การโจมตีด้วยแรนซัมแวร์ครั้งใหม่ได้โจมตีธุรกิจต่างๆ ทั่วโลก นักวิจัยด้านความปลอดภัยได้วิเคราะห์มัลแวร์ส่วนใหญ่แล้ว นี่คือบทเรียนหลัก
เกิดอะไรขึ้น
เมื่อวันที่ 27 มิถุนายน Aคลื่นการโจมตีของแรนซัมแวร์เข้าถึงคอมพิวเตอร์นับหมื่นเครื่องในกว่า 65 ประเทศ ยูเครนและรัสเซียได้รับผลกระทบหนักที่สุด บริษัทฝรั่งเศสบางแห่งก็ได้รับผลกระทบเช่นกัน เช่น Saint-Gobain หรือ SNCF ซึ่งทำให้สำนักงานอัยการปารีสต้องเปิดการสอบสวน ตามแคสเปอร์สกี้เมื่อมัลแวร์แพร่ระบาดในคอมพิวเตอร์ มันจะเข้ารหัสข้อมูลทั้งหมดโดยใช้อัลกอริธึม AES 128 และ RSA 2048 จากนั้นจะแก้ไขโซนการบูต (Master Boot Record) จากนั้นทำให้เกิดการรีสตาร์ท คอมพิวเตอร์ถูกบล็อกอย่างสมบูรณ์แล้ว มันแสดงข้อความแจ้งให้ผู้ใช้โอนเงินจำนวน $300 ไปยังที่อยู่ bitcoin
การโจมตีนี้เรียกว่าอะไร?
มีชื่อหมุนเวียนอยู่หลายชื่อ โค้ดมัลแวร์บางส่วนมาจากแรนซัมแวร์ที่รู้จักเรียกว่า Petya นี่คือสาเหตุที่นักวิจัยบางคนเรียกมันว่า "PetrWraper" หรือเรียกง่ายๆ ว่า "Petya" แต่คนอื่นๆ มองว่ามัลแวร์แตกต่างเกินกว่าจะเชื่อมโยงกับ Petya ดังนั้นพวกเขาจึงเรียกมันว่า "NotPetya" หรือ "NyietPetya" อย่างมีเหตุผล ยังมีคนอื่นๆ ที่ใช้ชื่อ "GoldenEye" ด้วยเหตุผลที่ทุกคนไม่รู้จัก ในส่วนที่เหลือของบทความนี้ เราใช้คำว่า NotPetya ซึ่งมีข้อดีคือสามารถออกเสียงได้ง่าย
NotPetya แพร่เชื้อไปยังเหยื่อได้อย่างไร?
ในกรณีของวอนนาคราย, NotPetya กำหนดเป้าหมายไปที่ธุรกิจและองค์กรเป็นหลัก แต่ต่างจากรุ่นก่อนตรงที่มันไม่ได้แพร่กระจายไปทั่วอินเทอร์เน็ต ตามไมโครซอฟต์การติดเชื้อครั้งแรกเกิดขึ้นในยูเครน: แฮกเกอร์ใช้ขั้นตอนการอัปเดตซอฟต์แวร์บัญชี (MEDoc) เพื่อป้อนโค้ดที่เป็นอันตรายลงในเครือข่ายของบริษัทท้องถิ่น
Kaspersky ระบุพาหะของการติดเชื้ออีกประเภทหนึ่ง ได้แก่ เว็บไซต์ของเมือง Bakhmut ของยูเครนในภูมิภาคโดเนตสค์ แฮกเกอร์ควบคุมโฮมเพจในลักษณะที่ทำให้เกิดการดาวน์โหลดไฟล์ปฏิบัติการซึ่งปลอมตัวเป็นอัพเดต Windows แฮกเกอร์อาจใช้เวกเตอร์อื่นๆ เช่น การส่งอีเมลที่ติดกับดัก แต่ในขั้นตอนนี้ มันยังเร็วเกินไปที่จะบอก
https://twitter.com/craiu/status/880011103161524224
NotPetya แพร่กระจายภายในเครือข่ายคอมพิวเตอร์อย่างไร
เมื่อตั้งหลักบนเครื่องภายในเครือข่ายองค์กรได้สำเร็จ NotPetya จะพยายามกระจายไปทั่วเครือข่ายภายในของบริษัทเพื่อดักจับเครื่องอื่น ๆ ด้วยเหตุนี้ มัลแวร์จึงมีข้อจำกัดหลายประการ รวมเครื่องมือแฮ็กสองตัวที่ถูกขโมยจาก NSA ซึ่งเผยแพร่โดยกลุ่มShadowBrokersได้แก่ EternalBlue และ EternalRomance ทั้งสองอย่างช่วยให้คุณควบคุมเครื่องผ่านโปรโตคอล SBMv1 ได้ พวกเขาอาศัยข้อบกพร่องที่ได้รับการแก้ไขเป็นเวลาหลายเดือน
หากเส้นทางโปรโตคอล SMB ไม่สำเร็จ มัลแวร์จะค้นหารหัสผ่านผู้ดูแลระบบในเครื่อง และหากจำเป็น จะพยายามเชื่อมต่อกับเทอร์มินัลอื่นผ่านพอร์ต TCP 139 และ 445 หากตรวจพบเซิร์ฟเวอร์หรือตัวควบคุมโดเมนที่ดีกว่า จะวางไฟล์ปฏิบัติการไว้ที่นั่นซึ่งจะดำเนินการจากระยะไกลโดยใช้เครื่องมือการดูแลระบบระยะไกลของ Microsoft (PSEXEC และ WMIC) ข้อดีของวิธีนี้คือช่วยให้แฮกเกอร์สามารถแพร่เชื้อเครื่องได้แม้ว่าจะมีการอัปเดตความปลอดภัยทั้งหมดก็ตาม
หากเครือข่ายของบริษัทเชื่อมต่อกับพันธมิตร จะไม่มีสิ่งใดป้องกันแฮกเกอร์จากการแพร่ระบาดในองค์กรอื่นด้วยวิธีนี้
เราจะกู้คืนข้อมูลหลังจากจ่ายค่าไถ่หรือไม่?
เลขที่ กระบวนการถอดรหัสก็คือใช้งานไม่ได้โดยสิ้นเชิงเนื่องจาก Posteo เจ้าของที่พักชาวเยอรมันได้ปิดการใช้งานที่อยู่อีเมลเดียวที่เหยื่อควรใช้เพื่อยืนยันการชำระค่าไถ่ หากไม่มีการยืนยันนี้ แฮกเกอร์จะไม่สามารถระบุผู้ชำระเงินได้ ดังนั้น จึงส่งคีย์เข้ารหัสหากพวกเขาตั้งใจจะทำเช่นนั้น
ในส่วนของเขาคือนักวิจัยด้านความปลอดภัยแมตต์ ซุยเช่เชื่อว่าข้อความเรียกค่าไถ่เป็นเพียงสิ่งล่อใจให้ป้อนเครื่องมีเดีย และวัตถุประสงค์ที่แท้จริงของการโจมตีครั้งนี้คือการก่อวินาศกรรม จากการวิเคราะห์ของเขา ข้อมูลในพื้นที่บูตจะไม่ถูกบันทึกไว้ที่ใดเลย แต่จะแทนที่ด้วยอย่างอื่นเท่านั้น ดิสก์จะไม่สามารถกู้คืนได้อยู่ดี“Petya เวอร์ชันปัจจุบันถูกเขียนใหม่ให้เป็นไวเปอร์ ไม่ใช่แรนซัมแวร์”เน้นย้ำถึงผู้เชี่ยวชาญ
จะป้องกันตัวเองอย่างไร?
โซลูชันป้องกันไวรัสส่วนใหญ่ตรวจพบมัลแวร์แล้ว เพื่อป้องกันการแพร่กระจาย ผู้ดูแลระบบเครือข่ายยังสามารถบล็อกการรับส่งข้อมูล SMBv1 และเครื่องมือการดูแลระบบ PSEXEC และ WMIC ได้อีกด้วย ในที่สุด ให้เราชี้ให้เห็นการมีอยู่ของ"วัคซีน"ค้นพบโดยนักวิจัย Amit Serper ก่อนที่จะดำเนินการเข้ารหัสข้อมูล มัลแวร์จะค้นหาว่ามีไฟล์ในเครื่อง (“perfc”) หรือไม่ หากมีอยู่ก็จะหยุดงานหายนะ ดังนั้นคุณเพียงแค่ต้องสร้างไฟล์นี้ขึ้นมาเพื่อไม่ให้ถูกรบกวนอีกต่อไป
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
