Ransomware Avaddon บีบให้ AXA จ่ายค่าไถ
AXA บริษัทประกันสาขา ประเทศไทย ถูกโจมตีด้วย ransomware โดยกลุ่ม Avaddon และขโมยข้อมูล 3 TB
ข้อมูลที่ถูกขโมยโดย กลุ่ม Avaddon เช่น สำเนาบัตรประจำตัวประชาชน, ใบแจ้งยอด, บัญชีธนาคาร และ อื่น ๆ
กลุ่ม Ransomware Avaddon บีบให้ AXA จ่ายค่าไถ โดยการโจมตี DDoS:
ข้อมูล 3 TB ที่ถูกขโมย ได้แก่ :
- เอกสารทางการแพทย์ของลูกค้า
- เอกสารการเรียกร้องค่าสินไหมทดแทนของลูกค้า
- เอกสารการชำระเงินของลูกค้า
- เอกสารสแกนบัญชีธนาคารของลูกค้า
- เอกสารประจำตัวเช่นบัตรประจำตัวประชาชนหนังสือเดินทาง ฯลฯ
วิธีที่ Avaddon ทำการโจมตี
การแพร่กระจาย Ransomware
Avaddon ransomware จะถูกส่งผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตรายในรูปแบบของไฟล์ zip ที่มี JavaScript ที่เป็นอันตรายอยู่ภายใน
การเพิ่มสิทธิ์
Avaddon จะใช้เทคนิคในการเลี่ยงผ่าน UAC ผ่านอินเทอร์เฟซ COM ช่องโหว่นี้อยู่ในการเรียกใช้อ็อบเจ็กต์ COM ที่ยกระดับโดยไม่มีการแจ้งให้ UAC เรียกใช้กระบวนการที่มีสิทธิ์ที่เพิ่มขึ้น
การเข้ารหัสไฟล์ 6 ขั้นตอน
- นำเข้าคีย์ RSA-2048 สาธารณะแบบฮาร์ดโค้ดและคีย์ AES-CBC-256 หลัก
- สร้างคีย์เซสชัน AES-CBC-256
- เพิ่ม IV ให้กับคีย์ AES-CBC-256 หลัก
- ใช้คีย์ AES-CBC-256 หลักเพื่อเข้ารหัสข้อมูลเกี่ยวกับผู้ใช้ด้วยการเข้ารหัส Base64 และเพิ่มลงในบันทึกค่าไถ่
- เข้ารหัสไฟล์ของผู้ใช้ด้วยคีย์ AES-CBC-256 เซสชันที่สร้างขึ้น
- เพิ่มคีย์เซสชัน AES-CBC-256 ที่เข้ารหัสด้วยคีย์ RSA-2048 ที่ท้ายไฟล์ที่เข้ารหัสทุกไฟล์
Mitre Att&ck Matrix
วิธีการป้องกัน
วิธีป้องกันที่ดีที่สุดคือ ทุกคนต้องมีสติระมัดระวังในการใช้งาน มีการตระหนักรู้ (Awareness) ของการใช้งานที่ดี ไม่เข้าใช้โปรแกรมที่ไม่มีแหล่งที่มา ไม่เปิดเมล์ที่ไม่มีแหล่งที่มาหรือน่าสงสัย รู้จักใช้ระบบป้องกัน เก็บบันทึกข้อมูลการใช้งานให้ครบถ้วน มีการสำรองข้อมูลสม่ำเสมอ อัพเดตซอฟต์แวร์และเครื่องมือต่าง ๆ สม่ำเสมอ นอกจากนี้การป้องกันภัยคุกคามทางไซเบอร์จำเป็นต้องได้รับการทบทวนและตรวจสอบ ๆ อย่างสม่ำเสมอ
ที่มา: Insurer AXA hit by ransomware after dropping support for ransom payments (bleepingcomputer.com)
https://www.acronis.com/en-us/articles/avaddon-ransomware/