กลุ่ม 'ShadowSyndicate' ransomware กำลังมุ่งเป้าโจมตีโดยการสแกนหาเซิร์ฟเวอร์ที่มีความเสี่ยงจากช่องโหว่ CVE-2024-23334 ซึ่งเป็นช่องโหว่ Directory Traversal ใน aiohttp Python library

Aiohttp เป็น open-source library ที่สร้างขึ้นบนเฟรมเวิร์ก I/O Python's asynchronous I/O framework เพื่อจัดการ HTTP requests พร้อมกันจำนวนมาก โดยไม่ต้องใช้เครือข่ายแบบ thread-based networking ซึ่งถูกใช้โดยบริษัทเทคโนโลยี นักพัฒนาเว็บ วิศวกรแบ็กเอนด์ และนักวิจัยข้อมูลที่ต้องการสร้างแอปพลิเคชัน และบริการเว็บประสิทธิภาพสูงที่รวบรวมข้อมูลจาก API ภายนอกหลายรายการ

เมื่อวันที่ 28 มกราคม 2024 ทาง aiohttp ได้เปิดตัวเวอร์ชัน 3.9.2 ที่แก้ไขช่องโหว่ CVE-2024-23334 (คะแนน CVSS 7.5/10 ความรุนแรงระดับ High) ซึ่งส่งผลกระทบต่อ aiohttp ทุกเวอร์ชันตั้งแต่ 3.9.1 และเก่ากว่า ซึ่งทำให้ Hacker สามารถเข้าถึงระบบจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์ เพื่อเข้าถึงไฟล์บนเซิร์ฟเวอร์ที่มีช่องโหว่

ช่องโหว่ดังกล่าวเกิดจาก inadequate validation ที่ไม่ปลอดภัย เมื่อตั้งค่า 'follow_symlinks' เป็น 'True' สำหรับ static route ทำให้สามารถเข้าถึงไฟล์ static root directory ของเซิร์ฟเวอร์ได้โดยไม่ได้รับอนุญาต

ต่อมาในวันที่ 27 กุมภาพันธ์ 2024 นักวิจัยได้เผยแพร่ชุดสาธิตการโจมตี หรือ Proof of Concept (PoC) บน GitHub และวิดีโอที่อธิบายขั้นตอนในการโจมตีอย่างละเอียดทีละขั้นตอนบน YouTube เมื่อต้นเดือนมีนาคม 2024

รวมถึงนักวิเคราะห์ด้านภัยคุกคามของ Cyble รายงานว่า เครื่องสแกนของพวกเขาตรวจพบความพยายามในการโจมตีโดยกำหนดเป้าหมายไปที่ช่องโหว่ CVE-2024-23334 ตั้งแต่วันที่ 29 กุมภาพันธ์ 2024 และยังคงเพิ่มขึ้นจนถึงเดือนมีนาคม 2024 อีกทั้งยังได้พบความเชื่อมโยงการสแกนช่องโหว่ไปยัง IP 5 รายการ ซึ่งเกี่ยวข้องกับกลุ่ม ShadowSyndicate ตามรายงานเดือนกันยายน 2023 ของ Group-IB

ShadowSyndicate เป็นกลุ่ม Hacker ที่มีแรงจูงใจทางด้านการเงิน โดยเริ่มพบการโจมตีมาตั้งแต่เดือนกรกฎาคม 2022 ซึ่งเชื่อมโยงกับกลุ่ม ransomware หลากหลายกลุ่ม เช่น Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus และ Play โดย Group-IB เชื่อว่า ShadowSyndicate ได้ร่วมมือกับกลุ่ม ransomware อื่น ๆ ในการโจมตี

โดยการค้นพบของ Cyble ระบุว่า ShadowSyndicate ได้สแกนหาเซิร์ฟเวอร์ที่มีความเสี่ยงต่อช่องโหว่ CVE-2024-23334 แต่ยังไม่มีรายละเอียดเพิ่มเติมว่านำไปสู่การโจมตีเครือข่ายได้สำเร็จหรือไม่

ในส่วนของพื้นที่การโจมตีของช่องโหว่ CVE-2024-23334 บน aiohttp Python library ทาง internet scanner ODIN ของ Cyble ได้แสดงให้เห็นว่ามี aiohttp instance ที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ตประมาณ 44,170 รายการทั่วโลก ส่วนใหญ่ (15.8%) ตั้งอยู่ในสหรัฐอเมริกา รองลงมาคือเยอรมนี (8%) สเปน (5.7%) สหราชอาณาจักร อิตาลี ฝรั่งเศส รัสเซีย และจีน

ซึ่งขณะนี้ยังไม่สามารถระบุ หรือแยกเวอร์ชันของอินสแตนซ์ที่เข้าถึงบนอินเทอร์เน็ตได้ ทำให้ยากต่อการระบุจำนวนเซิร์ฟเวอร์ aiohttp ที่มีช่องโหว่ รวมถึง open-source library มักจะมีการใช้เวอร์ชันที่ล้าสมัยเป็นระยะเวลานาน เนื่องจากปัญหาในการใช้งาน จึงทำให้การค้นหา และแก้ไข library มีความซับซ้อนยิ่งขึ้น ด้วยเหตุนี้จึงกลายเป็นเป้าหมายในการโจมตีช่องโหว่ของกลุ่ม Hacker

ที่มา : bleepingcomputer

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)

VMware ออกมาแจ้งเตือนผู้ใช้งาน VMware ESXi server ให้เร่งอัปเดต ESXi servers และปิด OpenSLP service เพื่อป้องกันช่องโหว่โดยด่วน เนื่องจากพบว่าช่องโหว่ดังกล่าวได้ตกเป็นเป้าหมายในแคมเปญการโจมตีของกลุ่มแรนซัมแวร์ ที่มุ่งเป้าไปยัง VMware ESXi server ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต และมีช่องโหว่ (more…)

BlackCat ransomware หรือในอีกชื่อที่เรียกว่า ALPHV ransomware ได้ปรับเปลี่ยนกลยุทธ์ในการขู่เรียกค่าไถ่เพื่อให้เหยื่อยอมที่จะจ่ายเงินเรียกค่าไถ่ โดยการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ถูกขโมยออกมา ส่งผลให้ผู้ที่ตกเป็นเหยื่อของการโจมตีต้องหาวิธีในการยับยั้งการเผยแพร่ข้อมูล

BlackCat ransomware หรือ ALPHV ransomware เป็นกลุ่ม Hackers ที่มีแรงจูงใจในการโจมตี คือ เงินเรียกค่าไถ่ โดยมุ่งเป้าหมายไปยังกลุ่มสถาบันทางการเงินฝั่งสหรัฐอเมริกา ยุโรป และเอเชีย อีกทั้งยังพบว่าประเทศไทยเป็นหนึ่งในประเทศที่ตกเป็นเป้าหมายของการโจมตีเช่นกัน

วิธีการเผยแพร่ข้อมูล

เมื่อวันที่ 26 ธันวาคม 2022 กลุ่ม BlackCat ได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยออกมาจากการโจมตีบริษัทที่ให้บริการทางการเงินรายหนึ่งบนเว็ปไซต์ที่อยู่บน Tor network เพื่อเรียกค่าไถ่ แต่เนื่องจากเหยื่อไม่ตอบสนองกลับมา กลุ่ม BlackCat จึงเผยแพร่ไฟล์ที่ถูกขโมยทั้งหมดเพื่อเป็นบทลงโทษสำหรับเหยื่อที่ไม่ยอมจ่ายค่าไถ่ ซึ่งเป็นขั้นตอนตามมาตรฐานสำหรับกลุ่มแรนซัมแวร์ แต่ด้วยวิธีการใหม่นั่นคือการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อเพื่อเผยแพร่ไฟล์ที่ขโมยมา

โดยเว็บไซต์เลียนแบบนี้มีข้อมูลที่ถูกขโมยออกมาจำนวนมาก ตั้งแต่บันทึกพนักงาน, แบบฟอร์มการชำระเงิน, ข้อมูลพนักงาน, ข้อมูลเกี่ยวกับทรัพย์สินและค่าใช้จ่าย, ข้อมูลทางการเงินสำหรับคู่ค้าและการสแกนหนังสือเดินทาง โดยมีขนาดประมาณ 3.5 GB สามารถดาวน์โหลดได้จากบริการไฟล์แชร์ที่ไม่ระบุตัวตนและเว็ปไซต์บน Tor network

โดยตอนนี้ยังไม่ทราบแน่ชัดว่าวิธีการนี้จะประสบความสำเร็จเพียงใด ซึ่งพบว่ามีจำนวนผู้เข้าถึงจำนวนมากขึ้นเรื่อย ๆ เนื่องจากข้อมูลไม่มีข้อจำกัดในการเข้าถึงใด ๆ ทั้งสิ้น แต่คาดว่าวิธีการและกลยุทธ์ในการขู่กรรโชกนี้ จะถูกนำไปใช้โดยกลุ่ม Hackers อื่น ๆ ต่อไปในอนาคต

ที่มา : bleepingcomputer

Cerber Ransomware กลับมาแล้ว และมีการกำหนดเป้าหมายการโจมตีไปที่เซิร์ฟเวอร์ Atlassian Confluence และ GitLab โดยใช้ช่องโหว่ Remote code execution

เมื่อ Ransomware เริ่มเพิ่มขึ้นอย่างรวดเร็วตั้งแต่ปี 2559 ซึ่งการเรียกค่าไถ่ของกลุ่ม Cerber ถือเป็นหนึ่งในกลุ่มที่มีการแพร่ระบาดมากที่สุดในขณะนั้น และหลังจากนั้นการแพร่ระบาดก็ค่อยๆ ลดลงจนกระทั่งหายไปในปลายปี 2019 และเมื่อเดือนที่แล้ว Cerber ransomware ได้เริ่มกลับมาแพร่ระบาดไปยังเหยื่อทั่วโลกด้วยตัวเข้ารหัสทั้งระบบปฏิบัติการ Windows และ Linux

Cerber เวอร์ชันใหม่มีการสร้าง Ransom notes ชื่อว่า _$$RECOVERY_README$$_.html และนามสกุล .locked เข้ากับไฟล์ที่เข้ารหัส

Emsisoft CTO และผู้เชี่ยวชาญด้านแรนซัมแวร์ ได้ตรวจสอบ Cerber เวอร์ชันใหม่ และกล่าวว่าดูแล้วไม่ตรงกับตัว Cerber เวอร์ชันเก่า โดยเฉพาะเวอร์ชันใหม่นี้ใช้ Crypto+++ library ในขณะที่เวอร์ชันเก่าใช้ Windows CryptoAPI libraries.

ผู้ใช้งาน 1.2 ล้านคนได้รับผลกระทบจากข้อมูลรั่วไหลของบริษัท Practicefirst จากการโจมตีด้วย Supply Chain Ransomware

Practicefirst บริษัทให้บริการด้านการจัดการทางการแพทย์ ในรัฐนิวยอร์ก ได้ออกมาเปิดเผยถึงข้อมูลรั่วไหลต่อเจ้าหน้าที่ของรัฐบาลกลาง เมื่อวันที่ 1 กรกฎาคม จากคำชี้แจงของบริษัท บริษัทได้จ่ายเงินค่าไถ่เพื่อแลกกับการให้ผู้โจมตีสัญญาว่าจะทำลาย และไม่เปิดเผยไฟล์ข้อมูลอออกสู่สาธารณะ

HIPAA Breach Reporting Tool ซึ่งเป็นเว็บไซต์ดูแลโดย Department of Health and Human Services ได้แสดงรายการข้อมูลด้านสุขภาพที่ถูกขโมยไป ซึ่งส่งผลกระทบต่อประชาชนอย่างน้อย 500 ราย หรือมากกว่านั้น
ส่วน Practicefirst รายงานว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อผู้ใช้งานมากกว่า 1.2 ล้านราย ซึ่งเป็นการละเมิดข้อมูลสุขภาพที่ใหญ่เป็นอันดับหกที่รายงานบนเว็บไซต์ HHS ในปี 2564

เมื่อวันที่ 30 ธันวาคม 2020 บริษัท Practicefirst ออกมาชี้แจงว่าพบแฮ็กเกอร์พยายามใช้แรนซัมแวร์เพื่อเข้ารหัสข้อมูลบนระบบ และได้คัดลอกไฟล์หลายไฟล์จากระบบ รวมถึงไฟล์ที่มีข้อมูลส่วนตัวของผู้ป่วย และพนักงาน เมื่อบริษัททราบถึงสถานการณ์ดังกล่าว บริษัทแจ้งว่าได้ปิดระบบ เปลี่ยนรหัสผ่าน แจ้งหน่วยงานบังคับใช้กฎหมาย และจ้างผู้เชี่ยวชาญด้านความความปลอดภัยเข้ามาช่วยเหลือแล้ว

ข้อมูลที่ถูกขโมยออกไปประกอบไปด้วย ชื่อ ที่อยู่ อีเมล วันเดือนปีเกิด หมายเลขใบขับขี่ หมายเลขประกันสังคม การวินิจฉัย ข้อมูลห้องปฏิบัติการและการรักษา หมายเลขประจำตัวผู้ป่วย ข้อมูลยา ข้อมูลระบุ และเคลมประกันสุขภาพ หมายเลขประจำตัวผู้เสียภาษี ชื่อผู้ใช้พร้อมรหัสผ่าน ชื่อผู้ใช้ของพนักงานที่มีคำถาม และคำตอบเพื่อความปลอดภัย บัญชีธนาคาร ข้อมูลบัตรเครดิต/บัตรเดบิต เป็นต้น

ที่มา : ehackingnews.

กลุ่มแรนซัมแวร์ Avaddon อ้างว่าได้ทำการโจมตีและขโมยข้อมูลจำนวน 3 TB ของ AXA โดยระบุว่าเป็นข้อมูล

รายงานทางการแพทย์ของลูกค้า
การเคลมประกันของลูกค้า
การชำระเงินของลูกค้า
เอกสารสแกนบัญชีธนาคารของลูกค้า
ข้อมูลเฉพาะของโรงพยาบาลและแพทย์
เอกสารประจำตัว เช่น บัตรประจำตัวประชาชนและหนังสือเดินทาง

ซึ่งกลุ่มแรนซัมแวร์ Avaddon ได้ออกมาประกาศการโจมตีนี้ หลังจากทาง AXA ถูกลดการคุ้มครองการจ่ายค่าไถ่ในการโจมตีแรนซัมแวร์ตามนโยบายของ cyber-insurance ในประเทศฝรั่งเศส และปัจจุบันทางบริษัทประกันภัย AXA ยังไม่มีการแสดงความคิดเห็นเกี่ยวกับข้อเรียกร้องของกลุ่มแรนซัมแวร์ Avaddon

ก่อนหน้านี้ กลุ่มแรนซัมแวร์ Avaddon มีการประกาศข่มขู่ว่าจะเริ่มการโจมตี DDoS ไปยังเว็บไซต์ของแอกซ่าจนกว่าจะได้รับการติดต่อและเริ่มเจรจาเพื่อจ่ายค่าไถ่ โดยทาง BleepingComputer รายงานว่ายังพบการโจมตี DDoS อย่างต่อเนื่องกับเว็บไซต์ของแอกซ่า ทำให้ไม่สามารถเข้าถึงเว็บไซต์ได้ในช่วงเวลาหนึ่งเมื่อวานนี้ (16/5/2021)

การโจมตีในครั้งนี้อาจมีความเกี่ยวข้องกับเหตุการณ์ก่อนหน้านี้ของบริษัท Asia Assistance ที่ตกเป็นเหยื่อในการโจมตีของแรนซัมแวร์ ซึ่งส่งผลกระทบต่อการดำเนินงานด้านไอทีในประเทศไทย มาเลเซีย ฮ่องกง และฟิลิปปินส์ จึงทำให้มีการเข้าถึงข้อมูลบางอย่างโดย Inter Partners Assistance (IPA) โดยเจ้าหน้าที่กำลังทำการตรวจสอบเหตุการณ์นี้และได้แจ้งไปยังหน่วยงานที่รับผิดชอบและหน่วยงานที่เกี่ยวข้องแล้ว

ที่มา : bleepingcomputer.

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด ขอนำเสนอข้อมูลเกี่ยวกับ Ransomware ในปัจจุบันรวมถึงวิธีการรับมือ โดยแบ่งตามหัวข้อต่อไปนี้

Ransomware คืออะไร?
รู้จัก human-operated ransomware
สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020
เทคนิคการโจมตีของมัลแวร์เรียกค่าไถ่
การรับมือมัลแวร์เรียกค่าไถ่

 

 
Ransomware คืออะไร?
Ransomware หรือมัลแวร์เรียกค่าไถ่เป็นมัลแวร์ที่เมื่อแพร่กระจายไปยังเครื่องเหยื่อปลายทางจะทำการเข้ารหัสไฟล์ หากผู้ใช้งานต้องการจะเข้าถึงไฟล์ที่ถูกเข้ารหัส จำเป็นต้องจ่ายค่าไถ่ให้กับผู้โจมตี ซึ่งการจ่ายค่าไถ่ดังกล่าวไม่การันตีการได้รับไฟล์คืน เหยื่ออาจพบการข่มขู่ให้จ่ายค่าไถ่มากขึ้นหรือมัลแวร์ดังกล่าวอาจมีกระบวนการเข้ารหัสหรือถอดรหัสที่ผิดพลาดจนทำให้ไม่สามารถทำให้ไฟล์กลับสู่สภาพเดิมได้

ประวัติของมัลแวร์เรียกค่าไถ่สามารถย้อนกลับไปได้ถึงช่วงปี 1989 โดยปัจจุบันมัลแวร์เรียกค่าไถ่และผู้โจมตีที่อยู่เบื้องหลังการโจมตีมีการพัฒนาไปอย่างมาก เป้าหมายของมัลแวร์เรียกค่าไถ่ไม่เฉพาะเจาะจงแค่เครื่องคอมพิวเตอร์อีกต่อไป มีการพบมัลแวร์เรียกค่าไถ่มุ่งโจมตีโทรศัพท์มือถือ android และมีมัลแวร์เรียกค่าไถ่ที่มุ่งโจมตี NAS อีกด้วย
รู้จัก human-operated ransomware
เมื่อเดือนมีนาคม 2020 ที่ผ่านมา Microsoft ออกบทความ Human-operated ransomware attacks: A preventable disaster ซึ่งพูดถึงการนิยาม Ransomware เป็นสองแบบคือ Auto-spreading ransomware อย่าง Wannacry ที่มีความสามารถโจมตีช่องโหว่ใน SMBv1 โดยอัตโนมัติ และ human-operated ransomware ที่มีมนุษย์อยู่เบื้องหลัง เป็นการโจมตีที่มีการวางแผน มีการพุ่งเป้าโจมตีอย่างชัดเจนไปยังองค์กรต่างๆ โดยมุ่งหวังให้เกิดรายได้สูงสุด

ในการมุ่งหวังให้เกิดรายได้สูงสุดของ human-operated ransomware นั้น ผู้โจมตีจะมีการวางแผนโจมตีองค์กรโดยมากกว่าการโจมตีเหยื่อรายบุคคลเพราะองค์กรมีความสามารถในการจ่ายเงินสูงกว่า สามารถเรียกค่าไถ่ได้มากกว่าเหยื่อรายบุคคล มีการใช้เทคนิคต่างๆ เพื่อช่วยในการโจมตี ไม่ว่าจะเป็นการซื้อ credential จากตลาดมืด, การใช้ spearphishing email, การใช้โปรแกรมที่มีอยู่บนเครื่องอยู่แล้วเพื่อไม่ให้ผิดสังเกต (Living Off The Land) หรือเทคนิคอื่นๆ ตามความสามารถของผู้โจมตีเหล่านั้น

ทั้งนี้ผู้โจมตีที่เลือกใช้ Ransomware ไม่จำเป็นต้องมีความสามารถในการพัฒนามัลแวร์หรือมีความสามารถในการโจมตี เพราะในปัจจุบันมีสิ่งที่เรียกว่า Ransomware-as-a-service (RaaS) ซึ่งประกอบไปด้วยตัว ransomware, ระบบจัดการการจ่ายค่าไถ่, วิธีการโจมตีเพื่อวางมัลแวร์เรียกค่าไถ่ และสิ่งจำเป็นอื่นๆ ที่เกี่ยวข้อง โดยผู้ใช้ RaaS อาจจ่ายค่าบริการเป็นการแบ่งรายได้จากการเรียกค่าไถ่ให้กับผู้ให้บริการ

ตั้งแต่ปี 2019 เป็นต้นมา human-operated ransomware เริ่มต้นโดย Maze มีการพัฒนาเทคนิคเพื่อการันตีให้องค์กรจ่ายเงินด้วยการขโมยข้อมูลก่อนทำการปล่อยมัลแวร์เข้ารหัสไฟล์ เพื่อข่มขู่ให้องค์กรยอมจ่ายเงิน มิฉะนั้น Maze จะทำการปล่อยข้อมูลสู่สาธารณะ ซึ่งค่าปรับจากกฏหมายที่เกี่ยวข้องกับข้อมูลส่วนบุคคลหรือผลกระทบอื่นๆ จากข้อมูลรั่วไหลอาจสูงกว่าค่าไถ่

กลยุทธของ Maze ถือว่าเป็นประสบผลสำเร็จเป็นอย่างมาก เพราะมีองค์กรที่สามารถกู้คืนระบบจากเข้ารหัสไฟล์ได้ แต่ยอมจ่ายเงินค่าไถ่เพื่อให้ผู้โจมตีลบไฟล์ที่ขโมยออกไป ทำให้กลุ่มผู้โจมตีอื่นๆ หันมาขโมยข้อมูลก่อนเข้ารหัสไฟล์เช่นกัน

 

 

โดยเหยื่อล่าสุดที่มีข่าวว่ายอมจ่ายเงินแม้กู้คืนระบบได้คือ มหาวิทยาลัยแห่งยูทาห์ (University of Utah) แถลงว่าถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ สามารถกู้คืนระบบได้ แต่จ่ายค่าไถ่โดยใช้วงเงินจากบริษัทประกันเพื่อป้องกันไม่ให้ผู้โจมตีทำการปล่อยข้อมูลนักศึกษาและบุคลากรเมื่อวันที่ 21 สิงหาคม 2020 ที่ผ่านมา ซึ่งผู้เชี่ยวชาญวิเคราะห์ว่าน่าจะเป็นผลงานของ NetWalker ransomware
สถิติมัลแวร์เรียกค่าไถ่ในไตรมาสที่ 2 ของปี 2020
Coveware ซึ่งเป็นบริษัทที่เชี่ยวชาญในการรับมือกับมัลแวร์เรียกค่าไถ่ออกรายงานวิเคราะห์ประจำไตรมาสที่ 2 ของปี 2020 Ransomware Attacks Fracture Between Enterprise and Ransomware-as-a-Service in Q2 as Demands Increase ซึ่งมีจุดน่าสนใจหลายอย่าง ได้แก่

ค่าเฉลี่ยของค่าไถ่ในไตรมาสที่ 2 ของปี 2020 อยู่ที่ 178,254 ดอลลาร์สหรัฐ (ประมาณ 5 ล้าน 5 แสนบาท)
ช่องทางการโจมตีของมัลแวร์เรียกค่าไถ่มาจาก RDP สูงสุด ตามด้วย Email Phishing และช่องโหว่ที่ไม่ได้รับการแพตช์ สอดคล้องกับการ Work From Home ที่เพิ่มขึ้น ทำให้มีองค์กรที่เปิดการใช้งาน RDP มากขึ้น

มัลแวร์เรียกค่าไถ่ที่ทำเงินได้มากที่สุด 3 อันดับคือ Sodinokibi, Maze และ Phobos

โดยในรายงานดังกล่าว Coveware ยังระบุว่าเป้าหมายของมัลแวร์เรียกค่าไถ่พุ่งไปที่องค์กรประเภท Professional Service มากที่สุด ตามด้วย Public Sector และมีประเภท Health Care เป็นอันดับที่ 3

 

 

ซึ่งถึงแม้ว่าจะมีมัลแวร์เรียกค่าไถ่หลายๆ กลุ่มจะประกาศหยุดโจมตีกลุ่ม Health Care ในช่วง COVID-19 แต่ไม่ใช่ทั้งหมด เนื่องจากกลุ่ม Health Care มักจะได้รับผลกระทบจากการหยุดให้บริการอย่างมาก จึงมีความเป็นไปได้ที่จะจ่ายค่าไถ่สูง
เทคนิคการโจมตีของ ransomware
การโจมตีของมัลแวร์เรียกค่าไถ่รวมถึงผู้โจมตีที่อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่นั้นมีความหลากหลายและแตกต่างกันไปตามแต่ละชนิดของมัลแวร์เรียกค่าไถ่ ทำให้ยากต่อการหา “วิธีการเดียวที่ได้ผล” ในการใช้ผลิตภัณฑ์ เครื่องมือ หรือวิธีการใดวิธีการหนึ่งเพียงอย่างเดียวในการรับมือมัลแวร์เรียกค่าไถ่ทั้งหมด จำเป็นต้องใช้วิธีป้องกันร่วมกันหลายอย่าง (Defense in depth) ในการป้องกันดังกล่าว

 

 

สถานการณ์การโจมตีจาก ransomware อาจเป็นได้ทั้ง

ผู้โจมตีส่ง Phishing ให้เหยื่อเป็นอีเมลที่มีไฟล์เอกสารแนบมา เหยื่อหลงเชื่อแล้วทำการเปิดเอกสาร มีการ enable content เพื่อดูใจความ ทำให้ macro ที่ถูกซ่อนไว้ทำงานเรียกใช้ powershell เพื่่อดาวน์โหลดมัลแวร์ขั้นต่อไปมา จนกระทั่งเรียกใช้มัลแวร์ค่าไถ่เข้ารหัสระบบ

โจมตีสแกนหาเครื่องเซิร์ฟเวอร์ที่มีการเปิด RDP ไว้ ผู้โจมตีทำการ brute force เพื่อเข้าถึง RDP ซึ่งผู้โจมตีสามารถโจมตีสำเร็จ ได้บัญชีผู้ใช้ระดับผู้ดูแลระบบที่มีสิทธิ์สูง ทำให้ผู้โจมตีใช้บัญชีเหล่านั้นในการเข้าถึงเครื่องได้ เนื่องจากมีสิทธิ์สูง ผู้โจมตีสามารถปิดโปรแกรมป้องกันต่างๆ ทำการขโมยข้อมูล credential ทำการขโมยข้อมูลสำคัญบนเครื่อง ติดตั้ง backdoor เพื่อให้สามารถคงอยู่ในระบบต่อโดยง่าย จากนั้นทำการขยับไปยังเครื่องอื่นๆ ที่อยู่ในองค์กรเดียวกัน ลบ backup ทิ้ง เลือกเครื่องเป้าหมายในการวางมัลแวร์ จากนั้นทำการเรียกใช้มัลแวร์เรียกค่าไถ่เข้าสู่ระบบทั้งหมด เป็นต้น

การรับมือมัลแวร์เรียกค่าไถ่
อ้างอิงจากกรอบขั้นตอนการรับมือภัยคุกคาม NIST Special Publication 800-61 Revision 2 Computer Security Incident Handling Guide (NIST SP 800-61 Rev.

ผู้ทำปฏิบัติการ Maze ransomware ได้อัปเดตรายชื่อผู้ที่ติดเป็นเหยื่อเพิ่มโดยคราวนี้ปรากฏรายชื่อของบริษัทยักษ์ใหญ่ของโลก Xerox Corporation และคาดว่ามีข้อมูลถูกขโมยออกไปจำนวน 100GB

วันที่ 24 มิถุนายนที่ผ่านเว็บไซต์ของผู้ทำปฏิบัติการ Maze ransomware ได้เเสดงรายชื่อผู้ที่ตกเป็นเหยื่อเพิ่มเติม โดยปรากฏรายชื่อของบริษัท Xerox Corporation หลักฐานที่ถูกพบนั้นประกอบไปด้วยภาพถ่ายที่เเสดงรายชื่อไดเรกทอรีของวันที่ 24 และ 25 มิถุนายน, รูปถ่าย network sharing, ภาพถ่ายบนโฮส eu.

นักวิจัยจาก ESET ได้เปิดเผยแรนซัมแวร์ชนิดใหม่ ”CryCryptor” ที่กำหนดเป้าหมายไปยังผู้ใช้ Android ในแคนาดา โดยแรนซัมแวร์ทำการเเพร่กระจายผ่านเว็บไซต์สองแห่งที่ให้บริการดาวน์โหลดแอปพลิเคชันที่ใช้ในการติดตาม COVID-19 อย่างเป็นทางการของกระทรวงสาธารณสุขแคนาดา

”CryCryptor” แรนซัมแวร์ถูกค้บพบหลังจากรัฐบาลแคนาดาประกาศถึงการสนับสนุนการพัฒนาแอปพลิเคชันที่ใช้ทำการติดตาม COVID-19 โดยพบว่าแรนซัมแวร์มีลักษณะการทำงานคือ หลังจากที่ทำการติดตั้งแอปพลิเคชันที่มีแรนซัมแวร์ ตัวแอปจะทำการร้องขอการเข้าถึงไฟล์บนอุปกรณ์ หลังจากการได้รับอนุญาตแล้ว แรนซัมแวร์จะทำการเข้ารหัสไฟล์โดยมีนามสกุล “ .enc”, “ .enc.