The U.S. Cybersecurity and Infrastructure Security Agency หรือ CISA ได้แจ้งเตือนเกี่ยวกับความสามารถที่เป็นอันตรายของ Royal Ransomware ซึ่งมีการเปิดตัว และเริ่มมีการปฏิบัติการตั้งแต่เดือนกันยายน ปี 2565 โดยมีการกำหนดเป้าหมายไปยังหลากหลายภาคส่วนที่มีความสำคัญต่าง ๆ เช่น การสื่อสาร การศึกษา การดูแลสุขภาพ และการผลิต โดยใช้การโจมตีที่มีลักษณะเฉพาะตัว

รูปแบบการโจมตี

ในการโจมตีของ Royal Ransomware จากข่าวนี้นั้น จะเป็นการใช้ call-back phishing เพื่อส่ง ransomware ไปยังเหยื่อ โดยจะเป็นการส่งอีเมลที่น่าเชื่อถือที่จะหลอกให้ผู้รับคลิกลิงก์ หรือดาวน์โหลดไฟล์แนบที่มีมัลแวร์อยู่ หรือใช้ช่องโหว่ต่าง ๆ จาก Software ที่ยังไม่ได้รับการแก้ไข และจากนั้นเมื่อสามารถเข้าถึงเครือข่ายของเหยื่อได้แล้ว ก็จะทำการปิดการใช้งาน Antivirus software และจะทำการขโมยข้อมูลที่สำคัญที่ต้องการออกไป ก่อนที่จะทำการเข้ารหัสไฟล์บนเครื่องเหยื่อ โดยจะมีการเลือกเปอร์เซ็นต์การเข้ารหัสข้อมูล เพื่อหลบเลี่ยงการตรวจจับ
จากนั้นจะมีการโจมตีต่อไปยังภายในเครือข่ายของเหยื่อโดยการใช้ Cobalt Strike และ PsExec รวมถึงดำเนินการลบ Shadow Copy เพื่อไม่ให้สามารถกู้คืนระบบได้
หลังจากดำเนินการโจมตีเสร็จสิ้น ก็จะมีการเรียกค่าไถ่ตั้งแต่ 1-11 ล้านดอลลาร์สหรัฐ ทั้งนี้ Royal Ransomware ยังสามารถโจมตีเป้าหมายได้ทั้งระบบปฏิบัติการ Windows และ Linux อีกด้วย

แนวทางการป้องกัน

ไม่เปิดไฟล์แนบจากอีเมลจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัปเดต Software ต่าง ๆ ให้เป็นปัจจุบันอย่างสม่ำเสมอ เพื่อป้องกันการโจมตีจากช่องโหว่ต่าง ๆ
จัดให้มีการ Awareness Training ให้กับพนักงานภายในองค์กร
ควรสำรองข้อมูลอย่างสม่ำเสมอ และแยกเก็บข้อมูลจากเครื่องต้นทาง
จากข่าวนี้มีการใช้เครื่องมือในการโจมตีต่อไปยังระบบอื่น ๆ ภายในเครือข่าย หากเป็นไปได้แนะนำให้มีการติดตั้ง EDR เพื่อ Detect และ Protect การโจมตีโดยการใช้เครื่องมือดังกล่าว

 

Ref : thehackernews

Royal Ransomware เป็น Ransomware ตัวล่าสุดที่มีความสามารถในการเข้ารหัสข้อมูลบนอุปกรณ์ Linux ได้ โดยมีการกำหนดเป้าหมายไปที่ VMware ESXi โดยเฉพาะ ซึ่ง BleepingComputer เคยได้รายงานเกี่ยวกับการเข้ารหัสจากแรนซัมแวร์บน Linux ที่มีรูปแบบคล้ายกันโดยกลุ่ม Ransomware อื่น ๆ เช่น Black Basta, LockBit, BlackMatter, AvosLocker, REvil, HelloKitty, RansomEXX และ Hive (more…)