FBI แจ้งเตือน Ransomware สายพันธุ์ใหม่ ProLock แพร่กระจายผ่านโทรจัน Qakbot

FBI ได้ออกแจ้งเตือนด้านความปลอดภัยเกี่ยวกับแรนซัมแวร์สายพันธุ์ใหม่ที่เรียกว่า ProLock ซึ่งถูกนำไปใช้ในการโจมตีองค์กรด้านการดูแลสุขภาพ, หน่วยงานราชการ, สถาบันการเงินและองค์กรค้าปลีก

FBI กล่าวว่า ProLock ถูกพบครั้งเเรกในเดือนมีนาคม 2563 แรนซัมแวร์ ProLock สามารถเข้าถึงเครือข่ายที่ถูกแฮกผ่านโทรจัน Qakbot และจะแพร่กระจายไปสู่ระบบที่อยู่ในเครือข่าย ล่าสุดบริษัทผู้ให้บริการเอทีเอ็มยักษ์ใหญ่ของสหรัฐ Diebold Nixdorf ก็ถูกแรนซัมแวร์ ProLock โจมตีด้วยเช่นกันมื่อปลายเดือนเมษายนที่ผ่านมา

FBI ยังเตือนผู้ที่ตกเป็นเหยื่อแรนซัมแวร์ ProLock ที่จ่ายเงินค่าไถ่เพื่อถอดรหัสไฟล์ว่า ตัวถอดรหัสที่เจ้าของแรนซัมแวร์ให้กับผู้จ่ายเงินค่าไถ่นั้นทำงานไม่สมบูรณ์และอาจส่งผลให้ไฟล์ที่ทำการกู้คืนนั้นเสียหายได้

FBI และ Group-IB ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูเเลระบบควรระมัดระวังในการใช้งานอินเตอร์เน็ตและทำการอัพเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ ถ้าหากพบว่าคอมพิวเตอร์ภายในองค์กรติดเชื้อมัลแวร์ Qakbot ให้ทำการเเยกออกจากเครือข่ายที่เหลือโดยเร็วที่สุดเพื่อป้องกันการเเพร่กระจายต่อไปในคอมพิวเตอร์ภายในเครือข่าย

ที่มา: zdnet

แรนซัมแวร์ “Shade” ได้ทำการปิดตัวลงและได้ปล่อยคีย์ถอดรหัสให้ผู้ตกเป็นเหยื่อสามารถใช้เพื่อถอดรหัสไฟล์

ทีม Shade ผู้ที่สร้างและเผยเเพร่แรนซัมแวร์ Shade (Troldesh) ได้ตัดสินใจหยุดเเพร่กระจายแรนซัมแวร์ในช่วงสุดสัปดาห์ที่ผ่านมาและได้ปล่อยตัวกุญแจถอดรหัสมากกว่า 750,000 ตัว ลงใน GitHub ให้ผู้ที่ตกเป็นเหยื่อในอดีตสามารถใช้เพื่อถอดรหัสไฟล์ได้

ทั้งนี้แรนซัมแวร์ Shade (Troldesh) ถือเป็นแรนซัมแวร์หนึ่งในสายพันธุ์ที่เก่าแก่ที่สุดถูกพบครั้งแรกในปี 2557 โดยเป็นแรนซัมแวร์ที่ถูกใช้งานมากที่สุดซึ่งถูกเผยเเพร่ผ่านทางแคมเปญอีเมลขยะและ exploit kits

นักวิจัยด้านความปลอดภัยจาก Kaspersky Lab ได้ทำการทดสอบและยืนยันความถูกต้องของคีย์ที่ถูกปล่อยออกมาซึ้งขณะนี้ทาง Kaspersky Lab กำลังสร้างเครื่องมือเพื่อถอดรหัสแรนซัมแวร์ให้กับผู้ตกเป็นเหยื่อฟรีผู้ที่ตกเป็นเหยื่อสามารถกู้คืนไฟล์ได้ เงื่อนไขเพียงอย่างเดียวที่ผู้ตกเป็นเหยื่อนั้นจะสามารถกู้ไฟล์ได้คือผู้ใช้ยังคงต้องมีไฟล์ที่เข้ารหัสอยู่ซึ่งจะสามารถทำการถอดรหัสและกู้คืนไฟล์ได้ ทำให้ผู้ตกเป็นเหยื่อที่ทำการบันทึกไฟล์ที่เข้ารหัสแรนซัมแวร์ลงในฮาร์ดไดรฟ์ออฟไลน์ ตอนนี้สามารถกู้คืนข้อมูลที่เคยสูญหายได้แล้ว

ทั้งนี้นักวิจัยด้านความปลอดภัยจาก Kaspersky และ McAfee ได้เปิดให้ผู้ที่ตกเป็นเหยื่อสามารถเข้าไปใช้งานบริการถอดรหัสได้แล้วที่ https://www.

บริษัท Emsisoft และ Coveware ได้ประกาศว่าจะทำการช่วยถอดรหัส Ransomware และเจรจาต่อรองการชำระเงินค่าไถ่ Ransomware ให้กับผู้บริการด้านการดูแลสุขภาพและโรงพยาบาลฟรี ระหว่างการระบาดของไวรัส Coronavirus เพื่ออำนวยความสะดวกทางการแพทย์ให้กับโรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ

บริษัท Emsisoft ได้เสนอการช่วยเหลือถอดรหัสและเเก้ไขจุดบกพร่องบนระบบที่จะสามารถนำสู่การติดไวรัส Ransomware ฟรี ทั้งนี้ทางบริษัท Emsisoft ยังได้เสนอการช่วยเหลือกู้คืนระบบและถอดรหัสสำหรับผู้ให้บริการด้านการดูแลสุขภาพและโรงพยาบาล ที่ต้องชำระเงินค่าไถ่เพื่อกู้คืนระบบ แต่พบว่าตัวถอดรหัสที่ได้รับไม่สามารถใช้งานได้

ทางด้านบริษัท Coveware ได้เสนอช่วยเหลือในการเจรจาต่อรองที่ส่วนลดค่าไถ่จากไวรัส Ransomware ให้แก่ผู้ให้บริการด้านการดูแลสุขภาพ, โรงพยาบาลและห้องปฏิบัติการที่ต้องการความช่วยเหลือ เพื่ออำนวยความสะดวกในช่วงระหว่างการระบาดของไวรัส Coronavirus หรือ (Covid-19)

ที่มา: bleepingcomputer

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

ช่องโหว่บน Pulse Secure VPN (CVE-2019-1150)

Kevin Beaumont ผู้เชี่ยวชาญด้าน Cybersecurity เปิดเผยว่า 'Revil' เป็น Ransomware ที่ Hac Hacker พยายามเจาะเข้าหาระบบผ่านช่องโหว่ของ Pulse Secure VPN ด้วย Ransomware ชนิดนี้ จากข้อมูลล่าสุด บริษัทที่ได้รับผลกระทบจากช่องโหว่เหล่านี้ คือบริษัททางด้านการแลกเปลี่ยนเงินตรา และ ประกันภัยการท่องเที่ยวที่ชื่อว่า Travelex และทำให้ทางบริษัทTravelex ต้องปิดช่องทางการออนไลน์ทั้งหมดเพื่อหยุดยั้งการโจมตีที่เกิดขึ้น และกลับมาใช้ระบบ Manual แทนในสาขาต่างๆทั่วประเทศ

Kevin Beaumont ได้ยอมรับว่าช่องโหว่ CVE-2019-1150 มีความรุนแรงมาก โดยช่องโหว่ที่เกิดขึ้นนี้อยู่ในซอฟต์แวร์ Pulse Secure VPN หลายประเภท เช่น Pulse Connect Secure และ Pulse Policy Secure ซึ่งการช่องโหว่นี้ จะทำให้ Hacker เจาะผ่านเข้ามาทาง HTTPS Protocal และต่อเข้า Network ของบริษัทหรือองค์กรได้โดยไม่ต้องใช้ User Password ในการยืนยันตัวตน ซึ่ง Hacker สามารถมองเห็น File ที่เป็นความลับ (Confidential Files) หรือสามารถ Download Files ต่างๆ ออกมาได้ หรือแม้กระทั่งทำให้ Network ขององค์กรไม่สามารถใช้งานได้ ช่องโหว่ได้ถูก Patch แล้วในเดือนเมษายน 2019 ที่ผ่านมา ทาง Pulse Secure VPN ได้ออก Patch ให้บริษัทหรือองค์กรต่างๆ ได้เข้ามา Update เพื่อปิดช่องโหว่ดังกล่าวเรียบร้อยแล้ว

ช่องโหว่บน Android Devices (CVE-2019-2215)

ผู้เชี่ยวชาญทางด้าน Cyber Security ของ Tend Micro กล่าวว่า กลุ่ม Hacker ที่ใช้ชื่อว่า “SideWinder APT” ได้ใช้ช่องโหว่บนอุปกรณ์ที่รันบน Android และยังไม่ได้ update patch ผ่านทาง Application 3 ตัวที่อยู่บน Google Play Store คือ แอปพลิเคชัน ที่ชื่อว่า Camera, FileCrypt, และ CallCam ซึ่งทั้ง 3 แอปพลิเคชันนี้ถูกยืนยันว่าอาจจะเป็น แอปพลิเคชันที่ไว้สำหรับเจาะอุปกรณ์ Smartphone Android เนื่องจาก แอปพลิเคชันเหล่านี้ยกระดับสิทธิ root แล้วและส่งข้อมู Location, Battery, ไฟล์บนเครื่อง, แอปพลิเคชันที่ใช้, ข้อมูลเครี่อง, กล้อง, Screenshot, Account, WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail และ Chrome กลับไปหา Server ของกลุ่ม Hacker “SideWinder APT” ต่อไป

ที่มา  ehackingnews.

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และศูนย์รับเรื่องร้องเรียนทางอินเทอร์เน็ต (IC3) ได้ออกประกาศเตือนเกี่ยวกับการโจมตีของ Ransomware ที่เพิ่มขึ้น ซึ่งส่งผลกระทบต่อองค์กรภาครัฐและเอกชนของสหรัฐฯ รวมถึงให้คำแนะนำเพื่อเตรียมตัว

นับตั้งแต่ปี 2018 การโจมตีของ Ransomware พุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพ บริษัทอุตสาหกรรมและการขนส่ง โดยการใช้ประโยชน์จากซอฟต์แวร์และช่องโหว่ Remote Desktop Protocol (RDP) เพื่อเข้าสู่ระบบ และทำการเข้ารหัสไฟล์ข้อมูลของเหยื่อ ซึ่ง FBI เตือนว่าไม่ควรทำตามคำเรียกร้องของ Hacker และให้ทำการแจ้งไปที่สำนักงานของ FBI ภายในพื้นที่ และรายงานเหตุการณ์ไปยัง ic3.gov

หากเกิดเหตุการณ์ที่ต้องมีการจ่ายค่าไถ่ให้แจ้งไปยัง FBI ตามข้อบังคับของกฏหมาย

แนวทางปฏิบัติเพื่อเตรียมตัวสำหรับองค์กรที่เป็นเป้าหมายการโจมตีของ Ramsomware มีดังนี้

สำรองข้อมูลและตรวจสอบความถูกต้องของข้อมูลเป็นประจำ
สร้างความตระหนักรู้ให้กับบุคคลในองค์กร
อัปเดตแพตช์รักษาความปลอดภัยของซอฟต์แวร์และเฟิร์มแวร์บนอุปกรณ์
เปิดการอัปเดตฐานข้อมูลมัลแวร์อัตโนมัติบนซอร์ตแวร์ป้องกันมัลแวร์และสแกนระบบเป็นประจำ
กำหนดสิทธิ์ในการเข้าถึงไฟล์, ไดเรกทอรี่ และการแชร์เครือข่าย
ปิดการใช้งาน Micro Script จากไฟล์ Office ที่ส่งผ่านอีเมล
ใช้นโยบายและการควบคุมข้อกำหนดของซอฟต์แวร์
ปฏิบัติตาม best practices ของการปฏิบัติการใช้งานของ RDP
ทำ application whitelisting
แยกเครือข่ายในการทำงาน
บังคับให้มี user interaction เช่น ต้องพิมพ์ข้อมูล เมื่อผู้ใช้งานเข้าเว็บไซต์ที่ไม่ได้มีการจัดกลุ่มโดย network proxy หรือ firewall

ที่มา bleepingcomputer และ ic3.gov

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

ในสัปดาห์ที่ผ่านมามีการพบว่าหน่วยงานราชการท้องถิ่นกว่า 23 หน่วยงานในรัฐเท็กซัส ประเทศสหรัฐอเมริกาติดมัลแวร์เรียกค่าไถ่ (Ransomware) เจ้าหน้าที่รัฐเท็กซัสอธิบายว่าการโจมตีทั้งหมดนี้เกี่ยวข้องกัน

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ 16 สิงหาคมที่ผ่านมา ตามเวลาสหรัฐอเมริกา เมื่อหน่วยงานราชการท้องถิ่นในรัฐเท็กซัสได้รายงานถึงปัญหาการเข้าถึงข้อมูลของพวกเขาต่อ Texas Department of Information Resources (DIR) ซึ่งทำให้มากกว่าสิบองค์กรจากทั้งรัฐเทกซัสและหน่วยงานรัฐบาลกลางได้ร่วมมือกันในการที่จะกู้ระบบคืน ต่อมาเจ้าหน้าที่ DIR ได้กล่าวว่าพบหลักฐานที่บ่งชี้ว่าการโจมตีมาจากภัยคุกคามตัวเดียว

ซึ่งแหล่งข่าวระบุว่า Ransomware ที่กระจายผ่านเน็ตเวิร์คของ 23 รัฐท้องถิ่นในเทกซัสที่ทำให้ไฟล์ถูกเข้ารหัส และเพิ่ม .JSE ต่อท้าย ตระกูล Ransomware นี้ ไม่ได้มีชื่อของตัวมันเอง ซึ่งโดยทั่วไปจะเรียกว่า .jse ransomware โดยโปรแกรมป้องกันมัลแวร์บางตัวแจ้งว่ามัลแวร์ตัวนี้คือ Nemucod ซึ่งจริงๆ แล้วเป็นโทรจันที่ติดร่วมกัน

.jse ransomware ถูกพบครั้งแรกช่วงสิงหาคม 2018 และมีรายงานล่าสุดในเดือนนี้ ซึ่งมัลแวร์ตัวนี้แตกต่างจากมัลแวร์ตัวอื่นๆ ตรงที่ไม่มีการแสดงข้อความเรียกค่าไถ่ ทำให้ผู้ที่ตกเป็นเหยื่อสับสน

ที่มา : zdnet

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องที่ตกเป็นเหยื่อ โดยมักจะมีจดหมายเรียกค่าไถ่ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือ เครื่องมือในการถอดรหัสไฟล์

ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัดจะมาเล่าเกี่ยวกับการตรวจสอบระบบที่ติด Ransomware กันค่ะ ประกอบไปด้วย 2 หัวข้อ คือ

การตรวจสอบสายพันธุ์ของ Ransomware และ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT

การตรวจสอบสายพันธุ์ของ Ransomware
เมื่อเราตรวจพบระบบที่ติด Ransomware แล้ว เราควรทำการจำกัดความเสียหาย (containment) โดยการแยกเครื่องที่ติดเชื้อออกจากเครื่องอื่นๆ ระบบปฏิบัติการ เช่น ปิดการใช้งานระบบเครือข่ายชั่วคราว หรือทางกายภาพโดยตรง เช่น การถอดสายแลน เป็นต้น เพื่อป้องกันการแพร่กระจายในระบบเครือข่ายหรือการติดต่อไปยังเครื่องภายนอกที่เป็นอันตราย

แต่ไม่ควรปิดหรือ restart เครื่องที่มีพฤติกรรมติดมัลแวร์เรียกค่าไถ่ เนื่องจากมัลแวร์เรียกค่าไถ่บางชนิด เช่น Wannacry จะมีข้อมูลที่เกี่ยวข้องกับกุญแจที่ใช้ในการเข้ารหัสหลงเหลืออยู่ในหน่วยความจำชั่วคราว (RAM) ซึ่งสามารถช่วยในการถอดรหัสได้

เมื่อหยุดการแพร่กระจายได้แล้ว เราสามารถตรวจสอบสายพันธุ์ของ Ransomware ได้จากการอัปโหลดไฟล์ที่ถูกเข้ารหัส (ควรใช้ไฟล์ที่ไม่เป็นความลับ) และอัปโหลดไฟล์ข้อความเรียกค่าไถ่ (Ransomware Notes) ไปยังบริการ ID Ransomware หรือ No More Ransom ซึ่งบริการดังกล่าวจะแจ้งว่าเราติด Ransomware สายพันธุ์ไหน มีตัวถอดรหัสฟรีแล้วหรือไม่ ซึ่งเราสามารถทดลองดาวน์โหลดโปรแกรมถอดรหัสและทดลองถอดรหัสได้ โดยควรสำรองข้อมูลไว้ก่อนทดลองถอดรหัส

บริการ ID Ransomware

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่ยังไม่มีเครื่องมือถอดรหัสฟรี

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่มีเครื่องมือถอดรหัสแล้ว

ซึ่งการตรวจสอบสายพันธุ์ของ Ransomware นอกจากจะทำให้เราทราบว่ามีเครื่องมือในการช่วยถอดรหัสฟรีโดยไม่ต้องจ่ายค่าไถ่แล้ว ยังช่วยให้สามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับช่องทางการแพร่กระจายของ Ransomware ชนิดนั้นๆ และทำการป้องกันช่องทางดังกล่าวเพิ่มมากขึ้นได้อีกด้วยค่ะ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT
ในบางครั้งหลังจากเกิดเหตุการณ์ Ransomware องค์กรอาจมีความต้องการทำ Digital Forensic เพื่อหาสาเหตุที่ทำให้ติดเชื้อ Ransomware ที่แท้จริง ซึ่งควรเก็บหลักฐานดิจิตอลไว้เพื่อตรวจสอบภายหลังก่อนทำการกู้คืนระบบใหม่ สามารถศึกษาวิธีเก็บหลักฐานดิจิตอลได้จากข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน จัดทำโดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) 

ข้อมูลสำคัญอย่างหนึ่งที่ช่วยประกอบการหาสาเหตุของการติดเชื้อก็คือไฟล์ Ransomware Executable ซึ่งถ้าเราทราบว่าไฟล์ไหนคือ Ransomware Executable ที่เป็นต้นเหตุของเหตุการณ์ทั้งหมด เราก็จะสามารถตรวจสอบหาบัญชีผู้ใช้งานที่เป็นเจ้าของไฟล์และบัญชีผู้ใช้งานที่เป็นผู้เรียกใช้ไฟล์ดังกล่าวให้ทำงานได้

วิธีการหาไฟล์ Ransomware Executable สามารถทำได้หลายวิธี ในบทความนี้จะนำเสนอการค้นหาไฟล์โดยใช้ข้อมูลจากไฟล์ $MFT เพื่อค้นหาไฟล์แรกที่ถูกเข้ารหัส ช่วงเวลาที่ไฟล์แรกโดนเข้ารหัส และใช้ข้อมูลเวลาที่ถูกเข้ารหัสไปหาไฟล์ที่ถูกเรียกใช้ในเวลาใกล้เคียงกันเพื่อหาไฟล์ Ransomware Executable

ไฟล์ MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว เช่น เวลาที่สร้างไฟล์ (Created) เวลาที่ถูกเข้าถึงล่าสุด (LastAccess) และข้อมูลอื่นๆ อีกมาก

ซึ่งนอกเหนือจากไฟล์ MFT แล้วยังมีไฟล์อื่นๆ ที่บันทึกความเปลี่ยนแปลงของไฟล์ เช่น ไฟล์ USN Journal และ NTFS Log ($LogFile) ซึ่งสามารถนำไปใช้ตรวจสอบไฟล์แรกที่ถูกเข้ารหัสได้เช่นกัน แต่ไฟล์ USN Journal และ NTFS Log ($LogFile) สามารถเก็บข้อมูลการเปลี่ยนแปลงได้จำกัด ซึ่งจากสูตรประมาณของ Microsoft ระบุว่าไฟล์ USN Journal ขนาด 32MB จะบันทึกการเปลี่ยนแปลงได้ประมาณ 200,000 ไฟล์ จึงไม่สามารถนำข้อมูลไฟล์ USN Journal มาใช้งานได้ในกรณีที่ Ransomware เข้ารหัสไฟล์เกิน 200,000 ไฟล์

ซึ่งเทคนิคการค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT ในครั้งนี้จะสาธิตผ่านการตรวจสอบบนหลักฐานดิจิตอลจากเครื่องที่ติดเชื้อ GlobleImposter 2.0 ซึ่งทำการเข้ารหัสไฟล์แล้วเปลี่ยนนามสกุลเป็น .doc

เครื่องมือที่ใช้

MFTECmd เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับ parse ไฟล์ MFT และไฟล์อื่นๆ เป็น CSV
Timeline Explorer เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับเปิด CSV ขนาดใหญ่
FTK Imager เป็นโปรแกรมที่มีความสามารถในการจัดเก็บหลักฐานดิจิตอล วิเคราะห์หลักฐานดิจิตอล รวมถึงคำนวนค่า hash จากหลักฐานดิจิตอล สามารถดาวน์โหลดได้จาก https://accessdata.

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet