มัลแวร์ใหม่แบบ 3 in 1 ที่รวม Ransomware, แอบขุดเหมือง และ Botnet

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ผู้ใช้ระบบปฏิบัติการ Window และ Linux ควรระวังมัลแวร์ที่มาในรูปแบบ all-in-one ซึ่งมีคุณลักษณะของมัลแวร์หลายชนิดรวมไว้ด้วยกัน อาทิ Ransomware, การขุดเหมือนดิจิทัล, Botnet และตัวมันเองยังเป็น Worm อีกด้วยโดยพุ่งเป้าโจมตีไปยังระบบปฏิบัติการ Linux และ Windows

มัลแวร์ดังกล่าวมีชื่อว่า XBash ที่ค้นพบโดยทีมนักวิจัยจาก Palo Alto Networks พวกเขากล่าวว่า XBash เป็นมัลแวร์แบบ all-in-one ที่มี Ransomware รวมอยู่ด้วยและมีความสามารถในการทำเหมืองดิจิทัล เช่นเดียวกับ WannaCry หรือ Petya / NotPetya

นอกจากความสามารถในการเผยแพร่ด้วยตัวเองได้แล้ว XBash ยังสามารถแพร่กระจายได้อย่างรวดเร็วผ่านทางเครือข่ายองค์กรได้อีกด้วย

XBash นั้นพัฒนาด้วย Python  ตัวมันสามารถทำการตามหาเว็บไซต์ที่มีช่องโหว่ หรือไม่ได้รับการป้องกัน และทำการลบฐานข้อมูลเช่น MySQL, PostgreSQL และ MongoDB ที่ทำงานบนเซิร์ฟเวอร์ของ Linux ซึ่งเป็นส่วนหนึ่งของความสามารถในการเรียกค่าไถ่ของ Ransomware

XBash ได้รับการออกแบบมาเพื่อสแกนหา IP เป้าหมายทั้งใน TCP และ UDP ports เช่น HTTP, VNC, MySQL / MariaDB, Telnet, FTP, MongoDB, RDP, ElasticSearch, Oracle Database, CouchDB, Rlogin และ PostgreSQL

เมื่อค้นหาพอร์ตที่ถูกเปิดอยู่ มัลแวร์จะทำการค้นหา และใช้การโจมตีแบบ brute force เพื่อค้นหา Username และ Password เพื่อเข้าไปลบข้อมูลใน Database เพื่อทำการเรียกค่าไถ่ 

สิ่งที่น่ากลัวของมัลแวร์ตัวนี้ก็คือ ตัวมัลแวร์เองไม่มีความสามารถในการกู้คืนข้อมูลที่ถูกลบไปแล้ว แม้ว่าเหยื่อจะจ่ายเงินค่าไถ่แล้วก็ตาม

ปัจจุบันมีเหยื่อที่ได้รับผลกระทบจากมัลแวร์ XBash อย่างน้อย 48 คน ซึ่งผู้ที่ได้รับผลกระทบดังกล่าวได้จ่ายเงินค่าไถ่แล้วประมาณ 6,000 เหรียญ และยังไม่พบหลักฐานว่าเมื่อจ่ายเงินค่าไถ่แล้วสามารถกู้คืนข้อมูลได้

การป้องกัน XBash มัลแวร์

  • เปลี่ยน Default Username และ Password ของ Database หรือ ระบบต่าง ๆ ใน Server Production
  • อัปเดตระบบปฏิบัติการ และซอฟต์แวร์ให้เป็นปัจจุบันอยู่เสมอ
  • หลีกเลี่ยงการดาวน์โหลด และไม่ควรเปิดไฟล์เอกสารแนบในอีเมลโดยไม่รู้แหล่งที่มา
  • ทำการสำรองข้อมูลอย่างสม่ำเสมอ
  • ป้องกันการเชื่อมต่อโดยไม่ได้รับอนุญาตจาก Internet โดยใช้ Firewall

ข่าวจาก: https://thehackernews.com/2018/09/ransomware-coinmining-botnet.html

บทความที่เกี่ยวข้อง