fbpx Skip to content

เอาแล้ว! Exchange Servers โดน Ransomware จากแฮกเกอร์ชาวจีนโจมตีเป็นครั้งแรก

Exchange Servers

 389 views

ตอนนี้หลายองค์กรที่ใช้ Microsoft Exchange คงจะปวดหัวกันไปตาม ๆ กัน เพราะล่าสุดพบ ransomware ตัวใหม่ (แบบที่ไม่เคยเห็นมาก่อน) บนเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่แล้ว หลังแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีนโจมตี Microsoft Exchange เพียงไม่กี่เดือนที่ผ่านมา

 

ทั้งนี้ Microsoft รายงานว่าพบ ransomware ตัวใหม่บนเซิร์ฟเวอร์เมื่อวันพฤหัส โดย ransomware ตัวนี้มีชื่อว่า Ransom: Win32 / Doejocrypt.a หรืออีกชื่อคือ DearCry

 

Microsoft

 

จาก WebShells ไปจนถึง Ransomware

 

ด้านบริษัท Kryptos Logic เผยว่า เมื่อวันศุกร์ที่ผ่านมาพบเซิร์ฟเวอร์ที่มีการติดตั้ง ransomware โดยกลุ่มแฮกเกอร์นามว่า Hafnium แล้ว ซึ่ง ransomware ที่พบนั้นก็คือตัวที่ชื่อว่า DearCry นอกจากนี้ Kryptos Logic ยังเผยอีกว่าแฮกเกอร์กลุ่มนี้ยังได้เปิดเผยไฟล์ Webshells* ต่อสาธารณชนถึง 6,970 รายการอีกด้วย

 

*Webshell คือไฟล์ที่สามารถใช้เข้าถึงหรือส่งคำสั่งของระบบปฏิบัติการได้โดยตรงผ่านหน้าเว็บไซต์ ผู้ประสงค์ร้ายมักอัปโหลดไฟล์ประเภทนี้ขึ้นมาบนเว็บเซิร์ฟเวอร์เพื่อใช้เป็นช่องทางควบคุมสั่งการหรือขยายการโจมตีไปยังเครื่องคอมพิวเตอร์อื่น ๆในเครือข่าย

 

Kryptos Logic

 

Ransomware ถูกติดตั้งแบบ Manually

 

อย่างไรก็ตาม ผลกระทบจากการปล่อยไฟล์ Webshells คือใครก็ตามที่รู้แม้แค่ URL เดียวของไฟล์ Webshells ก็สามารถเข้าควบคุมเซิร์ฟเวอร์ได้แล้ว อีกทั้งแฮกเกอร์กลุ่มนี้ก็ยังใช้ไฟล์จาก WebShells เพื่อติดตั้ง ransomware อีกด้วย (WebShells ได้ถูกติดตั้งครั้งแรกโดยกลุ่มแฮกเกอร์ Hafnium ที่ได้รับการสนับสนุนจากประเทศจีน)

 

Kryptos Logic ยังบอกด้วยว่า การโจมตีครั้งนี้เป็นแบบ “human operated” ซึ่งหมายความว่าพวกแฮกเกอร์ได้ติดตั้ง ransomware ในเซิร์ฟเวอร์ของ Exchange แบบ manually ทีละครั้ง ดังนั้นเซิร์ฟเวอร์อีกเกือบ 7,000 เซิร์ฟเวอร์จึงยังไม่ได้รับผลกระทบจาก ransomware DearCry นี้

 

Microsoft Exchange หลีกเลี่ยง Ransomware ไม่ได้

 

ด้านผู้เชี่ยวชาญเรื่องความปลอดภัยกล่าวว่าไม่สามารถที่จะหลีกเลี่ยงการติดตั้ง Ransomware ของแก๊งแฮกเกอร์ได้เลย เนื่องจากมันอาจส่งผลต่อเซิร์ฟเวอร์ที่ใช้ประโยชน์จากช่องโหว่ Proxylogon อยู่ อีกทั้งมันไม่คุ้มที่จะติดตั้ง patch เพราะถ้าติดตั้ง patch แล้วมันจะไปลบ Webshells ที่เหลือทิ้ง อีกอย่างยังไงเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ก็ต้องถูกบุกรุกอยู่ดี ไม่ว่าจะโดยแฮกเกอร์ Hafnium หรือกลุ่มแฮกเกอร์อื่น ๆ ที่หาวิธีเข้าถึงเซิร์ฟเวอร์ได้

 

Sophos

 

สำหรับแรนซัมแวร์ DearCry นั้น บริษัท Sophos กล่าวว่ามันเกี่ยวกับระบบ public-key cryptosystem (เทคโนโลยีระบบรหัสแบบกุญแจสาธารณะ) ด้วย โดยใช้ public key ที่ฝังอยู่ในไฟล์ ransomware แล้วอนุญาตให้มีการ encrypt ไฟล์โดยไม่จำเป็นต้องเชื่อมต่อกับ command และ control server ก่อน ส่วนในการ decrypt ข้อมูลนั้น ผู้ที่ตกเป็นเหยื่อจะต้องได้รับ private key จากผู้โจมตีเท่านั้น ถึงจะทำการ decrypt หรือถอดรหัสข้อมูลได้

 

เซิร์ฟเวอร์ Exchange ติดมัลแวร์มาหลายวันแล้ว

 

ในบรรดาคนแรก ๆ ที่พบ DearCry คือ Mark Gillespie (ผู้เชี่ยวชาญด้านความปลอดภัย ทำหน้าที่ช่วยนักวิจัยระบุสายพันธุ์ของมัลแวร์) เขาเล่าว่าในวันอังคารที่แล้วเขาได้รับการสอบถามจากประเทศต่าง ๆ ที่ใช้เซิร์ฟเวอร์ Exchange เช่น สหรัฐอเมริกา  แคนาดา และออสเตรเลีย เกี่ยวกับมัลแวร์ที่ชื่อ “DEARCRY”

 

Mark Gillespie

 

หลังจากนั้นเขาก็เจอว่ามีคนไปโพสต์ในฟอรัมของเว็บ Bleeping Computer บอกว่า Ransomware กำลังถูกติดตั้งบนเซิร์ฟเวอร์ที่มีช่องโหว่โดยกลุ่ม Hafnium หลังจากนั้นเว็บ Bleeping Computer ก็ออกมายืนยันว่าเรื่องนี้เป็นความจริง

 

John Hultquist รองประธานบริษัท Mandiant กล่าวว่า วิธี *Piggybacking ของแฮกเกอร์ที่ติดตั้ง Webshells อาจเป็นวิธีที่เร็วกว่าและมีประสิทธิภาพกว่าในการติดตั้งมัลแวร์บนเซิร์ฟเวอร์ที่ยังไม่ได้ติดตั้ง patch และเป็นวิธีที่ดีกว่าการใช้ประโยชน์จากช่องโหว่ Proxylogon และตามที่ได้กล่าวไปแล้ว แม้ว่าเซิร์ฟเวอร์จะติดตั้ง patch แล้ว แต่พวกแฮกเกอร์ก็ยังสามารถโจมตีได้อยู่ดี เพราะ Webshells ไม่ได้ถูกลบออกไป

 

*Piggybacking คือ วิธีที่บุคคลที่ไม่ได้รับอนุญาต สามารถเข้าถึงระบบบางส่วนที่เกี่ยวข้องกับบุคคลที่ได้รับอนุญาต

 

อ่านบทความที่เกี่ยวข้อง:  ช่องโหว่ Zero-day ของ Microsoft Exchange ถูกใช้โจมตีรัฐบาลท้องถิ่นสหรัฐฯ

 

ที่มา:

 

ติดต่อเจ้าหน้าที่ เพื่อปรึกษาหรือขอคำแนะนำด้าน Cybersecurity