จากบทความเรื่อง LockBit Ransomware as a Service มัลแวร์เรียกค่าไถ่ รุ่นต่อไป ก่อนหน้านี้ ทุกๆท่านคงได้รู้จัก LockBit กันไปบ้างแล้ว แต่เนื่องจากสถานการณ์ปัจจุบันมีข่าวการติดไวรัส Ransomware ที่ซื่อว่า LockBit 2.0 ออกมาอย่างต่อเนื่อง ทีม SOC ของ INETMS จึงได้รวบรวมข้อมูลและสรุปเป็นบทความเพื่อให้ทราบถึงพฤติกรรมการทำงานของไวรัส และแนวทางในการป้องกัน

มัลแวร์คืออะไร?

มัลแวร์เป็นชื่อโปรแกรมคอมพิวเตอร์ที่เป็นอันตรายมีหลากหลายแบบ เช่น ไวรัส โทรจัน เวิร์ม หรือ อื่นๆ ที่ Hacker หรือผู้ไม่หวังดีใช้เพื่อทำลาย และเข้าถึงข้อมูลของเครื่องเหยื่อ ในบทความนี้อาจจะมีการใช้คำว่าไวรัส หรือมัลแวร์ ผสมกันตามความเหมาะสมของเนื้อหา

LockBit 2.0 คืออะไร?

มัลแวร์ประเภท Ransomware ที่พัฒนามาจาก LockBit file-locking ซึ่งมัลแวร์ตัวนี้ออกแบบมาเพื่อโจมตีเป้าหมายที่เป็นบริษัทขนาดใหญ่ โดยจะเข้ารหัสไฟล์ทั้งหมดบนระบบเป้าหมายและไดรฟ์ที่เชื่อมต่อโดยใช้อัลกอริทึมการเข้ารหัสที่มีความซับซ้อนระดับที่ใช้เป็นมาตราฐานทางการทหาร (AES + ECC) ทำให้เหยื่อไม่สามารถใช้งานข้อมูลได้ เนื่องจากไฟล์ไม่สามารถเปิดหรือแก้ไขได้อีกต่อไป ไวรัสจะทำเครื่องหมายแต่ละชื่อไฟล์ด้วยนามสกุล .lockbit เช่น ถ้าไฟล์ของเหยื่อเดิมชื่อ 1.jpg เมื่อถูกเข้ารหัสจะปรากฏเป็น 1.jpg.lockbit

ในการโจมตี LockBit จะทิ้ง Ransom-note หรือจดหมายเรียกค่าไถ่ Restore-My-Files.txt พร้อมกับไฟล์ LockBit_Ransomware.hta ซึ่งจะเปิดขึ้นในหน้าต่าง Pop-up และไวรัสยังเปลี่ยนวอลเปเปอร์เดสก์ท็อปของ Windows เพื่อแสดงเนื้อหาของจดหมายเรียกค่าไถ่

นอกจากนี้แฮกเกอร์ผู้ดำเนินการจะอ้างว่าได้ขโมยข้อมูลของเหยื่อนอกเหนือจากการเข้ารหัส โดยแนะนำให้เหยื่อไปตรวจสอบข้อมูลได้ที่เว็บไซต์ของ LockBit ซึ่งเว็บไซต์ดังกล่าวนี้ไม่สามารถเข้าได้จาก Browser ที่เราใช้งานกันปกติ จะต้องเข้าผ่าน Tor Browser

บล็อก LockBit 2.0 แสดงข้อมูลบริษัทที่ตกเป็นเหยื่อ

บล็อก LockBit แสดงข้อมูลบริษัทที่ตกเป็นเหยื่อ [1]

LockBit 2.0 Ransomware เข้ามาในระบบคอมพิวเตอร์ของเราได้อย่างไร?

การเข้าไปยังระบบเครือข่ายของเหยื่อส่วนมากจะใช้วิธีที่คล้ายๆ กัน เช่น การสุ่มรหัสผ่าน การเข้าใช้งานผ่านผู้ใช้งานทั่วไป Insider threat เป็นต้น

การสุ่มรหัสผ่านหรือที่เรียกว่า Brute force คือการสุ่มรหัสเพื่อทำการ Login ไปเรื่อยๆ ถ้าระบบไม่ได้ทำ Password policy เช่น คุณภาพของการตั้ง Password จำนวนความยาวของ Password หรือ Lock password เมื่อมีการใส่รหัสผิดเป็นต้น ก็จะทำให้ Hacker สามารถเข้าถึงระบบได้ง่าย

บางท่านอาจจะบอกว่าระบบที่ใช้งานอยู่ไม่ได้เปิดให้เข้าถึงจาก Internet ได้โดยตรง ต้อง VPN เข้ามาก่อน อันนี้ก็อย่าพึ่งวางใจเพราะว่าเคยมีเหตุการณ์ที่ VPN มีช่องโหว่ทำให้ Hacker สามารถรัน Script ดึงข้อมูล User และ Password ออกไปได้

อีกกรณีที่จะทำให้ Ransomware เข้ามายังระบบภายในองค์กรได้ คือ เข้าผ่านผู้ใช้งานทั่วไปซึ่งวิธีการก็ไม่ยาก เช่น ส่ง Email ที่มีมัลแวร์แฝงอยู่หรือที่เรียกว่า Phishing Email เมื่อผู้ใช้งานเปิดดู Email มัลแวร์ก็จะถูกติดตั้งในเครื่อง

จากนั้นมัลแวร์ก็จะสร้างช่องทางเพื่อติดต่อกลับไปยัง Hacker เพื่อดำเนินกิจกรรมต่างๆ เช่น การสร้างแผนผังของเครือข่าย การค้นหาข้อมูลที่สำคัญ รวมถึงการขนข้อมูลออก และการเข้ารหัสข้อมูล โดยลัษณะการทำงานเช่นนี้เราจะเรียกว่า Human operate ransomware

ส่วนวิธีการสุดท้ายแต้จะท้ายสุดหรือไม่ คือ Insider threat ภัยคุกคามที่เกิดขึ้นจากภายในองค์กร ตามนิยามจะแบ่งออกเป็น 3 ประเภทคือ

Compromised Users คือคนในองค์กรถูก Hack รหัสผ่าน และHacker ใช้ข้อมูลที่ได้ในการเข้ามาโจมตีระบบ

Careless Users พนักงานไม่ปฏิบัติตาม Policy เช่น ไม่ Lock หน้าจอคอมพิวเตอร์ หรือแชร์ Password ให้เพื่อนร่วมงานใช้

Malicious Users พนักงานตั้งใจขโมยข้อมูลที่สำคัญขององค์กร์ไปขาย ซึ่ง LockBit ก็เคยเปิดรับสมัครคนในองค์กรต่างๆ ที่จะทำหน้าที่เป็น Insider threat [2]

Memes: medieval knight with arrow in eye slot Edit By INETMS

Memes: medieval knight with arrow in eye slot
Edit By INETMS
LockBit 2.0 Ransomware เข้ามาแล้วทำอะไรบ้าง?

เป้าหมายหลักของ LockBit คือเพื่อโจมตีบริษัทขนาดใหญ่ โดยมีเจตนาที่จะรีดไถเงินจำนวนมหาศาล ดังนั้นวิธีการจึงมีความรอบคอบและซับซ้อน ประกอบกับ LockBit 2.0 เป็นการให้บริการ Ransomware as a Service (RaaS) ซึ่งหมายความว่าการโจมตีอาจจะมีผู้ร่วมดำเนินการหลายคน (มีการแบ่งเงินให้ตามสัดส่วนการทำงาน) แต่พฤติกรรมหลักที่มักจะทำคือ สร้าง Network Diagram เพื่อค้นหาเครื่องที่เป็น Domain Controller จากนั้นจะพยายามเข้ายึดเครื่อง และดำเนินการ Deploy policy เพื่อปิดระบบความปลอดภัย เช่น Windows defender หรือทำการเปิด Remote desktop ให้สามารถเข้าถึงเครื่องได้โดยสะดวก รวมถึงในชุดการทำงานของ Lockbit 2.0 ยังมี StealBit Trojan ซึ่งสามารถใช้เพื่อสร้างการเข้าถึงและขโมยข้อมูลส่งออกไปยังภายนอกอีกด้วย

เนื้อหาจดหมายเรียกค่าไถ่ Restore-My-Files.txt

เนื้อหาจดหมายเรียกค่าไถ่ Restore-My-Files.txt [3]

การตรวจสอบ
  • ค้นหาไฟล์ Ransomware executable ด้วย Master File Table (MFT)
  • ติดตามข่าวสารเกี่ยวกับ Ransomware และเรียนรู้เกี่ยวกับพฤติกรรมของตัวมัน
  • ตั้งค่าการเก็บ Log และ alert ของทุก ๆ เหตุการณ์ที่ผิดปกติ
  • วิเคราะห์ Log ของการเชื่อมต่อด้วย Remote Desktop Protocol (RDP) อย่างละเอียด
  • คอยดูว่ามีการใช้บัญชีของบุคคลภายในองค์กรเข้ามากระทำการใด ๆ ที่ผิดปกติทั้ง ในและนอกเวลางาน
แนวทางการป้องกัน
  • ใช้วิธีการทำ Policy แบบ Least privilege เพื่อลดความเสี่ยงในการใช้งาน
  • ตรวจสอบช่องโหว่ และทดสอบเจาะระบบเพื่อประเมินความเสี่ยงในการถูกโจมตี หรือภัยคุกคามทางไซเบอร์
  • สำรองข้อมูลและแยกเก็บ เพื่อป้องกันในกรณีที่ข้อมูลที่สำรองไว้ถูกเข้ารหัส
  • ติดตั้ง Patch เพื่อปิดช่องโหว่เพื่อลดโอกาสในการโจมตีจาก Hacker
  • ใช้บริการศูนย์เฝ้าระวังความปลอดภัยระบบคอมพิวเตอร์ และสาระสนเทศ (Security Operation Center: SOC) รวมถึงจัดทำแผนในการตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cyber Security Incident Response) เพื่อให้สามารถตอบสนองต่อเหตุการณ์ได้อย่างถูกต้อง และรวดเร็ว เพื่อลดความเสียหาย
ขั้นตอนปฏิบัติเมื่อเครื่องภายในองค์กรของท่านติด LockBit 2.0 Ransomware
  1. แจ้งไปยังหน่วยงานที่เกี่ยวข้องกับความมั่นคงทางไซเบอร์
  2. แยกอุปกรณ์ที่ติด ransomware ดังนี้
    • ปิดการเชื่อมต่ออินเทอร์เน็ต
    • ถอด storage device ทุกตัว
    • Log out ออกจากบัญชี Cloud storage
  3. ระบุชนิดการแพร่ระบาดของ ransomware สามารถทำได้ที่ https://id-ransomware.malwarehunterteam.com/
  4. ค้นหาอุปกรณ์สำหรับถอดรหัส ransomware สามารถทำได้ที่ https://www.nomoreransom.org/en/decryption-tools.html
  5. กู้คืนไฟล์ด้วยอุปกรณ์กู้คืนข้อมูล
  6. สร้าง Back up ข้อมูลขึ้นมา

อ้างอิง

[1] https://blog.cyble.com/2021/08/16/a-deep-dive-analysis-of-lockbit-2-0/

[2] https://www.bleepingcomputer.com/news/security/lockbit-ransomware-recruiting-insiders-to-breach-corporate-networks/

[3] https://geeksadvice.com/remove-lockbit-2-0-ransomware-virus/

[4] https://www.trendmicro.com/en_us/research/21/h/lockbit-resurfaces-with-version-2-0-ransomware-detections-in-chi.html

[5] https://www.2-spyware.com/remove-lockbit-2-0-ransomware.html

[6] https://www.pcrisk.com/removal-guides/21605-lockbit-2-0-ransomware

[7] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/tales-from-the-trenches-a-lockbit-ransomware-story/#Initial%20Access

[8] https://threatpost.com/lockbit-ransomware-proliferates-globally/168746/

บริการ Security