LockBit Ransomware 3.0
“Make Ransomware Great Again!”
4 สิงหาคม 2565
LockBit 3.0 (หรือ LockBit Black) ประกาศสโลแกนว่า “Make Ransomwae Great Again!” เป็นการผลิตผลใหม่ในตระกูล LockBit RaaS ซึ่งถือกำเนิดขึ้นในเดือนมิถุนายน 2565 โดยยังคงมุ่งเป้าโจมตีจุดอ่อนที่มีความรุนแรงซึ่งได้ค้นพบก่อนหน้านี้ และการเผยแพร่ข้อมูลที่ Extracted รวมถึงเครื่องมือค้นหารูปแบบใหม่ซึ่งง่ายต่อการค้นหาข้อมูลที่เฉพาะเจาะจงของเหยื่อ
ผู้บุกรุกทางไซเบอร์ใช้เทคนิค LotL (Living-off-the-land) ซึ่งมีอยู่ภายในซอฟต์แวร์และฟังก์ชันต่างๆ ของระบบสำหรับการทำ Post-Exploitation ซึ่งมิใช่เทคนิคใหม่ แต่ได้พบว่าถูกนำมาใช้บ่อยครั้งเพื่อที่จะหลบเลี่ยงการตรวจจับได้ของซอฟต์แวร์ด้านความมั่นคง
ก่อนหน้านี้ในเดือนเมษายน พบผู้ที่มีความเกี่ยวข้องกับ LockBit ได้พยายาม Leverage a VMware command line VMwareXferlogs.exe เพื่อ drop Cobalt Strike โดยสิ่งที่แตกต่างไปในคราวนี้ คือ การเรียกใช้ MpCmdRun.exe แทนโดยยังมีเป้าหมายเช่นเดิม
MpCmdRun.exe เป็นเครื่องมือรูปแบบ Command Line ที่ใช้สำหรับ Carrying Out ฟังก์ชันต่างๆ ของ Microsoft Defender Antivitus ซึ่งรวมถึงการสแกนค้นหามัลแวร์ การเก็บรวบรวมข้อมูล และการเรียกคืนบริการกลับไปยัง เวอร์ชั่นก่อนหน้า เป็นต้น
จากการวิเคราะห์ Incident โดย SentinelOne พบว่า การเริ่มเข้าใช้งานระบบจะเกิดภายหลังการดาวโหลด Payload ของ Cobalt Strike จากเซิร์ฟเวอร์ที่อยู่ในระยะไกลซึ่งจะได้ถูกถอดรหัส (Decrypted) และ Load เข้าสู่ระบบโดยอาศัย Windows Defender
ดังนั้น การนำเครื่องมือใดๆ มาใช้งานภายในองค์กรล้วนจำเป็นต้องได้รับการดูแลเป็นอย่างดี ไม่เว้นแม่แต่ซอฟต์แวร์ด้านความมั่นคง ทั้งนี้ ผลิตภัณฑ์ VMware และ Windows Defender ซึ่งได้ถูกนำไปใช้งานอย่างกว้างขวางภายในองค์กร และอาจตกเป็นเครื่องมือสำคัญแก่บรรดา Threat Actor หากมีการยินยอมให้ปฏิบัติงานนอกเหนือจากการควบคุมด้านความมั่นคง
นอกจากนี้ การค้นพบข้างต้นยังมาพร้อมกับบรรดา IAB (Initial Access Brokers) ที่ประกาศขายข้อมูลการเข้าถึงเครือข่ายขององค์กรและรวมถึงเครือข่ายของ MSP (Managed Sevice Providers) ด้วย ซึ่งทำให้ Threat Actor มีรายได้ .. และเป็นจุดเปลี่ยนในการที่จะ Compromise ลูกค้าที่อยู่ในระดับล่าง (downstream) ลงมา
ในเดือนพฤษภาคม 2565 หน่วยงานด้านความมั่นคงทางไซเบอร์จากทั้งออสเตรเลีย แคนาดา นิวซีแลนด์ สหราชอาณาจักร และสหรัฐอเมริกาได้ประกาศแจ้งเตือนการโจมตีโดยอาศัยช่องโหว่ของ MSP (Managed Service Providers) ซึ่งเป็นการเข้าสู่เครือข่ายของเหยื่อทั้งหลายในระดับสากล
อันเป็นจุดเริ่มต้นของ MSPs และยังคงเป็นหนึ่งในห่วงโซ่อุปทานและที่มีความน่าสนใจและตกเป็นเป้าหมายต่อบรรดาแฮ๊กเกอร์ ซึ่งทำให้องค์กรต่างๆ ต้องเปิดใช้งานระบบ Multi-Factor Authentication (MFA)
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา