Emsisoft, Coveware เสนอความช่วยเหลือถอดรหัส Ransomware ฟรีในระหว่างการระบาดของโรค Coronavirus

บริษัท Emsisoft และ Coveware ได้ประกาศว่าจะทำการช่วยถอดรหัส Ransomware และเจรจาต่อรองการชำระเงินค่าไถ่ Ransomware ให้กับผู้บริการด้านการดูแลสุขภาพและโรงพยาบาลฟรี ระหว่างการระบาดของไวรัส Coronavirus เพื่ออำนวยความสะดวกทางการแพทย์ให้กับโรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ

บริษัท Emsisoft ได้เสนอการช่วยเหลือถอดรหัสและเเก้ไขจุดบกพร่องบนระบบที่จะสามารถนำสู่การติดไวรัส Ransomware ฟรี ทั้งนี้ทางบริษัท Emsisoft ยังได้เสนอการช่วยเหลือกู้คืนระบบและถอดรหัสสำหรับผู้ให้บริการด้านการดูแลสุขภาพและโรงพยาบาล ที่ต้องชำระเงินค่าไถ่เพื่อกู้คืนระบบ แต่พบว่าตัวถอดรหัสที่ได้รับไม่สามารถใช้งานได้

ทางด้านบริษัท Coveware ได้เสนอช่วยเหลือในการเจรจาต่อรองที่ส่วนลดค่าไถ่จากไวรัส Ransomware ให้แก่ผู้ให้บริการด้านการดูแลสุขภาพ, โรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ เพื่ออำนวยความสะดวกในช่วงระหว่างการระบาดของไวรัส Coronavirus หรือ (Covid-19)

ที่มา: bleepingcomputer

Multiple nation-state groups are hacking Microsoft Exchange servers

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

Cyber Attack ช่องโหว่บนโปรเเกรม Pulse VPN และ Android Devices

ช่องโหว่บน Pulse Secure VPN (CVE-2019-1150)

Kevin Beaumont ผู้เชี่ยวชาญด้าน Cybersecurity เปิดเผยว่า 'Revil' เป็น Ransomware ที่ Hac Hacker พยายามเจาะเข้าหาระบบผ่านช่องโหว่ของ Pulse Secure VPN ด้วย Ransomware ชนิดนี้ จากข้อมูลล่าสุด บริษัทที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ คือบริษัททางด้านการแลกเปลี่ยนเงินตรา และ ประกันภัยการท่องเที่ยวที่ชื่อว่า Travelex และทำให้ทางบริษัทTravelex ต้องปิดช่องทางการออนไลน์ทั้งหมดเพื่อหยุดยั้งการโจมตีที่เกิดขึ้น และกลับมาใช้ระบบ Manual แทนในสาขาต่างๆทั่วประเทศ

Kevin Beaumont ได้ยอมรับว่าช่องโหว่ CVE-2019-1150 มีความรุนแรงมาก โดยช่องโหว่ที่เกิดขึ้นนี้อยู่ในซอฟต์แวร์ Pulse Secure VPN หลายประเภท เช่น Pulse Connect Secure และ Pulse Policy Secure ซึ่งการช่องโหว่นี้ จะทำให้ Hacker เจาะผ่านเข้ามาทาง HTTPS Protocal และต่อเข้า Network ของบริษัทหรือองค์กรได้โดยไม่ต้องใช้ User Password ในการยืนยันตัวตน ซึ่ง Hacker สามารถมองเห็น File ที่เป็นความลับ (Confidential Files) หรือสามารถ Download Files ต่างๆ ออกมาได้ หรือแม้กระทั่งทำให้ Network ขององค์กรไม่สามารถใช้งานได้ ช่องโหว่ได้ถูก Patch แล้วในเดือนเมษายน 2019 ที่ผ่านมา ทาง Pulse Secure VPN ได้ออก Patch ให้บริษัทหรือองค์กรต่างๆ ได้เข้ามา Update เพื่อปิดช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ช่องโหว่บน Android Devices (CVE-2019-2215)

ผู้เชี่ยวชาญทางด้าน Cyber Security ของ Tend Micro กล่าวว่า กลุ่ม Hacker ที่ใช้ชื่อว่า “SideWinder APT” ได้ใช้ช่องโหว่บนอุปกรณ์ที่รันบน Android และยังไม่ได้ update patch ผ่านทาง Application 3 ตัวที่อยู่บน Google Play Store คือ แอปพลิเคชัน ที่ชื่อว่า Camera, FileCrypt, และ CallCam ซึ่งทั้ง 3 แอปพลิเคชันนี้ถูกยืนยันว่าอาจจะเป็น แอปพลิเคชันที่ไว้สำหรับเจาะอุปกรณ์ Smartphone Android เนื่องจาก แอปพลิเคชันเหล่านี้ยกระดับสิทธิ root แล้วและส่งข้อมู Location, Battery, ไฟล์บนเครื่อง, แอปพลิเคชันที่ใช้, ข้อมูลเครี่อง, กล้อง, Screenshot, Account, WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail และ Chrome กลับไปหา Server ของกลุ่ม Hacker “SideWinder APT” ต่อไป

ที่มา  ehackingnews.

FBI ออกคำเตือนเรื่อง Ransomware

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และศูนย์รับเรื่องร้องเรียนทางอินเทอร์เน็ต (IC3) ได้ออกประกาศเตือนเกี่ยวกับการโจมตีของ Ransomware ที่เพิ่มขึ้น ซึ่งส่งผลกระทบต่อองค์กรภาครัฐและเอกชนของสหรัฐฯ รวมถึงให้คำแนะนำเพื่อเตรียมตัว

นับตั้งแต่ปี 2018 การโจมตีของ Ransomware พุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพ บริษัทอุตสาหกรรมและการขนส่ง โดยการใช้ประโยชน์จากซอฟต์แวร์และช่องโหว่ Remote Desktop Protocol (RDP) เพื่อเข้าสู่ระบบ และทำการเข้ารหัสไฟล์ข้อมูลของเหยื่อ ซึ่ง FBI เตือนว่าไม่ควรทำตามคำเรียกร้องของ Hacker และให้ทำการแจ้งไปที่สำนักงานของ FBI ภายในพื้นที่ และรายงานเหตุการณ์ไปยัง ic3.gov

หากเกิดเหตุการณ์ที่ต้องมีการจ่ายค่าไถ่ให้แจ้งไปยัง FBI ตามข้อบังคับของกฏหมาย

แนวทางปฏิบัติเพื่อเตรียมตัวสำหรับองค์กรที่เป็นเป้าหมายการโจมตีของ Ramsomware มีดังนี้

สำรองข้อมูลและตรวจสอบความถูกต้องของข้อมูลเป็นประจำ
สร้างความตระหนักรู้ให้กับบุคคลในองค์กร
อัปเดตแพตช์รักษาความปลอดภัยของซอฟต์แวร์และเฟิร์มแวร์บนอุปกรณ์
เปิดการอัปเดตฐานข้อมูลมัลแวร์อัตโนมัติบนซอร์ตแวร์ป้องกันมัลแวร์และสแกนระบบเป็นประจำ
กำหนดสิทธิ์ในการเข้าถึงไฟล์, ไดเรกทอรี่ และการแชร์เครือข่าย
ปิดการใช้งาน Micro Script จากไฟล์ Office ที่ส่งผ่านอีเมล
ใช้นโยบายและการควบคุมข้อกำหนดของซอฟต์แวร์
ปฏิบัติตาม best practices ของการปฏิบัติการใช้งานของ RDP
ทำ application whitelisting
แยกเครือข่ายในการทำงาน
บังคับให้มี user interaction เช่น ต้องพิมพ์ข้อมูล เมื่อผู้ใช้งานเข้าเว็บไซต์ที่ไม่ได้มีการจัดกลุ่มโดย network proxy หรือ firewall

ที่มา bleepingcomputer และ ic3.gov

ระวัง โหลดเท็กซ์บุ๊คอาจได้มัลแวร์แทน

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

Over 20 Texas local governments hit in ‘coordinated ransomware attack’

ในสัปดาห์ที่ผ่านมามีการพบว่าหน่วยงานราชการท้องถิ่นกว่า 23 หน่วยงานในรัฐเท็กซัส ประเทศสหรัฐอเมริกาติดมัลแวร์เรียกค่าไถ่ (Ransomware) เจ้าหน้าที่รัฐเท็กซัสอธิบายว่าการโจมตีทั้งหมดนี้เกี่ยวข้องกัน

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ 16 สิงหาคมที่ผ่านมา ตามเวลาสหรัฐอเมริกา เมื่อหน่วยงานราชการท้องถิ่นในรัฐเท็กซัสได้รายงานถึงปัญหาการเข้าถึงข้อมูลของพวกเขาต่อ Texas Department of Information Resources (DIR) ซึ่งทำให้มากกว่าสิบองค์กรจากทั้งรัฐเทกซัสและหน่วยงานรัฐบาลกลางได้ร่วมมือกันในการที่จะกู้ระบบคืน ต่อมาเจ้าหน้าที่ DIR ได้กล่าวว่าพบหลักฐานที่บ่งชี้ว่าการโจมตีมาจากภัยคุกคามตัวเดียว

ซึ่งแหล่งข่าวระบุว่า Ransomware ที่กระจายผ่านเน็ตเวิร์คของ 23 รัฐท้องถิ่นในเทกซัสที่ทำให้ไฟล์ถูกเข้ารหัส และเพิ่ม .JSE ต่อท้าย ตระกูล Ransomware นี้ ไม่ได้มีชื่อของตัวมันเอง ซึ่งโดยทั่วไปจะเรียกว่า .jse ransomware โดยโปรแกรมป้องกันมัลแวร์บางตัวแจ้งว่ามัลแวร์ตัวนี้คือ Nemucod ซึ่งจริงๆ แล้วเป็นโทรจันที่ติดร่วมกัน

.jse ransomware ถูกพบครั้งแรกช่วงสิงหาคม 2018 และมีรายงานล่าสุดในเดือนนี้ ซึ่งมัลแวร์ตัวนี้แตกต่างจากมัลแวร์ตัวอื่นๆ ตรงที่ไม่มีการแสดงข้อความเรียกค่าไถ่ ทำให้ผู้ที่ตกเป็นเหยื่อสับสน

ที่มา : zdnet

การตรวจสอบระบบที่ติด Ransomware

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องที่ตกเป็นเหยื่อ โดยมักจะมีจดหมายเรียกค่าไถ่ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือ เครื่องมือในการถอดรหัสไฟล์

ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัดจะมาเล่าเกี่ยวกับการตรวจสอบระบบที่ติด Ransomware กันค่ะ ประกอบไปด้วย 2 หัวข้อ คือ

การตรวจสอบสายพันธุ์ของ Ransomware และ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT

การตรวจสอบสายพันธุ์ของ Ransomware
เมื่อเราตรวจพบระบบที่ติด Ransomware แล้ว เราควรทำการจำกัดความเสียหาย (containment) โดยการแยกเครื่องที่ติดเชื้อออกจากเครื่องอื่นๆ ระบบปฏิบัติการ เช่น ปิดการใช้งานระบบเครือข่ายชั่วคราว หรือทางกายภาพโดยตรง เช่น การถอดสายแลน เป็นต้น เพื่อป้องกันการแพร่กระจายในระบบเครือข่ายหรือการติดต่อไปยังเครื่องภายนอกที่เป็นอันตราย

แต่ไม่ควรปิดหรือ restart เครื่องที่มีพฤติกรรมติดมัลแวร์เรียกค่าไถ่ เนื่องจากมัลแวร์เรียกค่าไถ่บางชนิด เช่น Wannacry จะมีข้อมูลที่เกี่ยวข้องกับกุญแจที่ใช้ในการเข้ารหัสหลงเหลืออยู่ในหน่วยความจำชั่วคราว (RAM) ซึ่งสามารถช่วยในการถอดรหัสได้

เมื่อหยุดการแพร่กระจายได้แล้ว เราสามารถตรวจสอบสายพันธุ์ของ Ransomware ได้จากการอัปโหลดไฟล์ที่ถูกเข้ารหัส (ควรใช้ไฟล์ที่ไม่เป็นความลับ) และอัปโหลดไฟล์ข้อความเรียกค่าไถ่ (Ransomware Notes) ไปยังบริการ ID Ransomware หรือ No More Ransom ซึ่งบริการดังกล่าวจะแจ้งว่าเราติด Ransomware สายพันธุ์ไหน มีตัวถอดรหัสฟรีแล้วหรือไม่ ซึ่งเราสามารถทดลองดาวน์โหลดโปรแกรมถอดรหัสและทดลองถอดรหัสได้ โดยควรสำรองข้อมูลไว้ก่อนทดลองถอดรหัส

บริการ ID Ransomware

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่ยังไม่มีเครื่องมือถอดรหัสฟรี

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่มีเครื่องมือถอดรหัสแล้ว

ซึ่งการตรวจสอบสายพันธุ์ของ Ransomware นอกจากจะทำให้เราทราบว่ามีเครื่องมือในการช่วยถอดรหัสฟรีโดยไม่ต้องจ่ายค่าไถ่แล้ว ยังช่วยให้สามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับช่องทางการแพร่กระจายของ Ransomware ชนิดนั้นๆ และทำการป้องกันช่องทางดังกล่าวเพิ่มมากขึ้นได้อีกด้วยค่ะ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT
ในบางครั้งหลังจากเกิดเหตุการณ์ Ransomware องค์กรอาจมีความต้องการทำ Digital Forensic เพื่อหาสาเหตุที่ทำให้ติดเชื้อ Ransomware ที่แท้จริง ซึ่งควรเก็บหลักฐานดิจิตอลไว้เพื่อตรวจสอบภายหลังก่อนทำการกู้คืนระบบใหม่ สามารถศึกษาวิธีเก็บหลักฐานดิจิตอลได้จากข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน จัดทำโดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) 

ข้อมูลสำคัญอย่างหนึ่งที่ช่วยประกอบการหาสาเหตุของการติดเชื้อก็คือไฟล์ Ransomware Executable ซึ่งถ้าเราทราบว่าไฟล์ไหนคือ Ransomware Executable ที่เป็นต้นเหตุของเหตุการณ์ทั้งหมด เราก็จะสามารถตรวจสอบหาบัญชีผู้ใช้งานที่เป็นเจ้าของไฟล์และบัญชีผู้ใช้งานที่เป็นผู้เรียกใช้ไฟล์ดังกล่าวให้ทำงานได้

วิธีการหาไฟล์ Ransomware Executable สามารถทำได้หลายวิธี ในบทความนี้จะนำเสนอการค้นหาไฟล์โดยใช้ข้อมูลจากไฟล์ $MFT เพื่อค้นหาไฟล์แรกที่ถูกเข้ารหัส ช่วงเวลาที่ไฟล์แรกโดนเข้ารหัส และใช้ข้อมูลเวลาที่ถูกเข้ารหัสไปหาไฟล์ที่ถูกเรียกใช้ในเวลาใกล้เคียงกันเพื่อหาไฟล์ Ransomware Executable

ไฟล์ MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว เช่น เวลาที่สร้างไฟล์ (Created) เวลาที่ถูกเข้าถึงล่าสุด (LastAccess) และข้อมูลอื่นๆ อีกมาก

ซึ่งนอกเหนือจากไฟล์ MFT แล้วยังมีไฟล์อื่นๆ ที่บันทึกความเปลี่ยนแปลงของไฟล์ เช่น ไฟล์ USN Journal และ NTFS Log ($LogFile) ซึ่งสามารถนำไปใช้ตรวจสอบไฟล์แรกที่ถูกเข้ารหัสได้เช่นกัน แต่ไฟล์ USN Journal และ NTFS Log ($LogFile) สามารถเก็บข้อมูลการเปลี่ยนแปลงได้จำกัด ซึ่งจากสูตรประมาณของ Microsoft ระบุว่าไฟล์ USN Journal ขนาด 32MB จะบันทึกการเปลี่ยนแปลงได้ประมาณ 200,000 ไฟล์ จึงไม่สามารถนำข้อมูลไฟล์ USN Journal มาใช้งานได้ในกรณีที่ Ransomware เข้ารหัสไฟล์เกิน 200,000 ไฟล์

ซึ่งเทคนิคการค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT ในครั้งนี้จะสาธิตผ่านการตรวจสอบบนหลักฐานดิจิตอลจากเครื่องที่ติดเชื้อ GlobleImposter 2.0 ซึ่งทำการเข้ารหัสไฟล์แล้วเปลี่ยนนามสกุลเป็น .doc

เครื่องมือที่ใช้

MFTECmd เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับ parse ไฟล์ MFT และไฟล์อื่นๆ เป็น CSV
Timeline Explorer เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับเปิด CSV ขนาดใหญ่
FTK Imager เป็นโปรแกรมที่มีความสามารถในการจัดเก็บหลักฐานดิจิตอล วิเคราะห์หลักฐานดิจิตอล รวมถึงคำนวนค่า hash จากหลักฐานดิจิตอล สามารถดาวน์โหลดได้จาก https://accessdata.

Ransomware halts production for days at major airplane parts manufacturer

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

GandCrab ransomware operation says it’s shutting down

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet

ระวัง: พบประเทศไทยมีสถิติตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่ “Shade ransomware” ติดอันดับ 1 ใน 10 ของโลก

นักวิจัยจาก Unit 42 ของ Palo Alto ออกรายงานระบุว่า ประเทศไทย ติดอันดับ 1 ใน 10 ของประเทศที่จะติด ransomware ชื่อว่า “Shade” หรือ “Troldesh” โดยสถิติดังกล่าวได้มาจากข้อมูลการดาวน์โหลดไฟล์ที่เกี่ยวข้องกับ Shade ransomware จากอุปกรณ์ firewall ที่ทาง Palo Alto ให้บริการกับลูกค้าอยู่ทั่วโลก ผ่านระบบ AutoFocus ของ Palo Alto ทำให้ได้ข้อมูล 10 อันดับของประเทศที่เสี่ยงติด Shade ransomeware โดยประทศไทยอยู่ในอันดับที่ 4 รองจาก สหรัฐอเมริกา (พบการเชื่อมต่อ 2010 sessions), ญี่ปุ่น (พบการเชื่อมต่อ 1677 sessions) และอินเดีย (พบการเชื่อมต่อ 989 sessions) ตามมาด้วยประเทศไทย (พบการเชื่อมต่อ 723 sessions) ทั้งหมดนี้เป็นสถิติตั้งแต่ เดือนมกราคมถึงมีนาคมปี 2019 ซึ่งมากกว่าประเทศรัสเซียที่อยู่ในอันดับ 7 และถูกสงสัยว่าน่าจะเป็นต้นกำเนิดของ Shade ransomware เนื่องจาก spam อีเมลที่ถูกใช้ในการแพร่กระจายส่วนมากนั้นเป็นภาษารัสเซีย อย่างไรก็ตามก็มีเหยื่อบางรายที่พบเป็นภาษาอังกฤษด้วยเช่นเดียวกัน จากข้อมูลที่พบนี้ทำให้นักวิจัยสามารถระบุโดเมนเนมที่เกี่ยวข้องกับการแพร่กระจายได้

United States – 2,010 sessions
Japan – 1,677 sessions
India – 989 sessions
Thailand – 723 sessions
Canada – 712 sessions
Spain – 505 sessions
Russian Federation – 86 sessions
France – 71 sessions
United Kingdom – 67 sessions
Kazakhstan – 21 sessions

ภาพแสดงอันดับประเทศที่พบการดาวน์โหลด Shade ransomware

ทำความรู้จัก “Shade” หรือ “Troldesh” Ransomware เบื้องต้น
“Shade” Ransomware รู้จักในชื่ออื่นๆ อย่างเช่น “Troldesh” Ransomeware หรือ “Filecoder” Ransomware ถูกพบครั้งแรกเมื่อปลายปี 2014 ถูกแพร่กระจายผ่านทาง spam และ exploit kit หลังจากนั้นเมื่อปี 2016 ก็มีรายงานจาก Microsoft ว่าพบ Shade Ransomware เวอร์ชั่นใหม่ที่ได้รับการปรับปรุงให้มีการใช้งาน Tor ในกระบวนการเรียกค่าไถ่ สิ่งที่แตกต่างจากมัลแวร์เรียกค่าไถ่อื่นๆ คือแทนที่จะหยุดการทำงานของโปรเซสเมื่อเข้ารหัสไฟล์เสร็จแล้ว Shade ransomware จะทำการเรียกไปยังโดเมนเนมอื่นที่ถูกใช้ในการแพร่มัลแวร์และดาวน์โหลดมัลแวร์อื่นๆ มาเพิ่มเติม

ภาพแสดงตัวอย่าง ransom note แบบเก่า

ภาพแสดงตัวอย่าง ransom note แบบใหม่

จากการตรวจสอบตัวอย่าง Shade ransomware ที่พบล่าสุดเมื่อต้นปีที่ผ่านมา นักวิจัยพบว่ายังมีการใช้ Tor address (cryptsen7f043rr6[.]onion) และเปลี่ยนนามสกุลไฟล์เป็น .crypted000007 เช่นเดียวกับที่พบเมื่อปี 2016

ภาพแสดงตัวอย่างไฟล์ที่ถูก Shade ransomware เข้ารหัส

การแพร่กระจายของ “Shade” Ransomware
ช่องทางการแพร่กระจายของ “Shade” ransomware ที่พบจะมาในลักษณะของอีเมล spam ที่มีการแนบไฟล์ทั้งที่เป็น zip ไฟล์ที่มีสคริปต์ไฟล์แนบไว้ หรือไฟล์เอกสาร PDF ที่มีการแนบลิงก์สำหรับไปดาวน์โหลด zip ไฟล์ที่มีสคริปต์ไฟล์แนบไว้ สคริปต์ไฟล์ดังกล่าวจะถูกใช้สำหรับเรียกไปยังเว็บไซต์ที่ถูกซ่อนไฟล์มัลแวร์เรียกค่าไถ่ไว้ เพื่อดาวน์โหลดมาติดตั้งไว้บนเครื่องของเหยื่อ

ภาพแสดงตัวอย่างกระบวนการทำงานของ Shade ransomware

สอดคล้องกับรายงานจาก zscaler ที่ระบุว่า WordPress กับ Joomla ซึ่งเป็น Content Management Systems (CMSs) ยอดนิยมที่ตกเป็นเป้าหมายจากกลุ่มอาชญากรทางไซเบอร์ เพื่อทำการโจมตีและยึดครองเว็บไซต์ (compromised) โดยพุ่งเป้าไปยังเว็บไซต์ที่มีการใช้ HTTPS จากนั้นจึงทำการแอบซ่อนไฟล์ไว้ใน directory ของเว็บไซต์ดังกล่าว (hidden directory) เพื่อนำไปใช้ในการก่ออาชญากรรมต่อไป

ทีมนักวิจัย ThreatLabZ จาก zscaler ตรวจพบว่ามีเว็บไซต์ที่ใช้ WordPress และ Joomla หลายรายการถูกโจมตีและใช้ในการซ่อนไฟล์อันตรายเพื่อแพร่กระจาย backdoor, หน้า Phishing และรวมถึงถูกใช้ในการแพร่กระจาย Shade ransomware ด้วย โดยช่องทางที่ถูกใช้ในการโจมตีส่วนมากน่าจะเป็นการอาศัยช่องโหว่ใน plugins, themes และ extersions สำหรับ WordPress ที่พบว่าถูกโจมตีคือเวอร์ชั่นตั้งแต่ 4.8.9 ถึง 5.1.1 และมีการใช้ SSL Certificate ของ Let’s Encrypt, GlobalSign และ DigiCert เป็นต้น สำหรับเว็บไซต์ที่ถูกใช้ในการซ่อนไฟล์ของ Shade ransomware นั้น จากการตรวจสอบทำให้นักวิจัยพบว่าจะมีไฟล์ 3 ชนิดที่ถูกซ่อนไว้ ได้แก่ ไฟล์ HTML, ไฟล์ zip และ ไฟล์ exe (ที่อยู่ในรูปแบบ .jpg) ดังนั้นผู้ดูแลเว็บไซต์โดยเฉพาะถ้าหากมีการใช้ Content Management Systems (CMS) ควร:

หมั่นตรวจสอบว่ามี directory หรือไฟล์ใหม่ๆ ที่ไม่สามารถหาแหล่งที่มาเกิดขึ้นในระบบหรือไม่ โดยอาจใช้เครื่องมือจำพวก File Integrity Monitoring (FIM) เพื่อช่วยในการตรวจจับและป้องกันการแก้ไขไฟล์หรือ directory สำคัญๆ ในระบบ
ควรทำการอัพเดต CMS ที่ใช้งานอยู่ให้เป็นเวอร์ชั่นล่าสุดในทุกๆ component เพื่อปิดช่องโหว่ที่อาจมีอยู่ในระบบ

ภาพตัวอย่างไฟล์ที่ถูกซ่อนใน directory ของ Web Server

Indicators of Compromise (IOCs)
สามารถติดตาม IOC ที่เกี่ยวข้องกับ Shade ransomware ได้จากลิงก์ด้านล่าง:

Shade ransomware hashes
Shade ransomware URLs
Shade ransomware IOCs
Shade/Troldesh links
Shade ransomware IOCs collection

แหล่งอ้างอิง

Shade Ransomware Hits High-Tech, Wholesale, Education Sectors in U.S, Japan, India, Thailand, Canada
Russian language malspam pushing Shade (Troldesh) ransomware
Malspam distributing Troldesh ransomware
Russia hit by new wave of ransomware spam
Abuse of hidden “well-known” directory in HTTPS sites