ADPT

เตือน Bad Rabbit Ransomware แพร่ระบาดในแถบยุโรปตะวันออก

Proofpoint และ ESET ออกมาแจ้งเตือนถึง Bad Rabbit Ransomware ตัวใหม่ล่าสุดที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกขณะนี้ ทั้งหน่วยงานรัฐบาลและเอกชนต่างตกเป็นเหยื่อ ไม่ว่าจะเป็นสนามบินและระบบรถไฟใต้ดินของยูเครน หรือหน่วยงานรัฐของรัสเซียไม่น้อยกว่า 3 แห่ง เรียกได้ว่าอาจเป็นการแพร่ระบาดครั้งใหญ่ต่อจาก WannaCry และ NotPetya

จนถึงตอนนี้ ได้รับการยืนยันแล้วว่าประเทศที่ตกเป็นเหยื่อ ได้แก่ รัสเซีย ยูเครน บัลแกเรีย เยอรมนี และตุรกี ที่น่าตกใจคือความเร็วในการแพร่ระบาดของ Bad Rabbit อาจเทียบได้กับเหตุการณ์ WannaCry และ NotPetya ที่เกิดขึ้นเมื่อเดือนพฤษภาคมและมิถุนายนที่ผ่านมา

จากการตรวจสอบพบของ Kaspersky, ESET, Emsisoft และ Fox-IT ระบุว่า Bad Rabbit ไม่ได้เจาะผ่านช่องโหว่ของระบบคอมพิวเตอร์แต่อย่างใด แต่อาศัยการแพร่กระจายตัวผ่านทางการปลอมเป็นไฟล์อัปเดต Flash ที่มาพร้อมกับเครื่องมือที่ช่วยให้มัลแวร์สามารถแทรกซึมไปยังระบบเครือข่ายภายในได้อย่างรวดเร็ว ส่งผลให้ Ransomware นี้สามารถแพร่กระจายไปทั่วทั้งองค์กรได้ภายในไม่กี่อึดใจ

Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV จากนั้นทำการเข้ารหัสไฟล์ข้อมูลภายในเครื่องและแก้ไข Master Boot Record (MBR) ซึ่งคล้ายกับสิ่งที่ Petya และ NotPetya ทำ เมื่อดำเนินการเสร็จสิ้น คอมพิวเตอร์จะถูกรีบูตและแสดงหน้าจอเรียกค่าไถ่เป็นเงินจำนวน 0.05 Bitcoin (ประมาณ 9,300 บาท) โดยเหยื่อมีเวลาประมาณ 40 ชั่วโมงในการจ่ายค่าไถ่ ก่อนที่ค่าไถ่จะพุ่งสูงขึ้นกว่าเดิม

เมื่อทำการตรวจสอบซอร์สโค้ด พบว่า Bad Rabbit ใช้ DiskCryptor ซึ่งเป็นเครื่องมือสำหรับเข้ารหัสข้อมูลฮาร์ดดิสก์แบบ Open-source โดยใช้อัลกอริธึม RSA 2048 Bits ในการเข้ารหัสข้อมูลในเครื่องของเหยื่อ และมีการใช้ธีมของ Game of Thrones เช่น Drogon, Rhaegal และ Viserion เป็นชื่อ Task ของการทำงาน จนถึงตอนนี้ยังไม่มี Decrypter สำหรับใช้ปลดรหัส Ransomware ดังกล่าว

องค์กรและหน่วยงานที่ได้รับการยืนยันมาตกเป็นเหยื่อของ Bad Rabbit แล้ว ได้แก่ สนามบิน Odessa และระบบรถไฟใต้ดิน Kiev ในยูเครน Interfax, Fontanka และหน่วยงานรัฐบาลรวม 3 แห่งของรัสเซีย

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/ และ https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] ASUS ส่ง ‘ExpertBook B9’ อัพเกรดใหม่เดินหน้าบุกตลาดโน้ตบุ๊กกลุ่มธุรกิจ ชูน้ำหนักสุดเบาเพียง 1 กิโลกรัม และระบบความปลอดภัยระดับองค์กร พร้อมขยายตลาดเจาะกลุ่มการศึกษาเปิดตัว ‘ASUS BR1100’ สำหรับเด็กวัยประถมศึกษา

เอซุส (ประเทศไทย) จำกัด เปิดตัวสองโน้ตบุ๊กใหม่ในกลุ่มผลิตภัณฑ์องค์กร (Commercial) นำโดยโน้ตบุ๊กธุรกิจ ASUS ExpertBook B9 (B9400) รุ่นล่าสุดประจำปี 2021 ที่มาพร้อมการอัพเกรดใหม่ ตอบโจทย์คนทำงานยิ่งขึ้น พร้อมเปิดตลาดการศึกษา …

[Guest Post] Huawei หัวเว่ย เปิดศูนย์ความปลอดภัยทางไซเบอร์และความโปร่งใสด้านการปกป้อง ความเป็นส่วนตัวระดับโลก ที่ใหญ่ที่สุดในประเทศจีน

พร้อมเดินหน้าสนับสนุนการพัฒนาศักยภาพในระดับอุตสาหกรรม แบ่งปันความรู้ และสร้างความร่วมมือที่แข็งแกร่งมากขึ้น