เจาะลึก WastedLocker Ransomware ใช้วิธีโจมตีอย่างไร

19 กุมภาพันธ์ 2021

วารุณี เอื้อไตรรัตน์
วารุณี เอื้อไตรรัตน์ทีมงาน cyfence ผู้ดูแลด้านบริการด้าน Cyber Security พร้อมดูแลระบบให้มีความปลอดภัยห่างไกลภัยคุกคามไซเบอร์

เมื่อเดือนกรกฎาคม 2020 ที่ผ่านมามีข่าวการถูกสั่งด้วย Ransomware ที่สั่งซื้อใน Cyber ​​Security ซึ่งเป็นเคสของนาฬิกาของ Garmin โดน WastedLocker Ransomware จากคลังข้อมูล Evil Corp โดย Garmin จำเป็นต้องยอมเสีย 300 ล้านบาทเพื่อปลดล็อคและ ได้ข้อมูลกลับมา

*** อ่านข่าวเพิ่มเติมได้ใน Garmin ตรวจสอบจาก WastedLocker ransomware ***

อย่างที่ทราบกันว่าหากถูก Ransomware จะสร้างความรุนแรงทีมงาน NT cyfence ไม่สามารถจัดทำเอกสารเกี่ยวกับ Ransomware ในแต่ละด้านเพื่อให้ผู้อ่านเข้าใจถึงความสำคัญและความพร้อมในการเช่น Ransomware คืออะไร วิธีป้องกันไม่ให้เกิดปัญหาแต่ยังไม่มีบทความใดกล่าวถึงวิธีการสั่งซื้อของ Ransomware ซึ่งหากทุกคนได้รับก็จะทำให้เข้าใจภัยประเภทนี้มากขึ้นและอาจจะป้องกันไม่ได้ทันทีโดยจะนำเสนอเคสตัวอย่าง WastedLocker Ransomware มีวิธีการ เทรนมาฝากกันค่ะ

WastedLocker Ransomware มีวิธีการโจมตีอย่างไร?

โดยส่วนใหญ่การนำ Ransomware เข้าสู่ระบบไอทีมักมาจากผู้ใช้งานดาวน์โหลดไฟล์จากเว็บไซต์อันตรายแต่ กรณีของ WastedLocker Ransomware เกิดจากการดาวน์โหลดไฟล์แนบในอีเมลแปลกปลอม เมื่อผู้ใช้งานกดเข้าไฟล์แนบจะนำไปสู่ Web Browser ปลอมที่ออกแบบให้เหมือนกับเว็บไซต์จริง โดยจะขอให้กรอกข้อมูลเพื่อใช้ในการยืนยันตัวตน ซึ่งหากหลงกลกรอกข้อมูลก็จะถูกแฮกเกอร์เข้าควบคุมทันที (วิธีการนี้เรียกว่า การโจมตีแบบ Javascript-based frameworks หรือเรียกว่า “ SocGholish ” )

เมื่อแฮกเกอร์ได้รับ Access เข้าสู่คอมพิวเตอร์เน็ตเวิร์คขององค์กรแฮกเกอร์จะ Deploy เครื่องมือต่าง ๆ ที่จะใช้ในการขโมย Credential เช่น User หรือ Password ต่าง ๆ  และจะทำการ Privilege Escalation (การยกระดับสิทธิ์ของแฮกเกอร์ให้กลายเป็นระดับ Admin หรือ Root) ก่อนจะย้ายไปเครื่องอื่น ๆ โดยเป้าหมายของการโจมตีคือสามารถเข้าถึงระบบเซิฟเวอร์หรือฐานข้อมูลที่มีมูลค่าสูงขององค์กรนั้น ๆ ก่อนที่จะ Deploy WastedLocker เข้าสู่เครื่องอื่น ๆ ต่อไป จากนั้น WastedLocker จะใช้การผสมกันระหว่าง AES และ RSA Cryptography ในการเข้ารหัสโดยทุกไฟล์จะถูกเข้ารหัสแบบ 256-bit AES key จากนั้นถูกเข้ารหัสอีกครั้งแบบ 4096-bit public RSA ซึ่งจะถูกฝังใน WastedLocker Binary ซึ่งแฮกเกอร์จะถือ Private part ของ RSA key pair เอาไว้เพื่อเป็นการใช้เรียกค่าไถ่จากเหยื่อ

หลังจากดำเนินการเสร็จแล้วแฮกเกอร์จะส่งอีเมลหรือข้อความประกาศว่า “ตนได้เข้ารหัสไฟล์สำคัญแล้ว” โดยสังเกตได้จากไฟล์สำคัญในเครื่องจะถูกเติมชื่อต่อท้ายว่า “Wasted” และไม่สามารถเข้าใช้งานไฟล์นั้นได้จึงเป็นที่มาของ  WastedLocker Ransomware

 

สำหรับองค์กรจะสามารถป้องกันได้อย่างไรบ้าง?

จากข่าวและบทความต่าง ๆ มักจะกล่าวเสมอว่าจุดเริ่มต้นของการถูกโจมตีเกิดจากผู้ใช้งานคลิกดาวน์โหลดไฟล์อันตราย ดังนั้น ทุกองค์กรควรเสริมสร้าง Awareness เกี่ยวกับภัยโจมตีรูปแบบต่าง ๆ ให้แก่พนักงานในองค์กร ควรมีการอบรม อัปเดตข่าวสารเกี่ยวกับ IT security ให้พนักงานอยู่เสมอ เช่น วิธีการป้องกันการโจมตีทางไซเบอร์ในรูปแบบต่าง ๆ  โดยเฉพาะอีเมลที่ไม่ระบุแหล่งที่มา หรือแม้กระทั่งลิงก์บนเว็ปไซต์ที่ไม่น่าเชื่อถือก็เป็นอีกช่องทางหนึ่งในการติด Ransomware ได้  ฯลฯ ยิ่งไปกว่านั้นการวางระบบ Security Infrastructure ก็เป็นอีกหนึ่งองค์ประกอบสำคัญในการป้องกันการโจมตี เช่น การอัปเดตระบบปฏิบัติการ Window หรือ Linux ให้เป็นเวอร์ชันใหม่อยู่เสมอ เพื่อลดการเกิดช่องโหว่รวมถึงการติดตั้ง Antivirus , Firewall , IPS และ IDS เป็นต้น

อย่างไรก็ตาม NT cyfence พร้อม Support แนะนำ ดูแลให้องค์กรของท่านปลอดภัย ห่างไกลจากภัยคุกคามทาง Cyber เรามีทีมงานผู้เชี่ยวชาญที่ให้คำปรึกษา วิเคราะห์ปัญหาได้ตรงจุด สามารถจัดหาอุปกรณ์ได้ในงบที่ลูกค้าพึงพอใจสามารถอ่านข้อมูลเพิ่มเติมที่ได้ที่บริการ  Security System Integration  หรือโทร NT contact center 1888 และติดต่อเราผ่านทาง www.cyfence.com/contact-us

ที่มา: https://www.techrepublic.com/article/experts-devastating-ransomware-attack-on-garmin-highlights-danger-of-haphazard-breach-responses/และhttps://www.csoonline.com/ article / 3574907 / wastedlocker- อธิบาย – วิธีนี้ – กำหนดเป้าหมาย – ransomware-extorts- ล้านจากเหยื่อ. html

บทความที่เกี่ยวข้อง