เตือนภัย !!! โรงพยาบาลตกเป็นเป้าโจมตีของ Ransomware

“Phishing E-mails” ที่แนบมากับเอกสาร Google doc, PDF หรือเอกสารอื่น ๆ

นักวิจัยได้แจ้งเตือนถึงการโจมตีของ Malware ตระกูล  Kegtap, Singlemalt และ Winekey ที่มุ่งเป้าหมายการโจมตีไปที่โรงพยาบาล เพื่อทำการปล่อย “Ryuk ransomware” เข้าสู่ระบบ  

นักวิจัยได้ระบุเกี่ยวกับกลยุทธ์ของ Malware เหล่านี้ 

ใช้ “Phishing E-mails” ที่แนบมากับเอกสาร Google doc, PDF หรือเอกสารอื่น ๆ ซึ่งแฝง Link ที่ดาวน์โหลด Malware Kegtap, Singlemalt และ Winekey ทำหน้าที่เป็นด่านแรก ซึ่งจะสร้าง Foothold ก่อนจะดึง Malware เพื่อทำการโจมตีต่อไป 

ในกรณีนี้ Hacker จะดาวน์โหลด Penetration-testing Frameworks เช่น Cobalt Strike, Beacon หรือ Powertrick เพื่อสร้างสถานะ หลังจากการโจมตีครั้งแรก ซึ่ง Cobalt Strike ช่วยรักษาสถานะของMalware หลังจากทำการ Reboot นอกจากนี้ยังใช้ Beacon เพื่อปรับใช้“ cmdlet Register-MaliciousWmiEvent ของ PowerLurk เพื่อ Register WMI Event ที่ใช้ Kill Processes ที่เกี่ยวข่องกับ Tool และ Utilities ที่เกี่ยวกับความปลอดภัย รวมถึง Task Manager, WireShark, TCPView, ProcDump, Process Explorer, Process Monitor, NetStat, PSLoggedOn, LogonSessions, Process Hacker, Autoruns, AutorunsSC, RegEdit และ RegShot 

เป้าหมายหลักของการโจมตีครั้งนี้คือ การปล่อย “Ryuk Payload” 

“มีหลักฐานที่บ่งชี้ว่า Ryuk ransomware น่าจะติดตั้งผ่าน PsExec   แต่ Script หรือ Artifacts อื่น ๆ ที่เกี่ยวข้องกับกระบวนการแพร่กระจายไม่สามารถใช้สำหรับการวิเคราะห์ทางนิติวิทยาศาสตร์ได้” นักวิจัยกล่าว 

กุญแจสำคัญในการหยุดการโจมตีเหล่านี้ คือการป้องกัน Privileged Accounts จากการLateral Movement, Block Internet Service ที่ไปยังเครื่อง Server หากทำได้, Block Newly Registered Domains โดยใช้ไฟล์ DNS หรือ Web Proxies และ Update Patch สำหรับ Windows นอกเหนือจากเครือข่าย  

อ่านข้อมูลเพิ่มเติมได้ที่ : https://www.fireeye.com/blog/threat-research/2020/10/kegtap-and-singlemalt-with-a-ransomware-chaser.html 

วิธีการป้องกัน 

  1. หากได้รับ E-Mail ควรตรวจสอบชื่อผู้ส่งกก่อน หากเป็นชื่อที่ไม่รู้จักหรือไม่น่าเชื่อถือให้ทำการลบทิ้งทันทีและดำเนินการ Report, Block หรือเพิ่มเป็น Blacklist ไว้  
  2. สร้างความตระหนักถึงภัยคุกคามทางไซเบอร์ โดยไม่ควรคลิก Link ที่มาจาก E-mail ที่ไม่น่าเชื่อถือ 
  3. ไม่ควรเข้าไปในเว็บไซต์หรือรันไฟล์ที่แนบมากับ E-mail ที่ต้องสงสัย 
  4. ควร Scan เครื่อง Computer ของคุณอย่างสม่ำเสมอ 
  5. หากมีการทำ E-mail Server ใช้ภายในองค์กร ควรมี Control อื่น ๆ มาควบคุม เช่น E-mail Gateway เพื่อเป็นการช่วยตรวจสอบและป้องกันภัยคุกคามทาง E-mail ได้ในระดับนึง 
  6. Block Internet Service ที่ไปยังเครื่อง Server หากสามารถทำได้ 
  7. Update Patch Windows ให้เป็น version ปัจจุบัน

     

ที่มา: https://threatpost.com/kegtap-singlemalt-winekey-malware-serve-up-ransomware-to-hospitals/160756/ 

 

Share