Breaking News

Bad Rabbit Ransomware ใช้เครื่องมือเจาะระบบของ NSA เผยคนพัฒนาเดียวกับ NotPetya

หลังจากที่ Bad Rabbit Ransomware เริ่มแพร่ระบาดในเขตยุโรปตะวันออกเมื่อต้นสัปดาห์ที่ผ่านมา จากการตรวจสอบล่าสุดของนักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย พบว่านอกจากมันจะแพร่กระจายตัวภายในระบบเครือข่ายได้อย่างรวดเร็วผ่านทางโปรโตคอล SMB แล้ว ยังมีการใช้ชุดเครื่องมือเจาะระบบของ NSA ในการโจมตีด้วย ที่สำคัญคือ แฮ็คเกอร์เจ้าของ Bad Rabbit เป็นคนเดียวกับคนที่ปล่อย NotPetya Ransomware ให้แพร่ระบาดเมื่อเดือนมิถุนายนที่ผ่านมา

ก่อนหน้านี้ นักวิจัยหลายรายระบุว่า Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV อย่างไรก็ตาม จากการตรวจสอบในรายละเอียดเชิงลึกของ Cisco Talos และ F-Secure พบว่า มีการใช้ EternalRomance หนึ่งในชุดเครื่องมือสำหรับเจาะระบบของ NSA สำหรับแพร่กระจายตัวเองผ่านโปรโตคอล SMB อีกด้วย อย่างไรก็ตาม แฮ็คเกอร์ได้มีการนำโค้ดโจมตีมาดัดแปลงเป็นเวอร์ชันของตนเอง ทำให้ไม่สามารถตรวจจับได้ในตอนแรก

จากการใช้ EternalRomance นี้เอง ทำให้นักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย ไม่ว่าจะเป็น Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, and Malwarebytes สังเกตเห็นถึงความเชื่อมโยงระหว่าง Bad Rabbit และ NotPetya ที่ใช้เครื่องมือในการเจาะระบบของ NSA เดียวกัน โดยทาง Cisco Talos ระบุว่า “พวกเราได้ทำการประเมินและมั่นใจมากว่า Bad Rabbit ถูกสร้างขึ้นโดยใช้โค้ดแกนหลักที่เหมือนกับ NotPetya และ Toolchain ที่ใช้ในการพัฒนา Bad Rabbit ก็มีความคลึงสูงมากกับที่ใช้พัฒนา NotPetya”

นับว่าเป็นอีกหนึ่ง Ransomware ในปีนี้ นอกจาก WannaCry และ NotPetya ที่ใช้ชุดเครื่องมือเจาะระบบของ NSA ที่ถูกเปิดเผยโดยกลุ่มแฮ็คเกอร์นาม Shadow Brokers ในการโจมตีเหยื่อ สำหรับผู้ที่อยู่เบื้องหลังปฏิบัติการ Ransomware ของทั้ง NotPetya และ Bad Rabbit นั้น ทาง ESET ระบุว่า เป็นไปได้สูงที่จะเป็น TeleBots กลุ่มอาชญากรรมไซเบอร์ที่เชื่อว่ามีรัฐบาลรัสเซียหนุนหลัง และมักพุ่งเป้าโจมตีหน่วยงานและผู้ใช้ในประเทศยูเครน

ที่มา: https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-also-used-nsa-exploit/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ Zero-day บน iPhone X, Samsung Galaxy 9 และ Xiaomi Mi6 ในงาน Pwn2Own

ภายในการแข่งขัน Mobile Hacking ในงาน Pwn2Own ที่เพิ่งจัดไป ณ เมืองโตเกียว ประเทศญี่ปุ่น เมื่อวันที่ 13 – 14 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความมั่นคงปลอดภัยหลายรายได้ออกมาสาธิตการแฮ็กสมาร์ตโฟนยอดนิยมหลายรุ่น …

พบช่องโหว่ Zero-day บน GDPR Plugin ของ WordPress เสี่ยงถูกเข้าควบคุมไซต์

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของ WordPress ออกมาแจ้งเตือนถึงช่องโหว่ Zero-day บน WP GDPR Compliance Plugin หนึ่งใน Plugin ยอดนิยมสำหรับผู้ที่ต้องการผ่านข้อกำหนดของ GDPR ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงไซต์ ติดตั้งสคริปต์ …