แจ้งเตือน Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ไปยังอุปกรณ์ต่าง ๆ บน LAN ได้

หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส หรือ ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ได้เปิดเผยถึงการค้นพบ Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ซึ่งจะสามารถแพร่กระจายไปยังอุปกรณ์อื่น ๆ บน Local network ของผู้ที่ตกเป็นเหยื่อได้

ความสามารถใหม่ของ Ryuk ransomware ที่หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศสพบจากการตรวจสอบการโจมตีเมื่อต้นปี 2021 คือ Ryuk ransomware ที่ทำการเเพร่กระจายตัวเองไปยัง Local network โดยการใช้ ARP cache และตัว Ryuk ยังมีแพ็คเกจที่สามารถส่ง Wake-on-LAN (WOL) ไปยังอุปกรณ์ที่ค้นพบและเมื่อแรนซัมแวร์ทำการเชื่อมต่อกับอุปกรณ์ที่พบในเครือข่ายตัวแรนซัมแวร์จะสามารถเข้ารหัสเนื้อหาทั้งหมดบนเครื่อง

นอกจากนี้ความสามารถในการเเพร่กระจายตัวไปยังเครือข่ายในลักษณะแบบ Worm แล้ว Ryuk ransomware ยังสามารถดำเนินการเองได้จากระยะไกลโดยใช้ Scheduled tasks ที่สร้างขึ้นในแต่ละโฮสต์ที่ถูกบุกรุกภายในเครือข่ายด้วยเครื่องมือ schtasks.

แจ้งเตือน Ransom “worm” ใหม่ “Thanos” ใช้ SharpExec ช่วยแพร่กระจาย

ทีมนักวิจัยด้านความปลอดภัยจาก Recorded Fiuture ได้มีการเปิดเผยถึง Ransomware-as-a-service (RaaS) ชนิดใหม่ที่ถูกเรียกว่า Thanos ซึ่งปัจจุบันกำลังได้รับความนิยมเพิ่มขึ้นในฟอรัมใต้ดินหลายแห่ง โดยมัลแวร์เรียกค่าไถ่ Thanos นี้มีฟีเจอร์ในการแพร่กระจายและการขโมยข้อมูลอยู่ในตัวเองได้

หนึ่งในความน่าสนใจที่ทำให้มัลแวร์เรียกค่าไถ่ Thanos ได้รับความนิยมสูงขึ้นนั้นคือการที่มัลแวร์มีการใช้เทคนิค RIPlace ในการหลบหลีกการตรวจจับในระหว่างการเข้ารหัสไฟล์ เทคนิค RIPace นี้ใช้การฟังก์ชัน DefineDosService() ในการช่วยสร้างและจัดการไฟล์ที่ถูกเข้ารหัส ส่งผลให้โปรแกรมป้องกันมัลแวร์ไม่สามารถตรวจจับได้

Thanos ถูกพบครั้งแรกในเดือนตุลาคม 2019 และได้รับการพัฒนาอย่างต่อเนื่อง โดยนอกจากการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่ปกติแล้ว Thanos ยังมีฟังก์ชั่น ftp_file_exfil() ซึงฟังก์ชั่นนี้จะทำให้สามารถคัดลอกไฟล์และทำการส่งกลับไปยังเซิร์ฟเวอร์ FTP ของผู้โจมตี รวมไปถึงการใช้เครื่องมือในการทดสอบเจาะระบบ SharpExec ซึ่งเป็นเวอร์ชัน C# ของโปรแกรม PsExec ในการเเพร่กระจายตัวไปยังอุปกรณ์ที่อยู่ในเครือข่ายด้วย

ผู้ใช้ควรทำการระมัดระวังในการใช้งานเช่น การเปิดอีเมลจากผู้ใช้งานที่ไม่รู้จักหรือการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จัก เพื่อป้องกันการถูกโจมตีจากแรนซัมแวร์

ที่มา:

threatpost
bleepingcomputer

 

โค้งสุดท้ายก่อน The Next WannaCry โครงการ Metasploit ปล่อย exploit สำหรับ BlueKeep แบบ RCE ให้ใช้งานแล้ว

 

เมื่อวันที่ 6 กันยายน 2019 Metasploit ได้ปล่อย exploit สำหรับช่องโหว่ CVE-2019-0708 BlueKeep ที่สามารถโจมตีแบบรันคำสั่งอันตรายบนระบบที่มีช่องโหว่จากระยะไกล (RCE) ออกมาแล้ว

ช่องโหว่ CVE-2019-0708 หรือ BlueKeep เป็นช่องโหว่ Remote Code Execution ใน Remote Desktop Protocol ใน Windows XP, Windows 2003, Windows 7, Windows Server 2008 และ Windows Server 2008 R2 ที่มีการเปิดใช้งาน RDP

โดย Microsoft ได้ออกแพตช์มาให้อัปเดตกันตั้งแต่เดือนพฤษภาคม 2019 ที่ผ่านมา และระบุคำเตือนให้ผู้ใช้งานเร่งอัปเดตเพราะว่าช่องโหว่นี้สามารถเอามาทำเวิร์มแพร่กระจายได้เหมือน WannaCry ที่ใช้ช่องโหว่ CVE-2017-0144 EternalBlue (Remote Code Execution ใน SMB)

แต่จากตรวจสอบผ่านเว็บไซต์ binaryedge.

Malware Exploits SHELLSHOCK Vulnerability to Hack NAS Devices

นักวิจัยด้านความปลอดภัยค้นพบ Worm ที่ถูกออกแบบมาเพื่อฝั่ง backdoors ไว้บนอุปกรณ์ network-attached storage (NAS) จาก Taiwan-based QNAP และสามารถเข้าถึงข้อมูลของอุปกรณ์เหล่านั้นได้ทั้งหมด

A new Linux worm targets the Internet of Things

นักวิจัยของ Symantec ได้คนพบเวิร์มที่ทำงานบนระบบปฎิบัติการลีนุกซ์ตัวใหม่ โดยตั้งชื่อว่า “Darlloz” เวิร์มตัวนี้ไม่ได้แค่โจมตีคอมพิวเตอร์ของผู้ใช้ทั่วไปเท่านั้น แต่มันยังโจมตีไปยังอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตแบบอื่นๆ ด้วย อย่างเช่น เราเตอร์ที่ใช้ตามบ้าน, กล้องวงจรปิดที่มีการเชื่อมต่อกับอินเทอร์เน็ต, กล่องรับสัญญาณ TV ที่สามารถเชื่อมต่อกับอินเทอร์เน็ตได้ และ ระบบควบคุมในอุตสาหกรรมต่างๆ เป็นต้น เวิร์มตัวนี้จะเริ่มทำการโจมตีโดยแทรกตัวเองไปยังอุปกรณ์เป้าหมายผ่านช่องโหว่ PHP ที่ถูกแพทช์แก้ไขไปในเดือนพฤษภาคมปี 2012 ตอนนี้เวิร์มจะโจมตีเฉพาะเครื่องที่ใช้ระบบ Intel x86 เท่านั้น แต่นักวิจัยได้พบว่าแฮกเกอร์สร้างเวิร์มชนิดอื่นๆที่สามารถโจมตีเครื่องที่ใช้ระบบ ARM, PPC, MIPS และ MIPSEL ได้ โชคดีที่เวิร์มตัวนี้ยังไม่พบการแพร่กระจายในวงกว้าง ดังนั้นนักวิจัยจึงแนะนำให้ผู้ใช้อัพเดทแพทช์โปรแกรมในเครื่อง, ใช้รหัสที่มีความแข็งแกร่ง และ บล็อคการร้องขอ HTTP POST ที่ร้องขอมาจากภายนอก เพื่อไม่ให้เวิร์มตัวนี้สามารถแพร่กระจายได้

ที่มา : net-security