Tsachi Ganot จากบริษัท Pandora Security ได้เผยถึงกลุ่มเเฮกเกอร์ได้ทำการใช้ช่องโหว่บนโปรโตคอล Signaling System 7 (SS7) ที่เป็นโปรโตคอลสำหรับการเชื่อมต่อเครือข่ายมือถือ ด้วยการใช้ช่องโหว่นี้จะทำให้กลุ่มเเฮกเกอร์เข้าถึงบัญชี Telegram และบัญชี Email ต่างๆ ของเป้าหมายได้ผ่านทางการรับโค้ด SMS การตรวจสอบสิทธิ์ด้วย Two-factor authentication (2FA) ของเป้าหมาย

Ganot กล่าวว่ากลุ่มเเฮกเกอร์ได้ทำการปลอมแปลงเซิฟเวอร์ Short Message Service Center (SMSC) ซึ่งเป็นเซิฟเวอร์การให้บริการ SMS ของผู้ให้บริการเครือข่ายมือถือของเป้าหมาย จากนั้นส่งคำขอ update location ของหมายเลขโทรศัพท์ที่เป็นเป้าหมายไปยังผู้ให้บริการเครือข่ายมือถือ เพื่อให้ผู้ให้บริการเครือข่ายมือถือส่งข้อมูลการตอบกลับ SMS และการโทรของเป้าหมายกลับไปยังเซิฟเวอร์ SMSC ปลอมของกลุ่มเเฮกเกอร์ ซึ่งหลังจากนั้นกลุ่มเเฮกเกอร์จะใช้ข้อมูล SMS ที่มีโค้ดการยืนยันการตรวจสอบสิทธิ์ด้วย 2FA ทำการล็อกอินบัญชี Telegram และบัญชี Email ต่างๆ ของเป้าหมาย

ทั้งนี้การกำหนดเป้าหมายในลักษณะนี้กลุ่มแฮกเกอร์ต้องรู้ MSISDN (Mobile Station International Subscriber Directory Number) และหมายเลข International Mobile Subscriber Identity (IMSI) ของเป้าหมายก่อนเพื่อที่จะสามารถส่งคำขอ update location ไปยังผู้ให้บริการเครือข่ายมือถือของเป้าหมายจึงจะสามารถทำปฏิบัติการนี้ได้

ถึงแม้ว่าวิธีการตรวจสอบสิทธิ์ด้วย 2FA ด้วยโค้ดที่ส่งไปทาง SMS นั้นเป็นแนวทางที่ดีในทางปฏิบัติแต่ผู้ใช้ก็ยังมีความเสี่ยงต่อการใช้ประโยชน์จากช่องโหว่ในโปรโตคอล SS7 ซึ่งเป็นโปรโตคอลการสื่อการข้อมูลด้านโทรคมนาคมที่ถูกพัฒนาขึ้นในปี 1975

ที่มา: bleepingcomputer.

Ransomware ที่เรียกว่า BlackRouter ได้ถูกค้นพบว่า ได้มีการเลื่อนขั้นเป็น Ransomware-as-a-service บน Telagram ซึ่งค้นพบโดยนักพัฒนาชาวอิหร่าน ก่อนหน้านี้ก็มีการกระจาย Ransomware อีกตัวที่มีชื่อเรียกว่า BlackRouter และส่งเสริมการติดเชื้ออื่นๆ เช่น RAT

BlackRouter นั้นถูกค้นพบครั้งแรกในเดือนพฤษภาคมปี 2018 และมีช่วงเวลาที่มีชื่อเสียงเมื่อ TrandMicro ค้นพบว่าถูกทิ้งพร้อมกับโปรแกรมการเข้าถึงระยะไกลและ Keyloggers บนคอมพิวเตอร์

ในช่วงเดือนมกราคม BlackRoter Ransomware รุ่นใหม่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ Petrovic ซึ่งแชร์ตัวอย่างไว้บน Twitter นอกจากนี้ MalwareHunterTeam ระบุว่าตัวแปรเบื้องต้นเดียวกับตัวแปรก่อนหน้านี้ แต่มี GUI ที่ดูดีขึ้นและเพิ่มตัวจับเวลา

หลังจากค้นพบ BlackRouter ไม่นาน นักวิจัยด้านความปลอดภัยอีกคนชื่อ Shadow บอกกับ BleedingComputer ว่า Ransomware นี้ได้รับการโปรโมทในฐานะ RaaS ในช่องแฮ็คบน Telagram โดยนักพัฒนาชาวอิหร่าน

ใครก็ตามในบริษัทในเครือที่เข้าร่วม RaaS นี้และกระจาย Ransomware ของ BlackRouter จะได้รับ 80% จากเงินที่เรียกค่าไถ่ และอีก 20% จะเป็นผู้พัฒนา

นอกจากนี้ยังมีการส่งเสริมให้ Trojan สามารถเข้าถึงได้จากระยะไกล ชื่อว่า BlackRAT ซึ่งกล่าวว่า มีคุณสมบัติเช่น encrypted communications, AV evasion, small size, plugins, เปิดการใช้งาน RDP, กำหนดค่า miner, ขโมยเงินจากกระเป๋าเงินดิจิตอล, keylogger, password-stealer และอื่นๆ

ดูเหมือนว่า BlackRouter ไม่ได้มีการเผยแพร่อย่างหนัก โดยมีการส่ง ID Ransomware เพียงครั้งเดียวตั้งแต่วันที่ 31 ธันวาคม

จากที่กล่าวมา Ransomware เชช่น BlackRouter มีการกระจายทั่สไปผ่านไปยัง RDP หรือผ่าน Crack และการดาวน์โหลดปลอม ดงันั้นตรวจสอบให้แน่ใจว่าไม่ได้อนุญาตให้ RDP เชื่อมต่อโดยตรงกับอินเตอร์เน็ตและตรวจสอบให้แน่ใจว่าได้ทำการสแกนทุกสิ่งที่คุณดาวน์โหลดจากแหล่งที่ไม่มีความน่าเชื่อถือ

ที่มา:bleepingcomputer