SUSE by Ingram

เตือน Bad Rabbit Ransomware แพร่ระบาดในแถบยุโรปตะวันออก

Proofpoint และ ESET ออกมาแจ้งเตือนถึง Bad Rabbit Ransomware ตัวใหม่ล่าสุดที่กำลังแพร่ระบาดในแถบยุโรปตะวันออกขณะนี้ ทั้งหน่วยงานรัฐบาลและเอกชนต่างตกเป็นเหยื่อ ไม่ว่าจะเป็นสนามบินและระบบรถไฟใต้ดินของยูเครน หรือหน่วยงานรัฐของรัสเซียไม่น้อยกว่า 3 แห่ง เรียกได้ว่าอาจเป็นการแพร่ระบาดครั้งใหญ่ต่อจาก WannaCry และ NotPetya

จนถึงตอนนี้ ได้รับการยืนยันแล้วว่าประเทศที่ตกเป็นเหยื่อ ได้แก่ รัสเซีย ยูเครน บัลแกเรีย เยอรมนี และตุรกี ที่น่าตกใจคือความเร็วในการแพร่ระบาดของ Bad Rabbit อาจเทียบได้กับเหตุการณ์ WannaCry และ NotPetya ที่เกิดขึ้นเมื่อเดือนพฤษภาคมและมิถุนายนที่ผ่านมา

จากการตรวจสอบพบของ Kaspersky, ESET, Emsisoft และ Fox-IT ระบุว่า Bad Rabbit ไม่ได้เจาะผ่านช่องโหว่ของระบบคอมพิวเตอร์แต่อย่างใด แต่อาศัยการแพร่กระจายตัวผ่านทางการปลอมเป็นไฟล์อัปเดต Flash ที่มาพร้อมกับเครื่องมือที่ช่วยให้มัลแวร์สามารถแทรกซึมไปยังระบบเครือข่ายภายในได้อย่างรวดเร็ว ส่งผลให้ Ransomware นี้สามารถแพร่กระจายไปทั่วทั้งองค์กรได้ภายในไม่กี่อึดใจ

Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV จากนั้นทำการเข้ารหัสไฟล์ข้อมูลภายในเครื่องและแก้ไข Master Boot Record (MBR) ซึ่งคล้ายกับสิ่งที่ Petya และ NotPetya ทำ เมื่อดำเนินการเสร็จสิ้น คอมพิวเตอร์จะถูกรีบูตและแสดงหน้าจอเรียกค่าไถ่เป็นเงินจำนวน 0.05 Bitcoin (ประมาณ 9,300 บาท) โดยเหยื่อมีเวลาประมาณ 40 ชั่วโมงในการจ่ายค่าไถ่ ก่อนที่ค่าไถ่จะพุ่งสูงขึ้นกว่าเดิม

เมื่อทำการตรวจสอบซอร์สโค้ด พบว่า Bad Rabbit ใช้ DiskCryptor ซึ่งเป็นเครื่องมือสำหรับเข้ารหัสข้อมูลฮาร์ดดิสก์แบบ Open-source โดยใช้อัลกอริธึม RSA 2048 Bits ในการเข้ารหัสข้อมูลในเครื่องของเหยื่อ และมีการใช้ธีมของ Game of Thrones เช่น Drogon, Rhaegal และ Viserion เป็นชื่อ Task ของการทำงาน จนถึงตอนนี้ยังไม่มี Decrypter สำหรับใช้ปลดรหัส Ransomware ดังกล่าว

องค์กรและหน่วยงานที่ได้รับการยืนยันมาตกเป็นเหยื่อของ Bad Rabbit แล้ว ได้แก่ สนามบิน Odessa และระบบรถไฟใต้ดิน Kiev ในยูเครน Interfax, Fontanka และหน่วยงานรัฐบาลรวม 3 แห่งของรัสเซีย

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-hits-eastern-europe/ และ https://thehackernews.com/2017/10/bad-rabbit-ransomware-attack.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Allied Telesis Net.Campus Webinar: 3 คอร์สอบรมฟรีด้าน Network Visualization, Network Operations และ WLAN Troubleshooting

Allied Telesis เปิดคอร์สอบรมออนไลน์ Net.Campus Webinar 3 หลักสูตรทางด้าน Network Visualization, Network Operations และ WLAN Troubleshooting ในวันที่ 11, …

เสริมเกราะป้องกันด้าน Cybersecurity แบบครบวงจรกับ G-Able

เมื่อโลกกำลังก้าวเข้าสู่ยุคที่ผู้ใช้งานสามารถเข้าถึงและใช้บริการด้านข้อมูลผ่านระบบเทคโนโลยีสารสนเทศได้อย่างสะดวก รวดเร็ว ไม่จำกัดสถานที่และเวลา ในขณะเดียวกันข้อมูลที่อยู่ในระบบก็ตกอยู่ในความเสี่ยงต่อการถูกโจมตี ขโมย หรือถูกทำลายได้เช่นกัน ซึ่งภัยคุกคามทางไซเบอร์นั้นมีแต่จะทวีความรุนแรงขึ้นเรื่อย ๆ ดังนั้นการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) จึงเป็นสิ่งที่ต้องพัฒนาไปพร้อมกับความก้าวหน้าของระบบเทคโนโลยีนั้นเอง