กลุ่ม Abyss Locker โจมตี Ransomware ผ่านช่องโหว่อุปกรณ์เครือข่ายที่ไม่ได้รับการแพตช์
- กลุ่มแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ CVE-2021-20038 ในอุปกรณ์ SonicWall VPN ที่ยังไม่ได้รับการแพตช์ช่องโหว่ดังกล่าวและติดตั้งเครื่องมือ Tunneling เพื่อเป็นช่องทางในการเข้าถึงระบบเครือข่ายภายในขององค์กร
- หลังจากนั้นจะมุ่งเป้าไปยังอุปกรณ์ Network-attached Storage (NAS) และ ESXi Server เพื่อขยายขอบเขตการโจมตีให้กว้างขึ้น โดยเฉพาะการโจมตีไปยังระบบ Veeam Backup โดยใช้ PowerShell Script เช่น veeam11[.]ps1 ที่ถูกพัฒนามาจาก Veeam-Get-Creds[.]ps1 ซึ่งเป็น Open-source เครื่องมือ PowerShell เพื่อรวบรวม Credential ของบัญชี Local และ Domain ที่เก็บไว้ในระบบ Veeam Backup พร้อมกับทำการ Dump Windows Security Account Manager (SAM) และ Registry Hives ผ่านการ Remote
- เมื่อแฮกเกอร์ดำเนินการตามข้างต้นแล้วจะปิดการทำงานของระบบรักษาความปลอดภัย Windows Defender และ EDR ผ่านการแก้ไข Registry และ Task Manager หรือใช้สิทธิ์ SYSTEM ตามลำดับ แล้วติดตั้ง UpdateDrv[.]sys ที่อันตรายพร้อม Deploy SophosAV[.]exe and auSophos[.]exe ในการปิดการทำงานของ Endpoint Protection
- สร้าง SSH Tunnel และ SOCKS proxy โดยเครื่องมือ Chisel และ SSH Binary ในการติดต่อสื่อสารระหว่างอุปกรณ์ของเหยื่อและ C2 Server ของแฮกเกอร์ เพื่อติดตั้ง Backdoor ด้วย PowerShell Script ชื่อ deploy443[.]ps1
- ในการขโมยข้อมูลแฮกเกอร์ใช้ Rclone ที่ปลอมเป็น ltsvc[.]exe ในการ Copy ข้อมูลต่าง ๆ และส่งไปยัง AWS และ BackBlaze Cloud Storage
- สุดท้ายแฮกเกอร์ทำการ Encrypt ไฟล์ทั้งหมดด้วยนามสกุล .Abyss สำหรับ Windows และ .crypt สำหรับ ESXi พร้อมวางโน้ตเรียกค่าไถ่ในรูปแบบของไฟล์ .txt นอกจากนี้ยังทำการลบ Volume Shadow Copy เพื่อป้องกันไม่ให้เหยื่อสามารถกู้คืนข้อมูลได้
ผลกระทบจากการโจมตี
จากการโจมตีของกลุ่มแฮกเกอร์ Abyss Locker Ransomware ส่งผลให้สามารถเข้าถึงข้อมูล Sensitive ของเหยื่อ เช่น ข้อมูล Credential ของบัญชี Local และ Domain นอกจากจะมีผลกระทบเกี่ยวกับข้อมูลแล้วอาจเข้าควบคุมระบบได้ทั้งหมดอีกด้วย ซึ่งส่งผลให้เหยื่อหรือองค์กรนั้น ๆ สูญเสียชื่อเสียง และเสียค่าใช้จ่ายเพื่อแก้ไขและปรับปรุงมาตรการความปลอดภัยต่าง ๆ เพิ่มเติม
สรุปการโจมตี
การโจมตีเริ่มต้นจากแฮกเกอร์อาศัยประโยชน์จากช่องโหว่ในอุปกรณ์เครือข่ายที่ไม่ได้รับการแพตช์ของเหยื่อในการสร้างช่องทางการเข้าถึง และขยายขอบเขตการโจมตีไปยังอุปกรณ์อื่น ๆ และระบบ Backup ของเหยื่อ พร้อมปิดการใช้งานมาตราการความปลอดภัยต่าง ๆ เพื่อหลีกเลี่ยงการตรวจจับ เมื่อแฮกเกอร์ดำเนินการโจมตีเสร็จจะ Encrypt ไฟล์ และเรียกค่าไถ่จากเหยื่อต่อไป
คำแนะนำ
- หมั่นอัปเดตและตรวจสอบแพตช์ความปลอดภัยของอุปกรณ์เครือข่าย เช่น SonicWall
- ใช้ Multi-Factor Authentication สำหรับการเข้าถึงบัญชีภายในระบบ
- จำกัดการรับส่งข้อมูลเฉพาะ IP Address และ Protocol ที่จำเป็น
- ตรวจสอบการทำงานและไฟล์เพื่อตรวจจับกิจกรรมที่ผิดปกติ
- พิจารณาการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
- ทำการ Full-Scan ที่ Endpoint ทุก ๆ ครั้งต่อสัปดาห์ เพื่อป้องกันไฟล์อันตราย
- เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
- หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำได้
แหล่งอ้างอิง
https://www.sygnia.co/blog/abyss-locker-ransomware-attack-analysis/
