บอทที่ติดเชื้อนั้นกระจุกตัวอยู่มากในทวีปเอเชีย โดยเฉพาะ ญี่ปุ่น อินเดีย อินโดนีเซีย และไทย
สำหรับการค้นหาบอทเน็ตในองค์กรหรือในระบบเครือข่ายที่ผู้อ่านได้ใช้งานอยู่ในปัจจุบันนั้น สามารถทำได้ยากมากขึ้น เพราะบอทเน็ต แฝงตัวอยู่ในหลายรูปแบบ ทั้งในระบบ application หรือ การโจมตีผ่านช่องโหว่ต่างๆ ภายในระบบ
ทำให้องค์กรจำเป็นต้องมีเครื่องมือหลายประเภทเพื่อทำการค้นหา อาทิ Network Detection and Response (NDR), Endpoint Detection and Response (EDR) ซึ่งอุปกรณ์เหล่านี้สามารถช่วยค้นหาว่าในเครือข่ายขององค์กรมีบอทเน็ตทำงานอยู่หรือไม่
บอทเน็ตอย่าง “Emotet” ได้กลับมาอีกครั้งในเดือน พ.ย. 2564 หลังจากหายไปนานกว่า 10 เดือน การกลับมาครั้งนี้ได้ส่งสัญญาณแสดงการเติบโตที่แข็งแกร่งอย่างต่อเนื่องอีกครั้ง โดยขณะนี้มีการรวบรวมโฮสต์ที่ติดเชื้อแล้วกว่า 100,000 โฮสต์
นักวิจัยจาก Black Lotus Labs ของ Lumen กล่าวว่า “ในขณะนี้ มัลแวร์ Emotet ยังมีความสามารถไม่ถึงระดับเดียวกับที่เคยมีมาก่อนหน้านี้ แต่บอทเน็ตกำลังกลับมาฟื้นตัวอย่างแข็งแกร่ง” โดยมีบอทที่ไม่ซ้ำกันประมาณ 130,000 ตัวกระจายอยู่ใน 179 ประเทศตั้งแต่เดือนพ.ย.2564
มัลแวร์ Emotet ได้ถูกจัดการถูกกำจัดไปในช่วงปลายเดือน ม.ค.ปีที่ผ่านมา ซึ่งเป็นส่วนหนึ่งของปฏิบัติการบังคับการใช้กฎหมายที่ชื่อว่า “Ladybird” โดยมัลแวร์ Emotet ได้แพร่ระบาดไปยังอุปกรณ์ไม่น้อยกว่า 1.6 ล้านเครื่องทั่วโลก
มัลแวร์จะเข้าจู่โจมระบบคอมพิวเตอร์ของคุณ ในรูปแบบของโทรจานทางการเงิน โดยการขโมยรหัสผ่านบัญชีธนาคารออนไลน์ เพื่อนำไปทำการโจรกรรม
ข้อมูลพบว่า มัลแวร์กลับมาปรากฏตัวอีกครั้งอย่างเป็นทางการในเดือน พ.ย. 2564 โดยใช้ TrickBot เป็นตัวนำระบบอินฟราสตรักเจอร์ของ Emotet เข้าโจมตีเมื่อปลายเดือนที่แล้ว หลังจากที่สมาชิกหลักหลายคนของกลุ่ม Emotet ได้ร่วมมือกับแรนซัมแวร์อย่าง Conti
การฟื้นคืนชีพของมัลแวร์ Emotet ได้รับการกล่าวขานกันว่า กลุ่ม Conti เป็นผู้ที่เข้ามาจัดการ โดยความพยายามที่จะเปลี่ยนกลยุทธ์เพื่อตอบสนองต่อการตรวจสอบการบังคับใช้กฎหมายที่เพิ่มขึ้นในการกระจายมัลแวร์ของ TrickBot
Black Lotus Labs ตั้งข้อสังเกตว่า “การรวมบอทไม่ได้เริ่มต้นอย่างจริงจังจนถึงเดือน ม.ค.2565” การเพิ่มตัวแปรใหม่ของ Emotet ได้เปลี่ยนรูปแบบการเข้ารหัส RSA ในรูปแบบของ ECC เพื่อเข้ารหัสการรับส่งข้อมูลเครือข่าย
ความสามารถใหม่ที่เพิ่มเข้ามาของ Emotet อีกอย่างหนึ่งคือ การรวบรวมข้อมูลของระบบเพิ่มเติมนอกเหนือจากรายการกระบวนการทำงานจากเครื่องที่ถูกบุกรุก
ยิ่งไปกว่านั้น ระบบอินฟราสตรักเจอร์ของ Emotet ยังครอบคลุมเซิร์ฟเวอร์สั่งการและควบคุม (C2) เกือบ 200 เซิร์ฟเวอร์ โดยโดเมนส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา เยอรมนี ฝรั่งเศส บราซิล ไทย สิงคโปร์ อินโดนีเซีย แคนาดา สหราชอาณาจักร และ อินเดีย
ในทางกลับกัน บอทที่ติดเชื้อนั้นกระจุกตัวอยู่มากในทวีปเอเชีย โดยเฉพาะ ญี่ปุ่น อินเดีย อินโดนีเซีย และไทย ตามมาด้วยแอฟริกาใต้ เม็กซิโก สหรัฐอเมริกา จีน บราซิล และอิตาลี “ไม่น่าแปลกใจเลยว่าบอทเหล่านี้มีความเหนือชั้นกว่าที่โฮสต์ Windows มีความล้าสมัยในภูมิภาคเหล่านี้” นักวิจัยกล่าว
Black Lotus Labs บอกด้วยว่า การเติบโตและการกระจายของบอทเป็นตัวบ่งชี้ที่สำคัญของการพัฒนา Emotet ในการฟื้นฟูระบบ อินฟราสตรักเจอร์ที่ได้เคยขยายใหญ่ โดยบอทแต่ละตัวมีศักยภาพในเครือข่ายที่บอทครอบครองอยู่และได้นำเสนอการปรับใช้ Cobalt Strike หรือในที่สุดแล้วได้เป็น Bot C2
ที่มา : กรุงเทพธุรกิจ / วันที่เผยแพร่ 23 มี.ค.65
Link : https://www.bangkokbiznews.com/blogs/columnist/995220
