Bad Rabbit Ransomware ใช้เครื่องมือเจาะระบบของ NSA เผยคนพัฒนาเดียวกับ NotPetya

หลังจากที่ Bad Rabbit Ransomware เริ่มแพร่ระบาดในเขตยุโรปตะวันออกเมื่อต้นสัปดาห์ที่ผ่านมา จากการตรวจสอบล่าสุดของนักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย พบว่านอกจากมันจะแพร่กระจายตัวภายในระบบเครือข่ายได้อย่างรวดเร็วผ่านทางโปรโตคอล SMB แล้ว ยังมีการใช้ชุดเครื่องมือเจาะระบบของ NSA ในการโจมตีด้วย ที่สำคัญคือ แฮ็คเกอร์เจ้าของ Bad Rabbit เป็นคนเดียวกับคนที่ปล่อย NotPetya Ransomware ให้แพร่ระบาดเมื่อเดือนมิถุนายนที่ผ่านมา

ก่อนหน้านี้ นักวิจัยหลายรายระบุว่า Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV อย่างไรก็ตาม จากการตรวจสอบในรายละเอียดเชิงลึกของ Cisco Talos และ F-Secure พบว่า มีการใช้ EternalRomance หนึ่งในชุดเครื่องมือสำหรับเจาะระบบของ NSA สำหรับแพร่กระจายตัวเองผ่านโปรโตคอล SMB อีกด้วย อย่างไรก็ตาม แฮ็คเกอร์ได้มีการนำโค้ดโจมตีมาดัดแปลงเป็นเวอร์ชันของตนเอง ทำให้ไม่สามารถตรวจจับได้ในตอนแรก

จากการใช้ EternalRomance นี้เอง ทำให้นักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย ไม่ว่าจะเป็น Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, and Malwarebytes สังเกตเห็นถึงความเชื่อมโยงระหว่าง Bad Rabbit และ NotPetya ที่ใช้เครื่องมือในการเจาะระบบของ NSA เดียวกัน โดยทาง Cisco Talos ระบุว่า “พวกเราได้ทำการประเมินและมั่นใจมากว่า Bad Rabbit ถูกสร้างขึ้นโดยใช้โค้ดแกนหลักที่เหมือนกับ NotPetya และ Toolchain ที่ใช้ในการพัฒนา Bad Rabbit ก็มีความคลึงสูงมากกับที่ใช้พัฒนา NotPetya”

นับว่าเป็นอีกหนึ่ง Ransomware ในปีนี้ นอกจาก WannaCry และ NotPetya ที่ใช้ชุดเครื่องมือเจาะระบบของ NSA ที่ถูกเปิดเผยโดยกลุ่มแฮ็คเกอร์นาม Shadow Brokers ในการโจมตีเหยื่อ สำหรับผู้ที่อยู่เบื้องหลังปฏิบัติการ Ransomware ของทั้ง NotPetya และ Bad Rabbit นั้น ทาง ESET ระบุว่า เป็นไปได้สูงที่จะเป็น TeleBots กลุ่มอาชญากรรมไซเบอร์ที่เชื่อว่ามีรัฐบาลรัสเซียหนุนหลัง และมักพุ่งเป้าโจมตีหน่วยงานและผู้ใช้ในประเทศยูเครน

ที่มา: https://www.bleepingcomputer.com/news/security/bad-rabbit-ransomware-outbreak-also-used-nsa-exploit/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure DNS สนับสนุน CAA record และ IPv6 Nameservers แล้ว

Azure ได้ออกมาประกาศสนับสนุน DNS Features ที่สามารถรองรับการใช้งาน CAA Record และ IPv6 Nameserver ได้แล้ว

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …