ตรวจพบ ‘White Rabbit’ Ransomware ตัวใหม่เข้าโจมตี ธนาคารท้องถิ่นสหรัฐ
ล่าสุดมีการตรวจพบว่าแฮกเกอร์กลุ่ม FIN8 กลุ่มอาชญากรทางไซเบอร์ที่ตั้งเป้าโจมตีเพื่อผลประโยชน์ทางการเงินที่เน้นก่ออาชญากรรมทางไซเบอร์เพื่อเป้าหมายทางการเงินได้กลับมาปฏิบัติการอีกครั้ง หลังจากเกิดเหตุโดยเข้าโจมตีธนาคารท้องถิ่นของสหรัฐอเมริกาถูกโจมตีทางไซเบอร์เมื่อเดือนธันวาคมปี 2021 ที่ผ่านมา พร้อมกับการปรากฎตัวของ Ransomware ตัวแบบใหม่ที่มีชื่อว่า “White Rabbit” ซึ่งไม่เคยถูกตรวจพบมาก่อนในประวัติศาสตร์ถูกพบเป็นครั้งแรกในประวัติศาสตร์
ผู้เชี่ยวชาญรายงานว่าลักษณะเด่นของ Ransomware “White Rabbit” คือ ลักษณะของการที่ Binary Payload ของตัว Ransomware ที่จะมีรหัสผ่านที่ตั้งมาโดยเฉพาะ ซึ่งหลังจากเมื่อกรอกรหัสแล้ว มันจึงจะส่งคำสั่งให้ทำการถอดรหัสการตั้งค่าภายใน จากนั้นจึงทำการปฏิบัติการเข้ายึดระบบแบบ Ransomware ทั่วไป ซึ่งเทคนิคนี้ถือเป็นเทคนิคที่ Ransomware มักใช้เพื่อซ่อนพฤติกรรมที่เป็นอันตรายกิจกรรมที่ไม่ประสงค์ดีที่แนบมากับของตัวไฟล์ ทำให้ระบบป้องกันความปลอดภัยไม่สามารถตรวจจับได้ และยังเป็นเทคนิคเดียวกับที่ “ที่ Egregor” ซึ่งเป็น Ransomware ที่ถูกปราบปรามไปโดยรัฐบาลยูเครนเมื่อเดือนกุมภาพันธ์ปี 2021 ที่ผ่านมาใช้ โดยเชื่อกันว่ากลุ่ม FIN8 ได้ใช้โปรแกรม Cobalt Strike ซึ่งเป็น Framework ที่ช่วยอำนวยความสะดวกให้แฮกเกอร์สามารถสอดแนม แทรกซึมเข้าระบบ และปล่อย Payload ในการปล่อย White Rabbit เข้าสู่ระบบของเหยื่อ
นอกจากนี้ White Rabbit ยังใช้กลยุทธ์ Double Extortion หรือแปลเป็นไทยว่า ‘การขู่แบบ 2 เท่า’ นั่นเอง ซึ่งในการปฏิบัติตามกลยุทธ์นี้ โดยแฮกเกอร์จะทำการคัดลอกจะนำไฟล์ข้อมูลที่พบในระบบของเหยื่อในไฟล์ออกมาเก็บไว้ก่อน จากนั้นจึงทำการล็อกเข้ารหัสไฟล์ เพื่อข่มขู่เรียกค่าไถ่เหยื่อว่าหากไม่จ่ายค่าไถ่นอกจากแฮกเกอร์จะ โดยถ้าหากเหยื่อไม่ยอมจ่ายเงิน นอกจากจะไม่ล็อกไฟล์ไม่ให้เหยื่อสามารถเข้าถึงไฟล์ได้แล้ว แฮกเกอร์ก็จะทำการเผยแพร่ไฟล์ดังกล่าวออกสู่สาธารณะหรือนำไฟล์ออกไปขายอีกด้วย
ในกรณีของ White Rabbit หลังจากกระบวนการเข้ารหัสเสร็จสิ้น ก็ก็จะมีข้อความเด้งขึ้นมาบนหน้าจอเพื่อแจ้งเงื่อนไขให้กับเหยื่อ และโดยให้เวลาเหยื่อเพียง 4 วันเท่านั้นในการจ่ายค่าไถ่ มิฉะนั้น จะส่งข้อมูลทั้งหมดของธนาคารไปให้องค์กรที่มีส่วนเกี่ยวข้องในการกำกับดูแล รวมถึงสื่ออีกด้วย และถึงแม้การโจมตีของ White Rabbit จะเพิ่งถูกเปิดเผยแดงขึ้นมาเมื่อเดือนธันวาคมที่ผ่านมานี้ แต่เมื่อหลังจากตรวจสอบหลักฐานทางดิจิทัลทั้งหมด กลับพบว่ามีร่องรอยกิจกรรมที่น่าสงสัยเกิดขึ้นตั้งแต่เดือนกรกฎาคมปีที่แล้ว
อย่างไรก็ตามผู้เชี่ยวชาญก็ยังคงมีข้อสงสัยเกี่ยวกับความสัมพันธ์ของกลุ่มแฮกเกอร์ FIN8 และ Ransomware “White Rabbit” ตัวนี้อยู่ เนื่องจากเมื่อตรวจสอบ TTPs หรือ กลยุทธ์ เทคนิค และวิธีการ (Tactics, Techniques, และand Procedures) ของ White Rabbit แล้ว กลับพบว่ามีหลายส่วนที่แสดงให้เห็นว่าการโจมตีของ White Rabbit อาจมาจากกลุ่มที่มีความ่ใกล้ชิดกับ FIN8 หรืออาจเป็นอีกกลุ่มที่พยายามเลียนแบบการโจมตีของ FIN8 ไปเลย ทำให้มีรูปแบบที่คล้ายคลึงกันจนเราอาจคิดว่าเป็นฝีมือของ FIN8 เนื่องจากโดยปกติแล้ว FIN8 มักจะใช้เครื่องมือโจมตีแบบที่เน้นการเข้าแทรกซึมและสอดส่องในระบบ และมักไม่เคยปรากฎการโจมตีโดยใช้ใช้ Ransomware แบบในรูปแบบของ White Rabbit มาก่อน แต่ในอีกนัยหนึ่ง ก็นี่อาจอาจหมายถึงพัฒนาการของกลุ่ม FIN8 ที่ได้พัฒนาที่เพิ่มกลยุทธ์การโจมตีให้ช่ำชองมากขึ้นก็เป็นได้
ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com
