Malware Ransomware

ซีรีย์ของการโจมตีไซเบอร์ในประเทศยูเครน

รวมการโจมตีไซเบอร์ที่เกิดขึ้นในประเทศยูเครน และที่รั่วออกมาจากยูเครน

การโจมตีไซเบอร์ครั้งล่าสุดที่เกิดขึ้นกับประเทศยูเครนคือ โปรแกรมเรียกค่าไถ่ Petya หรือในชื่อที่ ESET ตรวจจับได้คือ Win32/Diskcoder.C ที่มีความสามารถคล้ายกับโปรแกรมเรียกค่าไถ่ WannaCry และที่สำคัญคือใช้ช่องโหว่ SMBv1 เป็นช่องทางแพร่กระจายเหมือนกันด้วย

1-768x345

TeleBots

ในปี 2016 กลุ่มของแฮกเกอร์ที่ ESET เรียกว่า TeleBots ที่มีเป้าหมายการโจมตีเป็นสถาบันการเงิน และระบบปฏิบัติการ Linux อย่างมัลแวร์ KillDisk กลุ่มแฮกเกอร์ TeleBots โจมตีระบบคอมพิวเตอร์หลายแห่งในประเทศยูเครน รวมถึงพัวพันกับ BlackEnergy หรือสาเหตุไฟดับครั้งใหญ่ในยูเครนอีกด้วย

ในทุกการโจมตีของ TeleBots แฮกเกอร์จะใช้มัลแวร์ KillDisk ในการเขียนไฟล์ทับข้อมูลเดิมในฮาร์ดดิสก์ แต่สำหรับ TeleBots เงินไม่ใช่สิ่งที่พวกเขาต้องการมาตั้งแต่แรกแล้ว เพราะฉะนั้นพวกเขาจึงไม่ให้ข้อมูลติดต่อกลับใดๆเลย นอกจากทิ้งรูปจากทีวีโชว์ Mr. Robot ไว้เท่านั้น

2-768x576

ในการโจมตีครั้งถัดมาผู้อยู่เบื้องหลังมัลแวร์ KillDisk เพิ่มข้อมูลติดต่อลงไปในมัลแวร์ แต่จุดที่ผิดสังเกตก็คือจำนวนเงินค่าไถ่ที่พวกเขาเรียก จำนวนเงิน Bitcoin ที่พวกเขาเรียกอยู่ที่ 222 BTC หรือประมาณ 250,000 เหรียญสหรัฐฯ ซึ่งเกินกว่าที่คนทั่วไปหรือธุรกิจจะรับไหว

3-768x174

ในปี 2017 ทาง TeleBots ยังคงโจมตีอย่างต่อเนื่อง และมีการโจมตีที่ซับซ้อนมากขึ้น ในช่องไตรมาสแรกของปี 2017 แฮกเกอร์ของ TeleBots ได้เจาะระบบซอฟต์แวร์ในองค์กรของยูเครน และใช้ VPN จากตรงนั้นเข้าถึงเครือข่ายภายในของหลายสถาบันการเงิน

Win32/Filecoder.AESNI.C

วันที่ 18 พฤษภาคม 2017 ทาง ESET สังเกตเห็นกิจกรรมของโปรแกรมเรียกค่าไถ่ Win32/Filecoder.AESNI.C (หรือที่เรารู้จักในอีกชื่อว่า XData)

โปรแกรมเรียกค่าไถ่ตัวนี้ส่วนมากกระจายอยู่ในประเทศยูเครน เพราะจุดเริ่มต้นเกิดจากโปรแกรมที่ชื่อว่า M.E.Doc ที่เป็นที่นิยมในประเทศยูเครน จากที่ ESET LiveGrid ของเราตรวจจับได้

แต่เรื่องของเรื่องคือแฮกเกอร์ได้ทำพลาด หรือโปรเจคนี้เป็นโปรเจคทดลองของเขา แฮกเกอร์โพสต์รหัสของโปรแกรมเรียกค่าไถ่บนเว็บไซต์ BleepingComputer

ทาง ESET ได้โพสต์โปรแกรมถอดรหัสของ Win32/Filecoder.AESNI ดาวน์โหลดได้ที่นี่

Diskcoder.C หรือ Petya

Petya Ransomware ระบาดออกมาเมื่อวันที่ 27 มิถุนายน 2017 และสามารถเข้าถึงคอมพิวเตอร์ในยูเครน และอื่นๆ

มัลแวร์มีความสามารถในการแทนที่ Master Boot Record (MBR) ด้วยโค้ดที่ได้มาจากโปรแกรมเรียกค่าไถ่ Win32/Diskcoder.Petya แต่ข้อแตกต่างก็คือโค้ด MBR ที่พวกเขาเขียนไม่สามารถแก้ไขหรือกู้คืนได้ และไม่สามารถถอดรหัสได้

สรุป

กลุ่ม TeleBots ยังคงเดินหน้าพัฒนารูปแบบการโจมตีต่อไป นอกจากที่พวกเขาจะใช้การแพร่กระจายผ่านช่องทางอีเมล์ และไฟล์แนบอันตรายแล้ว พวกเขายังใช้ช่องโหว่จากการโจมตีอื่นมาเป็นเครื่องมือในการเข้าถึงเป้าหมาย อย่างสถาบันการเงินและองค์กรธุรกิจในยูเครน แต่เราก็ไม่อาจบอกได้ว่าขอบเขตการโจมตีจะหยุดอยู่แค่ในประเทศยูเครน

Author: ANTON CHEREPANOV
Source:
https://www.welivesecurity.com/2017/06/30/telebots-back-supply-chain-attacks-against-ukraine/
Translated by: Worapon H.

%d bloggers like this: