Muhstik เป็นมัลแวร์เรียกค่าไถ่ (ransomware) ที่มีการแพร่ระบาดมาตั้งแต่ช่วงเดือนกันยายน 2562 ช่องทางการโจมตีจะอาศัยการ brute force รหัสผ่านร่วมกับช่องโหว่การตั้งค่า SQL และ phpMyAdmin ในอุปกรณ์ QNAP NAS โดยหลังจากที่มัลแวร์ได้สิทธิ์เข้าถึงตัวอุปกรณ์แล้วจะเข้ารหัสลับข้อมูลข้างใน จากนั้นจะเปลี่ยนนามสกุลไฟล์เป็น “.muhstik” และส่งข้อมูลสำหรับใช้สร้างกุญแจถอดรหัสลับกู้คืนไฟล์ไปที่เครื่องเซิร์ฟเวอร์ของผู้พัฒนามัลแวร์
หนึ่งในผู้ที่ตกเป็นเหยื่อของมัลแวร์เรียกค่าไถ่สายพันธุ์นี้คือนาย Tobias Frömel ซึ่งเป็นนักพัฒนาซอฟต์แวร์ โดยหลังจากที่เขาได้จ่ายเงินค่าไถ่เพื่อกู้ไฟล์กลับคืนมาแล้ว (0.09 บิตคอยน์หรือประมาณ 700 ดอลลาร์สหรัฐฯ) เขาได้วิเคราะห์ตัวมัลแวร์ดังกล่าวเพื่อศึกษาช่องทางการแพร่กระจายและหาข้อมูลการติดต่อกับเซิร์ฟเวอร์ที่ใช้ควบคุมมัลแวร์ โดยหลังจากที่พบข้อมูล เขาได้ตัดสินใจเจาะระบบเว็บไซต์ดังกล่าวและพบว่าข้างในมีไฟล์ที่สามารถใช้สร้างกุญแจสำหรับถอดรหัสลับข้อมูลได้ นอกจากนี้เขายังพบฐานข้อมูลที่มีกุญแจของเครื่องที่ตกเป็นเหยื่อถึง 2,858 เครื่องด้วย
หลังจากที่ได้ข้อมูลดังกล่าว เขาได้แชร์กุญแจสำหรับถอดรหัสลับข้อมูลในเว็บบอร์ดที่ให้คำปรึกษากับผู้ที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ โดยได้รับการยืนยันจากเหยื่อคนอื่นๆ ว่ากุญแจเหล่านี้สามารถใช้งานได้จริง ในเวลาต่อมาบริษัท Emsisoft ได้พัฒนาเครื่องมือสำหรับใช้ถอดรหัสลับกู้คืนข้อมูลได้แล้ว โดยผู้ที่ตกเป็นเหยื่อมัลแวร์เรียกค่าไถ่ Muhstik สามารถดาวน์โหลดได้จาก https://www.emsisoft.com/ransomware-decryption-tools/muhstik
—————————————-
ที่มา : Thaicert / 8 ตุลาคม 2562
Link : https://www.thaicert.or.th/newsbite/2019-10-08-01.html?fbclid=IwAR0APgXxoZVN2iefbJCIKeU9AsKWTfVgrXLKbnI-gp5JXthSCiDafCAJYGc#2019-10-08-01