พบการใช้มัลแวร์ Ebyte Ransomware ในการโจมตีไปยังผู้ใช้งาน Windows

1. วิธีที่แฮกเกอร์เข้าถึงระบบของเหยื่อยังไม่แน่ชัด แต่คาดว่าแฮกเกอร์อาจใช้การโจมตีรูปแบบ Email Phishing ที่แนบไฟล์เอกสาร Office อันตรายซึ่งปลอมเป็นเอกสารทางธุรกิจที่ดูน่าเชื่อถือ นอกจากนี้แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ Windows ร่วมด้วย
2. เมื่อเหยื่อเปิดไฟล์ มัลแวร์นี้จะทำการส่ง Locker ID และ Timestamp ไปยัง C2 Server ของแฮกเกอร์ผ่าน API Endpoint ต่าง ๆ เช่น /dashboard-data, /launch, /graph-data, /mini-graphs-data และ /generate-locker พร้อมแก้ไข Registry และทำ Scheduled Task เพื่อรักษาการคงอยู่บนระบบ
3. หลังจากนั้นสแกนหา Drive ที่มีอยู่บนระบบทั้งหมดของเหยื่อ และ Encrypt ไฟล์ในแต่ละ Drive ด้วย filewalker[.]EncryptDirectory() ยกเว้นไฟล์หรือ Directory ที่อาจส่งผลต่อความเสถียรของระบบ เช่น boot[.]ini, Windows และ System32 ซึ่งการ Encryption ดำเนินการตามกระบวนการดังนี้:
   • สร้าง Key และ Nonce ของ ChaCha20 Encryption โดยใช้ ECIES
   • ทำการ Encrypt ไฟล์ต่าง ๆ ด้วย ChaCha20 Stream Cipher
   • เปลี่ยนนามสกุลไฟล์เป็น "[.]EByteLocker"
4. แฮกเกอร์ทำการดาวน์โหลดภาพพื้นหลังค่าไถ่ผ่าน PowerShell ใช้ Windows API เพื่อตั้งค่าภาพพื้นหลังใหม่และสร้างไฟล์โน้ตเรียกค่าไถ่ชื่อ "Decryption Instructions[.]txt" ไว้ในหลายๆ ตำแหน่งเพื่อเตือนเหยื่อว่าเครื่องของเหยื่อถูกโจมตีเป็นที่เรียบร้อยแล้ว พร้อมส่งข้อมูลต่าง ๆ ของเหยื่อไปยัง C2 Server เพื่อการติดตามการกระทำของเหยื่อ

รูปที่ 1: ตัวอย่างภาพพื้นหลังใช้ในการแจ้งเตือนเหยื่อ

ผลกระทบจากการโจมตี

จากการโจมตีด้วยมัลแวร์ Ebyte Ransomware ส่งผลให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัวของเหยื่อ เช่น ข้อมูลทางการเงิน และข้อมูล Credential นอกจากจะมีผลกระทบเกี่ยวกับข้อมูลแล้วแฮกเกอร์อาจเข้าควบคุมระบบได้ทั้งหมดอีกด้วย ซึ่งส่งผลให้เหยื่อหรือองค์กรนั้น ๆ สูญเสียชื่อเสียง และเสียค่าใช้จ่ายเพื่อแก้ไขและปรับปรุงมาตรการความปลอดภัยต่าง ๆ เพิ่มเติม

สรุปการโจมตี

ในวิธีการเข้าถึงระบบภายในของเหยื่อยังไม่เป็นที่แน่ชัดแต่คาดว่าใช้วิธีการโจมตี Email Phishing หลังจากเหยื่อทำการเปิดไฟล์ที่อันตราย มัลแวร์จะเริ่มกลไกการทำงานต่าง ๆ ได้แก่ การสร้างช่องทางการติดต่อกับ C2 Server การสแกนทั้งระบบ การ Encrypt ไฟล์ต่าง ๆ และการส่งข้อมูลของเหยื่อไปยังแฮกเกอร์

คำแนะนำ

• Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
• เปิดใช้งาน Mail Gateway เพื่อป้องกันอีเมลและลิงก์ที่อันตราย
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• พิจารณาการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
• ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
• ใช้ Multi-Factor Authentication (MFA) เพื่อลดโอกาสในการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
• เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
• หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำได้

แหล่งอ้างอิง

https://cybersecuritynews.com/new-ebyte-ransomware-attacking-windows-users/

https://securityonline.info/ebyte-ransomware-a-new-go-based-threat-with-advanced-encryption-techniques/

https://www.cyfirma.com/research/go-language-based-ebyte-ransomware-a-brief-analysis/