4 ธ.ค. เวลา 02:00 • ไอที & แก็ดเจ็ต

นักวิจัยพบ Ransomware สายพันธุ์ใหม่ ขยายขอบเขตการโจมตีไปยังระบบ VMware และ Linux

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ Helldown ซึ่งเป็นแรนซัมแวร์สายพันธุ์ใหม่ที่พุ่งเป้าการโจมตีจาก ระบบ Windows ไปยัง Linux และ VMware โดย Helldown ถูกระบุว่าเป็นกลุ่มที่มีพฤติกรรมรุนแรงและใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยของระบบเครือข่าย ในการโจมตีเป้าหมาย แรนซัมแวร์นี้มุ่งโจมตีในภาคส่วนสำคัญ เช่น บริการด้านไอที โทรคมนาคม ภาคการผลิต และอุตสาหกรรมการดูแลสุขภาพ
โดย Helldown ได้รับการเปิดเผยครั้งแรกในช่วง สิงหาคม 2024 โดย Halcyon ซึ่งชี้ให้เห็นว่า Helldown ถือเป็นภัยคุกคามที่ควรจับตามองอย่างใกล้ชิด โดยเฉพาะองค์กรที่ใช้โครงสร้างพื้นฐาน VMware หรือ Linux ควรเพิ่มมาตรการป้องกันความปลอดภัยเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของแรนซัมแวร์นี้
การวิเคราะห์รูปแบบการทำงานของ Helldown
Helldown เป็น Ransomware ที่ได้รับความสนใจจากนักวิจัยด้านความปลอดภัยทางไซเบอร์ในช่วงหลัง เนื่องจากเป็นการโจมตีที่มีความซับซ้อนและขยายขอบเขตการโจมตีจากระบบ Windows ไปยัง Linux และ VMware โดยใช้กลยุทธ์การกรรโชกซ้ำซ้อน (Double Extortion) ซึ่งเป็นการขู่ว่าจะเผยแพร่ข้อมูลที่ขโมยมาเพื่อบีบให้เหยื่อจ่ายค่าไถ่ หลังจากที่แรนซัมแวร์ได้แทรกซึมเข้าไปใน ระบบแล้ว ทั้งนี้มีการคาดการณ์ว่า Helldown ได้โจมตีบริษัทอย่างน้อย 31 แห่งในระยะเวลา 3 เดือนที่ผ่านมา
การโจมตีของ Helldown เริ่มต้นจากการใช้ช่องโหว่ในระบบเครือข่ายที่สามารถเข้าถึงได้จากอุปกรณ์ Firewall ของ Zyxel โดยกลุ่มผู้โจมตีใช้ช่องโหว่นี้เพื่อเริ่มการเข้าถึงเครือข่ายของเป้าหมาย
จากนั้นพวกเขาจะทำการรวบรวมข้อมูล เช่น รหัสผ่าน และข้อมูลสำคัญอื่น ๆ เพื่อนำไปใช้ในการเจาะลึกเข้าไปในระบบมากขึ้น พร้อมทำการตรวจสอบเครือข่ายเพื่อระบุจุดอ่อนในโครงสร้างของระบบและหลบเลี่ยงการตรวจจับจากระบบป้องกันต่าง ๆ ที่อาจตั้งอยู่ในเครือข่าย โดยมีการเคลื่อนไหวในเครือข่าย (Lateral Movement) เพื่อแพร่กระจายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่น ๆ ภายในระบบ
หลังจากนั้นแรนซัมแวร์จะถูกปล่อยออกมาเพื่อเข้ารหัสข้อมูลสำคัญในเครื่องเหยื่อ นอกจากช่องโหว่ที่รู้จักใน Firewall ของ Zyxel แล้วนักวิจัยจาก Sekoia ยังพบว่า Helldown ใช้ช่องโหว่ที่อาจยังไม่เปิดเผย (Zero-Day Vulnerabilities) เพื่อเข้าถึงเครือข่ายของเป้าหมาย โดยใช้การสร้าง VPN SSL Tunnels สำหรับบัญชีผู้ใช้งานชั่วคราวเพื่อให้สามารถควบคุมระบบจากระยะไกลได้
ในส่วนของการทำงานในระบบ Windows เมื่อแรนซัมแวร์ถูกปล่อยออกมา มันจะเริ่มดำเนินการตามขั้นตอนต่าง ๆ โดยเริ่มจากการลบ Shadow Copy ซึ่งเป็นระบบสำรองข้อมูลจาก Windows เพื่อป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้ หลังจากนั้นแรนซัมแวร์จะหยุดการทำงานของกระบวนการสำคัญในระบบ
เช่น ฐานข้อมูลและโปรแกรม Microsoft Office ก่อนจะทำการเข้ารหัสข้อมูลทั้งหมดที่เกี่ยวข้องกับการดำเนินธุรกิจ หลังจากเสร็จสิ้นการเข้ารหัส ไฟล์ของแรนซัมแวร์จะถูกลบเพื่อลบล้างร่องรอยการโจมตี และสุดท้ายจะทิ้งข้อความเรียกค่าไถ่พร้อมทั้งปิดระบบของเหยื่อ
สำหรับระบบ Linux แม้ว่าจะไม่มีฟังก์ชันในการปกปิดร่องรอยหรือป้องกันการแก้ไขข้อผิดพลาด แต่ Helldown ก็ยังคงมีความสามารถในการค้นหาและเข้ารหัสไฟล์อย่างมีประสิทธิภาพ โดยก่อนที่จะเริ่มกระบวนการเข้ารหัสแรนซัมแวร์จะตรวจสอบและปิดการทำงานของ Virtual Machines (VM) ที่กำลังทำงานอยู่ทั้งหมด
วิเคราะห์โครงสร้างเบื้องหลังของ Helldown
จากการวิเคราะห์ของทั้ง Sekoia และ Truesec ได้สรุปตรงกันว่า Helldown ยังคงเป็น Ransomware ที่อยู่ในระหว่างการพัฒนา เนื่องจากพบข้อบ่งชี้บางประการที่ยังไม่สมบูรณ์
อย่างไรก็ตามพบว่ามีความคล้ายคลึงในพฤติกรรมระหว่าง Helldown และ Ransomware อื่นที่ชื่อ DarkRace ซึ่งเกิดขึ้นในเดือนพฤษภาคม 2023 และใช้โค้ดจาก LockBit 3.0 โดยต่อมา DarkRace ได้เปลี่ยนชื่อเป็น DoNex
Sekoia กล่าวถึงความเป็นไปได้ที่ Helldown อาจจะเป็นการเปลี่ยนชื่อจาก DarkRace หรือ DoNex เนื่องจากความคล้ายคลึงกันในลักษณะการทำงานของโค้ด แต่ก็ไม่สามารถยืนยันได้ในขณะนี้
ในขณะที่ Helldown ยังคงอยู่ระหว่างการพัฒนา Cisco Talos ก็ได้เปิดเผย Ransomware ใหม่ที่ชื่อว่า Interlock ซึ่งเน้นโจมตีภาคสุขภาพ, เทคโนโลยี และรัฐบาลในสหรัฐอเมริกา รวมถึงภาคการผลิตในยุโรป โดยสามารถเข้ารหัสทั้ง Windows และ Linux ได้เช่นเดียวกับ Helldown
Interlock ใช้การโจมตีในรูปแบบ Supply Chain โดยใช้โปรแกรมอัปเดตเบราว์เซอร์ Google Chrome ปลอมที่ติดตั้งบนเว็บไซต์ข่าว เมื่อเปิดใช้งานแล้วจะปล่อย RAT (Remote Access Trojan) ออกมา ซึ่งจะช่วยให้ผู้โจมตีสามารถเข้าถึงข้อมูลและรันคำสั่ง PowerShell เพื่อปล่อย Malware ที่จะช่วยขโมยข้อมูลและทำการลาดตระเวนระบบ
Interlock ถูกเชื่อมโยงกับ Rhysida, ซึ่งเป็นกลุ่มที่พฤติกรรมและเครื่องมือมีความคล้ายคลึงกัน การพัฒนาใหม่ของกลุ่ม Ransomware กำลังมีแนวโน้มที่ขยายความสามารถให้ครอบคลุมการโจมตีที่หลากหลายมากขึ้น และมีการร่วมมือระหว่างกลุ่มมากขึ้น
นักวิจัยจาก Talos ยังกล่าวว่าในบล็อกของ Interlock ระบุว่าเป้าหมายของการโจมตีคือการสร้างความรับผิดชอบต่อบริษัทที่มีการรักษาความปลอดภัยทางไซเบอร์ไม่ดี ซึ่งนอกจากการได้ผลประโยชน์ทางการเงินแล้ว ยังต้องการส่งเสริมให้บริษัทเหล่านั้นปรับปรุงการป้องกันความปลอดภัยทางไซเบอร์อีกด้วย
ในขณะเดียวกัน SafePay อีกหนึ่งกลุ่ม Ransomware ใหม่ก็ได้เข้าสู่ตลาด โดยอ้างว่าได้โจมตีบริษัทไปแล้ว 22 แห่งและใช้ LockBit 3.0 เป็นฐาน ซึ่งทำให้เห็นว่าการรั่วไหลของรหัสต้นฉบับของ LockBit ได้สร้างการพัฒนา Ransomware ตัวแปรใหม่ๆ เพิ่มขึ้นอีกหลายตัว
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา