แรนซัมแวร์นั้นปัจจุบันได้กลายเป็นที่ยอมรับว่าเป็นภัยทางไซเบอร์ที่กำลังมาแรงแห่งปี มีองค์กรตกเป็นเหยื่อจำนวนมากจนหลายองค์กรทั้งรัฐ และเอกชนได้แสวงหาเครื่องมือป้องกันจนทำให้การที่แรนซัมแวร์จะแทรกซึมแบบเดิมทำได้ยากมากขึ้น แต่แฮ็กเกอร์ก็ไม่ย่อท้อ นำมาสู่วิธีการแทรกซึมเพื่อแพร่แรนซัมแวร์นั้นดูสร้างสรรค์จนเหลือเชื่อ
จากรายงานช่าวโดยเว็บไซต์ Bleeping Computer ได้รายงานถึงการกลับมาของแรนซัมแวร์ Black Basta ซึ่งเคยระบาดอย่างหนักมาตั้งแต่ช่วงปี ค.ศ. 2022 (พ.ศ. 2565) โดยมีกลุ่มแฮ็กเกอร์ Conti อยู่เบื้องหลัง ซึ่งในคราวนั้นได้ทำการโจมตีองค์กรไปมากกว่า 100 องค์กร และได้หายไปหลังจากถูกปราบปรามในช่วงเดือนมิถุนายนปีเดียวกันนั้นเอง นำไปสู่การแตกกระจายเป็นกลุ่มย่อยมากมายหลายกลุ่ม ซึ่งในกลุ่มย่อยที่แตกออกมานั้นเองก็มีกลุ่มที่ใช้ชื่อเดียวกันกับตัวแรนซัมแวร์เอง ทำให้แรนซัมแวร์ตัวดังกล่าวนั้นสามารถกลับมาระบาดเป็นพัก ๆ ได้
นอกจากความสามารถในการแพร่กระจายแรนซัมแวร์ให้ระบาดอยู่เรื่อย ๆ ทั้งในด้านการปล่อยมัลแวร์เอง และการขายแรนซัมแวร์ดังกล่าวให้กับแฮ็กเกอร์กลุ่มอื่น ๆ ในรูปแบบ RaaS หรือ Ransomware-as-a-Service แล้วนั้น ทางกลุ่มแฮ็กเกอร์ก็ยังได้พัฒนาวิธีการหลอกลวงเหยื่อในรูปแบบการปั่นหัวเพื่อบงการให้ทำในสิ่งที่ต้องการ หรือที่เรียกว่าเป็นการทำวิศวกรรมทางสังคม (Social Engieering) ให้มีความก้าวล้ำไปกว่าเดิมเช่นเดียวกัน
อย่างเช่น ในการระบาดรอบล่าสุดในช่วงเดือนพฤษภาคมปีนี้ ทางแฮ็กเกอร์ได้การโจมตีด้วยการเริ่มต้นจากการก่อความเดือดร้อนให้กับพนักงานในบริษัทเป้าหมาย จากการที่ส่งอีเมลที่ดูไม่เป็นพิษเป็นภัย เช่น อีเมลขอให้พนักงานทำการลงทะเบียน (Subscribe) เพื่อติดตามข่าวสาร และ อีเมลที่เตือนให้พนักงานทำการยืนยันอีเมลของตนเพื่อกิจกรรมบางอย่างที่เกี่ยวข้องกับผู้ส่ง ซึ่งด้วยปริมาณจะทำให้พนักงานเกิดความกังวลใจ ลนลาน โดยขั้นตอนหลังจากนั้นคือ แฮ็กเกอร์จะรีบเข้ามาทำการเสนอตัวผ่านการโทรหาพนักงานโดยแอบอ้างว่าเป็นฝ่ายสนับสนุนของ IT (IT Helpdesk) ของทางภายในบริษัท ที่จะเข้ามาช่วยพนักงานแก้ปัญหาเรื่อง Spam แล้วจะขอให้พนักงานมอบสิทธิ์ให้ทางแฮ็กเกอร์สามารถเข้าควบคุมเครื่องจากระยะไกล อย่างเช่นการมอบสิทธิ์ผ่านทาง Windows Quick Assist หรือ การพยายามให้พนักงานทำการดาวน์โหนดเครื่องมือ AnyDesk ซึ่งเป็นเครื่องมือสำหรับเข้าควบคุมเครื่องจากระยะไกลที่เป็นที่นิยมในวงการ IT โดยถ้าเหยื่อหลงเชื่อ แฮ็กเกอร์ก็จะใช้โอกาสนี้ในการเข้ารันสคริปท์เพื่อวางเครื่องมือนานาชนิด ให้แฮ็กเกอร์สามารถเข้าถึงเครื่องจากระยะไกลได้ตลอดเวลา เช่น ScreenConnect, NetSupport Manager, และ Cobalt Strike เป็นต้น โดยแฮ็กเกอร์จะใช้เครื่องของเหยื่อเพื่อเข้าสู่ระบบเครือข่ายขององค์กรเพื่อทำการฝังแรนซัมแวร์ Black Basta ในท้ายที่สุด
และสำหรับการระบาดครั้งปัจจุบัน ทางทีมวิจัยจาก ReliaQuest ก็ได้ออกมาเปิดเผยว่า แฮ็กเกอร์ได้ก้าวไปอีกขั้นโดยการย้ายขึ้นมาใช้งาน Microsoft Teams ซึ่งเป็นเครื่องมือสำหรับการประชุมทางไกล โดยแฮ็กเกอร์จะใช้วิธีการโจมตีในรูปแบบอีเมลสแปมตามที่ได้กล่าวมา แต่ในขั้นตอนที่ติดต่อพนักงาน จะเปลี่ยนจากการโทรมาเป็นการติดต่อผ่านทาง Microsoft Teams ในฐานะผู้ใช้งานภายนอก แต่อ้างตนเป็นเจ้าหน้าที่ IT ที่จะเข้ามาช่วยแก้ปัญหาดังกล่าว ซึ่งบัญชีปลอมที่แฮ็กเกอร์ใช้งานนั้นจะมีชื่อในรูปแบบดังนี้
securityadminhelper.onmicrosoft[.]com
supportserviceadmin.onmicrosoft[.]com
supportadministrator.onmicrosoft[.]com
cybersecurityadmin.onmicrosoft[.]com
นอกจากนั้นทางทีมวิจัยยังเปิดเผยว่า แฮกเกอร์ยังมีการตั้งค่าข้อมูลส่วนตัวและชื่อที่ปรากฎให้ผู้ใช้งานได้เห็น (Display Name) ให้มีความแนบเนียน เพื่อล่อลวงให้เชื่อว่าผู้ที่ติดต่อเข้ามานั้นเป็นทีม IT Support ตัวจริง นำไปสู่การเปิดทางให้แฮกเกอร์เข้าติดตั้งเครื่องมือเข้าถึงจากระยะไกล เพื่อเข้าแฮกเครือข่ายบริษัทเพื่อปล่อยมัลแวร์ในท้ายที่สุด ซึ่งเครื่องมือที่แฮกเกอร์ทำการติดตั้งนั้นต่างเป็นมัลแวร์ทั้งสิ้น แต่มีการปลอมแปลงชื่อให้เปรียบเสมือนว่าจะเป็นเครื่องมือที่เข้ามาช่วยแก้ปัญหาให้กับพนักงานที่ตกเป็นเหยื่อ เช่น “AntispamAccount.exe,” “AntispamUpdate.exe,” และ “AntispamConnectUS.exe”
ไม่เพียงเท่านั้น ทาง ReliaQuest ยังได้แจ้งเตือนว่า แฮกเกอร์กลุ่มเดียวกันนั้นยังมีการส่ง QR Code หลอกให้เหยื่อทำการสแกน โดยปลายทางของ QR Code นั้นจะเป็นเว็บไซต์ที่มีชื่อว่า qr-s1[.]com โดยในปัจจุบันทางทีมวิจัยยังตรวจไม่พบว่า การให้สแกนเพื่อที่จะเข้าเว็บไซต์ดังกล่าวนั้นมีสุดประสงค์อะไร และมีการซ่อนภัยอะไรไว้บน QR Code และเว็บไซต์ดังกล่าวอีกบ้าง ซึ่งจากข่าวที่ทางทีมงานได้ลงมาข้างต้นผู้ใช้งานจะต้องมีความระมัดระวัง และระแวงอย่างสูง รวมทั้งให้มีความสงสัยไว้ก่อนถ้ามีผู้ที่ติดต่อมา และมีการอ้างตัวเพื่อช่วยเหลืออย่างผิดสังเกต เพื่อความปลอดภัยทั้งในระดับส่วนตัว และในระดับองค์กร
———————————————————————————————————————————————————————————
ที่มา : Thaiware / วันที่เผยแพร่ 1 พ.ย.67
Link : https://news.thaiware.com/21431.html