พบ LockBit Ransomware ใช้เครื่องมือบน Microsoft Defender ในการติดตั้ง Payload ที่เป็นอันตราย

ผู้เชี่ยวชาญจาก SentinelOne ได้ค้นพบข้อมูลใหม่เกี่ยวกับกลุ่ม ransomware-as-a-service (RaaS) อย่าง LockBit 3.0 ซึ่งพบว่ามีการใช้งาน Command-Line ของ Windows Defender สำหรับการติดตั้ง Cobalt Strike หลังจากที่เข้าถึงเครื่อง VMware Horizon Server ของเป้าหมายโดยผ่านช่องโหว่ Log4Shell

รายละเอียดการโจมตี

เมื่อ LockBit 3.0 เข้าถึงเครื่องเป้าหมายได้แล้ว มันจะทำการรัน Tools ต่างๆ เพิ่มเติม เช่น Meterpreter, PowerShell Empire นอกจากนี้ยังใช้วิธีการใหม่ในการติดตั้ง Cobalt Strike
จริง ๆ แล้วเทคนิคนี้มีชื่อว่า living-off-the-land (LotL) คือการใช้ซอร์ฟแวร์ที่มีอยู่แล้วบนระบบมาใช้ประโยชน์ในการโจมตี ซึ่งก่อนหน้ามีการใช้ VMwareXferlogs.

Mandiant ยืนยัน ยังไม่พบหลักฐานว่าบริษัทถูกโจมตีจาก LockBit ransomware

เมื่อวันที่ 6 มิถุนายนที่ผ่านมา กลุ่ม LockBit ransomware ได้เผยแพร่ข้อมูลลงบนเว็บไซต์รายงานข้อมูลรั่วไหล ในเนื้อหากล่าวว่าจะมีการเผยแพร่ข้อมูลกว่า 356,841 ไฟล์ ของบริษัท Mandiant ที่เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาในอีก 3 ชั่วโมงข้างหน้า

ซึ่งทาง LockBit ยังไม่ได้เปิดเผยว่าเป็นไฟล์ชนิดใด พบเพียงตัวอย่างเป็นไฟล์ชื่อ 'mandiantyellowpress.

Bridgestone Americas ยอมรับถึงเหตุการณ์ข้อมูลรั่วไหลจากการโจมตีโดยกลุ่ม LockBit Ransomware

Bridgestone Americas หนึ่งในผู้ผลิตล้อยางรายใหญ่ที่สุดในโลกถูกโจมตีทางไซเบอร์ ซึ่งทางกลุ่ม LockBit Ransomware ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี พวกเขาประกาศว่าจะเผยแพร่ข้อมูลที่ได้ขโมยมาจากบริษัทโดยตั้งเวลานับถอยหลัง ซึ่งขณะนี้เหลือเวลาอีกไม่ถึง 3 ชั่วโมง

Bridgestone มีโรงงานผลิตหลายแห่งทั่วโลก และพนักงานกว่า 130,000 คน (พนักงานประจำ และตามสัญญา) จากข้อมูลของบริษัทในปี 2020

เมื่อวันที่ 27 กุมภาพันธ์ Bridgestone เริ่มตรวจสอบ “เหตุการณ์ด้านความปลอดภัยของข้อมูล” ซึ่งตรวจพบในช่วงเช้าของวันเดียวกัน

Bridgestone กล่าวในแถลงการณ์ว่า "จากเหตุการณ์ที่เกิดขึ้น เราได้ทำการตัดการเชื่อมต่อของโรงงานผลิต และการหล่อยางหลายแห่งในละตินอเมริกา อเมริกาเหนือ ออกจากเครือข่ายของเรา เพื่อควบคุม และป้องกันผลกระทบที่อาจเกิดขึ้น"

ยังไม่มีรายละเอียดเกี่ยวกับเหตุการณ์ที่เกิดขึ้นจนกระทั่งวันนี้ กลุ่ม LockBit Ransomware ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี โดยมีการเพิ่ม Bridgestone Americas ลงในรายชื่อเหยื่อของพวกเขา ซึ่ง LockBit เป็นหนึ่งในกลุ่มแรนซัมแวร์ที่มีการเคลื่อนไหวมากที่สุดในปัจจุบัน โดยมุ่งเป้าไปที่องค์กรขนาดใหญ่ บางครั้งก็มีการเรียกค่าไถ่เป็นเงินหลายสิบล้านเหรียญสหรัฐ เช่นเดียวกับ Accenture

ยังไม่สามาถระบุได้ว่ามีข้อมูลใดบ้างที่ LockBit ขโมยมาจาก Bridgestone Americas หรือข้อมูลดังกล่าวจะส่งผลเสียต่อบริษัทอย่างไรบ้าง ในขณะที่การนับเวลาถอยหลังสำหรับการปล่อยข้อมูลออกสู่สาธารณะ ที่กำลังจะถึงกำหนดภายในเวลาประมาณ 3 ชั่วโมงครึ่ง

 

ในรายงานเมื่อเดือนที่แล้ว บริษัท อุตสาหกรรม Cybersecurity Dragos กล่าวว่า LockBit เป็นกลุ่ม Ransomware ที่มีการกำหนดเป้าหมายเป็นภาคอุตสาหกรรมด้วยการโจมตีมากถึง 103 ครั้ง ตามมาด้วยกลุ่ม Conti 63 ครั้งในรอบปีที่ผ่านมา

ในต้นเดือนกุมภาพันธ์ ทาง FBI ได้ให้รายละเอียดทางเทคนิคในการแสดงหน้าต่าง debug ที่ซ่อนอยู่ของกลุ่ม LockBit เพื่อให้เห็นสถานะการ encrypt ข้อมูลแบบเรียลไทม์

ในช่วงแรก BleepingComputer ได้ติดต่อไปยังบริษัท Bridgestone Americas เพื่อขอคำชี้แจงเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ในเวลานั้นก็ยังไม่ได้รับการตอบกลับ

ต่อมาเมื่อวันที่ 11 มีนาคม, 16:36 น. Bridgestone Americas ตอบกลับคำขอความคิดเห็นจาก BleepingComputer โดยระบุว่ากำลังทำงานร่วมกับ Accenture Security "เพื่อตรวจสอบการโจมตีที่เกิดขึ้น และรายละเอียดของเหตุการณ์ทั้งหมด ซึ่งกำลังวิเคราะห์เพื่อระบุข้อมูลที่ถูกขโมยไป"

ข้อความเต็มด้านล่าง :
เมื่อวันที่ 27 กุมภาพันธ์ พ.ศ. 2565 บริษัท Bridgestone Americas ตรวจพบเหตุการณ์การโจมตี จากนั้นเราได้แจ้งหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง และเรายังทำงานกับที่ปรึกษาด้านความปลอดภัยภายนอกองค์กร Accenture Security เพื่อตรวจสอบการโจมตีที่เกิดขึ้น และรายละเอียดของเหตุการณ์ทั้งหมด เบื้องต้นเหตุการณ์นี้เป็นผลมาจากการโจมตีของแรนซัมแวร์ ซึ่งการโจมตีของแรนซัมแวร์นี้ ส่งผลกระทบต่อองค์กรหลายพันแห่งในลักษณะเดียวกัน

ในการสืบสวน ได้พบว่าผู้โจมตีได้มีการนำข้อมูลออกจากระบบของ Bridgestone จำนวนหนึ่ง และข่มขู่ที่จะเปิดเผยข้อมูลต่อสาธารณะ เรามีความมุ่งมั่นที่จะดำเนินการตรวจสอบให้เร็วที่สุดเท่าที่เป็นไปได้จากข้อมูลแวดล้อมที่มี Bridgestone ดำเนินการด้านความปลอดภัยของข้อมูลให้กับลูกค้า และพันธมิตรด้วยความสำคัญสูงสุด จะทำการติดต่อ และแจ้งให้ทราบ เพื่อลดอันตรายที่อาจเกิดขึ้นจากเหตุการณ์นี้ และเพื่อปรับปรุงมาตรการรักษาความปลอดภัยทางไซเบอร์ตามคำแนะนำของที่ปรึกษาด้านความปลอดภัยทั้งภายใน และภายนอก

ที่มา : bleepingcomputer

กลุ่ม LockBit Ransomware ได้เปิดรับสมัครบุคคลภายในองค์กรต่างๆ เพื่อให้ข้อมูลสำหรับทำการโจมตีเครือข่ายภายในองค์กร

LockBit 2.0 Ransomware กำลังหาคนภายในองค์กรต่าง ๆ เพื่อช่วยพวกเขาในการเจาะ และเข้ารหัสเครือข่ายขององค์กรนั้นๆ และสัญญากับผู้ที่ให้ข้อมูลขององค์กรตัวเองว่าจะจ่ายเงินให้ 1 ล้านเหรียญ

ในเดือนมิถุนายน 2021 LockBit ได้ประกาศเปิดตัวเวอร์ชั่นใหม่ของ LockBit 2.0 ransomware-as-a-service ในการเปิดตัวใหม่นี้รวมถึงเว็บไซต์ TOR ที่ออกแบบใหม่และคุณสมบัติขั้นสูงต่างๆ รวมถึงอุปกรณ์เข้ารหัสอัตโนมัติบนเครือข่ายผ่าน Group policy และด้วยการเปิดตัวใหม่นี้ LockBit ได้เปลี่ยน Windows wallpaper บนอุปกรณ์ที่ถูกเข้ารหัสเพื่อเสนอว่า “ล้านดอลลาร์ สำหรับบุคคลภายในองค์กรที่ให้ข้อมูล account ที่สามารถเข้าถึงเครือข่ายขององค์กร”

ข้อความเต็มๆเขียนไว้ว่า LockBit กำลังมองหา RDP, VPN, Credentials อีเมลขององค์กรที่สามารถใช้เข้าถึงเครือข่ายได้ และยังบอกด้วยว่าจะส่ง Virus ให้กับคนภายในที่จะดำเนินการบนคอมพิวเตอร์ ซึ่งจะทำให้กลุ่ม Ransomware เข้าถึงเครือข่ายจากระยะไกลได้ และยังได้ทิ้งช่องทางการติดต่อเป็น ToxID:xxxx เพื่อติดต่อกับทางแฮกเกอร์เกี่ยวกับรายละเอียดต่าง ๆ

ยังไงก็ตาม ดูเหมือนว่าข้อความนี้มีแนวโน้มที่จะมุ่งเป้าไปที่บุคคลที่สามจากภายนอกที่เป็นที่ปรึกษาด้าน IT ที่เห็นข้อความนี้ในขณะที่กำลังทำการตอบสนองต่อการโจมตี และแม้ว่าวิธีนี้อาจจะฟังดูยาก แต่ว่าก็ไม่ใช่ครั้งแรกที่แฮกเกอร์พยายามหาพนักงานภายในองค์กร หรือบุคคลที่สาม เพื่อเข้ารหัสเครือข่ายของบริษัท ยกตัวอย่างเช่นในเดือนสิงหาคม 2020 FBI ได้จับกุมชาวรัสเซียคนหนึ่งในข้อหาพยายามจ้างพนักงานของเทสลาเพื่อวางมัลแวร์บนเครือข่ายภายใน Tesla Neveda Gigafactory ด้วยเช่นกัน

ที่มา : bleepingcomputer.

ใครๆ ก็พลาดกันได้! พบรายงานข้อผิดพลาดบนเครื่องมือทดสอบถอดรหัสของ LockBit ransomware ส่งผลให้เหยื่อสามารถนำไปใช้ถอดรหัสได้ไม่จำกัด

ข้อมูลนี้ถูกหยิบยกมาพูดคุยบนเว็บไซต์ใต้ดินที่เกี่ยวข้องกับอาชญากรรมทางไซเบอร์แห่งหนึ่ง เป็นปัญหาที่เกิดขึ้นกับเครื่องมือสำหรับถอดรหัสที่เป็นตัวทดสอบ (Trial Decryptor) สำหรับให้เหยื่อทดลองใช้ อย่างไรก็ตามเชื่อว่าปัจจุบันกลุ่มที่อยู่เบื้องหลัง LockBit ransomware น่าจะทราบปัญหาดังกล่าวและทำการแก้ไขปัญหาดังกล่าวแล้ว

 

ที่มา: therecord