Ryuk ผู้ซุกซน: ต่อสู้กับ ransomware ที่ได้รับแรงบันดาลใจจาก ‘Death Note’

ยังคงมีองค์ประกอบของการเข้ารหัสลับ“ Wild West” ในปี 2020 เนื่องจากสกุลเงินดิจิทัลที่ถูกขโมยผ่านการแฮ็กและการโจมตีของแรนซัมแวร์ยังคงถูกถอนออกจากการแลกเปลี่ยนที่สำคัญทั่วโลก การโจมตีของแรนซัมแวร์ได้พิสูจน์แล้วว่าเป็นวัวเงินสดที่สร้างกำไรให้กับอาชญากรไซเบอร์ในช่วงไม่กี่ปีที่ผ่านมาโดยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาประเมินว่า Bitcoin มูลค่ากว่า 144 ล้านดอลลาร์ถูกขโมยไประหว่างเดือนตุลาคม 2556 ถึงพฤศจิกายน 2562.

งานแถลงข่าวที่จัดขึ้นโดย FBI ในเดือนกุมภาพันธ์เผยให้เห็นจำนวนเงินมหาศาลที่จ่ายเป็นค่าไถ่ให้กับผู้โจมตีโดยเหยื่อที่หมดหวังที่จะเข้าถึงระบบและข้อมูลที่ติดเชื้อของพวกเขา ที่น่าสนใจก็คือผู้โจมตีได้รับค่าไถ่ส่วนใหญ่เป็น Bitcoin (BTC) เมื่อไม่นานมานี้นักวิจัยได้เก็บตัวอย่างธุรกรรมที่เกี่ยวข้องกับแรนซัมแวร์ 63 รายการซึ่งคิดเป็นเงินประมาณ 5.7 ล้านดอลลาร์ที่ถูกขโมยไปและพบว่า Bitcoin มูลค่ากว่า 1 ล้านดอลลาร์ถูกถอนออกจาก Binance หลังจากการทำธุรกรรมในที่อยู่กระเป๋าเงินต่างๆ.

มีรูปแบบแรนซัมแวร์ชื่อฉาวโฉ่มากมายที่แฮกเกอร์และกลุ่มอาชญากรไซเบอร์ใช้ Kaspersky บริษัท รักษาความปลอดภัยทางไซเบอร์ ไฮไลต์ การเพิ่มขึ้นของการโจมตีประเภทนี้ที่กำหนดเป้าหมายองค์กรขนาดใหญ่ในเดือนกรกฎาคมโดยสรุปภัยคุกคามจากมัลแวร์สองประเภท ได้แก่ VHD และ Hakuna MATA.

ภัยคุกคามเหล่านี้ดูเหมือนจะซีดเมื่อเทียบกับจำนวนเงินดิจิตอลที่ถูกขโมยจากการใช้ภัยคุกคามมัลแวร์ที่ใหญ่กว่าเช่น Ryuk ransomware นี่คือเหตุผลที่ Ryuk เป็นวิธีการโจมตีที่ต้องการและสิ่งที่สามารถทำได้เพื่อป้องกันและกีดกันผู้โจมตีจากการกอบโกยผลประโยชน์ที่ไม่พึงประสงค์จากแพลตฟอร์มแลกเปลี่ยนหลัก ๆ.

โทรจันที่ประตูเมือง: Ryuk

เวกเตอร์การโจมตีใหม่ ๆ เหล่านี้ที่กล่าวถึงในรายงานเดือนกรกฎาคมของ Kaspersky ไม่ได้รับชื่อเสียงเช่นเดียวกับ Ryuk ransomware ในช่วงปลายปี 2019 Kaspersky ได้เปิดตัวอีกรุ่น รายงาน ซึ่งเน้นให้เห็นสภาพของเทศบาลและเมืองต่างๆที่ตกเป็นเหยื่อของการโจมตีของ ransomware Ryuk ถูกระบุโดย บริษัท ว่าเป็นยานพาหนะที่ได้รับความนิยมในการโจมตีองค์กรขนาดใหญ่โดยมีระบบราชการและเทศบาลเป็นเป้าหมายหลักในปี 2019.

Ryuk ปรากฏตัวครั้งแรกในช่วงครึ่งหลังของปี 2018 และสร้างความหายนะให้กับเครือข่ายคอมพิวเตอร์และระบบต่างๆทั่วโลก ตั้งชื่อตามตัวละครยอดนิยม Ryuk จากมังงะซีรีส์ Death Note มัลแวร์เป็นสิ่งที่ชาญฉลาดใน “King of Death” ซึ่งสร้างความขบขันให้กับตัวเองด้วยการส่ง “บันทึกแห่งความตาย” ไปยังดินแดนของมนุษย์ที่ช่วยให้ผู้ค้นหาโน้ตสามารถฆ่าใครก็ได้เพียงแค่ รู้จักชื่อและรูปลักษณ์ของพวกเขา.

โดยทั่วไปมัลแวร์จะส่งมอบในรูปแบบสองเฟสซึ่งช่วยให้ผู้โจมตีตรวจสอบเครือข่ายก่อน โดยปกติจะเริ่มต้นด้วยเครื่องจำนวนมากได้รับอีเมลที่มีเอกสารที่ผู้ใช้อาจดาวน์โหลดโดยไม่เจตนา ไฟล์แนบมีบอทมัลแวร์ Emotet Trojan ที่เปิดใช้งานหากดาวน์โหลดไฟล์.

ขั้นตอนที่สองของการโจมตีจะเห็นว่า Emotet bot สื่อสารกับเซิร์ฟเวอร์เพื่อติดตั้งมัลแวร์อีกชิ้นที่เรียกว่า Trickbot นี่คือชิ้นส่วนของซอฟต์แวร์ที่ช่วยให้ผู้โจมตีสามารถตรวจสอบเครือข่ายได้.

หากผู้โจมตีโจมตีหม้อน้ำผึ้งที่เป็นที่เลื่องลือนั่นคือเครือข่ายของธุรกิจขนาดใหญ่หน่วยงานของรัฐหรือเทศบาล – Ryuk ransomware เองจะถูกนำไปใช้ในโหนดต่างๆของเครือข่าย นี่คือเวกเตอร์ที่เข้ารหัสไฟล์ระบบและเก็บข้อมูลนั้นไว้เพื่อเรียกค่าไถ่ Ryuk เข้ารหัสไฟล์ในเครื่องบนคอมพิวเตอร์แต่ละเครื่องและไฟล์ที่แชร์ผ่านเครือข่าย.

นอกจากนี้ Kaspersky ยังอธิบายว่า Ryuk ยังมีความสามารถในการบังคับให้คอมพิวเตอร์เครื่องอื่นในเครือข่ายเปิดเครื่องหากอยู่ในโหมดสลีปซึ่งจะแพร่กระจายมัลแวร์ไปยังโหนดจำนวนมาก ไฟล์ที่อยู่บนคอมพิวเตอร์บนเครือข่ายที่อยู่ในโหมดสลีปมักจะไม่สามารถเข้าถึงได้ แต่หากมัลแวร์ Ryuk สามารถปลุกพีซีเหล่านั้นได้ก็จะเข้ารหัสไฟล์บนเครื่องเหล่านั้นด้วย.

มีสาเหตุหลักสองประการที่แฮกเกอร์ต้องการโจมตีเครือข่ายคอมพิวเตอร์ของรัฐบาลหรือเทศบาล: ประการแรกระบบเหล่านี้จำนวนมากได้รับการคุ้มครองโดยการประกันซึ่งทำให้มีโอกาสมากขึ้นที่จะสามารถบรรลุข้อตกลงทางการเงินได้ ประการที่สองเครือข่ายที่ใหญ่กว่าเหล่านี้เชื่อมโยงเข้าด้วยกันกับเครือข่ายขนาดใหญ่อื่น ๆ ซึ่งอาจนำไปสู่ผลกระทบที่กว้างไกลและทำให้พิการได้ ระบบและข้อมูลที่เปิดใช้งานหน่วยงานที่แตกต่างกันโดยสิ้นเชิงอาจได้รับผลกระทบซึ่งเรียกร้องให้มีการแก้ปัญหาที่รวดเร็วบ่อยกว่าที่จะไม่ส่งผลให้ผู้โจมตีต้องจ่ายเงิน.

การต่อสู้กับการแลกเปลี่ยนเงินกับการแลกเปลี่ยนรายใหญ่

เป้าหมายสุดท้ายของการโจมตีแรนซัมแวร์เหล่านี้ค่อนข้างง่าย: เพื่อเรียกร้องการชำระเงินจำนวนมากโดยปกติจะทำโดยใช้สกุลเงินดิจิทัล Bitcoin เป็นตัวเลือกการชำระเงินที่ได้รับความนิยมสำหรับผู้โจมตี การใช้ cryptocurrency ที่โดดเด่นเป็นวิธีการชำระเงินที่ต้องการมีผลที่ไม่พึงประสงค์สำหรับผู้โจมตีแม้ว่าความโปร่งใสของ Bitcoin blockchain หมายความว่าธุรกรรมเหล่านี้สามารถติดตามได้ทั้งในระดับจุลภาคและระดับมหภาค.

ที่เกี่ยวข้อง: Ransomware โจมตีเรียกร้อง Crypto น่าเสียดายที่จะอยู่ต่อไป

นั่นคือสิ่งที่นักวิจัยกำลังทำอยู่และจากการดูจุดสิ้นสุดของธุรกรรมเหล่านี้นักวิเคราะห์สามารถเห็นผู้โจมตีที่ใช้ประโยชน์จากการแลกเปลี่ยนสกุลเงินดิจิทัลที่ใหญ่ที่สุด เมื่อปลายเดือนสิงหาคมมีการเปิดเผยว่า Bitcoin เรียกค่าไถ่มูลค่ากว่า 1 ล้านดอลลาร์ได้ถูกถอนออกผ่านทาง Binance.

ทีมรักษาความปลอดภัยของ Binance เปิดเผยกับ Cointelegraph ว่าธุรกรรมเหล่านี้มีอายุมากกว่า 18 เดือนและ Exchange ได้ตรวจสอบบัญชีที่เกี่ยวข้องอย่างจริงจัง ทีมงานยังเน้นย้ำถึงการใช้การแลกเปลี่ยนโดยผู้โจมตีว่าเป็นผลพลอยได้จากปริมาณการซื้อขายสกุลเงินดิจิทัลที่แท้จริงบนแพลตฟอร์มซึ่งทำให้นักแสดงที่ผิดกฎหมายมีโอกาสที่จะผสมผสานเข้ากับฝูงชนได้มากขึ้น โฆษกกล่าวเพิ่มเติมว่า:

“ นี่เป็นเรื่องที่ซับซ้อนมากขึ้นเนื่องจากข้อเท็จจริงที่ว่า Binance มีลูกค้าที่หลากหลายที่ดำเนินงานบนแพลตฟอร์มโดยลูกค้าบางรายได้รับเงินดังกล่าวผ่านการซื้อขายแบบเพียร์ทูเพียร์ที่เรียบง่ายและรายอื่น ๆ ที่ได้รับผ่านบริการขององค์กรซึ่งใช้ประโยชน์จากแพลตฟอร์มของเราเพื่อสภาพคล่อง”

Cointelegraph ติดต่อ Cymulate บริษัท รักษาความปลอดภัยทางไซเบอร์ในอิสราเอลเพื่อเรียนรู้ว่าการแลกเปลี่ยนสามารถทำอะไรได้บ้างเพื่อป้องกันไม่ให้อาชญากรไซเบอร์ใช้แพลตฟอร์มของตนเพื่อชำระบัญชีสกุลเงินดิจิทัลที่ถูกขโมย Avihai Ben-Yossef ผู้ร่วมก่อตั้งและประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ บริษัท ยืนยันว่า บริษัท ที่ให้การป้องกันไวรัสและการตรวจจับและตอบสนองปลายทางมีบทบาทสำคัญในการติดตาม crypto ที่เรียกค่าไถ่เนื่องจากพวกเขาทราบจำนวนเงินที่จ่ายออกไปและกระเป๋าเงินที่เกี่ยวข้อง ที่อยู่รับเงินค่าไถ่ เขาเสริมว่าจากที่นั่นการแลกเปลี่ยนสามารถติดตามและติดตามการชำระเงินเหล่านี้:

“ นักวิเคราะห์สามารถรวบรวมหมายเลขกระเป๋าเงินและตรวจสอบจำนวนเงินในกระเป๋าเงินแต่ละใบจากนั้นสร้างผลรวมของกระเป๋าสตางค์ที่พบทั้งหมด สิ่งสำคัญคือต้องทราบว่าจะมีมากกว่านี้อยู่เสมอและคุณต้องสามารถติดตามแต่ละรายการได้จากเพย์โหลดของ Ryuk ที่สร้างขึ้น”

ไม่ต้องสงสัยเลยว่านี่อาจเป็นกระบวนการที่ใช้เวลานาน อย่างไรก็ตามการใช้ที่อยู่กระเป๋าสตางค์ของผู้โจมตีเพื่อรับเงินค่าไถ่ทำให้ทีมรักษาความปลอดภัยสามารถจับตาดูการเคลื่อนไหวของเงินเหล่านั้นได้.

โดยรวมแล้วปี 2020 ถือเป็นปีแห่งการทำกำไรสำหรับอาชญากรไซเบอร์ที่ใช้ประโยชน์จากการโจมตีด้วย ransomware ซึ่งมีการพัฒนาอย่างต่อเนื่อง Ben-Yossef เตือนองค์กรและ บริษัท ต่างๆเพื่อให้แน่ใจว่าพวกเขามีความปลอดภัยทางไซเบอร์ที่ดีที่สุดเพื่อต่อสู้กับสภาพแวดล้อมของอาชญากรรมไซเบอร์ที่เปลี่ยนแปลงอยู่ตลอดเวลา:

“ การโจมตีของ Ransomware โดยทั่วไปมีความซับซ้อนมากขึ้นเรื่อย ๆ ซึ่งรวมถึงการเคลื่อนไหวด้านข้างการขุดเจาะข้อมูลและวิธีการอื่น ๆ อีกมากมายที่ส่งผลร้ายแรงต่อ บริษัท ที่ไม่ยอมจ่ายค่าไถ่ มีผู้สืบทอดคนใหม่ของ RYUK คือ Conti ซึ่งเขียนแตกต่างไปเล็กน้อยและน่าจะพัฒนาโดยแฮกเกอร์รายอื่น เป็นสิ่งสำคัญสำหรับองค์กรในการปรับเครื่องมือทดสอบความปลอดภัยเช่นการละเมิดและการจำลองการโจมตีเพื่อให้แน่ใจว่าการควบคุมความปลอดภัยของพวกเขาทำงานได้อย่างมีประสิทธิผลสูงสุดต่อภัยคุกคามที่เกิดขึ้นใหม่”