มัลแวร์ Chaos อันทรงพลังได้พัฒนาอีกครั้ง โดยแปรสภาพเป็นภัยคุกคามหลายแพลตฟอร์ม Go-based ใหม่ ซึ่งไม่มีความคล้ายคลึงกับแรนซัมแวร์ครั้งก่อน ขณะนี้กำลังกำหนดเป้าหมายไปที่ช่องโหว่ด้านความปลอดภัยที่ทราบเพื่อเปิดการโจมตีแบบปฏิเสธการให้บริการ (DDoS) แบบกระจายและทำการขุด cryptomining
นักวิจัยจาก Black Lotus Labs ซึ่งเป็นหน่วยข่าวกรองภัยคุกคามของ Lumen Technologies เพิ่งสังเกตเห็นเวอร์ชันของ Chaos ที่เขียนเป็นภาษาจีน โดยใช้ประโยชน์จากโครงสร้างพื้นฐานของจีน และแสดงพฤติกรรมที่แตกต่างจากกิจกรรมล่าสุดที่เห็นโดยผู้สร้างแรนซัมแวร์ในชื่อเดียวกัน พวกเขาพูดว่า ในโพสต์บล็อก เผยแพร่ 28 กันยายน
แท้จริงแล้วความแตกต่างระหว่างกลุ่ม Chaos รุ่นก่อนๆ และกลุ่ม Chaos 100 กลุ่มล่าสุดที่นักวิจัยสังเกตเห็นนั้นแตกต่างกันมากจนพวกเขาบอกว่ามันก่อให้เกิดภัยคุกคามรูปแบบใหม่ ในความเป็นจริง นักวิจัยเชื่อว่าตัวแปรล่าสุดคือวิวัฒนาการของ DDoS บอตเน็ตไคจิ และอาจ “แตกต่างไปจากผู้สร้าง Chaos ransomware” ที่เคยพบเห็นในป่า พวกเขากล่าว
Kaiji ซึ่งค้นพบในปี 2020 เดิมมีเป้าหมายไปที่เซิร์ฟเวอร์ AMD และ i386 ที่ใช้ Linux โดยใช้ประโยชน์จาก SSH brute-forcecing เพื่อแพร่เชื้อบอทใหม่ จากนั้นจึงเปิดการโจมตี DDoS Chaos ได้พัฒนาความสามารถดั้งเดิมของ Kaiji เพื่อรวมโมดูลสำหรับสถาปัตยกรรมใหม่ รวมถึง Windows เช่นเดียวกับการเพิ่มโมดูลการแพร่กระจายใหม่ผ่านการใช้ประโยชน์จาก CVE และการเก็บเกี่ยวคีย์ SSH นักวิจัยกล่าว
กิจกรรมความโกลาหลล่าสุด
ในกิจกรรมล่าสุด Chaos ประสบความสำเร็จในการบุกรุกเซิร์ฟเวอร์ GitLab และเปิดการโจมตี DDoS ที่พุ่งเป้าไปที่เกม บริการทางการเงินและเทคโนโลยี และอุตสาหกรรมสื่อและความบันเทิง ตลอดจนผู้ให้บริการ DDoS-as-a-service และการแลกเปลี่ยนสกุลเงินดิจิทัล
ขณะนี้ Chaos ไม่เพียงมุ่งเป้าไปที่องค์กรและองค์กรขนาดใหญ่เท่านั้น แต่ยังรวมถึง "อุปกรณ์และระบบที่ไม่ได้รับการตรวจสอบเป็นประจำซึ่งเป็นส่วนหนึ่งของโมเดลความปลอดภัยขององค์กร เช่น เราเตอร์ SOHO และระบบปฏิบัติการ FreeBSD" นักวิจัยกล่าว
และในขณะที่ครั้งสุดท้ายที่ Chaos ถูกพบในป่า มันทำหน้าที่เหมือนแรนซัมแวร์ทั่วไปที่เข้าสู่เครือข่ายโดยมีวัตถุประสงค์เพื่อเข้ารหัสไฟล์ ผู้แสดงที่อยู่เบื้องหลังตัวแปรล่าสุดมีแรงจูงใจที่แตกต่างกันมากในใจ นักวิจัยกล่าว
ฟังก์ชันการทำงานข้ามแพลตฟอร์มและอุปกรณ์ตลอดจนโปรไฟล์การลักลอบของโครงสร้างพื้นฐานเครือข่ายที่อยู่เบื้องหลังกิจกรรม Chaos ล่าสุดดูเหมือนจะแสดงให้เห็นว่าเป้าหมายของแคมเปญคือการปลูกฝังเครือข่ายของอุปกรณ์ที่ติดไวรัสเพื่อใช้ประโยชน์จากการเข้าถึงครั้งแรก การโจมตี DDoS และการขุด cryptomining ตามที่นักวิจัยระบุ
ความแตกต่างที่สำคัญและความคล้ายคลึงกันอย่างหนึ่ง
ในขณะที่ตัวอย่าง Chaos ก่อนหน้านี้เขียนด้วย .NET แต่มัลแวร์ตัวล่าสุดถูกเขียนด้วย Go ซึ่งกำลังกลายเป็น a ภาษาที่คุณเลือก สำหรับนักแสดงภัยคุกคามเนื่องจากความยืดหยุ่นข้ามแพลตฟอร์ม อัตราการตรวจจับแอนตี้ไวรัสต่ำ และความยากลำบากในการทำวิศวกรรมย้อนกลับ นักวิจัยกล่าว
และแท้จริงแล้ว หนึ่งในเหตุผลที่ Chaos เวอร์ชันล่าสุดทรงพลังมากก็เพราะมันทำงานได้บนหลายแพลตฟอร์ม รวมถึงไม่เพียงแต่ระบบปฏิบัติการ Windows และ Linux เท่านั้น แต่ยังรวมถึง ARM, Intel (i386), MIPS และ PowerPC ด้วย
นอกจากนี้ยังแพร่กระจายในลักษณะที่แตกต่างไปจากมัลแวร์เวอร์ชันก่อนหน้ามาก ในขณะที่นักวิจัยไม่สามารถระบุเวกเตอร์การเข้าถึงเริ่มต้นได้ แต่เมื่อเข้ายึดระบบแล้ว ตัวแปร Chaos ล่าสุดใช้ประโยชน์จากช่องโหว่ที่ทราบในลักษณะที่แสดงให้เห็นถึงความสามารถในการหมุนอย่างรวดเร็ว นักวิจัยตั้งข้อสังเกต
“ในบรรดาตัวอย่างที่เราวิเคราะห์ถูกรายงาน CVE สำหรับ Huawei (CVE-2017-17215) and Zyxel (CVE-2022-30525) ไฟร์วอลล์ส่วนบุคคล ซึ่งทั้งสองอย่างนี้ใช้ประโยชน์จากช่องโหว่การฉีดบรรทัดคำสั่งระยะไกลที่ไม่ได้รับการรับรองความถูกต้อง” พวกเขาสังเกตเห็นในโพสต์ของพวกเขา “อย่างไรก็ตาม ไฟล์ CVE ดูเหมือนจะไม่สำคัญสำหรับนักแสดงในการอัปเดต และเราประเมินว่ามีความเป็นไปได้สูงที่นักแสดงจะใช้ประโยชน์จาก CVE อื่น ๆ”
ความโกลาหลได้เกิดขึ้นมากมายนับตั้งแต่มันเกิดขึ้นครั้งแรกในเดือนมิถุนายน พ.ศ. 2021 และเวอร์ชันล่าสุดนี้ไม่น่าจะเป็นเพียงเวอร์ชันสุดท้าย นักวิจัยกล่าว การทำซ้ำครั้งแรกคือ Chaos Builder 1.0-3.0 ซึ่งอ้างว่าเป็นผู้สร้างสำหรับ Ransomware Ryuk เวอร์ชัน .NET แต่นักวิจัยสังเกตเห็นในไม่ช้าว่ามันมีความคล้ายคลึงเล็กน้อยกับ Ryuk และแท้จริงแล้วเป็นเพียงเครื่องปัดน้ำฝน
มัลแวร์ดังกล่าวพัฒนาในหลายเวอร์ชันจนกระทั่งเวอร์ชันที่สี่ของตัวสร้าง Chaos ที่เปิดตัวในช่วงปลายปี 2021 และได้รับการเพิ่มประสิทธิภาพเมื่อกลุ่มภัยคุกคามชื่อ Onyx สร้างแรนซัมแวร์ของตัวเอง เวอร์ชันนี้กลายเป็นเวอร์ชัน Chaos ที่พบเห็นได้ทั่วไปอย่างรวดเร็วอย่างรวดเร็ว โดยเข้ารหัสไฟล์บางไฟล์แต่ยังคงเขียนทับและทำลายไฟล์ส่วนใหญ่ในเส้นทางของมัน
เมื่อต้นปีที่ผ่านมาในเดือนพฤษภาคม ผู้สร้าง Chaos แลกเปลี่ยนความสามารถในการปัดน้ำฝนสำหรับการเข้ารหัสซึ่งเปิดตัวด้วยไบนารีที่เปลี่ยนชื่อแบรนด์ใหม่ชื่อว่า Yashma ซึ่งรวมเอาความสามารถของแรนซัมแวร์ที่ครบครัน
แม้ว่าวิวัฒนาการล่าสุดของ Chaos ที่ Black Lotus Labs เห็นนั้นแตกต่างออกไปมาก แต่ก็มีสิ่งหนึ่งที่คล้ายคลึงกันอย่างมีนัยสำคัญกับรุ่นก่อน นั่นคือการเติบโตอย่างรวดเร็วซึ่งไม่น่าจะชะลอตัวในเร็วๆ นี้ นักวิจัยกล่าว
ใบรับรองที่เก่าแก่ที่สุดของตัวแปร Chaos ล่าสุดถูกสร้างขึ้นเมื่อวันที่ 16 เมษายน ต่อมาเป็นช่วงที่นักวิจัยเชื่อว่าผู้ก่อภัยคุกคามเปิดตัวตัวแปรใหม่ในป่า
ตั้งแต่นั้นมา จำนวนใบรับรองที่ลงนามด้วยตนเองของ Chaos ได้แสดงให้เห็นถึง “การเติบโตที่โดดเด่น” เพิ่มขึ้นกว่าสองเท่าในเดือนพฤษภาคมเป็น 39 ใบ และเพิ่มขึ้นเป็น 93 ใบในเดือนสิงหาคม นักวิจัยกล่าว เมื่อวันที่ 20 กันยายน เดือนปัจจุบันได้แซงหน้ายอดรวมของเดือนก่อนหน้าไปแล้วด้วยการสร้างใบรับรอง Chaos 94 ใบ พวกเขากล่าว
การลดความเสี่ยงทั่วทั้งคณะกรรมการ
เนื่องจากตอนนี้ Chaos กำลังโจมตีเหยื่อตั้งแต่โฮมออฟฟิศที่เล็กที่สุดไปจนถึงองค์กรที่ใหญ่ที่สุด นักวิจัยจึงได้ให้คำแนะนำเฉพาะสำหรับเป้าหมายแต่ละประเภท
สำหรับเครือข่ายที่ป้องกันเหล่านั้น พวกเขาแนะนำให้ผู้ดูแลระบบเครือข่ายคอยจัดการแพตช์สำหรับช่องโหว่ที่เพิ่งค้นพบ เนื่องจากนี่เป็นวิธีหลักในการแพร่กระจาย Chaos
“ใช้ IoC ที่ระบุไว้ในรายงานนี้เพื่อติดตามการติดไวรัส Chaos รวมถึงการเชื่อมต่อกับโครงสร้างพื้นฐานที่น่าสงสัย” นักวิจัยแนะนำ
ผู้บริโภคที่มีเราเตอร์ในสำนักงานขนาดเล็กและโฮมออฟฟิศควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในการรีบูตเราเตอร์เป็นประจำ และติดตั้งการอัปเดตและแพทช์ด้านความปลอดภัย รวมถึงการใช้ประโยชน์จากโซลูชัน EDR ที่กำหนดค่าและอัปเดตอย่างเหมาะสมบนโฮสต์ ผู้ใช้เหล่านี้ควรแพทช์ซอฟต์แวร์เป็นประจำโดยใช้การอัปเดตของผู้จำหน่ายตามความเหมาะสม
คนงานระยะไกล พื้นผิวการโจมตีที่เพิ่มขึ้นอย่างมีนัยสำคัญในช่วงสองปีที่ผ่านมาของการแพร่ระบาด ก็มีความเสี่ยงเช่นกัน และควรบรรเทาด้วยการเปลี่ยนรหัสผ่านเริ่มต้น และปิดการใช้งานการเข้าถึงรูทระยะไกลบนเครื่องที่ไม่จำเป็นต้องใช้ นักวิจัยแนะนำ ผู้ปฏิบัติงานดังกล่าวควรจัดเก็บคีย์ SSH ไว้อย่างปลอดภัยและบนอุปกรณ์ที่จำเป็นต้องใช้เท่านั้น
สำหรับทุกธุรกิจ Black Lotus Labs แนะนำให้พิจารณาการประยุกต์ใช้ Secure Access Service Edge (SASE) ที่ครอบคลุมและการป้องกันการลดผลกระทบ DDoS เพื่อเสริมมาตรการรักษาความปลอดภัยโดยรวมและเปิดใช้งานการตรวจจับที่แข็งแกร่งในการสื่อสารบนเครือข่าย
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
