แรนซัมแวร์ดังกล่าวจะใช้คำสั่ง Command Line ตอนฝังตัวเพื่อเริ่มกระจายตัวเองผ่าน Network sharing ในทันทีมัลแวร์สำหรับการเรียกค่าไถ่ หรือ Ransomware นั้นเรียกได้ว่าเป็นอันตรายระดับสูงต่อระบบขององค์กรต่าง ๆ แต่ที่ร้ายแรงไปกว่าการล็อกไฟล์คงจะหนีไม่พ้นความสามารถในการแพร่กระจายต่อด้วยตนเอง หรือ Self-Propagation ที่อาจทำให้ตัวแรนซัมแวร์สามารถลามไปทั่วองค์กร หรือลามไปยังองค์กรคู่ค้าได้ เช่นแรนซัมแวร์ตัวนี้จากรายงานโดยเว็บไซต์ Industrial Cyber ได้กล่าวถึงการที่ทีมวิจัย Microsoft Threat Intelligence ซึ่งเป็นทีมผู้เชี่ยวชาญด้านภัยไซเบอร์ของบริษัทไมโครซอฟท์ ได้ออกมาแจ้งเตือนถึงอันตรายของแรนซัมแวร์ตัวใหม่ The Gentlemen ซึ่งเป็นแรนซัมแวร์ที่ถูกเขียนขึ้นด้วยภาษา Go และวางจำหน่ายบนตลาดมืดในรูปแบบแรนซัมแวร์เช่าใช้ หรือ RaaS (Ransomware-as-a-Service) ทำให้แฮกเกอร์สามารถเข้าถึงได้ง่าย แต่ปัจจัยในส่วนนี้ยังไม่ใช่ปัจจัยที่น่ากลัวที่สุด เพราะความน่ากลัวที่แท้จริงอยู่ที่ความสามารถในการแพร่กระจายตัวเองได้ (Self-Propagation) ทำให้ตัวแรนซัมแวร์นั้นสามารถกระจายตัวไปทั่วเครือข่าย (Network) ขององค์กร หรือบริษัทที่ติดแรนซัมแวร์ตัวนี้ได้อย่างรวดเร็ว เรียกได้ว่าสามารถทำลายทั้งบริษัทได้เลยในด้านความสามารถหลักอื่น ๆ นั้น แรนซัมแวร์ตัวนี้จะเน้นหนักไปในด้านการเข้ารหัสไฟล์ (Encryption) เพื่อล็อกไฟล์ไว้เป็นตัวประกัน โดยใช้เทคนิคการเข้ารหัสแบบสร้างกุญแจชั่วคราว (Ephemeral Key) ในแต่ละไฟล์ด้วยอัลกอริทึมแบบ Curve25519 และ XChaCha20 โดยในส่วนของการเข้ารหัสนั้น ไฟล์ขนาดเล็กกว่า 1MB จะถูกเข้ารหัสอย่างสมบูรณ์แบบ ขณะที่ไฟล์ขนาดใหญ่กว่าจะถูกเข้ารหัสเพียงบางส่วนเพื่อให้ใช้งานไม่ได้ โดยจะถูกบันทึกเป็นไฟล์สกุล .umc16h นอกจากนั้นยังสามารถทำการขยายการแพร่กระจายแรนซัมแวร์ (Lateral Movement) ด้วยตนเอง ทั้งนั้นยังสามารถแอบลักลอบส่งข้อมูล (Exfiltration) ที่เข้ารหัสแล้วไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ทำให้แฮกเกอร์สามารถรีดไถเหยื่อแบบซ้อน (Double Extortion) ได้ด้วยการข่มขู่เหยื่อว่า ถ้าไม่ทำการจ่ายเงินเพื่อถอดรหัสไฟล์ เหยื่อนอกจากจะไม่ได้ไฟล์คืนแล้ว ข้อมูลที่หลุดไปจะถูกนำไปขายในตลาดมืด ไม่เพียงเท่านั้น เพื่อป้องกันความพยายามในการกู้ข้อมูล ตัวแรนซัมแวร์ยังทำการจงใจทำให้พื้นที่ว่างบนฮาร์ดดิสก์เต็มเพื่อขัดขวางความพยายามนี้อีกด้วยโดยก่อนที่ตัวมัลแวร์จะทำการเข้ารหัสไฟล์ต่าง ๆ นั้น แรนซัมแวร์จะเริ่มการใช้คำสั่งแบบ Command Line หลากรูปแบบเพื่อควบคุมขอบเขตการเข้ารหัส, ความเร็ว, การทำ Lateral Movement, การสร้างความคงทนบนระบบ (Persistence) ด้วยการตั้งเวลาการทำงาน (Task Scheduling) และ ดัดแปลงในส่วนกุญแจ Run (Run Key) ภายในรีจิสทรี (Registry), และการเก็บกวาดหลักฐาน (Cleanup) แล้วจึงจัดการทำการล็อกเป้าไดร์ฟบนเครื่อง (Local Drive), ทำผังการแชร์ภายในเครือข่าย (Mapped Network Sharing), แล้วทำพยายามขออัปเกรดสิทธิ์ในการใช้งานเครื่องขึ้นเป็นระดับผู้ดูแลสูงสุด หรือ SYSTEM เพื่อให้สามารถเข้าถึงระบบได้อย่างทั่วถึง➤ Website : https://www.thaiware.com➤ Facebook : https://www.facebook.com/thaiware➤ Twitter : https://www.twitter.com/thaiware➤ YouTube : https://www.youtube.com/thaiwaretv
ไมโครซอฟท์เตือนแรนซัมแวร์ตัวใหม่ The Gentlemen สามารถแพร่กระจายทั่วระบบบริษัทได้อย่างไว
by
Tags: