AXA โดน ransomware ของ กลุ่มแฮกเกอร์ Avaddon โจมตี

AXA บริษัทประกันสาขา ประเทศไทย ถูกโจมตีด้วย ransomware โดยกลุ่ม Avaddon และขโมยข้อมูล 3 TB 

ข้อมูลที่ถูกขโมยโดย กลุ่ม Avaddon  เช่น  สำเนาบัตรประจำตัวประชาชน, ใบแจ้งยอด, บัญชีธนาคาร และ อื่น ๆ 

กลุ่ม Ransomware Avaddon  บีบให้ AXA จ่ายค่าไถ โดยการโจมตี DDoS: 


ข้อมูล 3 TB ที่ถูกขโมย ได้แก่ : 

  • เอกสารทางการแพทย์ของลูกค้า  
  • เอกสารการเรียกร้องค่าสินไหมทดแทนของลูกค้า 
  • เอกสารการชำระเงินของลูกค้า 
  • เอกสารสแกนบัญชีธนาคารของลูกค้า 
  • เอกสารประจำตัวเช่นบัตรประจำตัวประชาชนหนังสือเดินทาง ฯลฯ 

วิธีที่ Avaddon ทำการโจมตี  

การแพร่กระจาย Ransomware 

Avaddon ransomware จะถูกส่งผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายในรูปแบบของไฟล์ zip ที่มี JavaScript ที่เป็นอันตรายอยู่ภายใน 

การเพิ่มสิทธิ์ 

Avaddon จะใช้เทคนิคในการเลี่ยงผ่าน UAC ผ่านอินเทอร์เฟซ COM ช่องโหว่นี้อยู่ในการเรียกใช้อ็อบเจ็กต์ COM ที่ยกระดับโดยไม่มีการแจ้งให้ UAC เรียกใช้กระบวนการที่มีสิทธิ์ที่เพิ่มขึ้น 

การเข้ารหัสไฟล์ 6 ขั้นตอน 

  1. นำเข้าคีย์ RSA-2048 สาธารณะแบบฮาร์ดโค้ดและคีย์ AES-CBC-256 หลัก 
  2. สร้างคีย์เซสชัน AES-CBC-256 
  3. เพิ่ม IV ให้กับคีย์ AES-CBC-256 หลัก 
  4. ใช้คีย์ AES-CBC-256 หลักเพื่อเข้ารหัสข้อมูลเกี่ยวกับผู้ใช้ด้วยการเข้ารหัส Base64 และเพิ่มลงในบันทึกค่าไถ่ 
  5. เข้ารหัสไฟล์ของผู้ใช้ด้วยคีย์ AES-CBC-256 เซสชันที่สร้างขึ้น   
  6.  เพิ่มคีย์เซสชัน AES-CBC-256 ที่เข้ารหัสด้วยคีย์ RSA-2048 ที่ท้ายไฟล์ที่เข้ารหัสทุกไฟล์


Mitre Att&ck Matrix 

วิธีการป้องกัน 

วิธีป้องกันที่ดีที่สุดคือ ทุกคนต้องมีสติระมัดระวังในการใช้งาน มีการตระหนักรู้ (Awareness) ของการใช้งานที่ดี ไม่เข้าใช้โปรแกรมที่ไม่มีแหล่งที่มา  ไม่เปิดเมล์ที่ไม่มีแหล่งที่มาหรือน่าสงสัย รู้จักใช้ระบบป้องกัน เก็บบันทึกข้อมูลการใช้งานให้ครบถ้วน มีการสำรองข้อมูลสม่ำเสมอ อัพเดตซอฟต์แวร์และเครื่องมือต่าง ๆ สม่ำเสมอ นอกจากนี้การป้องกันภัยคุกคามทางไซเบอร์จำเป็นต้องได้รับการทบทวนและตรวจสอบ ๆ อย่างสม่ำเสมอ 

ที่มา: Insurer AXA hit by ransomware after dropping support for ransom payments (bleepingcomputer.com) 

https://www.acronis.com/en-us/articles/avaddon-ransomware/

Share