Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

SynAck Ransomware สายพันธุ์ใหม่ ใช้เทคนิค Process Doppelgänging หลบหลีกการตรวจจับ

หลังจากที่ enSiilo บริษัททางด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังออกมาเปิดเผยถึงเทคนิคสำหรับใช้หลบหลีกระบบรักษาความมั่นคงปลอดภัยแบบใหม่ เรียกว่า Process Doppelgänging ซึ่งสามารถใช้บน Windows ได้ทุกเวอร์ชันไม่เว้นแม้แต่ Windows 10 ภายในงาน Black Hat Europe เมื่อปลายปี 2017 ที่ผ่านมา ล่าสุดพบว่ามี Ransomware ชนิดใหม่ที่นำเทคนิคดังกล่าวมาใช้งานแล้ว

Kaspersky Lab ออกมาเปิดเผยว่า ค้นพบ SynAck Ransomware สายพันธุ์ใหม่ที่ใช้เทคนิค Process Doppelgänging ในการหลบหลีกระบบรักษาความมั่นคงปลอดภัย ซึ่งขณะนี้กำลังแพร่ระบาดอยู่ในสหรัฐฯ คูเวต และอิหร่าน

SynAck Ransomware ถูกค้นพบครั้งแรกเมื่อเดือนกันยายน 2017 เป็นมัลแวร์ที่ใช้เทคนิค Obfuscation ที่มีความซับซ้อนสูงในการป้องกันการทำ Reverse Engineering และหลบเลี่ยงการวิเคราห์โดยใช้ Sandbox อย่างไรก็ตาม ท้ายที่สุดก็มีนักวิจัยด้านความมั่นคงปลอดภัยที่สามารถเปิดเผยวิธีการทำงานของ Ransomware ดังกล่าวได้

ที่น่าสนใจคือ SynAck Ransomware จะทำการตรวจสอบ Keyboard Layout ของอุปกรณ์ PC เพื่อดูว่าอยู่ในลิสต์ของประเทศที่จะทำการโจมตีหรือไม่ ถ้าไม่ Ransomware จะทำการ Sleep 30 วินาทีแล้วเรียก ExitProcess เพื่อหลีกเลี่ยงการเข้ารหัสไฟล์ข้อมูล ประเทศที่ SynAck จะไม่โจมตีได้แก่ รัสเซีย เบลารุส ยูเครน จอร์เจีย ทาจิกิสถาน และอุซเบกิสถาน

หลงจากที่แพร่กระจายตัวสู่เครื่องของเหยื่อแล้ว SynAck จะเริ่มเข้ารหัสไฟล์ข้อมูลโดยใช้อัลกอริธึม AES-256-ECB และจะปลดล็อกก็ต่อเมื่อเหยื่อติดต่อกลับมายังแฮ็กเกอร์และยอมทำตามข้อเรียกร้อง

ทาง Kaspersky Lab ไม่ได้ระบุว่า SynAck สายพันธุ์ใหม่นี้แพร่กระจายตัวผ่านช่องทางไหน แต่ทางทีมนักวิจัยก็ได้แจ้งเตือนมาว่าให้หลีกเลี่ยงการเปิดไฟล์หรือลิงค์ที่ไม่น่าไว้วางใจที่ส่งมาทางอีเมล รวมไปถึงการคลิกลิงค์โฆษณาบนเว็บไซต์ต่างๆ เนื่องจากมีเพียงผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไม่มากนักที่สามารถตรวจจับเทคนิค Process Doppelgänging ได้ ที่สำคัญคือต้องอัปเดตแพตช์และฐานข้อมูลด้านความมั่นคงปลอดภัยอยู่เสมอ

ที่มา: https://thehackernews.com/2018/05/synack-process-doppelganging.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Citrix Webinar: รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้

TechTalkThai ขอเรียนเชิญ CTO, CISO, CIO, IT Manager, Security Engineer, Network Engineer, ผู้ดูแลระบบ IT และผู้ที่สนใจทุกท่าน เข้าร่วมฟัง Citrix Webinar Series Back To Office: Ensuring a Flexible & Secure Workspace [Episode 3] ในหัวข้อเรื่อง "รู้จักกับ Zero Trust Model แนวทางการเสริม Security ป้องกันภัยคุกคามสมัยใหม่ที่ผู้ดูแลระบบ IT ต้องรู้" เพื่อทำความรู้จักกับ Zero Trust Model ซึ่งเป็นแนวทางในการรักษาความมั่นคงปลอดภัยให้กับระบบ IT ที่กำลังได้รับความนิยมในธุรกิจองค์กรและระบบ Application สมัยใหม่ พร้อมวิธีการนำมาปรับใช้จริงในระบบ IT ในวันอังคารที่ 6 ตุลาคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

Oracle Exadata Cloud at Customer – On-premises Cloud ที่ดีที่สุดสำหรับ Oracle Database และ AI/ML Workload

ระบบฐานข้อมูลยังคงเป็นหัวใจสำคัญของการดำเนินธุรกิจ โดยเฉพาะอย่างยิ่งในยุคดิจิทัลที่ข้อมูลถูกเปรียบเปรยว่าเป็น “แหล่งน้ำมันสมัยใหม่” หลายองค์กรเริ่มจัดเก็บข้อมูลหลากหลายรูปแบบนอกจาก Relational Data มากขึ้น เพื่อเพิ่มความสะดวกในการประมวลผลข้อมูล เมื่อฐานข้อมูลมีหลากหลายรูปแบบ ย่อมต้องการผู้ดูแลที่มีทักษะ ทั้งยังมีเรื่องอธิปไตยของข้อมูล Oracle จึงนำเสนอแนวคิด “Converged Database” …