SUSE by Ingram

Bad Rabbit Ransomware ใช้เครื่องมือเจาะระบบของ NSA เผยคนพัฒนาเดียวกับ NotPetya

หลังจากที่ Bad Rabbit Ransomware เริ่มแพร่ระบาดในเขตยุโรปตะวันออกเมื่อต้นสัปดาห์ที่ผ่านมา จากการตรวจสอบล่าสุดของนักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย พบว่านอกจากมันจะแพร่กระจายตัวภายในระบบเครือข่ายได้อย่างรวดเร็วผ่านทางโปรโตคอล SMB แล้ว ยังมีการใช้ชุดเครื่องมือเจาะระบบของ NSA ในการโจมตีด้วย ที่สำคัญคือ แฮ็คเกอร์เจ้าของ Bad Rabbit เป็นคนเดียวกับคนที่ปล่อย NotPetya Ransomware ให้แพร่ระบาดเมื่อเดือนมิถุนายนที่ผ่านมา

ก่อนหน้านี้ นักวิจัยหลายรายระบุว่า Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV อย่างไรก็ตาม จากการตรวจสอบในรายละเอียดเชิงลึกของ Cisco Talos และ F-Secure พบว่า มีการใช้ EternalRomance หนึ่งในชุดเครื่องมือสำหรับเจาะระบบของ NSA สำหรับแพร่กระจายตัวเองผ่านโปรโตคอล SMB อีกด้วย อย่างไรก็ตาม แฮ็คเกอร์ได้มีการนำโค้ดโจมตีมาดัดแปลงเป็นเวอร์ชันของตนเอง ทำให้ไม่สามารถตรวจจับได้ในตอนแรก

จากการใช้ EternalRomance นี้เอง ทำให้นักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย ไม่ว่าจะเป็น Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, and Malwarebytes สังเกตเห็นถึงความเชื่อมโยงระหว่าง Bad Rabbit และ NotPetya ที่ใช้เครื่องมือในการเจาะระบบของ NSA เดียวกัน โดยทาง Cisco Talos ระบุว่า “พวกเราได้ทำการประเมินและมั่นใจมากว่า Bad Rabbit ถูกสร้างขึ้นโดยใช้โค้ดแกนหลักที่เหมือนกับ NotPetya และ Toolchain ที่ใช้ในการพัฒนา Bad Rabbit ก็มีความคลึงสูงมากกับที่ใช้พัฒนา NotPetya”

นับว่าเป็นอีกหนึ่ง Ransomware ในปีนี้ นอกจาก WannaCry และ NotPetya ที่ใช้ชุดเครื่องมือเจาะระบบของ NSA ที่ถูกเปิดเผยโดยกลุ่มแฮ็คเกอร์นาม Shadow Brokers ในการโจมตีเหยื่อ สำหรับผู้ที่อยู่เบื้องหลังปฏิบัติการ Ransomware ของทั้ง NotPetya และ Bad Rabbit นั้น ทาง ESET ระบุว่า เป็นไปได้สูงที่จะเป็น TeleBots กลุ่มอาชญากรรมไซเบอร์ที่เชื่อว่ามีรัฐบาลรัสเซียหนุนหลัง และมักพุ่งเป้าโจมตีหน่วยงานและผู้ใช้ในประเทศยูเครน

ที่มา: https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-also-used-nsa-exploit/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สำรองและกู้คืนข้อมูลใน Microsoft 365 แบบไร้รอยต่อด้วย Veeam จาก Mverge

จากการแพร่ระบาดของ COVID-19 ทำให้หลายองค์กรตอบรับกระแส Work From Home กันมากขึ้น และหนึ่งในบริการที่ถูกเลือกใช้เป็นอันดับต้น ๆ คือ Microsoft 365 นั้นเอง ซึ่งเป็นโซลูชันที่ช่วยให้พนักงานสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ โดยไม่ต้องเข้ามาเจอหน้ากันผ่านระบบคลาวด์

Red Hat OpenShift 4.7 ออกแล้ว จัดการ VM ได้ พร้อมรองรับ Windows Container

Red Hat ได้ออกมาประกาศเปิดตัว Red Hat OpenShift 4.7 แล้วอย่างเป็นทางการ โดยสามารถรองรับ Workload ได้มากขึ้นกว่าเดิม ไม่ว่าจะเป็น Virtual Machine หรือ Windows Container ก็ตาม โดยรวมแล้วมีจุดเด่นที่น่าสนใจดังนี้