Breaking News

SynAck Ransomware สายพันธุ์ใหม่ ใช้เทคนิค Process Doppelgänging หลบหลีกการตรวจจับ

หลังจากที่ enSiilo บริษัททางด้านความมั่นคงปลอดภัยไซเบอร์ชื่อดังออกมาเปิดเผยถึงเทคนิคสำหรับใช้หลบหลีกระบบรักษาความมั่นคงปลอดภัยแบบใหม่ เรียกว่า Process Doppelgänging ซึ่งสามารถใช้บน Windows ได้ทุกเวอร์ชันไม่เว้นแม้แต่ Windows 10 ภายในงาน Black Hat Europe เมื่อปลายปี 2017 ที่ผ่านมา ล่าสุดพบว่ามี Ransomware ชนิดใหม่ที่นำเทคนิคดังกล่าวมาใช้งานแล้ว

Kaspersky Lab ออกมาเปิดเผยว่า ค้นพบ SynAck Ransomware สายพันธุ์ใหม่ที่ใช้เทคนิค Process Doppelgänging ในการหลบหลีกระบบรักษาความมั่นคงปลอดภัย ซึ่งขณะนี้กำลังแพร่ระบาดอยู่ในสหรัฐฯ คูเวต และอิหร่าน

SynAck Ransomware ถูกค้นพบครั้งแรกเมื่อเดือนกันยายน 2017 เป็นมัลแวร์ที่ใช้เทคนิค Obfuscation ที่มีความซับซ้อนสูงในการป้องกันการทำ Reverse Engineering และหลบเลี่ยงการวิเคราห์โดยใช้ Sandbox อย่างไรก็ตาม ท้ายที่สุดก็มีนักวิจัยด้านความมั่นคงปลอดภัยที่สามารถเปิดเผยวิธีการทำงานของ Ransomware ดังกล่าวได้

ที่น่าสนใจคือ SynAck Ransomware จะทำการตรวจสอบ Keyboard Layout ของอุปกรณ์ PC เพื่อดูว่าอยู่ในลิสต์ของประเทศที่จะทำการโจมตีหรือไม่ ถ้าไม่ Ransomware จะทำการ Sleep 30 วินาทีแล้วเรียก ExitProcess เพื่อหลีกเลี่ยงการเข้ารหัสไฟล์ข้อมูล ประเทศที่ SynAck จะไม่โจมตีได้แก่ รัสเซีย เบลารุส ยูเครน จอร์เจีย ทาจิกิสถาน และอุซเบกิสถาน

หลงจากที่แพร่กระจายตัวสู่เครื่องของเหยื่อแล้ว SynAck จะเริ่มเข้ารหัสไฟล์ข้อมูลโดยใช้อัลกอริธึม AES-256-ECB และจะปลดล็อกก็ต่อเมื่อเหยื่อติดต่อกลับมายังแฮ็กเกอร์และยอมทำตามข้อเรียกร้อง

ทาง Kaspersky Lab ไม่ได้ระบุว่า SynAck สายพันธุ์ใหม่นี้แพร่กระจายตัวผ่านช่องทางไหน แต่ทางทีมนักวิจัยก็ได้แจ้งเตือนมาว่าให้หลีกเลี่ยงการเปิดไฟล์หรือลิงค์ที่ไม่น่าไว้วางใจที่ส่งมาทางอีเมล รวมไปถึงการคลิกลิงค์โฆษณาบนเว็บไซต์ต่างๆ เนื่องจากมีเพียงผลิตภัณฑ์ด้านความมั่นคงปลอดภัยไม่มากนักที่สามารถตรวจจับเทคนิค Process Doppelgänging ได้ ที่สำคัญคือต้องอัปเดตแพตช์และฐานข้อมูลด้านความมั่นคงปลอดภัยอยู่เสมอ

ที่มา: https://thehackernews.com/2018/05/synack-process-doppelganging.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dell’Oro Group เผย Huawei ครองตลาด Wi-Fi 6 เป็นอันดับ 1 ของโลก

Dell’Oro Group ผู้นำด้านการวิเคราะห์และวิจัยตลาดระดับโลก ออกรายงานข้อมูลส่วนแบ่งการตลาด Access Point แบบใช้งานภายในอาคารมาตรฐาน Wi-Fi 6 ทั่วโลกในช่วงระหว่างไตรมาสที่ 3 ของปี 2018 ถึงไตรมาสที่ 3 …

เตือนพบช่องโหว่ร้ายแรงบนปลั๊กอินของ WordPress แนะผู้ใช้เร่งอัปเดต

WebARX ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยของ WordPress ได้พบช่องโหว่ร้ายแรงบนปลั๊กอินจาก ThemeGrill ซึ่งทำให้ผู้โจมตีสามารถรีเซ็ตค่าฐานข้อมูลกลับเป็น Default หรือพูดง่ายๆ ว่าข้อมูลหายเรียบ