ไทยเซิร์ตได้รับรายงานการแพร่ระบาดของมัลแวร์เรียกค่าไถ่สายพันธุ์ Maze (หรือ ChaCha) ซึ่งเป็นมัลแวร์ที่มีการโจมตีมาตั้งแต่ช่วงเดือนพฤษภาคม 2562 กลุ่มหน่วยงานที่ตกเป็นเป้าหมาย เช่น ภาคธุรกิจ การผลิต หรือด้านพลังงาน ตัวมัลแวร์แพร่กระจายโดยอาศัยคนสั่งการ (human-operated ransomware) ทำให้ลักษณะการโจมตีนั้นจะใกล้เคียงกับการโจมตีแบบเจาะจงเป้าหมาย (targeted attack) แนวทางการโจมตีแบบสังเขปเป็นดังนี้
- ผู้ประสงค์ร้ายเจาะช่องโหว่ของระบบเป้าหมาย (เช่น brute force รหัสผ่านของบริการ remote desktop หรือโจมตีผ่านช่องโหว่ของบริการ VPN) หรือโจมตีด้วยการหลอกผู้ใช้ในองค์กร (เช่น ส่งอีเมลฟิชชิ่งหรือแนบไฟล์มัลแวร์) เพื่อเข้ามายังเครือข่ายภายใน
- เมื่อสามารถเข้าถึงเครือข่ายภายในได้แล้ว จะสำรวจและรวบรวมข้อมูลอยู่เป็นระยะเวลาหนึ่ง โดยอาจมีการเชื่อมต่อไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่าย (lateral movement) หรือสร้างช่องทางลับ (backdoor) สำหรับเชื่อมต่อเข้ามาอีกในภายหลัง
- อาจมีการรวบรวมข้อมูลบัญชีผู้ใช้ หรือขโมยรหัสผ่านของผู้ดูแลระบบ Active Directory ด้วย เพื่อให้ได้สิทธิ์การทำงานในระดับที่สูงขึ้น
- ขั้นตอนสุดท้ายของการโจมตีคือสั่งติดตั้งมัลแวร์เรียกค่าไถ่ ทั้งนี้ผู้โจมตีอาจเข้ามาอยู่ในระบบนานหลายสัปดาห์หรืออาจเป็นเดือนก่อนที่จะลงมือ
นอกจากนี้ มีรายงานว่าผู้ประสงค์ร้ายอาจขโมยไฟล์ข้อมูลสำคัญขององค์กรที่ตกเป็นเหยื่อออกไปด้วย จุดประสงค์เพื่อข่มขู่ว่าหากเหยื่อไม่ยอมจ่ายเงินค่าไถ่จะเผยแพร่ข้อมูลลับนั้นออกสู่สาธารณะ (ข่าวเก่า https://www.thaicert.or.th/newsbite/2020-05-18-01.html)
มัลแวร์เรียกค่าไถ่ Maze และมัลแวร์อื่นที่แพร่กระจายโดยอาศัยคนสั่งการนั้นมีรายงานการโจมตีเพิ่มมากขึ้นในช่วงครึ่งแรกของปี 2563 โดยทาง Microsoft ได้วิเคราะห์รูปแบบการโจมตีและแนวทางการป้องกันไว้ ซึ่งผู้ที่สนใจสามารถศึกษาเพิ่มเติมได้จากบทความที่ทางไทยเซิร์ตได้สรุปและเรียบเรียงไว้ก่อนหน้านี้ (https://www.thaicert.or.th/newsbite/2020-05-01-01.html)
เนื่องจากระบบที่ถูกโจมตีโดยมัลแวร์เรียกค่าไถ่ Maze นั้นอาจมีข้อมูลรั่วไหลหรือถูกฝังช่องทางลับไว้ด้วย ดังนั้นการกู้คืนระบบจากข้อมูลสำรองนั้นอาจไม่เพียงพอเพราะผู้โจมตีอาจกลับเข้ามาสั่งติดตั้งมัลแวร์ซ้ำอีกครั้งได้ผ่านช่องทางลับที่ถูกสร้างไว้ก่อนหน้า
ข้อแนะนำในการตรวจสอบและเฝ้าระวังเมื่อต้องกู้คืนระบบหลังถูกโจมตี
- ตรวจสอบช่องทางหรือบริการต่าง ๆ ที่เปิดให้สามารถเข้าถึงได้จากระยะไกล เช่น บริการ remote desktop หรือ VPN โดยควรอัปเดตแพตช์และเฝ้าระวังการเชื่อมต่อที่ผิดปกติอย่างสม่ำเสมอ (เช่น การล็อกอินผิดพลาดเกิดจำนวนที่กำหนด)
- ตรวจสอบการล็อกอินที่ผิดปกติหรือมีพฤติกรรมที่น่าสงสัย เช่น ล็อกอินนอกเวลางาน หรือล็อกอินจากต่างประเทศ (หากผู้ใช้ไม่ได้เดินทางไปต่างประเทศ) ซึ่งเหตุการณ์เหล่านี้อาจเกิดจากผู้ประสงค์ร้ายสามารถเข้าควบคุมบัญชีได้
- ตรวจสอบรายชื่อบัญชีผู้ใช้ที่น่าสงสัย ซึ่งผู้ประสงค์ร้ายอาจสร้างบัญชีดังกล่าวไว้เพื่อเชื่อมต่อกลับเข้ามาในภายหลัง
- ตรวจสอบประวัติการเรียกโพรเซส หรือประวัติการเรียกใช้งานสคริปต์ (เช่น PowerShell) หากมีการเก็บล็อกเหล่านี้ไว้
- ตรวจสอบประวัติการเชื่อมต่อกับเครื่องควบคุมและสั่งการมัลแวร์ (command & control) หรือการส่งข้อมูลออกไปยังเครือข่ายภายนอกในลักษณะที่ผิดปกติ ซึ่งอาจเป็นไปได้ว่าเป็นการส่งข้อมูลที่ขโมยออกไป โดยอาจตรวจสอบได้จากล็อกของ firewall
- หากเป็นไปได้ควรเปลี่ยนรหัสผ่านของบัญชีผู้ใช้ทั้งหมดด้วย เพราะผู้ประสงค์ร้ายอาจได้ข้อมูลรหัสผ่านไปก่อนหน้านี้แล้ว
- หลังจากที่ได้ตรวจสอบ กำจัดมัลแวร์ หรือติดตั้งระบบใหม่แล้ว ควรเฝ้าระวังการโจมตีอย่างสม่ำเสมอเพราะผู้ประสงค์ร้ายอาจใช้ช่องทางที่ยังหลงเหลืออยู่เชื่อมต่อเข้ามาโจมตีอีกได้
ทั้งนี้ ผู้ดูแลระบบสามารถใช้ข้อมูล IoC (Indicator of Compromise) จากบทความของ McAfee และ FireEye เพื่อตรวจสอบการเชื่อมต่อที่ผิดปกติและค่าแฮชของไฟล์มัลแวร์ที่เกี่ยวข้อง
————————————————-
ที่มา : ThaiCERT / 15 มิถุนายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-06-15-02.html