ADPT

เตือน Bad Rabbit Ransomware แพร่ระบาดในแถบยุโรปตะวันออก

Proofpoint และ ESET ออกมาแจ้งเตือนถึง Bad Rabbit Ransomware ตัวใหม่ล่าสุดที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกขณะนี้ ทั้งหน่วยงานรัฐบาลและเอกชนต่างตกเป็นเหยื่อ ไม่ว่าจะเป็นสนามบินและระบบรถไฟใต้ดินของยูเครน หรือหน่วยงานรัฐของรัสเซียไม่น้อยกว่า 3 แห่ง เรียกได้ว่าอาจเป็นการแพร่ระบาดครั้งใหญ่ต่อจาก WannaCry และ NotPetya

จนถึงตอนนี้ ได้รับการยืนยันแล้วว่าประเทศที่ตกเป็นเหยื่อ ได้แก่ รัสเซีย ยูเครน บัลแกเรีย เยอรมนี และตุรกี ที่น่าตกใจคือความเร็วในการแพร่ระบาดของ Bad Rabbit อาจเทียบได้กับเหตุการณ์ WannaCry และ NotPetya ที่เกิดขึ้นเมื่อเดือนพฤษภาคมและมิถุนายนที่ผ่านมา

จากการตรวจสอบพบของ Kaspersky, ESET, Emsisoft และ Fox-IT ระบุว่า Bad Rabbit ไม่ได้เจาะผ่านช่องโหว่ของระบบคอมพิวเตอร์แต่อย่างใด แต่อาศัยการแพร่กระจายตัวผ่านทางการปลอมเป็นไฟล์อัปเดต Flash ที่มาพร้อมกับเครื่องมือที่ช่วยให้มัลแวร์สามารถแทรกซึมไปยังระบบเครือข่ายภายในได้อย่างรวดเร็ว ส่งผลให้ Ransomware นี้สามารถแพร่กระจายไปทั่วทั้งองค์กรได้ภายในไม่กี่อึดใจ

Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV จากนั้นทำการเข้ารหัสไฟล์ข้อมูลภายในเครื่องและแก้ไข Master Boot Record (MBR) ซึ่งคล้ายกับสิ่งที่ Petya และ NotPetya ทำ เมื่อดำเนินการเสร็จสิ้น คอมพิวเตอร์จะถูกรีบูตและแสดงหน้าจอเรียกค่าไถ่เป็นเงินจำนวน 0.05 Bitcoin (ประมาณ 9,300 บาท) โดยเหยื่อมีเวลาประมาณ 40 ชั่วโมงในการจ่ายค่าไถ่ ก่อนที่ค่าไถ่จะพุ่งสูงขึ้นกว่าเดิม

เมื่อทำการตรวจสอบซอร์สโค้ด พบว่า Bad Rabbit ใช้ DiskCryptor ซึ่งเป็นเครื่องมือสำหรับเข้ารหัสข้อมูลฮาร์ดดิสก์แบบ Open-source โดยใช้อัลกอริธึม RSA 2048 Bits ในการเข้ารหัสข้อมูลในเครื่องของเหยื่อ และมีการใช้ธีมของ Game of Thrones เช่น Drogon, Rhaegal และ Viserion เป็นชื่อ Task ของการทำงาน จนถึงตอนนี้ยังไม่มี Decrypter สำหรับใช้ปลดรหัส Ransomware ดังกล่าว

องค์กรและหน่วยงานที่ได้รับการยืนยันมาตกเป็นเหยื่อของ Bad Rabbit แล้ว ได้แก่ สนามบิน Odessa และระบบรถไฟใต้ดิน Kiev ในยูเครน Interfax, Fontanka และหน่วยงานรัฐบาลรวม 3 แห่งของรัสเซีย

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/ และ https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video Webinar] สร้างความมั่นคงปลอดภัยให้ระบบ IT ด้วย Sophos Managed Threat Response

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยายSophos Webinar เรื่อง “สร้างความมั่นคงปลอดภัยให้ระบบ IT ด้วย Sophos Managed Threat Response” พร้อมอัปเดตแนวโน้มภัยคุกคามล่าสุดและการวางกลยุทธ์ด้านความมั่นคงปลอดภัยอย่างมีประสิทธิภาพ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Nutanix เพิ่มฟีเจอร์ AI สำหรับทำ Microsegmentation

ในงาน .NEXT ที่กำลังจัดขึ้น ทาง Nutanix ประกาศเพิ่มฟีเจอร์ AI สำหรับทำ Microsegmentation พร้อมประกาศเพิ่มฟีเจอร์อื่นๆจำนวนมาก