173/67 (IT) ประจำวันพุธที่ 15 พฤษภาคม 2567
ผู้เชี่ยวชาญรายงานว่าตั้งแต่เดือนเมษายนที่ผ่านมา กลุ่มที่เป็นภัยคุกคามใช้ บ็อตเน็ต Phorpiex ส่งอีเมลฟิชชิ่งนับล้านเพื่อแพร่กระจายแรนซัมแวร์ LockBit Black โดยตัวบอตเน็ตดังกล่าว มีการใช้งานมาตั้งแต่ปี 2559 โดยมีส่วนเกี่ยวข้องกับ แคมเปญสแปม และการโจมตีแรนซัมแวร์ในอดีต ซึ่งในเดือนสิงหาคม 2559 กลุ่มภัยคุกคามที่เป็นผุ้ใช้งานบอตเน็ต Phorpiex ได้ปิดการดำเนินการแล้ว แต่มีการขายซอร์สโค้ดของบอตเน็ตในเว็บตลาดมืด
ในเดือนธันวาคม 2559 ผู้เชี่ยวชาญจาก Check Point Research ได้พบการฟื้นตัวของบอตเน็ต Phopiex โดยมีตัวแปรใหม่ที่เรียกว่า “Twizt” สามารถทำงานได้โดยไม่ต้องมีเซิร์ฟเวอร์ C2 ที่ใช้งานอยู่ในโหมดเพียร์ทูเพียร์คอมพิวเตอร์ที่ติดมัลแวร์ แต่ละเครื่องสามารถทำหน้าที่เป็นเซิร์ฟเวอร์และส่งคำสั่งไปยังบอทอื่น ๆ ในเครือได้ ผู้เชี่ยวชาญคาดการณ์ว่าในหนึ่งปีจะสามารถขโมยสินทรัพย์ crypto มูลค่า 500,000 ดอลลาร์ได้ ทั้งนี้ อีเมลที่ส่งในแคมเปญเดือนเมษายนที่ผ่านมา มีไฟล์แนบ ZIP และส่งโดยที่อยู่เดียวกันคือ “JennyBrown3422[@]gmail[.]com” และ “Jenny[@]gsd[.]com” ไฟล์เก็บถาวร ZIP มีเพย์โหลดปฏิบัติการที่ถูกบีบอัด ซึ่งหากดำเนินการแล้ว จะเริ่มกระบวนการเข้ารหัสด้วยแรนซัมแวร์ LockBit Black กรณีที่สังเกตได้ที่เกี่ยวข้องกับแคมเปญนี้มาพร้อมกับบอตเน็ต Phorpiex ซึ่งส่งเพย์โหลดแรนซัมแวร์ มีการระบุที่อยู่ IP การส่งที่ไม่ซ้ำกันกว่า 1,500 รายการ ซึ่งหลายแห่งระบุตำแหน่งไว้ที่คาซัคสถาน อุซเบกิสถาน อิหร่าน รัสเซีย จีน และประเทศอื่นๆ โดย IP ที่ระบุที่โฮสต์ไฟล์ปฏิบัติการ LockBit คือ 193[.]233[.]132[.]177 และ 185[.]215[.]113[.]66 หัวเรื่องอีเมลจะเขียนว่า “your document” หรือ “photo of you???”
คำแนะนำเพื่อป้องกันแคมเปญแรนซัมแวร์ดังกล่าว มีดังนี้:
1. จัดการอบรมการตระหนักรู้ด้านความปลอดภัย : เพื่อปรับปรุงกลไกการป้องกัน และรับรู้สัญญาณที่อาจเกิดขึ้นจากการสื่อสารที่เป็นอันตราย
2. การจัดการรหัสผ่าน : ใช้รหัสผ่านที่รัดกุมและไม่ซ้ำกัน และใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) ทุกครั้ง
3. การอัปเดตระบบ : คอยอัปเดตระบบและใช้แพตช์ทันทีหลังจากการทดสอบอย่างละเอียดเพื่อแก้ไขช่องโหว่
แหล่งข่าว https://securityaffairs.com/163109/malware/phorpiex-botnet-lockbit-black-ransomware.html
