กลุ่ม REVIL Ransomware ทำการข่มขู่ผู้ให้บริการ ISP รายใหญ่ของอาเจนติน่าให้ส่งมอบเงินค่าไถ่จำนวน $7.5 ล้านเหรียญเพื่อปลดล็อกไฟล์ที่ถูกเข้ารหัส

บริษัท Telecom Argentina ผู้ให้บริการ ISP รายใหญ่ของประเทศอาเจนติน่าได้เปิดเผยถึงกลุ่ม REVIL Ransomware หรือ Sodinokibi ได้ทำการโจมตีบริษัทและทำการเรียกร้องค่าไถ่เป็นเงินจำนวน $7.5 ล้านเหรียญเพื่อเป็นค่าไถ่สำหรับการปลดล็อกไฟล์ที่ถูกเข้ารหัส

เหตุการณ์เกิดในวันเสาร์ที่ 18 กรกฎาคม 2020 โดยกลุ่ม REVIL Ransomware ได้ทำการโจมตีเครือข่ายของบริษัทหลังจากที่พนักงานคนหนึ่งของบริษัทเปิดไฟล์ที่เเนบมากับอีเมลที่เป็นอันตรายของกลุ่ม REVIL Ransomware จึงทำให้กลุ่ม REVIL Ransomware สามารถเข้าควบคุม Domain Admin ภายในเครือข่ายบริษัทและทำแพร่กระจาย Ransomware ภายในเครือข่าย ซึ่งในช่วงเวลาที่ถูกบุกรุกนั้นทาง ISP ได้ทำการตรวจจับการบุกรุกในทันทีและได้แจ้งเตือนพนักงานผ่านการแจ้งเตือนภายใน เพื่อจำกัดการเชื่อมภายในเครือข่ายขององค์กรกับเครือข่าย VPN ภายในและยังสั่งห้ามพนักงานไม่ให้ทำการเปิดอีเมลที่มีไฟล์แนบ

ผู้ให้บริการ ISP กล่าวว่าอีกว่าเหตุการณ์ครั้งนี้ไม่ส่งผลกระทบต่อบริการโทรศัพท์พื้นฐานหรือเคเบิลทีวีและไม่ได้ทำให้การเชื่อมต่ออินเทอร์เน็ตสำหรับลูกค้าของ ISP มีปัญหา หลังจากเกิดเหตุการณ์ภายในเว็บพอร์ทัลของ REVIL Ransomware มีข้อความแสดงความต้องการค่าไถ่จำนวน 109,345.35 เหรียญ Monero หรือประมาณ 7.5 ล้านเหรียญและถ้าหากไม่ทำการจ่ายภายใน 3 วันจำนวนเงินเรียกค่าไถ่จะเพิ่มเป็น 2 เท่า

ทั้งนี้ผู้สื่อข่าวของ ZDNet ให้ความเห็นว่าการโจมตีผ่านอีเมลของกลุ่ม REVIL ในครั้งนี้แตกต่างจากพฤติกรรมในอดีตที่มักโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ระดับองค์กรอย่างที่เคยมีประวัติโจมตีด้วยช่องโหว่ Pulse Secure และ Citrix VPN ซึ่งนักวิจัยด้านความปลอดภัยจากบริษัท Bad Packets พบว่าบริษัท Telecom Argentina นั้นมีการใช้ Citrix VPN และใช้ Citrix ที่มีช่องโหว่ CVE-2019-19781 อีกด้วย

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบเเหล่งที่มาของอีเมลและทำการตรวจสอบไฟล์ที่แนบมากับอีเมลทุกครั้งที่เปิดเพื่อป้องกันการโจมตีด้วย Ransomware ซึ่งอาจจะทำให้ระบบของผู้ใช้งานได้รับผลกระทบและเสียหาย รวมถึงผู้ดูแลระบบควรอัพเดตแพตช์ความปลอดภัยของผลิตภัณฑ์ระดับองค์กรเพื่อลดความเสี่ยงจากการโจมตี

ที่มา: zdnet.

SentinelOne เปิดบริการถอดรหัส ThiefQuest Ransomware ฟรีสำหรับผู้ใช้ macOS ที่ตกเป็นเหยื่อ

บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่

ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน

วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.

กลุ่ม Maze Ransomware ประกาศกฎการจ่ายค่าไถ่ใหม่ พร้อมขู่ปล่อยข้อมูลหากไม่มีการพูดคุยกันหลังจาก 10 วัน คาด “การไฟฟ้าส่วนภูมิภาค” อาจถูกปล่อยข้อมูลหากไม่ยอมจ่ายค่าไถ่เร็วๆ นี้

กลุ่ม Maze Ransomware ซึ่งมีผลงานล่าสุดกับการโจมตีระบบของการไฟฟ้าส่วนภูมิภาคและระบบของบริษัทชั้นนำอย่าง ST Engineering มีการอัปเดตกฎใหม่ผ่าน Official press ของทางกลุ่ม โดยเราอาจมองได้ว่านี่คือ Service Level Agreement (SLA) ที่ Maze นำเสนอมาใหม่

ภายใต้ประกาศใหม่นั้น Maze จะปล่อยข้อมูลภายในของเหยื่อเพื่อยืนยันการโจมตีภายใน 3 วัน โดยกลุ่มสนับสนุนให้มีการพูดคุยกันเพื่อหาข้อตกลงที่เหมาะสมที่สุดในการจ่ายค่าไถ่ พร้อมคำขู่ใหม่ว่าจะมีการปล่อยข้อมูลทั้งหมดหากเหยื่อไม่ยอมเข้ามาพูดคุยเรื่องข้อตกลงภายใน 10 วัน โดยเมื่อมีการปล่อยข้อมูลแล้ว ทาง Maze จะมีการติดต่อไปยังลูกค้าและคู่ค้าของเหยื่อ รวมไปถึงหน่วยงานกำกับดูแลเพื่อกดดันและประจานด้วย

การออกมาของกฎใหม่นี้กระทบกับกรณีของการโจมตีการไฟฟ้าส่วนภูมิภาค เนื่องจากกลุ่มได้มีการระบุอย่างชัดเจนว่าทางกลุ่ม Maze Ransomware กำลังจะดำเนินการปล่อยข้อมูลทั้งหมดของเหยื่อซึ่งรวมไปถึงการไฟฟ้าส่วนภูมิภาคในเร็ววันนี้

ที่มา: twitter

EvilQuest แรนซัมแวร์ชนิดใหม่ที่มุ่งเป้าโจมตีผู้ใช้ macOS

“EvilQuest” แรนซัมแวร์ชนิดใหม่ซึ่งถูกค้นพบโดย Dinesh Devadoss นักวิจัยมัลแวร์จาก K7 Lab, Thomas Reed จาก Malwarebytes และ Patrick Wardle จาก Jamf Principal รายงานของนักวิจัยได้เปิดเผยว่าแรนซัมแวร์ชนิดใหม่นี้มุ่งเป้าหมายไปยังผู้ใช้งาน macOS ซึ่งแรนซัมแวร์ชนิดนี้จะทำการเเพร่กระจายไปสู่ผู้ใช้งาน โดยการปลอมเเปลงเป็นโปรเเกรม Google Software Update และแฝงไปกับซอฟต์เเวร์ที่ทำการดาวน์โหลดแบบละเมิดลิขสิทธิ์ยอดนิยมเช่น Little Snitch, Ableton Live และ Mixed in Key ใน Bit Torrent

Devadoss กล่าวว่า EvilQuest แรนซัมแวร์นั้นถูกพบครั้งเเรกปลายเดือนมิถุนายนที่ผ่านมา โดย EvilQuest นั้นนอกจากจะมีคุณสมบัติในการเข้ารหัสข้อมูลของเหยื่อแลัว EvilQuest ยังมีคุณสมบัติในการใช้งานและติดตั้ง keylogger, reverse shell และจะทำการขโมยไฟล์ต่างๆ ที่เกี่ยงข้องกับ cryptocurrency wallet เป็นต้น

เมื่อผู้ใช้งานเหยื่อของ EvilQuest และถูกเข้ารหัสข้อมูลเสร็จแล้ว จะพบว่ามีไฟล์ที่ชื่อว่า READ_ME_NOW.txt พร้อมคำเเนะนำในการจ่ายค่าไถ่ โดยผู้ที่ตกเป็นเหยื่อจะถูกขอให้จ่ายเงินค่าไถ่เป็นจำนวนเงิน $50 หรือประมาณ 1500 บาท ในสกุลเงิน bitcoin ภายในเวลา 72 ชั่วโมง เพื่อกู้คืนไฟล์ที่ถูกเข้ารหัส

ข้อเเนะนำ
ผู้ใช้งาน macOS ควรระมัดทำการติดตั้งซอฟต์เเวร์ที่มีลิขสิทธิ์ ไม่ควรทำการติดตั้งซอฟต์เเวร์ที่ละเมิดลิขสิทธิ์และควรระวังในการดาวน์โหลดซอฟต์เเวร์หรือไฟล์จากเเหล่งที่ไม่รู้จัก เพื่อป้องกันการตกเป็นเหยื่อของแรนซัมแวร์ชนิดใหม่นี้

ที่มา:

bleepingcomputer
helpnetsecurity

แฮกเกอร์ทำการเผยเเพร่ข้อมูลของ Mitsubishi Paper Mills Limited

ผู้ใช้ทวิตเตอร์ที่ชื่อ Shadow Intelligence ซึ่งคอยรายงานข้อมูลการรั่วไหลของข้อมูลที่ถูกแฮก ได้ทำการทวีตเอกสารที่อ้างว่าเป็นข้อมูลที่รั่วไหลจากเว็บไซต์ mitsubishi-paper[.]com

จากการตรวจสอบ mitsubishi-paper[.]com นั้นพบว่าเป็นบริษัทที่ทำการผลิตกระดาษ, หมึกพิมพ์และ เครื่องพิมพ์ที่ทำการจัดจำหน่ายในทวีปยุโรป ข้อมูลที่ถูกทวิตนั้นประกอบไปด้วยชื่อเครื่องที่ติด Ransomware และเอกสารตัวอย่างที่ทำการนำออกมาจาก mitsubishi-paper[.]com ในขณะนี้มีการคาดการณ์ว่าการโจมตีดังกล่าวเกิดขึ้นจาก DoppelPaymer Ransomware

ล่าสุดผู้ใช้ทวิตเตอร์ที่ชื่อ Shadow Intelligence ได้ทำการทวีตอีกครั้งและยังกล่าวว่าเอกสารที่ถูกขโมยออกมานั้นไม่มีส่วนเกี่ยวข้องกับผลิตภัณฑ์รถยนต์ของมิตซูบิชิ

ที่มา: twitter.

เตือนภัย! Black Kingdom Ransomware โจมตีช่องโหว่ Pulse Secure VPN เพื่อแฮกระบบเครือข่ายและติดตั้งมัลแวร์

บริษัทผู้ให้บริการรักษาความปลอดภัยบนไซเบอร์ REDTEAM.PL จากประเทศโปแลนด์ ได้เปิดเผยถึงมัลแวร์ตัวใหม่จากกลุ่มผู้พัฒนา Black Kingdom Ransomware ซึ่งทำมีเป้าหมายการโจมตีเครือข่ายขององค์กรต่างๆ ด้วยช่องโหว่จาก Pulse Secure VPN (CVE-2019-11510) ที่ยังไม่ได้ทำการเเพตซ์ความปลอดภัยบนซอฟต์แวร์ Pulse Secure VPN

Black Kingdom Ransomware ถูกพบครั้งแรกในปลายเดือนกุมภาพันธ์โดยนักวิจัยด้านความปลอดภัย GrujaRS
โดยมัลแวร์จะเข้ารหัสไฟล์และเปลี่ยนนามสกุลของไฟล์เป็น .DEMON หลังจากเข้ารหัสไฟล์แล้วจะทิ้งโน๊ตหมายเหตุเรียกค่าไถ่การเข้ารหัสไฟล์ ซึ่งเป้นเงินจำนวน $10,000 หรือ 312,000 บาท

ข้อเเนะนำ
ผู้ใช้งานหรือผู้ดูแลระบบขององค์กรควรทำการตรวจสอบซอฟต์แวร์ Pulse Secure VPN และทำการอัปเดตเเพตซ์ความปลอดภัยเป็นเวอร์ชั่นล่าสุดและควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่มาที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีด้วย Ransomware

ทั้งนี้นักวิจัยได้ทำการวิเคราะห์ Black Kingdom Ransomware และ IOCs ผู้ที่สนใจสามารถเข้าไปดูได้ที่: any.

แจ้งเตือน Ransom “worm” ใหม่ “Thanos” ใช้ SharpExec ช่วยแพร่กระจาย

ทีมนักวิจัยด้านความปลอดภัยจาก Recorded Fiuture ได้มีการเปิดเผยถึง Ransomware-as-a-service (RaaS) ชนิดใหม่ที่ถูกเรียกว่า Thanos ซึ่งปัจจุบันกำลังได้รับความนิยมเพิ่มขึ้นในฟอรัมใต้ดินหลายแห่ง โดยมัลแวร์เรียกค่าไถ่ Thanos นี้มีฟีเจอร์ในการแพร่กระจายและการขโมยข้อมูลอยู่ในตัวเองได้

หนึ่งในความน่าสนใจที่ทำให้มัลแวร์เรียกค่าไถ่ Thanos ได้รับความนิยมสูงขึ้นนั้นคือการที่มัลแวร์มีการใช้เทคนิค RIPlace ในการหลบหลีกการตรวจจับในระหว่างการเข้ารหัสไฟล์ เทคนิค RIPace นี้ใช้การฟังก์ชัน DefineDosService() ในการช่วยสร้างและจัดการไฟล์ที่ถูกเข้ารหัส ส่งผลให้โปรแกรมป้องกันมัลแวร์ไม่สามารถตรวจจับได้

Thanos ถูกพบครั้งแรกในเดือนตุลาคม 2019 และได้รับการพัฒนาอย่างต่อเนื่อง โดยนอกจากการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ปกติแล้ว Thanos ยังมีฟังก์ชั่น ftp_file_exfil() ซึงฟังก์ชั่นนี้จะทำให้สามารถคัดลอกไฟล์และทำการส่งกลับไปยังเซิร์ฟเวอร์ FTP ของผู้โจมตี รวมไปถึงการใช้เครื่องมือในการทดสอบเจาะระบบ SharpExec ซึ่งเป็นเวอร์ชัน C# ของโปรแกรม PsExec ในการเเพร่กระจายตัวไปยังอุปกรณ์ที่อยู่ในเครือข่ายด้วย

ผู้ใช้ควรทำการระมัดระวังในการใช้งานเช่น การเปิดอีเมลจากผู้ใช้งานที่ไม่รู้จักหรือการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีจากแรนซัมแวร์

ที่มา:

threatpost
bleepingcomputer

 

รายละเอียดภัยคุกคามและปฏิบัติการของ Maze Ransomware

ทำความรู้จักปฏิบัติการของมัลแวร์เรียกค่าไถ่ Maze
มัลแวร์เรียกค่าไถ่ Maze เป็นมัลแวร์เรียกค่าไถ่ซึ่งอยู่ในกลุ่มของมัลแวร์ค่าไถ่ซึ่งนอกจากจะมีจุดประสงค์ในการแพร่กระจายเพื่อเข้ารหัสข้อมูลของระบบเป้าหมายแล้ว มัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะพุ่งเป้าไปที่การเข้าถึงและขโมยข้อมูลของเป้าหมายออกมา เพื่อสร้างเงื่อนไขของการขู่กรรโชกและเรียกค่าไถ่เพิ่มเติมด้วย

ไมโครซอฟต์มีการบัญญัติคำเพื่อเรียกมัลแวร์เรียกค่าไถ่และปฏิบัติการของมัลแวร์เรียกค่าไถ่ในกลุ่มนี้ว่า Human-operated Ransomware ซึ่งส่วนหนึ่งในปฏิบัติการของมัลแวร์เรียกค่าไถ่ที่สำคัญคือการที่ผู้ไม่ประสงค์ดีคอยควบคุมและจัดการเพื่อให้สามารถสร้างผลกระทบต่อเหยื่อและผลประโยชน์ต่อผู้ไม่ประสงค์ดีให้ได้มากที่สุด

ในเชิงเทคนิคนั้น ความแตกต่างระหว่างมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์หรือ Classic ransomware campaign กับมัลแวร์เรียกค่าไถ่และกลุ่มปฏิบัติการแบบ Human-operated ransomware มีตามประเด็นดังนี้

เวลาที่ใช้ในปฏิบัติการ (Operation time):

Classic ransomware campaign: จุดอ่อนสำคัญของมัลแวร์เรียกค่าไถ่และปฏิบัติการแบบทั่วไปซึ่งอาศัยการสร้างเงื่อนไขเพื่อขู่กรรโชกด้วยการเข้ารหัสไฟล์อยู่ในจุดที่กระบวนการเข้ารหัสไฟล์ของมัลแวร์เรียกค่าไถ่ถูกตรวจพบหรือถูกขัดขวางก่อนที่จะดำเนินการเสร็จสิ้น ดังนั้นมัลแวร์เรียกค่าไถ่ในกลุ่มนี้จะดำเนินการเสร็จให้เร็วและหลีกเลี่ยงการที่จะถูกตรวจจับให้ได้มากที่สุด ทำให้การตรวจจับนั้นจะสามารถทำได้เฉพาะในช่วงเวลาที่มีการทำงานของมัลแวร์เรียกค่าไถ่เท่านั้น
Human-operated ransomware: มัลแวร์เรียกค่าไถ่และปฏิบัติการในกลุ่มนี้มีการแสดงพฤติกรรมของการเข้าถึงระบบ เคลื่อนย้ายตัวเองไปยังระบบอื่น พยายามยกระดับสิทธิ์และเข้าถึงข้อมูลคล้ายกับพฤติกรรมของกลุ่ม Advanced Persistent Threat (APT) ที่มีเป้าหมายในการจารกรรมข้อมูล ส่งผลให้กรอบและระยะเวลาในการปฏิบัติการนั้นยาวและอาจเพิ่มโอกาสในการตรวจจับความผิดปกติจากพฤติกรรมได้ด้วย

หลักฐานหลังจากการโจมตี (Post-incident artifacts):

Classic ransomware campaign: มัลแวร์เรียกค่าไถ่จะแสดงตัวก็ต่อเมื่อกระบวนการเข้ารหัสไฟล์เสร็จสิ้นแล้วผ่านทาง Ransom note หรือข้อความซึ่งอธิบายเหตุการณ์และขั้นตอนของ ด้วยข้อมูลใน Ransom note ดังกล่าว การระบุหาประเภทของมัลแวร์เรียกค่าไถ่และผลกระทบอื่นๆ ที่อาจเกิดขึ้นจึงสามารถทำได้โดยง่าย
Human-operated ransomware: เนื่องจากระยะเวลาของปฏิบัติการที่ยาวและโอกาสที่ปฏิบัติการของมัลแวร์เรียกค่าไถ่จะถูกตรวจพบระหว่างดำเนินการโดยที่ยังไม่มีหลักฐานอย่างเช่น Ransom note อย่างชัดเจนจึงมีโอกาสที่สูงซึ่งส่งผลให้การระบุประเภทของภัยคุกคามและผลกระทบของเหตุการณ์นั้นทำได้ยาก การรับมือและตอบสนองเหตุการณ์ในลักษณะนี้จำเป็นต้องประเมินถึงความเป็นไปได้ว่าเหตุการณ์ดังกล่าวอาจจบที่มีการใช้ Ransomware ในที่สุดด้วย

พฤติกรรมของ Maze Ransomware
ไมโครซอฟต์ได้มีการเปิดเผยพฤติกรรมของมัลแวร์เรียกค่าไถ่ในกลุ่ม Human-operated Ransomware รวมไปถึงพฤติกรรมของ Maze ในบทความ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk ซึ่งสามารถสรุปโดยสังเขปได้ดังนี้

หมายเหตุ: ข้อมูลพฤติกรรมของภัยคุกคามสามารถเปลี่ยนแปลงได้ตลอดเวลา เราแนะนำให้มีการนำข้อมูลเหล่านี้มีจัดลำดับความสำคัญ ประเมินความพร้อมในการตรวจจับและตอบสนอง และดำเนินการตามที่วางแผนเอาไว้เพื่อให้เกิดประโยชน์สูงสุด

Maze มักปรากฎการเข้าถึงระบบที่มีความเสี่ยงด้วยการโจมตีผ่านเซอร์วิส Remote Desktop ซึ่งตั้งค่าไว้อย่างไม่ปลอดภัย ในขณะที่มัลแวร์กลุ่มอื่นมีการโจมตีช่องโหว่ซึ่งเป็นที่มีการเปิดเผยมาก่อนแล้ว อาทิ ช่องโหว่ใน Citrix Application Delivery Controller (CVE-2019-19781) หรือช่องโหว่ใน Pulse Secure VPN (CVE-2019-11510) ไมโครซอฟต์ยังมีการระบุว่าเป้าหมายหลักของ Maze คือการโจมตีกลุ่มผู้ให้บริการ (Managed Service Provider) เพื่อใช้เป็นช่องทางในการเข้าถึงผู้ใช้บริการในกลุ่มธุรกิจนี้ด้วย
Maze ใช้โปรแกรม Mimikatz ในการระบุหาข้อมูลสำหรับยืนยันตัวตนในระบบ ข้อมูลสำหรับยืนยันตัวตนนี้จะถูกใช้เพื่อเข้าถึงระบบอื่นๆ
กระบวนการเคลื่อนย้ายตัวเองในระบบภายในขององค์กรมักเกิดขึ้นผ่านการใช้โปรแกรม Cobalt Strike ทั้งนี้เทคนิคและวิธีการที่ Cobalt Strike รองรับนั้นโดยส่วนใหญ่เป็นเทคนิคซึ่งเป็นที่รู้จักกันอยู่แล้ว อาทิ การโจมตีแบบ Pass-the-Hash, WinRM หรือการใช้เซอร์วิส PsExec ในการเข้าถึงด้วยข้อมูลสำหรับยืนยันตัวตนที่ได้มา
กระบวนการฝังตัวของ Maze มีการปรากฎการใช้ฟีเจอร์ Scheduled Tasks ร่วมกับการใช้คำสั่ง PowerShell ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกโจมตีไปแล้วได้ Maze ยังมีการใช้ฟีเจอร์ WinRM ในการควบคุมระบบเมื่อได้บัญชีซึ่งมีสิทธิ์ของ Domain admin ด้วย
Maze มีการแก้ไขการตั้งค่าใน Group Policy หลายรายการเพื่อช่วยอำนวยความสะดวกในการโจมตี

นอกเหนือจากข้อมูลการวิจัยจากไมโครซอฟต์ FireEye ยังได้มีการระบุข้อมูลพฤติกรรมเพิ่มเติมของปฏิบัติการของ Maze ซึ่งพบกลุ่มของพฤติกรรมที่แตกต่างกันในการแพร่กระจายและสามารถใช้บ่งชี้ให้เห็นว่าผู้อยู่เบื้องหลังในการปฏิบัติการของ Maze อาจมีมากกว่าหนึ่งกลุ่ม (อ้างอิง)
คำแนะนำในการตรวจจับและป้องกันภัยคุกคาม

ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการกำหนด Policy ของ Windows Firewall หรือด้วยอุปกรณ์อื่นๆ เพื่อจำกัดการติดต่อระหว่างโฮสต์หากมีการพยายามติดต่อรับส่งข้อมูลผ่านทางโปรโตคอล
ในกรณีที่ตรวจพบพฤติกรรมต้องสงสัย พิจารณาการทำ Endpoint segmentation โดยการจำกัดหรือปิดการใช้งานฟีเจอร์ Administrative shares ได้แก่ ADMIN$ (ใช้โดย PsExec), C$, D$ และ IPC$ ทั้งนี้องค์กรควรมีการประเมินความเสี่ยงก่อนดำเนินการเนื่องจากการจำกัดหรือปิดการใช้งานฟีเจอร์ดังกล่าวอาจส่งผลต่อการทำงานของระบบภายในองค์กร
จำกัดการใช้งานบัญชีผู้ใช้งานในระบบในกรณีที่มีการใช้งานเพื่อแพร่กระจายมัลแวร์
ตั้งค่าหากมีการใช้ Remote Desktop Protocol (RDP) โดยให้พิจารณาประเด็นดังต่อไปนี้

จำกัดการเข้าถึงจากอินเตอร์เน็ต หรือในกรณีที่จำเป็นต้องมีการเข้าถึง ให้ทำการกำหนดหมายเลขไอพีแอดเดรสที่สามารถเข้าถึงได้ผ่าน Windows Firewall
พิจารณาใช้งาน Multi-factor authentication ทั้งในรูปแบบของการใช้งาน Remote Desktop Gateway หรือเทคโนโลยีอื่นๆ ที่เกี่ยวข้อง
จำกัดสิทธิ์และการจำกัดบัญชีผู้ใช้งานที่สามารถเข้าถึงระบบจากระยะไกลผ่านโปรโตคอล
ในกรณีที่จำเป็นต้องมีการเข้าถึงและใช้งาน Remote Desktop Protocol (RDP) จากอินเตอร์เน็ต ให้พิจารณาใช้งาน Network Leveal Authentication (NLA) เพื่อป้องกันการโจมตีในรูปแบบของการเดาสุ่มรหัสผ่าน ทั้งนี้หากมีการใช้งาน NLA ควรตรวจสอบให้แน่ใจว่าระบบที่มีการเชื่อมต่อนั้นรองรับการใช้งาน และไม่ควรใช้ฟีเจอร์ CredSSP เพื่อป้องกันการบันทึกข้อมูลสำหรับยืนยันตัวตนไว้ในหน่วยความจำของระบบ

ทำการตั้งค่า Group Policy เพื่อควบคุมสิทธิ์ในการใช้ตามความเหมาะสม อาทิ ทำการตั้งค่าเพื่อป้องกันการเข้าถึงข้อมูลสำหรับยืนยันตัวตนที่ไม่ได้ถูกปกป้องในหน่วยความจำผ่านทาง Group Policy หรือการตั้งค่ารีจิสทรี รวมไปถึงดำเนินการตั้งค่าที่เกี่ยวข้องกับความแข็งแกร่งของรหัสผ่านของบัญชีผู้ใช้งานใน Group Policy
ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์บนเครื่องในองค์กรทุกเครื่อง และอัปเดตข้อมูลและเวอร์ชั่นของซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
พิจารณาการใช้งานข้อมูลตัวบ่งชี้ภัยคุกคาม (Indicator of Compromise — IOC) ในการช่วยเฝ้าระวังและตรวจจับการมีอยู่ของภัยคุกคาม แหล่งข้อมูลซึ่งสามารถค้นหาข้อมูลตัวบ่งชี้ภัยคุกคามของ Maze มีตามรายการดังต่อไปนี้

ค้นหาข่าวและ IOC ทั้งหมดของ Maze ด้วย APT & Malware CSE
(แนะนำ) รายงานการวิเคราะห์พฤติกรรมของ Maze จาก FireEye
(แนะนำ) รายงานการวิเคราะห์การทำงานของไฟล์มัลแวร์ในปฏิบัติการ Maze โดย McAfee

RagnarLocker Ransomware ใช้เทคนิคการติดตั้งมัลเเวร์บน Virtual Machine เพื่อซ่อนตัวจากซอฟต์แวร์ป้องกันไวรัส

ทีมวิจัยจากบริษัท Sophos ได้เผยเเพร่ข้อมูล RagnarLocker ransomware ซึ่งใช้เทคนิคในการหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ป้องกันไวรัสโดยการติดตั้ง VirtualBox และทำการรันตัวเองบน Virtual Machine (VM) ในเครื่องที่ติดเชื้อของผู้ใช้

รูปแบบการใช้ RagnarLocker ransomware โจมตีนั้นผู้โจมตีได้ใช้ช่องโหว่การโจมตี Windows Remote Desktop Protocol (RDP) ในกลุ่มเป้าหมาย เมื่อสามารถเข้าถึงเป้าหมายได้ ผู้โจมตีที่ได้รับสิทธิ์การเข้าถึงระดับผู้ดูแลระบบจะใช้งาน GPO เพื่อเรียกใช้ Microsoft Installer (msiexec.

FBI: ProLock ransomware gains access to victim networks via Qakbot infections

FBI แจ้งเตือน Ransomware สายพันธุ์ใหม่ ProLock แพร่กระจายผ่านโทรจัน Qakbot

FBI ได้ออกแจ้งเตือนด้านความปลอดภัยเกี่ยวกับแรนซัมแวร์สายพันธุ์ใหม่ที่เรียกว่า ProLock ซึ่งถูกนำไปใช้ในการโจมตีองค์กรด้านการดูแลสุขภาพ, หน่วยงานราชการ, สถาบันการเงินและองค์กรค้าปลีก

FBI กล่าวว่า ProLock ถูกพบครั้งเเรกในเดือนมีนาคม 2563 แรนซัมแวร์ ProLock สามารถเข้าถึงเครือข่ายที่ถูกแฮกผ่านโทรจัน Qakbot และจะแพร่กระจายไปสู่ระบบที่อยู่ในเครือข่าย ล่าสุดบริษัทผู้ให้บริการเอทีเอ็มยักษ์ใหญ่ของสหรัฐ Diebold Nixdorf ก็ถูกแรนซัมแวร์ ProLock โจมตีด้วยเช่นกันมื่อปลายเดือนเมษายนที่ผ่านมา

FBI ยังเตือนผู้ที่ตกเป็นเหยื่อแรนซัมแวร์ ProLock ที่จ่ายเงินค่าไถ่เพื่อถอดรหัสไฟล์ว่า ตัวถอดรหัสที่เจ้าของแรนซัมแวร์ให้กับผู้จ่ายเงินค่าไถ่นั้นทำงานไม่สมบูรณ์และอาจส่งผลให้ไฟล์ที่ทำการกู้คืนนั้นเสียหายได้

FBI และ Group-IB ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเเลระบบควรระมัดระวังในการใช้งานอินเตอร์เน็ตและทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ ถ้าหากพบว่าคอมพิวเตอร์ภายในองค์กรติดเชื้อมัลแวร์ Qakbot ให้ทำการเเยกออกจากเครือข่ายที่เหลือโดยเร็วที่สุดเพื่อป้องกันการเเพร่กระจายต่อไปในคอมพิวเตอร์ภายในเครือข่าย

ที่มา: zdnet