างกัน โดยในจำนวนนี้ 312 ตัว ถูกสร้างจาก builders ที่รั่วไหล อีกทั้งยังมีตัวอย่างทั้งหมด 77 ตัวที่ไม่มีการอ้างอิงถึง "LockBit" ในข้อความเรียกค่าไถ่

นักวิจัยระบุว่า "parameters ที่ตรวจพบหลายตัวสอดคล้องกับการกำหนดค่าเริ่มต้นของ builder โดยมีบางส่วนที่เปลี่ยนแปลงเล็กน้อย" แสดงให้เห็นว่าตัวอย่างนั้นเป็นไปได้ว่าถูกพัฒนาขึ้นเพื่อความเร่งด่วน หรือโดยผู้โจมตีที่ไม่มีความเชี่ยวชาญเท่าไร

การเปิดเผยนี้เกิดขึ้นเมื่อ Netenrich ได้สำรวจร่องรอยของ ransomware ที่เรียกว่า ADHUBLLKA ซึ่งได้มีการเปลี่ยนแบรนด์หลายครั้งตั้งแต่ปี 2019 (BIT, LOLKEK, OBZ, U2K, และ TZW) ในขณะที่กำหนดเป้าหมายไปที่กลุ่มบุคคล และธุรกิจขนาดเล็กเพื่อรับเงินค่าไถ่ที่ต่ำมากในช่วง 800 ถึง 1,600 ดอลลาร์สหรัฐจากเหยื่อ

แม้ว่าแต่ละเวอร์ชันของ ransomware จะมาพร้อมกับการปรับเปลี่ยนเล็กน้อยในรูปแบบการเข้ารหัส, ข้อความเรียกค่าไถ่ และวิธีการที่ใช้ในการสื่อสาร แต่จากการตรวจสอบพบว่าถูกเชื่อมโยงไปที่ ADHUBLLKA เนื่องจากมีความคล้ายคลึงใน source code และ infrastructure ที่ใช้

Rakesh Krishnan นักวิจัยด้านความปลอดภัยระบุว่า "เมื่อ ransomware ประสบความสำเร็จ มักจะพบว่าผู้โจมตีมักใช้ ransomware ตัวเดียวกัน โดยปรับปรุง codebase เล็กน้อย เพื่อนำร่องโปรเจกต์อื่น ๆ"

"ตัวอย่างเช่น ผู้โจมตีอาจเปลี่ยนแปลงวิธีการเข้ารหัสข้อมูล ข้อความเรียกค่าไถ่ หรือช่องทางการสื่อสาร command-and-control (C2) แล้วเปลี่ยนชื่อเป็น ransomware ตัวใหม่"

Ransomware ยังคงถูกพัฒนาอย่างต่อเนื่อง โดยมีการเปลี่่ยนแปลงวิธีการโจมตี และเป้าหมายอยู่บ่อยครั้ง เพื่อมุ่งไปหมายไปยัง Linux เช่น Trigona, Monti, และ Akira ซึ่งมีความเชื่อมโยงกับผู้โจมตีที่เกี่ยวของกับกลุ่ม Conti

Akira ยังถูกเชื่อมโยงกับการโจมตีที่ใช้ผลิตภัณฑ์ Cisco VPN เป็นช่องทางการโจมตีเพื่อเข้าถึงเครือข่ายขององค์กรโดยไม่ได้รับอนุญาต โดย Cisco ได้ยอมรับว่ากลุ่มผู้โจมตีได้ใช้ประโยชน์จาก Cisco VPNs ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication

Cisco ระบุว่า "ผู้โจมตีมักจะมุ่งเน้นไปที่ผู้ใช้งานที่ไม่ได้เปิดใช้งาน multi-factor authentication (MFA) และช่องโหว่ของซอฟต์แวร์ VPN"

เมื่อผู้โจมตีเข้าถึงฐานข้อมูลของเครือข่ายเป้าหมายได้ มันจะพยายามดึงข้อมูล credentials ผ่านการ dumps SASS (Local Security Authority Subsystem Service) เพื่อโจมตีต่อไปยังภายในเครือข่าย และเพิ่มระดับสิทธิ์หากจำเป็น

การพัฒนานี้เกิดขึ้นในช่วงเวลาที่เกิดการเพิ่มขึ้นของการโจมตีด้วย ransomware โดยกลุ่ม Cl0p ransomware ได้โจมตีองค์กรมากกว่า 1,000 แห่งโดยใช้ช่องโหว่ในแอปพลิเคชัน MOVEit Transfer เพื่อเข้าถึงระบบเบื้องต้น และทำการเข้ารหัสเครือข่ายเป้าหมาย

องค์กรที่ตั้งอยู่ในสหรัฐฯ มีผู้เสียหายในอัตรา 83.9% ตามด้วยเยอรมนี (3.6%) แคนาดา (2.6%) และสหราชอาณาจักร (2.1%) โดยมีรายงานว่ามีผู้ได้รับผลกระทบจำนวนกว่า 60 ล้านคน จากแคมเปญการโจมตีขนาดใหญ่ที่เริ่มต้นในเดือนพฤษภาคม 2023

อย่างไรก็ตาม พื้นที่ที่ได้รับผลกระทบจากการโจมตีของ ransomware มีปริมาณเพิ่มขึ้นเป็นอย่างมาก แสดงให้เห็นว่ากลุ่มผู้โจมตีจะได้รับผลกำไรราว ๆ 75 ล้านถึง 100 ล้านดอลลาร์จากการพยายามโจมตีดังกล่าว

Coveware ระบุว่า "ในขณะที่แคมเปญการโจมตีช่องโหว่ของ MOVEit อาจส่งผลกระทบต่อบริษัทมากกว่า 1,000 แห่งโดยตรง แต่มีเพียงส่วนน้อยมากของผู้เสียหายที่พยายามเจรจาต่อรอง หรือพิจารณาในการยอมชำระเงิน"

ผู้ที่ยอมจ่ายเงินมีจำนวนมากกว่าแคมเปญ CloP ก่อนหน้านี้ และจ่ายเงินมากกว่าค่าไถ่เฉลี่ยระดับโลกที่ 740,144 ดอลลาร์สหรัฐ (+126% จากไตรมาส 1 ปี 2023)"

นอกจากนี้ตามรายงานของ Sophos เรื่อง "Active Adversary Report ปี 2023" ระยะเวลาเฉลี่ยสำหรับเหตุการณ์การดจมตีจาก ransomware ลดลงจาก 9 วันในปี 2022 เหลือเพียง 5 วันในครึ่งปีแรกของปี 2023 ซึ่งแสดงให้เห็นว่ากลุ่ม ransomware กำลังโจมตีได้เร็วกว่าที่เคยเป็นมา

"ใน 81% ของการโจมตีด้วย ransomware payload อยู่ในช่วงนอกเวลาทำการปกติ และสำหรับการโจมตีในช่วงเวลาทำการ มีเพียง 5 ครั้งเท่านั้นที่เกิดขึ้นในวันธรรมดา โดยการโจมตีด้วย ransomware เกือบครึ่ง (43%) ถูกตรวจพบในวันศุกร์ หรือไม่ก็วันเสาร์"

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยจาก Sophos X-Ops เปิดเผยการพบกลุ่ม Ransomware ใช้ hacking tool ตัวใหม่ในชื่อ AuKill เพื่อปิดใช้งานซอฟต์แวร์ Endpoint Detection & Response (EDR) บนระบบของเป้าหมาย ก่อนที่จะติดตั้งแบ็คดอร์ และแรนซัมแวร์ในการโจมตีแบบ Bring Your Own Vulnerable Driver (BYOVD)

(more…)

ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศอัปเกรดตัวเองเป็นเวอร์ชัน 3.0 ซึ่งในครั้งนี้มีการเพิ่มฟีเจอร์ใหม่ ๆ เข้ามา เช่น ป้องกันการวิเคราะห์ และตรวจสอบจากอุปกรณ์ต่างๆ, เพิ่มรางวัลกับผู้ที่เจอบั๊กของโปรแกรม รวมไปถึงเพิ่มวิธีการใหม่ ๆ ในการโจมตี

อย่างไรก็ตาม ในวันที่ 21 กันยายนที่ผ่านมา 3xp0rt ผู้เชี่ยวชาญด้าน Cybersecurity ได้โพสบน Twitter ว่าพบบัญชีสร้างใหม่ที่มีชื่อว่า "Ali Qushji" ซึ่งอ้างว่าตน และทีมได้แฮ็กเซิฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0

หลังจากที่ 3xp0rt แชร์ทวีตไม่นาน ก็มีทีมงานผู้เชี่ยวชาญอีกกลุ่มที่ชื่อว่า VX-Underground ได้แชร์ทวีตในลักษณะเดียวกัน โดยระบุว่าตนได้รับการติดต่อจากผู้ที่อ้างว่ามีข้อมูล Builder ของ LockBit 3.0 เช่นกัน

ต่อมาตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็ก ข้อมูลที่ถูกเผยแพร่มาจากทีม Developer ที่มีปัญหากันเองภายในกลุ่ม

ลักษณะการทำงาน

จากการตรวจสอบไฟล์ Builder ที่ถูกเผยแพร่ออกมา พบว่าผู้ใช้งานสามารถสร้าง Ransomware ที่ใช้ในการโจมตีขึ้นมาได้อย่างรวดเร็ว ซึ่งในไฟล์ที่ถูกสร้างนั้นประกอบไปด้วยเครื่องมือที่ใช้ในการเข้ารหัส, เครื่องมือถอดรหัส, รวมไปถึง Tools พิเศษอื่น ๆ ที่ใช้ในการถอดรหัส
เมื่อตรวจสอบ Builder พบว่าประกอบด้วย 4 ไฟล์หลัก ๆ ได้แก่

เครื่องมือ Generate Key ที่ใช้สำหรับการเข้ารหัส
Builder ที่ใช้ในการสร้าง Execute File
Configuration Files ที่ผู้ใช้งานสามารถปรับแก้ไขให้ตรงตามที่ต้องการได้
Batch File สำหรับสร้าง File ทั้งหมดที่ผู้ใช้งานกำหนดไว้

ในไฟล์ config.

Centre Hospitalier Sud Francilien (CHSF) ซึ่งเป็นโรงพยาบาลขนาด 1,000 เตียง โดยอยู่ห่างจากกรุงปารีสเพียง 28 กม. และให้บริการในพื้นที่ที่มีประชากรราวๆ 600,000 คน
เมื่อวันอาทิตย์ที่ผ่านมาโรงพยาบาลถูกโจมตีด้วยแรนซัมแวร์ ทำให้เกิดการขัดข้องในการดำเนินการรักษา ซึ่งอาจเป็นอันตรายต่อสุขภาพ และชีวิตของผู้ป่วยในภาวะฉุกเฉินทางการแพทย์ จึงทำให้ทางโรงพยาบาลจำเป็นต้องส่งผู้ป่วยต่อไปยังโรงพยาบาลอื่น และต้องเลื่อนนัดสำหรับผู้ป่วยที่ต้องทำการผ่าตัด
ประกาศของทางโรงพยาบาลระบุว่า “การโจมตีเครือข่ายคอมพิวเตอร์ทำให้ซอฟต์แวร์ ระบบจัดเก็บข้อมูล (โดยเฉพาะภาพทางการแพทย์) และระบบข้อมูลที่เกี่ยวข้องกับการรับผู้ป่วยของโรงพยาบาลไม่สามารถเข้าถึงได้ในขณะนี้ ”

เจ้าหน้าที่โรงพยาบาลยังไม่ได้ให้ข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์ระบบไอทีที่ยังขัดข้อง และยังคงส่งผลอันตรายต่อผู้ป่วยของโรงพยาบาล ในส่วนคนไข้ที่ต้องดูแลฉุกเฉินจะได้รับการประเมินโดยแพทย์ของโรงพยาบาล หากคนไข้อยู่ในภาวะที่ต้องมีการถ่ายภาพทางการแพทย์เพื่อการรักษา ผู้ป่วยจะถูกย้ายไปยังโรงพยาบาลอื่น
รายงานของหนังสือพิมพ์ Le Monde ซึ่งมีข้อมูลจากหน่วยงานบังคับใช้กฎหมายของประเทศได้ระบุว่า กลุ่มผู้โจมตีเรียกค่าไถ่เป็นเงินจำนวน 10,000,000 ดอลลาร์ เพื่อแลกกับคีย์สำหรับถอดรหัส เจ้าหน้าที่ตำรวจกล่าวกับหนังสือพิมพ์ Le Monde โดยระบุว่า "การสอบสวนกำลังดำเนินการโดยศูนย์ต่อต้านอาชญากรรมทางดิจิทัล (C3N) และสำนักงานอัยการปารีส เพื่อตรวจสอบรายละเอียดของการโจมตี และกลุ่มที่พยายามเรียกค่าไถ่”

สันนิษฐานว่าเป็นการโจมตีจาก Lockbit 3.0

Valéry Riess-Marchive นักข่าวด้านความปลอดภัยทางไซเบอร์ชาวฝรั่งเศสระบุถึงสัญญาณของ LockBit 3.0 โดยกล่าวถึงวิธีการจัดการโดยหน่วยงานที่กำลังดำเนินการตรวจสอบ มีแนวโน้มว่าน่าจะเกี่ยวข้องกับการโจมตีจาก Rangar Locker และ LockBit
Riess-Marchive ระบุใน LegMagIT ว่า Ragnar Locker ไม่น่าจะอยู่เบื้องหลังการโจมตีครั้งนี้ เนื่องจากมักจะมุ่งเน้นไปที่ขนาดของธุรกิจของเหยื่อที่แตกต่างจากที่นี่ ในขณะที่ LockBit 3.0 มีขอบเขตของเป้าหมายในการโจมตีที่กว้างกว่า หาก Lockbit 3.0 เกี่ยวข้องกับการโจมตีโรงพยาบาล CHSF ครั้งนี้จริง ก็ถือว่าเป็นการละเมิดกฎของบริการ RaaS ซึ่งจะห้ามไม่ให้กลุ่มผู้โจมตีที่นำ Ransomware ไปใช้โจมตีระบบของผู้ให้บริการด้านการดูแลสุขภาพ
ปัจจุบันกลุ่มผู้โจมตีในครั้งนี้นั้นยังไม่ได้รับการยืนยัน และเว็บไซต์ LockBit 3.0 ก็ยังไม่มีรายชื่อของโรงพยาบาล ดังนั้นจึงยังเป็นแค่การสันนิษฐานจากผู้สื่อข่าวเท่านั้น

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญจาก SentinelOne ได้ค้นพบข้อมูลใหม่เกี่ยวกับกลุ่ม ransomware-as-a-service (RaaS) อย่าง LockBit 3.0 ซึ่งพบว่ามีการใช้งาน Command-Line ของ Windows Defender สำหรับการติดตั้ง Cobalt Strike หลังจากที่เข้าถึงเครื่อง VMware Horizon Server ของเป้าหมายโดยผ่านช่องโหว่ Log4Shell

รายละเอียดการโจมตี

เมื่อ LockBit 3.0 เข้าถึงเครื่องเป้าหมายได้แล้ว มันจะทำการรัน Tools ต่างๆ เพิ่มเติม เช่น Meterpreter, PowerShell Empire นอกจากนี้ยังใช้วิธีการใหม่ในการติดตั้ง Cobalt Strike
จริง ๆ แล้วเทคนิคนี้มีชื่อว่า living-off-the-land (LotL) คือการใช้ซอร์ฟแวร์ที่มีอยู่แล้วบนระบบมาใช้ประโยชน์ในการโจมตี ซึ่งก่อนหน้ามีการใช้ VMwareXferlogs.