93/68 (IT) ประจำวันจันทร์ที่ 10 มีนาคม 2568
ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก S-RM ได้เปิดเผยเทคนิคใหม่ที่กลุ่มแรนซัมแวร์ Akira ใช้เพื่อโจมตีเครือข่ายของเหยื่อ โดยอาศัยช่องโหว่ของอุปกรณ์ IoT ที่ไม่มีการป้องกัน เช่น เว็บแคม และเครื่องสแกนลายนิ้วมือ เพื่อหลีกเลี่ยงการตรวจจับของระบบ Endpoint Detection and Response (EDR) โดยก่อนหน้านี้ Akira พยายามโจมตีโดยใช้เครื่องมือรีโมต เช่น AnyDesk และ RDP แต่ถูกระบบ EDR สกัดกั้นไว้ได้ ทำให้พวกเขาหันไปใช้ช่องโหว่ของอุปกรณ์ IoT ในเครือข่ายแทน
รายงานระบุว่ากลุ่ม Akira เริ่มต้นด้วยการใช้เครื่องมืออย่าง AnyDesk เพื่อขโมยข้อมูล จากนั้นพยายามติดตั้งแรนซัมแวร์ผ่านเซิร์ฟเวอร์โดยใช้โปรโตคอล RDP แต่เมื่อถูกระบบ EDR สกัดกั้น พวกเขาจึงหันไปใช้เว็บแคมที่ทำงานบนระบบปฏิบัติการ Linux ซึ่งไม่มีการตรวจสอบหรือป้องกันที่เพียงพอ ทำให้ Akira สามารถเข้ารหัสข้อมูลในเครือข่ายของเหยื่อได้โดยไม่มีการแจ้งเตือนใด ๆ และทีมรักษาความปลอดภัยขององค์กรไม่สามารถตรวจจับปริมาณข้อมูลที่ผิดปกติจากอุปกรณ์เหล่านี้ได้ ส่งผลให้มัลแวร์แพร่กระจายไปทั่วระบบ ข้อมูลถูกเข้ารหัสรวมถึงเซิร์ฟเวอร์สำคัญที่ใช้ VMware ESXi
การโจมตีนี้ชี้ให้เห็นถึงความเสี่ยงของอุปกรณ์ IoT ที่มักถูกมองข้ามในการวางระบบความปลอดภัย แม้ระบบ EDR จะเป็นเครื่องมือสำคัญในการป้องกัน แต่ช่องว่างในการกำหนดค่าที่ไม่สมบูรณ์ ก็ทำให้ผู้โจมตีสามารถหลบเลี่ยงได้ ทีมวิจัยได้แนะนำให้องค์กรต่าง ๆ ปรับปรุงกลยุทธ์ความปลอดภัยด้วยการปิดอุปกรณ์ IoT เมื่อไม่ใช้งาน แบ่งส่วนเครือข่ายเพื่อจำกัดการเข้าถึง และอัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอ รวมถึงตรวจสอบการรับส่งข้อมูลบนเครือข่ายเพื่อตรวจจับความผิดปกติ
กลุ่มแรนซัมแวร์ Akira เริ่มปฏิบัติการตั้งแต่เดือนมีนาคม 2023 และได้โจมตีองค์กรในหลายอุตสาหกรรม เช่น การศึกษา การเงิน และอสังหาริมทรัพย์ โดยพัฒนารูปแบบการโจมตีที่ซับซ้อนขึ้นเรื่อย ๆ รวมถึงการเปลี่ยนมาใช้ภาษา C++ แทน Rust เพื่อเพิ่มประสิทธิภาพในการโจมตีในวงกว้าง ดังนั้นองค์กรจะต้องตื่นตัวและปรับปรุงระบบป้องกันให้ทันสมัยอยู่เสมอ
แหล่งข่าว : https://securityaffairs.com/175103/cyber-crime/akira-ransomware-gang-used-unsecured-webcam-bypass-edr.html
