Ryuk Ransomware Gang Uses Zerologon Bug for Lightning-Fast Attack

กลุ่ม Ryuk Ransomware นำช่องโหว่ Zerologon มาปรับใช้เพื่อทำการโจมตีระบบแล้ว

นักวิจัยจาก @TheDFIRReport ออกรายงานพบการโจมตีรูปแบบใหม่ของกลุ่ม Ryuk Ransomware ที่ได้นำช่องโหว่ Zerologon (CVE-2020-1472) มาปรับใช้ในการโจมตี ซึ่งทำให้กลุ่ม Ryuk Ransomware สามารถใช้เวลาในการเข้ารหัสทั้งโดเมนที่ถูกบุกรุกได้ในเวลาเพียงห้าชั่วโมง

นักวิจัยกล่าวว่าการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่มีมัลแวร์ Bazar loader จากนั้นผู้โจมตีจะทำการสำรวจระบบด้วยการใช้เครื่องมือ built-in ภายใน Windows เพื่อสำรวจระบบ จากนั้นจะใช้ประโยชน์จากช่องโหว่ของ Zerologon (CVE-2020-1472) เพื่อใช้ในการรีเซ็ตรหัสผ่านเครื่องของโดเมนคอนโทรลเลอร์ จากนั้นผู้โจมตีจะทำการเคลื่อนย้ายไปยังคอนโทรลเลอร์รองภายในระบบด้วย Server Message Block (SMB) และ Windows Management Instrumentation (WMI) ด้วยเครื่องมือ Cobalt Strike ซึ่งในขั้นตอนสุดท้ายของการโจมตีกลุ่ม Ryuk Ransomware ได้ติดตั้งแรนซัมแวร์ลงบนเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ที่เก็บข้อมูลสำรอง ตามด้วยเครื่องที่เหลือทั้งหมด

นักวิจัยยังกล่าวว่าผู้โจมตีสามารถบรรลุวัตถุประสงค์ของพวกเขาได้ในระยะเวลาอันสั้น โดยเหตุการณ์นับจากการโจมตีขั้นแรกด้วยการที่ผู้ใช้งานหลงกลอีเมลฟิชชิงทำให้ Bazar loader ทำงานจนถึงการปล่อยแรนซัมแวร์ใช้เวลาทั้งหมด 5 ชั่วโมงเท่านั้น ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตซ์ความปลอดภัยเพื่อเเก้ไขช่องโหว่ Zerologon เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

โดยผู้ที่สนใจรายงานดังกล่าวสามารถอ่านรายละเอียดได้จาก : thedfirreport 

ที่มา : threatpost