The U.S. Cybersecurity and Infrastructure Security Agency หรือ CISA ได้แจ้งเตือนเกี่ยวกับความสามารถที่เป็นอันตรายของ Royal Ransomware ซึ่งมีการเปิดตัว และเริ่มมีการปฏิบัติการตั้งแต่เดือนกันยายน ปี 2565 โดยมีการกำหนดเป้าหมายไปยังหลากหลายภาคส่วนที่มีความสำคัญต่าง ๆ เช่น การสื่อสาร การศึกษา การดูแลสุขภาพ และการผลิต โดยใช้การโจมตีที่มีลักษณะเฉพาะตัว

รูปแบบการโจมตี

ในการโจมตีของ Royal Ransomware จากข่าวนี้นั้น จะเป็นการใช้ call-back phishing เพื่อส่ง ransomware ไปยังเหยื่อ โดยจะเป็นการส่งอีเมลที่น่าเชื่อถือที่จะหลอกให้ผู้รับคลิกลิงก์ หรือดาวน์โหลดไฟล์แนบที่มีมัลแวร์อยู่ หรือใช้ช่องโหว่ต่าง ๆ จาก Software ที่ยังไม่ได้รับการแก้ไข และจากนั้นเมื่อสามารถเข้าถึงเครือข่ายของเหยื่อได้แล้ว ก็จะทำการปิดการใช้งาน Antivirus software และจะทำการขโมยข้อมูลที่สำคัญที่ต้องการออกไป ก่อนที่จะทำการเข้ารหัสไฟล์บนเครื่องเหยื่อ โดยจะมีการเลือกเปอร์เซ็นต์การเข้ารหัสข้อมูล เพื่อหลบเลี่ยงการตรวจจับ
จากนั้นจะมีการโจมตีต่อไปยังภายในเครือข่ายของเหยื่อโดยการใช้ Cobalt Strike และ PsExec รวมถึงดำเนินการลบ Shadow Copy เพื่อไม่ให้สามารถกู้คืนระบบได้
หลังจากดำเนินการโจมตีเสร็จสิ้น ก็จะมีการเรียกค่าไถ่ตั้งแต่ 1-11 ล้านดอลลาร์สหรัฐ ทั้งนี้ Royal Ransomware ยังสามารถโจมตีเป้าหมายได้ทั้งระบบปฏิบัติการ Windows และ Linux อีกด้วย

แนวทางการป้องกัน

ไม่เปิดไฟล์แนบจากอีเมลจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัปเดต Software ต่าง ๆ ให้เป็นปัจจุบันอย่างสม่ำเสมอ เพื่อป้องกันการโจมตีจากช่องโหว่ต่าง ๆ
จัดให้มีการ Awareness Training ให้กับพนักงานภายในองค์กร
ควรสำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บข้อมูลจากเครื่องต้นทาง
จากข่าวนี้มีการใช้เครื่องมือในการโจมตีต่อไปยังระบบอื่น ๆ ภายในเครือข่าย หากเป็นไปได้แนะนำให้มีการติดตั้ง EDR เพื่อ Detect และ Protect การโจมตีโดยการใช้เครื่องมือดังกล่าว

 

Ref : thehackernews

นักวิจัยด้านความปลอดภัยได้พัฒนาการใช้งาน PsExec utility ที่อยู่ในเครื่องมือ Sysinternals ของ Microsoft ให้สามารถเชื่อมต่อไปภายในเครือข่ายได้โดยการใช้พอร์ต TCP/135 ที่ปกติแล้วจะถูกตรวจสอบน้อยกว่าพอร์ตอื่น ๆ

โดย PsExec ได้รับการออกแบบมาเพื่อช่วยให้ผู้ดูแลระบบสั่งการทำงานเครื่องจากระยะไกลในเครือข่ายได้โดยไม่จำเป็นต้องติดตั้งไคลแอนท์ ทำให้ผู้โจมตีมักใช้เครื่องมือนี้ หลังจากการโจมตีระบบของเหยื่อได้สำเร็จ เพื่อทำการแพร่กระจาย มัลแวร์ หรือส่งคำสั่งไปยังระบบต่าง ๆ ในเครือข่าย

TCP Port ที่ใช้โดย PsExec

แม้ว่า PsExec ปกติแล้วจะมีอยู่ใน Sysinternals แต่ก็มีการนำไปใช้งานใน Impacket บน Python ซึ่งรองรับการทำงานกับโปรโตคอล SMB และโปรโตคอลอื่นๆ เช่น IP, UDP, TCP ที่เปิดใช้งานเพื่อเชื่อมต่อสำหรับ HTTP LDAP (Lightweight Directory Access Protocol) และ Microsoft SQL Server (MSSQL) แต่เวอร์ชันดั้งเดิม และ Impacket จะทำงานในลักษณะเดียวกัน คือจำเป็นต้องเปิดพอร์ต 445 เพื่อเชื่อมต่อผ่านโปรโตคอล SMB และยังสามารถใช้บริหารจัดการ Windows services เช่น create, execute, start stop ผ่าน Remote Procedure Calls (RPC) ซึ่งเป็นโปรโตคอลที่ใช้สำหรับสื่อสารกับระบบปฏิบัติการได้

สำหรับฟังก์ชันอื่น ๆ อาจจำเป็นต้องใช้พอร์ต 135 เพิ่มเติม และด้วยสาเหตุที่พอร์ต 445 จำเป็นมากกว่าต่อการใช้งาน PsExec จึงทำให้การป้องกันจึงมุ่งเน้นไปที่การบล็อกพอร์ต 445 ซึ่งจำเป็นสำหรับ PsExec ในการดำเนินการรันคำสั่ง หรือเรียกใช้ไฟล์

PsExec ที่ถูกพัฒนาขึ้นใหม่

จากไลบรารี Impacket นักวิจัยจาก Pentera ได้นำเครื่องมือ PsExec ไปใช้ทำงานบนพอร์ต 135 เท่านั้นได้สำเร็จ ซึ่งทำให้การบล็อกเพียงพอร์ต 445 เพื่อป้องกันการทำงานจาก PsExec นั้นไม่พออีกต่อไป

Yuval Lazar นักวิจัยด้านความปลอดภัยอาวุโสของ Pentera ระบุในรายงานที่ส่งให้กับ BleepingComputer ว่า คำสั่งต่างๆ จะดำเนินการผ่าน Distributed Computing Environment / Remote Procedure Calls (DCE/RPC)

การใช้งาน PsExec จาก Pentera จะใช้การเชื่อมต่อผ่าน RPC ที่ทำให้นักวิจัยสามารถเรียกใช้คำสั่งตามที่ต้องการโดยไม่ต้องเชื่อมต่อผ่านพอร์ต SMB 445

 

Lazar ระบุกับ BleepingComputer ว่า PsExec ตัวใหม่จะมีโอกาสสูงที่ไม่ถูกตรวจจับได้ในเครือข่าย เนื่องจากหลายองค์กรจับตาดูเพียงพอร์ต 445 และ SMB protocol

อีกจุดหนึ่งที่ Lazar นำเสนอคือการใช้งาน PsExec ปกติต้องใช้ SMB protocol เนื่องจากเป็นลักษณะ file-based แต่ของ Pentera จะเป็นลักษณะ fileless ซึ่งจะทำให้ตรวจจับได้ยากขึ้น

การวิจัยของ Lazar เกี่ยวกับ PsExec เกิดขึ้นในขณะที่ช่องโหว่ด้านความปลอดภัย เช่น PetitPotam และ DFSCoerce ได้แสดงให้เห็นถึงความเสี่ยงจาก RPC ซึ่งการป้องกันช่องโหว่ดังกล่าวไม่ได้เน้นที่การตรวจสอบ DCE/RPC แต่เป็นการป้องกันที่ NTLM relay

ซึ่ง Pentera สังเกตว่าปกติแล้วการรับส่งข้อมูลบน RPC ไม่ค่อยมีการตรวจสอบจากองค์กรต่าง ๆ ซึ่งอาจเกิดจากการที่ระบบป้องกันต่าง ๆ ไม่คิดว่า RPC จะสามารถทำให้เกิดความเสี่ยงด้านความปลอดภัยกับเครือข่ายได้

Will Dormann นักวิเคราะห์ช่องโหว่ของ CERT/CC ยืนยันว่าการบล็อกพอร์ต TCP 445 เพียงอย่างเดียวไม่เพียงพอ

PsExec ใช้การเชื่อมต่อผ่าน SMB และ RPC ซึ่งต้องใช้พอร์ต 445, 139 และ 135 อย่างไรก็ตาม Lazar กล่าวเสริมว่ามีการใช้งาน RPC บน HTTP ด้วย ซึ่งหมายความว่า PsExec ก็อาจทำงานบนพอร์ต 80 ได้เช่นกัน

PsExec เป็นที่นิยมในกลุ่มแรนซัมแวร์

แฮ็กเกอร์ใช้ PsExec ในการโจมตีมาเป็นเวลานาน โดยเฉพาะกลุ่มแรนซัมแวร์ ด้วยการโจมตีที่กินเวลาเพียงหนึ่งชั่วโมง NetWalker ransomware ใช้ PsExec เพื่อเรียกใช้เพย์โหลดได้บนทุกระบบในโดเมน

ตัวอย่างการโจมตีโดยใช้ PsExec

กลุ่ม Quantum ransomware อาศัย PsExec และ WMI ใช้เวลาเพียงสองชั่วโมงในการเข้ารหัสทั้งระบบของเหยื่อ หลังจากเข้าถึงผ่านมัลแวร์ IcedID
รายงานจาก Microsoft ในเดือนมิถุนายน BlackCat ransomware ใช้ PsExec เพื่อแพร่กระจายเพย์โหลดของแรนซัมแวร์
การถูกโจมตีของ Cisco ที่เปิดเผยเมื่อเร็วๆ นี้ ซึ่งกลุ่ม Yanluowang ใช้ PsExec เพื่อเพิ่มค่า Registry จากภายนอก

ที่มา: bleepingcomputer

ผู้เชี่ยวชาญจาก Symentec พบพฤติกรรมการโจมตีที่มุ่งเน้นไปที่หน่วยงานรัฐในแถบเอเชีย เป้าหมายในครั้งนี้มีทั้งบริษัทการบินอวกาศและการป้องกันประเทศ, บริษัทโทรคมนาคมและองค์กรไอที โดยแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ดังกล่าวเป็นกลุ่มเดียวกับกลุ่มที่ใช้ "ShadowPad" RAT ในแคมเปญก่อนหน้านี้ แต่ในครั้งนี้ผู้โจมตีมีการใช้ Tools ที่หลากหลายมากขึ้นและจากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าการโจมตีนี้เกิดขึ้นตั้งแต่ต้นปี 2564 และยังดำเนินการต่อเนื่องมาจนถึงปัจจุบัน เป้าหมายของการโจมตีมีหน่วยงานรัฐดังต่อไปนี้

บริษัทส่วนงานราชการ/สำนักนายกรัฐมนตรี
สถาบันของรัฐที่เชื่อมโยงกับการเงิน
บริษัทการบินอวกาศและการป้องกันของรัฐ
บริษัทโทรคมนาคมของรัฐ
หน่วยงานด้านไอทีของรัฐ
หน่วยงานสื่อของรัฐ

ลักษณะการโจมตี

การโจมตีเริ่มต้นด้วยการติดตั้งไฟล์ . DLL ที่เป็นอันตราย โดยใช้วิธีการ Execute จากโปรแกรมปกติที่ที่อยู่บนเครื่องเพื่อโหลดไฟล์ .dat จากนั้นไฟล์จะถูกส่งไปยังเครื่องเป้าหมายผ่านวิธีการ side-loaded ซึ่งในครั้งนี้ผู้โจมตีใช้ Bitdefender Crash Handler ที่มีอายุ 11 ปีในการโจมตี
เมื่อไฟล์ .dat เข้ามาในเครื่องแล้ว ข้างในจะมีเพย์โหลดที่ประกอบไปด้วย Shellcode อยู่ ซึ่ง Shellcode นี้สามารถใช้คำสั่งเพื่อดึงเพย์โหลดอื่นๆ ที่เป็นอันตรายมาติดตั้งเพิ่มเติมได้ โดยเป็นการเรียกจาก Memory โดยตรง
สามวันหลังจาก Backdoor ถูกติดตั้งบนเครื่องเป้าหมาย ผู้โจมตีได้ทำการติดตั้งโปรแกรม ProcDump ลงไปเพื่อขโมย Credential ของผู้ใช้งานจาก Local Security Authority Server Service (LSASS) ซึ่งในวันเดียวกัน ทีม Penetration Testing ของบริษัท LadonGo ได้ทดสอบเจาะระบบโดยใช้วิธี DLL hijacking เพื่อทำการ side-loaded ด้วยเช่นกัน
อีกสองสัปดาห์ต่อมา ผู้โจมตีได้ทำการติดตั้ง Mimikatz ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันแพร่หลายในการขโมยข้อมูลประจำตัว
ต่อมา ผู้โจมตีเริ่มมีการใช้ PsExec ในการเรียกใช้งาน Crash Handler เพื่อทำการ DLL hijacking ติดตั้งโหลดเพย์โหลดบนคอมพิวเตอร์อื่น ๆ ในเครือข่าย
หนึ่งเดือนหลังจากการโจมตีครั้งแรก ผู้โจมตีได้สิทธิ์ High Privileged บนระบบที่สามารถสร้าง Account ใหม่ได้ นอกจากนี้ยังได้รับสิทธิ์ในการเข้าสู่ User Credentials และ log files บน Active Direcory ได้อีกด้วย
เหตุการณ์สุดท้าย พบว่าผู้โจมตีมีการใช้ Fscan ในการโจมตีผ่านช่องโหว่ CVE-2021-26855 (Proxylogon) บน Exchange Servers บนเครือข่าย

จากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญพบหนึ่งใน Tools ที่ใช้ในการโจมตีครั้งนี้คือ (Infostealer.

เมื่อไม่กี่วันที่ผ่านมามีข้อมูลว่าบริษัทด้าน SI (Systems Integrator) รายใหญ่ในประเทศไทย ถูกโจมตีจาก Snatch Ransomware และมีข้อมูลรั่วไหลออกมาประมาณ 1.5 GB จากข่าวดังกล่าวยังไม่ได้รับการยืนยันว่าเป็นเรื่องจริงหรือไม่

Snatch Ransomware คืออะไร?

Snatch Ransomware ถูกตรวจพบมาเป็นเวลานานแล้ว โดยเป็นมัลแวร์ที่สามารถทำงานใน Safe Mode ของ Windows ได้ จึงทำให้มันสามารถ bypass การตรวจจับของ Antivirus ได้ นอกจากที่ Snatch Ransomware จะสามารถทำงานได้บน Safe Mode ได้แล้ว ยังพบว่าผู้โจมตียังใช้เครื่องมือ เช่น Process Hacker, IObit Uninstaller, PowerTool, และ PsExec ในการพยายามปิดการทำงานของ Antivirus อีกด้วย

วิธีการโจมตี

Snatch Ransomware เคยถูกพบว่าโจมตีเครื่องของเหยื่อด้วยวิธีการ Brute Force Attack ไปที่เครื่องที่มีการเปิด RDP ไว้จาก Internet จากนั้นเมื่อได้ account ของ domain administrator แฮ็กเกอร์จะโจมตีต่อไปยังเครื่อง Domain Controller

หลังจากนั้นผู้โจมตีจะนำเครื่องมือต่างๆมาติดตั้งลงเครื่องของเหยื่อที่ Path C:
Windows เมื่อติดตั้งเสร็จเรียบร้อยก็จะทำการเชื่อมต่อกลับไปยัง C2 Server ที่อยู่บน TOR Network ผ่านทาง RDP tunnel ที่สร้างขึ้น ถัดมาก็จะมีการสร้าง reverse shell กลับไปยัง C2 Server ผ่าน HTTPS/443 ไปที่ IP 91.229.77.161 ผ่าน Process cplXen.

ไมโครซอฟต์ประกาศแพตช์ช่องโหว่ด้านความปลอดภัยใน Patch Tuesday รอบเดือนกุมภาพันธ์ 2021 เมื่อวานนี้ ซอฟต์แวร์ที่ได้รับแพตช์ในรอบนี้สูงสุดยังคงเป็น Windows ซึ่งได้รับแพตช์ไปทั้งหมด 28 รายการจากทั้งหมด 64 CVE ในมุมของผลกระทบนั้น มีช่องโหว่ทั้งหมด 11 รายการที่ถูกระบุอยู่ในเกณฑ์ Critical

จากรายการที่ประกาศ ทีมนักวิจัยจาก DB App Security ได้ตรวจพบว่าช่องโหว่ CVE-2021-1732 ซึ่งเป็นช่องโหว่ Privilege escalation ใน Windows Kernel ได้ถูกนำมาใช้โจมตีจริงโดยกลุ่ม APT ทีมนักวิจัยได้มีการเขียนรายงานการตรวจพบและการวิเคราะห์ช่องโหว่เอาไว้ ซึ่งสามารถอ่านเพิ่มได้ที่ dbappsecurity

ในขณะเดียวกัน มีการค้นพบช่องโหว่ RCE ระดับ Critical (CVSS 9.8/10) ใน TCP/IP stack ของ Windows ทั้งหมด 2 รายการ จากลักษณะของช่องโหว่ มีความเป็นไปได้สูงว่าช่องโหว่สามารถถูกโจมตีได้จากระยะไกลเพื่อรันโค้ดที่เป็นอันตราย

แพตช์ล่าสุดในรอบนี้ยังมีการแก้แพตช์ช่องโหว่รหัส CVE-2021-1733 ซึ่งเป็นช่องโหว่ Privilege escalation ในเครื่องมือ PsExec ด้วย ช่องโหว่นี้ได้เคยมีการพยายามแก้ไขแพตช์ในเครื่องมือ PsExec แล้วเมื่อเดือนมกราคม อย่างไรก็ตามนักวิจัยด้านความปลอดภัย David Wells ระบุว่าแพตช์ที่เกิดขึ้นในเดือนมกราคมนั้นไม่สมบูรณ์ ซึ่งส่งผลให้แพตช์ถูกบายพาสและยังคงโจมตีช่องโหว่ได้

ขอให้ผู้ใช้งานและผู้ดูแลระบบดำเนินการอัปเดตแพตช์โดยด่วนเพื่อจัดการความเสี่ยงที่จะมีการโจมตีโดยใช้ช่องโหว่เหล่านี้

ที่มา: zdnet,dbappsecurity,twitter,bleepingcomputer

David Wells นักวิจัยมัลแวร์จาก Tenable ได้ค้นพบช่องโหว่ Zero-day ใน PsExec หรือเครื่องมือการจัดการสำหรับผู้ดูแลระบบโดยการสั่งการด้วยคำสั่งต่างๆ ผ่านระบบเน็ตเวิร์คจากระยะไกล ซึ่งช่องโหว่ที่ถูกค้นพบนั้นถูกเรียกว่า pipe hijacking โดยอาศัยการสร้าง pipe ที่ถูกใช้ในการติดต่อสารโดย PsExec เอาไว้ก่อนแล้วด้วยสิทธิ์ที่ต่ำกว่า เมื่อเซอร์วิสของ PsExec มาใช้งานจริงก็จะทำการใช้งาน pipe ที่มีอยู่และจะไม่มีการแก้ไขสิทธิ์เพื่อให้เกิดการใช้งานอย่างปลอดภัย ส่งผลให้ผู้โจมตีซึ่งสร้าง pipe ไว้รอจะสามารถใช้ pipe ดังกล่าวซึ่งจะได้สิทธิ์เป็น Local system และกลายเป็นช่องทางในการยกระดับสิทธิ์ขึ้นมาได้

Wells กล่าวอีกว่าช่องโหว่ Zero-day นี้ถูกพบใน PsExec หลายเวอร์ชันตั้งแต่ v1.72 ที่อยู่ใน Windows XP จนถึงเวอร์ชัน v2.2 ที่อยู่ภายใน Windows 10 ซึ่งหลังจากค้นพบช่องโหว่ Wells ได้รายงานต่อ Microsoft ถึงปัญหาแล้ว โดยเมื่อวันที่ 9 ธันวาคม 2020 หลังจากรายงานช่องโหว่ไปแล้ว 90 วัน Microsoft ไม่สามารถแก้ไขข้อบกพร่องได้ Wells จึงได้ทำการเปิดเผยต่อสาธารณะ

Mitja Kolsek ซีอีโอจากบริษัท ACROS Security ได้ออกมากล่าวถึงการแก้ไขช่องโหว่ดังกล่าว ซึ่งทางบริษัทได้ออกไมโครแพทช์ฟรีเพื่อแก้ไขช่องโหว่การเพิ่มสิทธิพิเศษเฉพาะที่ (Local Privilege Escalation - LPE) ในเครื่องมือการจัดการ Windows PsExec ในเวอร์ชัน 32 บิตและ 64 บิตของ Microsoft ซึ่งพร้อมใช้งานแล้วผ่านแพลตฟอร์ม 0patch

ทั้งนี้ผู้ใช้ควรทำการติดตามการอัปเดตแพตช์การแก้ไขช่องโหว่จาก Microsoft เมื่อมีการแก้ไขช่องโหว่ควรรับทำการอัปเดตแพตช์อย่างเร่งด่วนเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ สำหรับผู้ที่ต้องอัปเดตแพตช์ผ่านแพลตฟอร์ม 0patch สามารถเข้าไปดูรายละเอียดได้ที่: https://blog.

DarkHydrus ใช้ Open-Source เป็นเครื่องมือสำหรับช่วยการโจมตี spear-phishing ซึ่งออกแบบมาเพื่อขโมยข้อมูล Credential จากรัฐบาลและสถาบันการศึกษาในตะวันออกกลาง

นักวิจัยของ Palo Alto Networks Unit 42 พบว่ากลุ่มที่มีชื่อว่า "DarkHydrus" ได้ใช้เครื่องมือ Open-Source จาก GitHub ที่ชื่อว่า "Phishery" ช่วยในการโจมตีเพื่อขโมยมูล Credential โดยก่อนหน้านี้เคยใช้เป็น Meterpreter, Cobalt Strike, Invoke-Obfuscation, Mimikatz, PowerShellEmpire และ Veil ร่วมกับเอกสารที่เป็น Microsoft Office เพื่อรับคำสั่งจากระยะไกล

ย้อนกลับไปเมื่อเดือนมิถุนายนพบว่ากลุ่มดังกล่าวได้ทำการโจมตีสถาบันการศึกษา โดยการส่งอีเมลล์ที่ใช้ Subject ว่า "Project Offer" และแนบเอกสารไฟล์ Word เพื่อหลอกให้ผู้ใช้กรอกชื่อผู้ใช้และรหัสผ่าน จากนั้นจึงส่งกลับไปยังเซิร์ฟเวอร์ที่เตรียมไว้

การโจมตีในลักษณะนี้ไม่ใช่วิธีการใหม่ ตัวอย่างเช่น WannaCry และ NotPetya เมื่อปีที่แล้ว ก็ได้มีการใช้ Mimikatz ช่วยในการขโมยข้อมูล Credential และใช้ PsExec เพื่อรับคำสั่งจากระยะไกล

ที่มา: bleepingcomputer

ระบบที่เกี่ยวข้องกับมหกรรมโอลิมปิกฤดูหนาวประจำปี 2018 ซึ่งจัดขึ้นที่เมืองพย็องชัง เกาหลีใต้ ถูกรบกวนและโจมตีอย่างหนักในช่วงก่อนและระหว่างพิธีเปิดเป็นเวลากว่า 12 ชั่วโมง ส่งผลให้หลายระบบล่มและไม่สามารถให้บริการได้ เชื่อ "เกาหลีเหนือ", "จีน" และ "รัสเซีย" อยู่เบื้องหลังการโจมตี

Cisco Talos ได้ออกมาให้รายละเอียดเกี่ยวกับการโจมตีภายใต้ชื่อแคมเปญ "Olympic Destroyer" ในภายหลังว่า การโจมตีทางไซเบอร์ในครั้งนี้นั้นมุ่งหวังไปที่การทำลายและขัดขวางการทำงานของระบบเป็นสำคัญ หลังจากมีการตรวจพบมัลแวร์ที่มุ่งลบข้อมูลและแพร่กระจายโดยอาศัยการหาข้อมูลการเข้าถึงระบบจากเครื่องที่มีการติดเชื้อแล้ว

ในขณะนี้รายละเอียดที่ยังไม่ชัดเจนคือวิธีการที่ผู้โจมตีทำการปล่อยมัลแวร์เข้ามาในระบบ อย่างไรก็ตามการทำงานของมัลแวร์ประเภทนี้นั้นเผยให้เห็นเด่นชัดถึงจุดประสงค์การโจมตี มัลแวร์มีการแพร่กระจายโดยอาศัยโปรแกรท PsExec หลังจากนั้นจึงมีการลบข้อมูลสำคัญ เช่น ไฟล์สำรองของระบบและบันทึกการทำงาน รวมไปถึงปิดการใช้งานฟังก์ชันการกู้คืนระบบและทุกเซอร์วิสเพื่อทำให้ระบบไม่สามารถเปิดใช้งานได้

ที่มา : Bleepingcomputer