ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ແຈ້ງ​ເຕືອນ​ ພົບການລະ​ບາດຂອງມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ Maze Ransomware ​ ນອກ​ຈາກ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌ແລ້ວ ຍັງ​ອາດຈະ​ຂົ່ມ​ຂູ່​ໃຫ້​ຈ່າຍ​ເງິນ​ ເພື່ອ​ບໍ່​ໃຫ້​ເປີດ​ເຜີຍ​ຂໍ້​ມູນ​ 

News Images: maze.png

ຈາກລາຍ​ງານ​ການ​ແຜ່ລະ​ບາດ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ສາຍ​ພັນ​ Maze (MAZE Ransomware) (ຫຼື​ ChaCha) ຊຶ່ງ​ເປັນ​ມັນ​ແວ​ (Malware) ທີ່​ມີ​ການ​ໂຈມ​ຕີ​ມາ​ຕັ້ງ​ແຕ່​​ເດືອນ​ພຶດສະພາ​ 2019, ​ໜ່ວຍ​ງານ​ທີ່ຕົກ​ເປັນ​ເປົ້າ​ໝາຍ​ ເຊັ່ນ:​ ພາກສ່ວນ​ທຸລະກິດ,​ ການ​ຜະລິດ​ ຫຼື ​ດ້ານ​ພະລັງ​ງານ​, ​ມັນແຜ່ກ​ະ​ຈາຍ​ໂດຍ​ອາໄສ​ຄົນ​ສັ່ງ​ການ​ (human-operated ransomware) ເຮັດໃຫ້​ລັກສະນະ​ການ​ໂຈມ​ຕີ​ນັ້ນ​ຈະ​ໃກ້​ຄຽງ​ກັບ​ການ​ໂຈມ​ຕີ​ແບບ​ເຈາະ​ຈົງ​ເປົ້າ​ໝາຍ​ (targeted attack) ແນວ​ທາງ​ການ​ໂຈມ​ຕີ​ແບບ​ສັງ​ເຂບ​ ມີ​ດັ່ງ​ນີ້​:

  1. ຜູ້​ປະສົງ​ຮ້າຍຈະ​ເຈາະ​ຊ່ອງ​ໂຫວ່​ຂອງ​ລະບົບ​ເປົ້າ​ໝາຍ​ (ເຊັ່ນ:​ brute force ລະ​ຫັດ​ຜ່ານ​ຂອງ​ບໍລິການ​ remote desktop ຫຼື ​ໂຈມ​ຕີ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ຂອງ​ບໍລິການ​ VPN) ຫຼື ​ໂຈມ​ຕີ​ດ້ວຍ​ການ​ຫຼອກລວງ​ຜູ້​ໃຊ້​ໃນ​ອົງ​ກອນ (ເຊັ່ນ:​ ສົ່ງ​ອີ​ເມວ​ປອມ ຫຼື ​ແນບ​ໄຟ​ລ໌​ມັນ​ແວ​​) ເພື່ອ​ເຂົ້າ​ມາເຄືອ​ຂ່າຍ​ພາຍ​ໃນ​;
  2. ເມື່ອ​ສາມາດ​ເຂົ້າ​ເຖິງ​ເຄືອ​ຂ່າຍ​ພາຍ​ໃນ​ໄດ້​ແລ້ວ​ ຈະ​ສຳ​ຫຼວດ ​ແລະ ​ສັງລວມ​ຂໍ້​ມູ​ນໃນຊ່ວງ​ເວລາ​ໜຶ່ງ​ ໂດຍ​ອາດ​ຈະມີ​ການ​ເຊື່ອມ​ຕໍ່ໄປ​ຫາຄອມພິວເຕີ​ເຄື່ອງ​ອື່ນໆ​ໃນ​ເຄືອ​ຂ່າຍ​ (lateral movement) ຫຼື ສ້າງ​ຊ່ອງ​ທາງ​ລັບ​ (backdoor) ສຳລັບ​ເຊື່ອມ​ຕໍ່​ເຂົ້າ​ມາ​ອີກ​ຄັ້ງໃນ​ພາຍ​ຫຼັງ​;
  3. ອາດ​ຈະມີ​ການ​ສັງລວມ​ຂໍ້​ມູນ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ ຫຼື ​ລັກ​ລະ​ຫັດ​ຜ່ານ​ຂອງ​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ Active Directory ເພີ່ມເຕີມ​ ເພື່ອ​ໃຫ້​ໄດ້​ສິດ​ທິໃນ​ລະ​ດັບ​ທີ່​ສູງ​ຂຶ້ນ​;
  4. ຂັ້ນ​ຕອນ​ສຸດ​ທ້າຍ​ຂອງ​ການ​ໂຈມ​ຕີ​ຄື ​ສັ່ງ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​, ໃນກໍລະນີນີ້​ຜູ້​ໂຈມ​ຕີ​ອາດຈະ​ເຂົ້າ​ມາ​ຢູ່ໃນ​ລະບົບ​ເປັນເວລາ​ອາທິດ ​ຫຼື ​ອາດຈະ​ເປັນ​ເດືອນ​ກ່ອນທີ່ຈະ​ລົງ​ມື​.

ນອກ​ຈາກ​ນີ້,​ ມີ​ລາຍ​ງານ​ວ່າ​ຜູ້​ປະສົງ​ຮ້າຍ​ອາດ​ລັກ​ໄຟ​ລ໌​ຂໍ້​ມູນ​ສຳຄັນ​ຂອງ​ອົງ​ກອນ​ທີ່ຕົກເປັນ​ເຫຍື່ອ ເພື່ອ​ຂົ່ມ​ຂູ່​ເຫຍື່ອຖ້າຫາກບໍ່ຈ່າຍ​ເງິນ​ຄ່າ​ໄຖ່​ ກໍ່ຈະ​ເຜີຍແຜ່​ຂໍ້​ມູນ​ລັບ​ນັ້ນ​ອອກ​ສູ່​ສາທາລະນະ.

ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ Maze ແລະ​ ມັນ​ແວ​​ອື່ນໆ ​ທີ່​ແຜ່ກ​ະ​ຈາຍ​ໂດຍ​ອາໄສ​ຄົນ​ສັ່ງ​ການ​ນັ້ນ​ ມີ​ລາຍ​ງານ​ການ​ໂຈມ​ຕີ​ເພີ່ມ​ຫຼາຍ​ຂຶ້ນ​ໃນ​ຊ່ວງ​ 06 ເດືອນຕົ້ນ ​ປີ​ 2020 ໂດຍ​ທາງ​ Microsoft ໄດ້​ວິ​ເຄາະ​ຮູບ​ແບບ​ການ​ໂຈມ​ຕີ ​ແລະ ​ແນວ​ທາງ​ການ​ປ້ອງ​ກັນ​ໄວ້​ ຊຶ່ງ​ຜູ້​ທີ່ສົ​ນ​ໃຈ​ສາມາດ​ສຶກ​ສາ​ເພິ່ມເຕິມ​ໄດ້​ຈາກ​ບົດ​ຄວາມ​ຂອງ Microsoft (https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/)

ເນື່ອງ​ຈາກ​ລະບົບ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ດ້ວຍມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ Maze ​ອາດຈະ​ມີ​ຂໍ້​ມູນ​ຮົ່ວ​ໄຫຼ ​ຫຼື​ ຖືກ​ຝັງ​ຊ່ອງ​ທາງ​ລັບ​ໄວ້​.​ ດັ່ງ​ນັ້ນ​, ການ​ກູ້​ຄືນ​ລະບົບ​ຈາກ​ຂໍ້​ມູນ​ສຳ​ຮອງ​ອາດຈະ​ບໍ່​ພຽງ​ພໍ​ ເພາະ​ຜູ້​ໂຈມ​ຕີ​ອາດ​ຈະກັບ​ເຂົ້າ​ມາ​ສັ່ງ​ຕິດ​ຕັ້ງ​ມັນ​ແວ​ຊ້ຳ​ອີກຄັ້ງ​ໄດ້​ ຜ່ານ​ຊ່ອງ​ທາງ​ລັບ​ທີ່​ຖືກ​ສ້າງ​ໄວ້​ກ່ອນ​ໜ້າ​ນັ້ນ.

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ກວດ​ສອບ​ ແລະ​ ເຝົ້າ​ລະ​ວັງ​ເມື່ອ​ຕ້ອງ​ກູ້​ຄືນ​ລະບົບ​ຫຼັງ​ຈາກຖືກ​ໂຈມ​ຕີ​ 

  1. ກວດ​ສອບ​ຊ່ອງ​ທາງ​ ຫຼື ​ບໍລິການ​ຕ່າງ​ໆ​ ທີ່​ເປີດ​ໃຫ້​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້​ຈາກ​ໄລຍະ​ໄກ​ ເຊັ່ນ:​ ບໍລິການ​ remote desktop ຫຼື​ VPN, ​ຄວນ​ອັບ​ເດດ​ແພັດແກ້ໄຂ (Patch) ​​ແລະ ​ເຝົ້າ​ລະ​ວັງ​ການ​ເຊື່ອມ​ຕໍ່​ທີ່​ຜິດ​ປົກກະຕິ​ຢ່າງ​ສ​ະໝໍ່າ​ສະເໝີ​ (ເຊັ່ນ​: ການ​ເຂົ້ານໍາໃຊ້ລະບົບ​ຜິດ​ພາດ​ເກີນ​ຈຳນວນ​ທີ່​ກຳນົດໄວ້​);
  2. ກວດ​ສອບ​ການ​ເຂົ້ານໍາໃຊ້ລະບົບ​ທີ່​ຜິດ​ປົກກະຕິ​ ຫຼື ​ມີ​ພຶດຕິກຳ​ທີ່​ໜ້າສົງໄສ​ ເຊັ່ນ:​ ເຂົ້ານໍາໃຊ້ລະບົບ​ນອກ​ເວລາ​ງານ​ ຫຼື ​ເຂົ້ານໍາໃຊ້ລະບົບ​ຈາກ​ຕ່າງ​ປະເທດ​ (ຫາກ​ຜູ້​ໃຊ້​ບໍ່​ໄດ້​ເດິນທາງ​ໄປ​ຕ່າງ​ປະເທດ​) ຊຶ່ງ​ເຫດການ​ເຫຼົ່າ​ນີ້​ອາດ​ເກີດ​ຈາກ​ຜູ້​ປະສົງ​ຮ້າຍ​ສາມາດ​ເຂົ້າ​ຄວບ​ຄຸມ​ບັນຊີ​ໄດ້​;
  3. ກວດ​ສອບລາຍ​ຊື່​ບັນ​ຊີ​ຜູ້​ໃຊ້​ທີ່​ໜ້າສົງໄສ​ ຊຶ່ງ​ຜູ້​ປະສົງ​ຮ້າຍ​ອາດ​ສ້າງ​ບັນ​ຊີ​ດັ່ງ​ກ່າວ​ໄວ້​ເພື່ອ​ເຊື່ອມ​ຕໍ່ກັບ​ເຂົ້າ​ມາ​ໃນ​ພາຍ​ຫຼັງ​;
  4. ກວດ​ສອບ​ປະຫວັດ​ການ​ເອີ້ນໃຊ້​ໂພຣ​ເຊດ (Process)​ ຫຼື ​ປະຫວັດ​ການ​ເອີ້ນ​ໃຊ້​ງານ script​ (ເຊັ່ນ​ PowerShell) ຫາກ​ມີ​ການ​ເກັບ​ log ​ເຫຼົ່າ​ນີ້​ໄວ້;​
  5. ກວດ​ສອບ​ປະຫວັດ​ການ​ເຊື່ອມ​ຕໍ່​ກັບ​ເຄື່ອງ​ຄວບ​ຄຸມ ​ແລະ ​ສັ່ງ​ການ​ມັນ​ແວ​​ (command & control) ຫຼື ​ການ​ສົ່ງ​ຂໍ້​ມູນ​ອອກ​ໄປ​ຫາ​ເຄືອ​ຂ່າຍ​ພາຍນອກ​ ໃນ​ລັກສະນະ​ທີ່​ຜິດ​ປົກກະຕິ​ ຊຶ່ງ​ອາດຈະ​ເປັນ​ໄປ​ໄດ້​ວ່າ​ເປັນ​ການ​ສົ່ງ​ຂໍ້​ມູນ​ທີ່​ລັກ​ອອກ​ໄປ​ ໂດຍສາມາດ​ກວດ​ສອບ​ໄດ້​ຈາກ​ log ​ຂອງ​ firewall;
  6. ຫາກ​ເປັນ​ໄປ​ໄດ້​ຄວນ​ປ່ຽນ​ລະ​ຫັດ​ຜ່ານ​ຂອງ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ທັງ​ໝົດ​​ ເພາະ​ຜູ້​ປະສົງ​ຮ້າຍ​ອາດ​ໄດ້​ຂໍ້​ມູນ​ລະ​ຫັດ​ຜ່ານ​ໄປ​ກ່ອນ​ໜ້າ​ນີ້​ແລ້ວ​;
  7. ຫຼັງ​ຈາກ​ທີ່​ໄດ້​ກວດ​ສອບ​ ກຳຈັດ​ມັນ​ແວ​​ ຫຼື ​ຕິດ​ຕັ້ງ​ລະບົບ​ໃໝ່​ແລ້ວ​ ຄວນ​ເຝົ້າ​ລະ​ວັງ​ການ​ໂຈມ​ຕີ​ຢ່າງ​ສ​ະໝໍ່າສະເໝີ​ ເພາະ​ຜູ້​ປະສົງ​ຮ້າຍ​ອາດຈະ​ໃຊ້​ຊ່ອງ​ທາງ​ທີ່​ຍັງ​ຫຼົງ​ເຫຼືອ​ຢູ່ ​ເຊື່ອມ​ຕໍ່​ເຂົ້າ​ມາ​ໂຈມ​ຕີ​ອີກ​ໄດ້​.

ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ສາມາດ​ໃຊ້​ຂໍ້​ມູນ​ IoC (Indicator of Compromise) ຈາກ​ບົດ​ຄວາມ​ຂອງ​ McAfee ແລະ​ FireEye ເພື່ອ​ກວດ​ສອບ​ການ​ເຊື່ອມ​ຕໍ່​ທີ່​ຜິດ​ປົກກະຕິ​ ແລະ ​ຄ່າ​ hash ​ຂອງ​ໄຟ​ລ໌​ມັນ​ແວ​ທີ່​ກ່ຽວ​ຂ້ອງ.

ເອກະສານອ້າງອີງ:

  1. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ransomware-maze/
  2. https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html
  3. https://malpedia.caad.fkie.fraunhofer.de/details/win.maze