ข้ามไปที่เนื้อหาหลัก
ข่าวกรองย่อย

วิวัฒนาการของแรนซัมแวร์

การโจมตีเปลี่ยนโฟกัสจากการเข้ารหัสไฟล์เป็นการขโมยข้อมูลเพื่อกรรโชก

โดย Rodman Ramezanian - Global Cloud Threat Lead

30 มิถุนายน 2566 อ่าน 7 นาที

คําแนะนําล่าสุดที่เผยแพร่ร่วมกันโดย Federal Bureau of Investigation (FBI), Cybersecurity and Infrastructure Security Agency (CISA) และ Australian Cyber Security Centre (ACSC) ให้รายละเอียดเกี่ยวกับภัยคุกคามที่เพิ่มขึ้นที่เกิดจากแรนซัมแวร์ BianLian และกลุ่มกรรโชก ด้วยกลุ่มอาชญากรไซเบอร์ที่เปิดใช้งานตั้งแต่เดือนมิถุนายน 2022 ดูเหมือนว่าการเข้ารหัสไฟล์เหยื่อแบบเดิมสําหรับการจ่ายเงินแรนซัมแวร์ได้เปลี่ยนไปเป็นการขโมยข้อมูลที่ถูกบุกรุกเพื่อวัตถุประสงค์ในการแบล็กเมล์และการกรรโชก

โดยทั่วไปแล้วจะเข้าถึงผ่านข้อมูลประจําตัว Remote Desktop Protocol (RDP) ที่ถูกต้องแคมเปญแรนซัมแวร์ของ BianLian ได้กําหนดเป้าหมายไปยังองค์กรที่มีชื่อเสียงในด้านการศึกษาการดูแลสุขภาพโครงสร้างพื้นฐานที่สําคัญการธนาคารบริการทางการเงินและการประกันภัยสื่อและความบันเทิงการผลิตและแนวดิ่งอื่น ๆ

ตามคําแนะนํา "กลุ่ม BianLian ใช้เทคนิคเพิ่มเติมเพื่อกดดันให้เหยื่อจ่ายค่าไถ่ ตัวอย่างเช่น การพิมพ์บันทึกค่าไถ่ไปยังเครื่องพิมพ์บนเครือข่ายที่ถูกบุกรุก พนักงานของบริษัทที่ตกเป็นเหยื่อยังรายงานว่าได้รับโทรศัพท์ข่มขู่จากบุคคลที่เกี่ยวข้องกับกลุ่ม BianLian"

รูป 1 BianLian ตัวอย่างบันทึกค่าไถ่

ท่ามกลางข้อควรระวังและคําแนะนํามากมายที่นําเสนอโดยหน่วยงานข่าวกรองที่เกี่ยวข้องคําแนะนําสรุปความสําคัญขององค์กร จํากัด การใช้ RDP และบริการเดสก์ท็อประยะไกลอื่น ๆ อย่างเคร่งครัด ... " เพื่อลดพื้นผิวการโจมตีและปฏิเสธโอกาสในการเคลื่อนไหวด้านข้างโดยไม่ได้รับอนุญาต นี่เป็นสิ่งสําคัญอย่างยิ่งเนื่องจากกลุ่ม BianLian ซึ่งแตกต่างจากกลุ่มแรนซัมแวร์อื่น ๆ ส่วนใหญ่อาศัยการใช้ประโยชน์จากเครื่องมือการเข้าถึงระยะไกลเป็นหลักแทนที่จะเป็นกลยุทธ์เทคนิคและขั้นตอน (TTP) ดั้งเดิมที่ขึ้นอยู่กับอีเมลฟิชชิ่งที่ไม่พึงประสงค์เท่านั้น

การทําซ้ําล่าสุดของสายพันธุ์แรนซัมแวร์ของ BianLian "ใช้ File Transfer Protocol และ Rclone ซึ่งเป็นเครื่องมือที่ใช้ในการซิงค์ไฟล์กับที่เก็บข้อมูลบนคลาวด์เพื่อกรองข้อมูล FBI สังเกตว่านักแสดงกลุ่ม BianLian ติดตั้ง Rclone และไฟล์อื่นๆ ในโฟลเดอร์ทั่วไปและโดยทั่วไปไม่ได้เลือก ACSC ตั้งข้อสังเกตว่านักแสดงกลุ่ม BianLian ใช้บริการแชร์ไฟล์ Mega เพื่อกรองข้อมูลเหยื่อ"

ทําไมเหตุการณ์เหล่านี้จึงเกิดขึ้น?

ทุกวันนี้แรนซัมแวร์ในฐานะเวกเตอร์ภัยคุกคามของตัวเองจะไม่ถือว่าเป็น "นวนิยาย" อย่างแน่นอน เมื่อมีข้อมูล จะมีการเปิดช่องให้ผู้คุกคามจับข้อมูลที่ละเอียดอ่อนนี้เป็นตัวประกันและเรียกร้องให้จ่ายเงินสําหรับการปล่อยตัว แนวคิดนี้เกิดขึ้นในช่วงแรก ๆ ของการติดมัลแวร์เมื่อสายพันธุ์ "ไวรัสเอดส์" เข้ามาในที่เกิดเหตุโดยเป็นหนึ่งในตัวอย่างแรกของแรนซัมแวร์

วิธีการขู่กรรโชกและการโจรกรรมข้อมูลยังคงได้รับความนิยมเพิ่มขึ้นในกลุ่มแรนซัมแวร์ เนื่องจากองค์กรที่ตกเป็นเหยื่อมีจุดยืนที่เข้มงวดมากขึ้นในการยอมจํานนต่อความต้องการการชําระเงินด้วยแรนซัมแวร์แบบดั้งเดิม ด้วย "modus operandi" ที่ปรับปรุงใหม่นี้ผู้คุกคามจะได้รับการเข้าถึงครั้งแรกย้ายด้านข้างทั่วทั้งเครือข่ายของเหยื่อค้นหาข้อมูลที่ละเอียดอ่อน / มีค่าสําหรับการขโมยในภายหลังปรับใช้เพย์โหลดแรนซัมแวร์และในที่สุดก็ออกความต้องการของพวกเขา จากจุดนั้นหากองค์กรที่ตกเป็นเหยื่อไม่จ่ายค่าไถ่เบื้องต้นผู้คุกคามจะขู่ว่าจะรั่วไหลข้อมูลที่ถูกขโมยทางออนไลน์

น่าเสียดายที่รูปแบบการกรรโชกสองครั้งที่ได้รับการปรับปรุงใหม่นี้กําลังได้รับแรงฉุดที่แข็งแกร่งขึ้นในหมู่อาชญากรไซเบอร์และแคมเปญภัยคุกคามของพวกเขาซึ่งพวกเขาต้องการการชําระเงินแยกต่างหากสําหรับการถอดรหัสระบบที่ได้รับผลกระทบและไม่รั่วไหลข้อมูลที่ถูกขโมยของเหยื่อ

สิ่งที่สามารถทําได้?

แนวทางการรักษาความปลอดภัยพื้นฐานและการรับรองความถูกต้องโดยใช้หลายปัจจัยควรเปิดใช้งานและใช้งานทุกที่ที่ทําได้ สิ่งนี้ถูกเรียกโดยเฉพาะในคําแนะนําดังกล่าวว่าเป็น "การตรวจสอบสิทธิ์แบบหลายปัจจัยที่ป้องกันฟิชชิ่ง" BianLian เป็นอีกตัวอย่างหนึ่งของการได้รับและใช้ข้อมูลประจําตัวแบบคงที่และถูกต้องเพื่ออํานวยความสะดวกในการเข้าถึงโครงสร้างพื้นฐานของเหยื่อมากขึ้น

แรนซัมแวร์ตามชื่อที่แนะนํา มุ่งเน้นไปที่การจับข้อมูลขององค์กรเหยื่อเป็นตัวประกันเพื่อเรียกค่าไถ่ (ไม่มีคะแนนสําหรับการเดาอันนั้น) อย่างไร ตามเนื้อผ้าสิ่งนี้ทําได้โดยการเข้ารหัสไฟล์ของเหยื่อ หากไฟล์ขององค์กรของคุณถูกจับเป็นตัวประกันโดยใช้อัลกอริธึมการเข้ารหัสของกลุ่มภัยคุกคามทีมงานของ Avast ได้พัฒนาเครื่องมือถอดรหัสเฉพาะของ BianLian เพื่อช่วยให้เหยื่อดึงข้อมูลที่เข้ารหัสได้ฟรีและหลีกเลี่ยงการจ่ายค่าไถ่ให้กับผู้โจมตี

นอกจากนี้ องค์กรต่างๆ ได้รับการสนับสนุนอย่างยิ่งให้ใช้ประโยชน์จาก Indicators of Compromise (IOC) ที่เป็นที่รู้จักในแพลตฟอร์มที่เหมาะสมเพื่อตรวจจับ แก้ไข และป้องกันการติดเชื้อ BianLian

ตามที่หน่วยงานข่าวกรองที่เกี่ยวข้องชี้ให้เห็นในคําแนะนําของพวกเขาการลดพื้นผิวการโจมตีเป็นเทคนิคการลดความเสี่ยงที่สําคัญที่ต้องพิจารณาโดยเฉพาะอย่างยิ่งเมื่อการเคลื่อนไหวด้านข้างดูเหมือนจะเป็น TTP ทั่วไปที่นี่ การจํากัด RDP และบริการเดสก์ท็อประยะไกลอย่างเคร่งครัดเป็นคําแนะนําทั่วไปที่มีให้สําหรับภัยคุกคามล่าสุด เช่น Lapsus$ และ Venus และเป็นสิ่งที่ BianLian ควรให้ความสําคัญอย่างเท่าเทียมกัน

เป็นที่เข้าใจกันว่าองค์กรในปัจจุบันพึ่งพาบริการและความสามารถในการเข้าถึงระยะไกลเป็นอย่างมากเพื่อให้พนักงานของพวกเขาทํางานและทํางานร่วมกันในสภาพแวดล้อมแบบกระจาย ด้วยเหตุนี้ การใช้วิธีการที่หนักหน่วงโดยเพียงแค่ "เลิกใช้" ด้วยเครื่องมือ RDP ที่มีอยู่อาจไม่สามารถทําได้ องค์กรควรหาวิธีลดความเสี่ยงพื้นฐานที่เกี่ยวข้องกับการใช้เดสก์ท็อประยะไกลและการแสวงหาประโยชน์ในทุกที่ที่ทําได้

เป็นตัวอย่างที่สอดคล้องกับหลักการของ Zero Trust Network Access (ZTNA) สามารถช่วยอย่างมากในการลดพื้นผิวการโจมตี ซึ่งหมายความว่าการเข้าถึงทรัพยากรใดๆ จะถูกปฏิเสธโดยค่าเริ่มต้น ผู้ใช้และอุปกรณ์ทุกเครื่อง ไม่ว่าจะภายในหรือระยะไกล จะถือว่าไม่ปลอดภัยและมีความเสี่ยง และต้องยืนยันตัวตนและท่าทางการรักษาความปลอดภัยก่อนที่จะให้สิทธิ์การเข้าถึงทรัพยากรส่วนตัวที่ละเอียดอ่อน รวมถึงบริการเชื่อมต่อ RDP

ZTNA ช่วยให้องค์กรสามารถสร้างขอบเขตที่กําหนดโดยซอฟต์แวร์และแบ่งเครือข่ายองค์กรออกเป็นหลายส่วนย่อย ด้วยการอนุญาตให้เข้าถึงแอปพลิเคชันและทรัพยากรภายในเฉพาะ "สิทธิ์น้อยที่สุด" เท่านั้น ไม่ใช่เครือข่ายพื้นฐานทั้งหมดสําหรับผู้ใช้ที่มีคีย์เข้าสู่ระบบที่ถูกต้อง พื้นผิวการโจมตีจะลดลงอย่างมาก ซึ่งจะช่วยป้องกันการเคลื่อนย้ายภัยคุกคามจากบัญชีหรืออุปกรณ์ที่ถูกบุกรุกด้านข้าง

อ้าง อิง:

ใช้ Skyhigh Security?

ร็อดแมน ราเมซาเนียน

เกี่ยวกับผู้เขียน

ร็อดแมน ราเมซาเนียน

ผู้นําภัยคุกคามระบบคลาวด์ระดับโลก

ด้วยประสบการณ์ในอุตสาหกรรมความปลอดภัยทางไซเบอร์ที่ยาวนานกว่า 11 ปี Rodman Ramezanian เป็นที่ปรึกษาด้านความปลอดภัยบนคลาวด์ระดับองค์กร ซึ่งรับผิดชอบด้านการให้คําปรึกษาด้านเทคนิค Skyhigh Security. ในบทบาทนี้ Rodman มุ่งเน้นไปที่รัฐบาลกลางออสเตรเลียกลาโหมและองค์กรองค์กรเป็นหลัก

Rodman เชี่ยวชาญในด้าน Adversarial Threat Intelligence, Cyber Crime, Data Protection และ Cloud Security เขาเป็นผู้ประเมิน IRAP ที่ได้รับการรับรองจาก Australian Signals Directorate (ASD) ซึ่งปัจจุบันถือใบรับรอง CISSP, CCSP, CISA, CDPSE, Microsoft Azure และ MITRE ATT&CK CTI

ตรงไปตรงมา Rodman มีความหลงใหลอย่างแรงกล้าในการอธิบายเรื่องที่ซับซ้อนในแง่ง่ายๆ ช่วยให้คนทั่วไปและผู้เชี่ยวชาญด้านความปลอดภัยรายใหม่เข้าใจว่าอะไร ทําไม และอย่างไรของการรักษาความปลอดภัยทางไซเบอร์

ไฮไลท์การโจมตี

  • ผู้คุกคาม BianLian สามารถเข้าถึงเครือข่ายเหยื่อในขั้นต้นโดยใช้ประโยชน์จากข้อมูลประจําตัว Remote Desktop Protocol (RDP) ที่ถูกต้องและถูกบุกรุกซึ่งได้มาจากโบรกเกอร์การเข้าถึงเริ่มต้นภายนอกหรือผ่านเทคนิคฟิชชิ่ง
  • หลังจากการแสวงหาประโยชน์ที่ประสบความสําเร็จผู้ปฏิบัติงานจะเตรียมพร้อมสําหรับการดําเนินการคําสั่งระบบจากระยะไกลโดยการปรับใช้สคริปต์เว็บเชลล์ที่เป็นอันตรายบนระบบที่ติดไวรัส
  • นักแสดงกลุ่ม BianLian ปลูกฝังแบ็คดอร์แบบกําหนดเองเฉพาะสําหรับเหยื่อแต่ละราย และติดตั้งซอฟต์แวร์การจัดการและการเข้าถึงระยะไกล เช่น TeamViewer, Atera Agent, SplashTop, AnyDesk เพื่อการคงอยู่และคําสั่งและการควบคุม
  • จากนั้นผู้คุกคามจะใช้บัญชีที่ถูกต้องสําหรับการเคลื่อนไหวด้านข้างผ่านเครือข่ายและเพื่อติดตามกิจกรรมอื่น ๆ
  • กลุ่มนี้ใช้การรวมกันของ File Transfer Protocol (FTP) และ Rclone ซึ่งเป็นเครื่องมือซิงโครไนซ์ไฟล์ที่มุ่งเป้าไปที่โครงสร้างพื้นฐานที่เก็บข้อมูลบนคลาวด์