นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบความเชื่อมโยงของเงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ (Ransomware) ที่แพร่ระบาดในประเทศอิสราเอล เชื่อมโยงกับเว็บไซต์ร้านนวดเฉพาะจุด

การโจมตีในครั้งนี้เกิดขึ้นโดยมัลแวร์เรียกค่าไถ่ในปฏิบัติการชื่อ Ever101 ซึ่งโจมตีผู้ให้บริการคอมพิวเตอร์สัญชาติอิสราเอลด้วยการเข้ารหัสข้อมูลบนอุปกรณ์ทำให้ไม่สามารถใช้งานได้

จากรายงานที่เผยแพร่โดย Profero และ Security Joes ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอสัญชาติอิสราเอล และเป็นผู้ที่เข้ารับมือเหตุการณ์โจมตีครั้งนี้ แสดงให้เห็นว่า Ever101 เป็นมัลแวร์เรียกค่าไถ่สายพันธ์เดียวกันกับ Everbe และ Payment45

เมื่อเริ่มทำการเข้ารหัสไฟล์ นามสกุลไฟล์จะถูกต่อท้ายด้วยคำว่า ".ever101" และทำการสร้างไฟล์ชื่อ """=READMY="".txt" สำหรับข่มขู่เรียกค่าไถ่เอาไว้ในทุกๆ โฟลเดอร์บนเครื่องคอมพิวเตอร์

ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี นักวิจัยพบว่าโฟลเดอร์ชื่อ “Music” ถูกใช้เป็นที่เก็บไฟล์สำหรับใช้เป็นเครื่องมือในการโจมตีจำนวนมาก ซึ่งเผยให้เห็นถึง Tactics, Techniques, Procedures (TTPs) ของผู้โจมตี

ตามรายงานของ Profero และ Security Joe กล่าวไว้ว่า “ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี เราพบข้อมูลที่สำคัญเก็บไว้ภายในโฟลเดอร์ Music โดยภายในนั้นมีไฟล์ไบนารี่ของมัลแวร์เรียกค่าไถ่รวมถึงไฟล์อีกจำนวนหนึ่งที่เข้ารหัสไว้ และที่ยังไม่ได้เข้ารหัสซึ่งเราเชื่อว่าผู้โจมตีใช้เครื่องมือเหล่านี้ในการรวบรวมข้อมูล และโจมตีไปยังเครือข่ายต่อไป”

เครื่องมือที่ถูกใช้โดยกลุ่ม Ever101 เช่น

xDedicLogCleaner - ใช้เพื่อกลบร่องรอยใน Windows event logs, system logs, และโฟลเดอร์ Temp

PH64.exe - โปรแกรม Process Hacker (64-bit) ที่ถูกเปลี่ยนชื่อเพื่อหลีกเลี่ยงการตรวจจับ

Cobalt Strike - ใช้เพื่อให้สามารถเข้าถึงเครื่องได้จากระยะไกล โดยในการโจมตีครั้งนี้ Cobalt Strike Beacon ถูกฝังอยู่ในไฟล์ชื่อ WEXTRACT.exe

SystemBC - ใช้เพื่อซ่อนข้อมูลการเชื่อมต่อของ Cobalt Strike บน SOCKS5 Proxy เพื่อหลีกเลี่ยงการตรวจจับ

ไฟล์เครื่องมือที่เหลือถูกเข้ารหัสจากการทำงานของมัลแวร์เรียกค่าไถ่แต่ทว่าสามารถคาดเดาลักษณะการทำงานได้จากชื่อของไฟล์ได้ เช่น

SoftPerfect Network Scanner - ใช้เพื่อสแกน IPv4/IPv6 network

shadow.

สำนักงานความมั่นคงแห่งชาติของสหรัฐฯ หรือ National Security Agency (NSA) ได้ออกเผยเเพร่คำแนะนำด้านความปลอดภัยเกี่ยวกับเทคนิคที่แฮกเกอร์ใช้เพื่อเพิ่มการเข้าถึงจาก Local network ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ขององค์กรหรือบริษัท

การเผยเเพร่คำแนะนำสืบเนื่องมาจากเหตุการณ์มีการตรวจพบ Supply-chain attack บนซอฟต์แวร์ SolarWinds Orion ที่อาจทำให้กลุ่มผู้ประสงค์ร้ายสามารถเข้าถึง Local network ขององค์กรหรือบริษัท โดย NSA ได้อธิบายเทคนิค Tactics, Techniques, and Procedures (TTPs) ที่แฮกเกอร์ใช้สองเทคนิคเพื่อเพิ่มการเข้าถึงจาก Local networks ที่ถูกบุกรุกไปยัง Cloud-based infrastructure ไว้ดังนี้

เทคนิคเเรกกลุ่มผู้ประสงค์ร้ายที่สามารถเข้าถึง SSO infrastructure และสามารถขโมยข้อมูล Credential หรือ Private key ได้จะใช้ข้อมูลในส่วนนี้ในการปลอมแปลง Security Assertion Markup Language (SAML) tokens เพื่อเข้าถึง Cloud-based infrastructure ขององค์กรหรือบริษัท
เทคนิคที่สองผู้ประสงค์ร้ายจะใช้ประโยชน์จาก Credential ของบัญชีผู้ดูแลระบบที่ถูกบุกรุกทั่วโลก ทำการเพิ่มบัญชีบนบริการระบบคลาวด์แอปพลิเคชัน เพื่อเข้าถึงทรัพยากรบนระบบคลาวด์อื่น ๆ ขององค์กร์ที่บุกรุก
NSA ได้ตั้งข้อสังเกตว่าเทคนิคทั้งสองไม่ได้เป็นเทคนิคใหม่และเทคนิคทั้งสองนี้ถูกนำมาใช้ตั้งแต่ปี 2017 แล้ว นอกจากนี้ NSA ยังกล่าวอีกว่าเทคนิคทั้งสองเทคนิคไม่ได้ใช้ประโยชน์จากช่องโหว่ในผลิตภัณฑ์ Federated Authentication แต่เป็นการละเมิดฟังก์ชันที่ถูกต้องตามกฎหมายหลังจากที่ Local network หรือบัญชีผู้ดูแลระบบถูกบุกรุก ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่เเหล่งที่มา

ที่มา: zdnet | media.