CEO Blog

เครื่องมือใหม่ แรนซัมแวร์ โจรกรรมข้อมูลได้ไวกว่าเดิม

By นักรบ เนียมนามธรรม10 พ.ย. 2021 เวลา 8:55 น.
เครื่องมือใหม่ แรนซัมแวร์ โจรกรรมข้อมูลได้ไวกว่าเดิม

ภัยคุกคามตั้งเป้าโจมตีไปยังผู้ให้บริการโครงสร้างพื้นฐานสำคัญ

การต่อกรกับภัยไซเบอร์นั้น องค์กรต้องมีเครื่องมือมาช่วยตรวจจับภัยคุกคามให้ได้ ก่อนที่แฮกเกอร์จะลงมือสำเร็จจึงจะรอดพ้นจากวิกฤติ นั่นทำให้แฮกเกอร์ต้องเฟ้นหาวิธีการที่จะสามารถโจรกรรมข้อมูลสำคัญขององค์กรให้ได้เร็วที่สุดก่อนองค์กรจะจับได้ 

เมื่อไม่นานมานี้นักวิจัยด้านความปลอดภัยได้ค้นพบเครื่องมือกรองข้อมูล (Data Exfiltration Tool) ตัวใหม่ที่ถูกออกแบบมาเพื่อเร่งความเร็วให้กลุ่มแรนซัมแวร์สายพันธุ์เดียวกับ BlackMatter สามารถโจรกรรมข้อมูลได้ไวขึ้น 

โดยครั้งนี้ถือเป็นครั้งที่สามของการค้นพบเครื่องมือที่มีการปรับแต่งมาโดยเฉพาะประเภทนี้ ต่อจากการพัฒนาเครื่องมือ Ryuk Stealer และ StealBit ที่เชื่อมโยงกับ LockBit

เครื่องมือนี้ได้รับการขนานนามว่า “Exmatter” ถูกออกแบบมาเพื่อขโมยเฉพาะไฟล์บางประเภทจาก Directory ที่ถูกเลือก จากนั้นจึงอัปโหลดไฟล์พวกนั้นไปยังเซิร์ฟเวอร์ภายใต้การควบคุมของผู้โจมตีที่ใช้ BlackMatter กระบวนการคัดแยกแหล่งข้อมูลให้เหลือเฉพาะข้อมูลที่น่าจะทำกำไรได้มากที่สุดหรือมีความสำคัญทางธุรกิจ 

ขณะเดียวกันถูกออกแบบมาเพื่อทำให้ขั้นตอนทั้งหมดที่ใช้ในการโจรกรรมข้อมูลเร็วขึ้น โดยสันนิษฐานว่ามีวัตถุประสงค์เพื่อให้ผู้คุกคามสามารถเสร็จสิ้นการโจมตีได้เร็วที่สุดก่อนที่จะถูกขัดจังหวะ

 

ทั้งนี้หลังจากที่ Exmatter ไปดึงชื่อของ Logical Drive ทั้งหมดบนคอมพิวเตอร์ของเหยื่อและรวบรวม File Pathname ทั้งหมดแล้ว Exmatter จะไม่สนใจสิ่งอื่นภายใต้ Directory บางตัว 

เช่น C:\Documents and Settings โดยมันจะขโมยเฉพาะไฟล์บางประเภทเท่านั้น ไม่ว่าจะเป็น PDF, เอกสาร Word, Spreadsheet และ PowerPoints โดยมีเป้าหมายเพื่อจัดลำดับความสำคัญของไฟล์เหล่านั้นสำหรับการโอนถ่ายข้อมูลออกไปผ่าน LastWriteTime หลังเสร็จสิ้นการคัดกรองข้อมูล Exmatter จะพยายามเขียนทับและลบร่องรอยของตัวเองออกจากเครื่องคอมพิวเตอร์ของเหยื่อ

นักวิจัยให้ข้อมูลว่า พวกเขาพบเครื่องมือหลากหลายเวอร์ชั่นที่บ่งชี้ว่า นักพัฒนาพยายามปรับแต่งฟังก์ชันการทำงานเพื่อเร่งกระบวนการโจรกรรมข้อมูลให้เร็วที่สุดเท่าที่จะเป็นไปได้ 

อีกทั้งอ้างว่า BlackMatter มีความเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ Coreid ซึ่งอาจมีส่วนเกี่ยวข้องกับ Darkside สายพันธุ์หลักที่พบในเหตุการณ์ที่เกิดกับ Colonial Pipeline

ยังไม่ชัดเจนว่า Exmatter ได้รับการพัฒนาโดยกลุ่ม Coreid เองหรือหนึ่งในบริษัทในเครือหลายแห่งที่ใช้ BlackMatter โจมตี ทั้งนี้การโจมตีที่เชื่อมโยงกับข้อมูลของเหยื่อที่ถูกกลุ่ม Coreid ขโมยและตัวกลุ่ม Coreid เอง ก็เป็นเหมือนการโจมตี Ransomware ส่วนใหญ่ที่ขโมยข้อมูลของเหยื่อ จากนั้นก็ขู่ว่าจะเผยแพร่ข้อมูลดังกล่าวเพื่อกดดันเหยื่อให้จ่ายค่าไถ่ 

อย่างไรก็ตาม การพัฒนาครั้งนี้แสดงให้เห็นว่า การขโมยข้อมูลและการกรรโชกสารสนเทศยังคงเป็นจุดสนใจหลักของกลุ่ม ทำให้ทางการสหรัฐได้ออกการแจ้งเตือนเกี่ยวกับ BlackMatter ในช่วงกลางเดือนต.ค. เมื่อภัยคุกคามนี้เริ่มตั้งเป้าโจมตีไปยังผู้ให้บริการโครงสร้างพื้นฐานสำคัญ

ขณะที่ผู้เชี่ยวชาญด้านไซเบอร์ซิเคียวริตี้พัฒนาเครื่องมือให้สามารถตรวจจับภัยไซเบอร์ได้เร็วขึ้น กลุ่มแฮกเกอร์เองก็พัฒนาเครื่องมือของตนให้โจรกรรมได้เร็วขึ้นเช่นกัน 

สิ่งที่องค์กรทำได้ก็มีเพียงทำทุกวิถีทางมิให้ตกเป็นเหยื่อของภัยไซเบอร์ ผ่านการเลือกใช้โซลูชันให้ครอบคลุมเพื่อรักษาความปลอดภัยระบบ และการเพิ่มพูนความรู้ การซ้อมเสมือนจริง เพื่อสร้างภูมิคุ้มกันให้พนักงานครับ