413/66 (IT) ประจำวันพุธที่ 13 กันยายน 2566
นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เปิดเผยงานวิจัยเกี่ยวกับกิจกรรมของกลุ่มแรนซัมแวร์ชื่อดังที่รู้จักกันในชื่อ Cuba ซึ่งเป็นหลุ่มที่มุ่งเป้าไปที่องค์กรต่าง ๆ ทั่วโลก และครอบคลุมไปยังอุตสาหกรรมต่าง ๆ โดยเริ่มจากในเดือนธันวาคม 2022 Kaspersky ได้ตรวจพบเหตุการณ์ที่น่าสงสัยในระบบของลูกค้า การค้นพบครั้งแรกนี้ ได้ค้นพบไฟล์ลึกลับจำนวน 3 ไฟล์ที่นำไปสู่การเปิดใช้งานไลบรารี komar65 หรือที่เรียกว่า BUGHATCH ซึ่งเป็นแบ็คดอร์ที่ซับซ้อน ทำงานในหน่วยความจำ โดยเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) และมัลแวร์นี้สามารถดาวน์โหลดซอฟต์แวร์ เช่น Cobalt Strike Beacon และ Metasploit และการใช้ช่องโหว่ในซอฟต์แวร์สำรองข้อมูล Veeamp การสืบสวนของ Kaspersky ยังพบว่ามีสมาชิกที่ใช้ภาษารัสเซียอยู่ภายในกลุ่ม โดยการอ้างอิงได้จากโฟลเดอร์ที่มีชื่อว่า “komar” ซึ่งแปลว่า “ยุง” ในภาษารัสเซีย โดยกลุ่มได้เพิ่มขีดความสามารถของมัลแวร์ด้วยโมดูลเพิ่มเติม รวมถึงโมดูลที่รับผิดชอบในการรวบรวมและส่งข้อมูลระบบไปยังเซิร์ฟเวอร์ผ่านคำขอ HTTP POST นอกจากนี้ Kaspersky ยังค้นพบตัวอย่างมัลแวร์ใหม่ที่เป็นของ Cuba ใน VirusTotal ซึ่งบางส่วนได้หลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยของบริษัทรายอื่น ตัวอย่างเหล่านี้แสดงถึงมัลแวร์ BURNTCIGAR เวอร์ชันอัปเดต ซึ่งรวมข้อมูลที่เข้ารหัสไว้เพื่อหลีกเลี่ยงการตรวจจับโปรแกรมป้องกันไวรัส
Cuba ซึ่งเป็นแรนซัมแวร์สายพันธุ์ไฟล์เดียว ทำงานโดยไม่มีไลบรารี่เพิ่มเติม ทำให้การตรวจจับเป็นได้ยาก กลุ่มที่ใช้ภาษารัสเซียนี้ตั้งเป้าไปที่อุตสาหกรรมต่าง ๆ ทั่วอเมริกาเหนือ ยุโรป และเอเชีย โดยใช้เครื่องมือแฮกทั่วไป และชุดเครื่องมือที่พัฒนาขึ้นเอง และใช้กลยุทธ์เช่น BYOVD (Bring Your Own Vulnerable Driver) โดยเฉพาะอย่างยิ่ง พวกเขาจัดการการประทับเวลาการรวบรวมเพื่อทำให้ผู้ตรวจสอบเข้าใจผิด ซึ่งในรายงาน Kaspersky เน้นย้ำถึงความสำคัญของการรับทราบข้อมูล และการปฏิบัติต่อภัยคุกคามทางไซเบอร์ที่กำลังพัฒนาอย่างต่อเนื่อง และสนับสนุนให้องค์กรต่าง ๆ ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเพื่อป้องกันแรนซัมแวร์
แหล่งข่าว https://www.infosecurity-magazine.com/news/cuba-ransomware-undetectable/
