เมนู

Ransomware ALPHV โจมตีในกลุ่มผู้ใช้ Veritas Backup Exec

3. Veritas

แนะนำให้ update เป็น Version 21.2 และเปิดใช้งาน Multi-factor authentication

9 เมษายน 2566

หน่วยงานด้านรักษาความปลอดภัยทาง Cybersecurity Mandiant ได้ประกาศพบกลุ่ม Ransomware ใหม่ในชื่อ ALPHVหรือBlackcat ransomware ภายใต้ชื่อ “UNC4466” กำลังมุ่งเป้าโจมตีไปยังผู้ใช้ผลิตภัณฑ์ Veritas Backup Exec Version 21.0

ก่อนหน้าเมื่อ เดือนธันวาคม2021 กลุ่ม ALPHV เป็นส่วนหนึ่งของเครือข่าย Darkside และ Black matter หากแต่ได้ยุติบทบาทลงเนื่องด้วยถูกกวาดล้างอย่างหนักจากหน่วยงานของรัฐบาลสหรัฐอเมริกา

ช่องโหว่ที่เกิดขึ้นเมื่อเดือนตุลาคม 2022 รายละเอียดดังนี้

  • CVE-2021-27876 – CVE-2021-27878 (CVSS:8.1/8.2/8.8) : คือข้อผิดพลาดในการตรวจสอบ authentication SHA โดยยินยอมให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงสิทธิใช้งานจากภายนอกได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ

ถึงแม้ว่าทาง Veritas Backup ได้ออกแพทช์ใหม่เมื่อเดือน มีนาคม 2021 ด้วย Version 21.2 แต่ยังคงพบช่องโหว่ดังกล่าวในเครื่องที่ติดตั้ง “Symantec/Veritas Backup Exec ndmp” service มากกว่า บนเครือข่ายอินเตอร์เนต มากกว่า 8500 IP ซึ่งยังคงใช้ default port 10000, port 9000 and port 10001

โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีเข้าถึงจากระยะไกลมุ่งไปยัง Windows server platform ที่ติดตั้ง Veritas Backup Exec version21.0 โดยใช้ Metasploit Module ในการเข้าสวมสิทธิ จากนั้นใช้ tools “Advanced IP Scanner and ADRecon” เป็นเครื่องมือในการเจาะระบบ แล้วทำการใช้ BITS (Background Intelligent Transfer Service) เพื่อดาวน์โหลด tools ในชื่อ “LAZAGNE, LIGOLO, WINSW, RCLONE” เป็นการปิดฟังก์ชั่นความปลอดภัยของระบบ หลังจากนั้นเข้ารหัสด้วย ALPHV ransomware

ถ้าหากผู้โจมตี (UNC4466) ดำเนินการสำเร็จจะใช้ SOCKS5 Tunneling เป็นช่องทางสื่อสารกับ Command and control server (C2) และใช้ Tools ชื่อ Mimikatz, LaZagne และ Nanodump เพื่อปิดระบบ Microsoft Defender รวมถึงลบ Logs ต่างๆ ใน Windows ของ

ท้ายสุดทาง Mandiant แนะนำถึงแยกเครือข่ายให้จำกัดการเข้าถึงและเปิดฟังก์ชั่น Multi-factor authentication รวมถึงทำการตรวจสอบสิทธิ ทดสอบระบบสำรองข้อมูลเป็นประจำ หมั่นตรวจสอบ service ที่เปิดบริการการเข้าถึงจากภายนอก ทั้งนี้เพื่อเป็นการป้องกันผลกระทบต่อผู้โจมตีที่อาจเกิดขึ้นได้