แรนซัมแวร์ Prinz Eugen
มัลแวร์ยังคงพัฒนาอย่างต่อเนื่อง และแรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่สร้างความเสียหายมากที่สุดต่อบุคคลและองค์กร การติดเชื้อเพียงครั้งเดียวอาจนำไปสู่การสูญเสียข้อมูลอย่างถาวร การหยุดชะงักของการดำเนินงาน และผลกระทบทางการเงินอย่างมาก เนื่องจากแคมเปญแรนซัมแวร์สมัยใหม่มักใช้เทคนิคที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับและเพิ่มความเสียหายให้มากที่สุด การรักษาระบบรักษาความปลอดภัยทางไซเบอร์ที่เข้มแข็งจึงเป็นสิ่งสำคัญในการปกป้องข้อมูลที่มีค่าและระบบที่สำคัญ
สารบัญ
ปฏิบัติการเรียกค่าไถ่แบบเงียบๆ
Prinz Eugen เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์หนึ่งที่เขียนด้วยภาษาโปรแกรม Go ซึ่งเป็นเฟรมเวิร์กการพัฒนาที่ได้รับความนิยมมากขึ้นในหมู่อาชญากรไซเบอร์เนื่องจากความคล่องตัวและประสิทธิภาพสูง มัลแวร์นี้เชื่อมโยงกับผู้ก่อภัยคุกคามที่รู้จักกันในชื่อ ROOTBOY และถูกออกแบบมาโดยมีเป้าหมายหลักเพียงอย่างเดียวคือ การเข้ารหัสข้อมูลและทำให้เหยื่อไม่สามารถเข้าถึงได้
เมื่อเรียกใช้โปรแกรม Prinz Eugen จะเข้ารหัสไฟล์และเพิ่มนามสกุล '.prinzeugen' ต่อท้ายชื่อไฟล์ทุกไฟล์ที่ได้รับผลกระทบ ตัวอย่างเช่น ไฟล์ชื่อ '1.png' จะกลายเป็น '1.png.prinzeugen' ในขณะที่ไฟล์ '2.pdf' จะถูกเปลี่ยนชื่อเป็น '2.pdf.prinzeugen' หลังจากกระบวนการนี้เสร็จสิ้น ไฟล์เหล่านั้นจะไม่สามารถเปิดได้ตามปกติอีกต่อไป
หนึ่งในลักษณะที่ผิดปกติที่สุดของ Prinz Eugen คือการที่มันไม่มีข้อความเรียกค่าไถ่เลย ต่างจากมัลแวร์เรียกค่าไถ่ตระกูลอื่นๆ ส่วนใหญ่ที่แสดงคำแนะนำในการชำระเงินผ่านไฟล์ข้อความ วอลเปเปอร์เดสก์ท็อป หรือหน้า HTML มัลแวร์นี้ไม่ทิ้งข้อความใดๆ ไว้เลย เหยื่อจะไม่ได้รับแจ้งโดยตรงว่าเกิดอะไรขึ้นหรือต้องดำเนินการอย่างไร ทำให้เกิดความสับสนและทำให้การตอบสนองในเบื้องต้นซับซ้อนขึ้น
การเข้ารหัสที่ออกแบบมาเพื่อป้องกันการกู้คืน
มัลแวร์ Prinz Eugen ใช้ขั้นตอนวิธีเข้ารหัส ChaCha20-Poly1305 ในการล็อกไฟล์ มัลแวร์จะสร้างค่าสุ่มที่ไม่ซ้ำกันสำหรับแต่ละไฟล์ที่ถูกเข้ารหัส ซึ่งหมายความว่าการกู้คืนไฟล์หนึ่งไฟล์จะไม่ช่วยในการถอดรหัสไฟล์อื่น ๆ การใช้งานในลักษณะนี้ลดโอกาสในการกู้คืนไฟล์ได้สำเร็จผ่านการวิเคราะห์ทางด้านการเข้ารหัสอย่างมาก
เพื่อขัดขวางการสืบสวนเพิ่มเติม มัลแวร์เรียกค่าไถ่นี้ใช้กลไกการลบตัวเองแบบหน่วงเวลาหลังจากเสร็จสิ้นกระบวนการเข้ารหัส โดยการลบตัวเองออกจากระบบที่ถูกบุกรุก Prinz Eugen จะลดปริมาณหลักฐานทางนิติวิทยาศาสตร์ที่มีอยู่สำหรับผู้สืบสวนและทำให้ความพยายามในการรับมือกับเหตุการณ์มีความซับซ้อนมากขึ้น
น่าเสียดายที่การกู้คืนไฟล์โดยปราศจากเครื่องมือถอดรหัสของผู้โจมตีนั้นถือว่าเป็นไปไม่ได้ ถึงกระนั้น การจ่ายค่าไถ่ก็ยังคงเป็นการเสี่ยงอันตราย เพราะอาชญากรไซเบอร์มักจะไม่สามารถจัดหาเครื่องมือถอดรหัสที่ใช้งานได้หลังจากได้รับเงินแล้ว การกำจัดมัลแวร์สามารถป้องกันความเสียหายเพิ่มเติมได้ แต่ไม่สามารถกู้คืนข้อมูลที่ถูกเข้ารหัสไปแล้วได้ ในกรณีส่วนใหญ่ วิธีการกู้คืนที่เชื่อถือได้เพียงวิธีเดียวคือการกู้คืนไฟล์จากข้อมูลสำรองที่สะอาดซึ่งจัดเก็บแบบออฟไลน์หรือบนเซิร์ฟเวอร์ระยะไกลที่ปลอดภัย
ผู้โจมตีเข้าถึงระบบได้อย่างไร
จากการวิเคราะห์พบว่า ข้อมูลประจำตัว Remote Desktop Protocol (RDP) ที่ถูกบุกรุก เป็นหนึ่งในช่องทางหลักที่ผู้ดำเนินการของ Prinz Eugen ใช้ ผู้โจมตีอาจได้รับข้อมูลประจำตัวเหล่านี้ผ่านการขโมยข้อมูลประจำตัว การใช้รหัสผ่านซ้ำ หรือการโจมตีแบบเดาแบบสุ่ม (brute-force) กับบริการ RDP ที่เปิดเผยต่ออินเทอร์เน็ต เมื่อเข้าถึงได้แล้ว พวกเขาสามารถควบคุมเครื่องเป้าหมายได้โดยตรงและเตรียมสภาพแวดล้อมสำหรับการติดตั้งแรนซัมแวร์
มีรายงานว่าผู้ดำเนินการใช้เครื่องมือบริหารจัดการระยะไกลในช่วงเตรียมการก่อนเริ่มกระบวนการเข้ารหัส พฤติกรรมนี้สะท้อนให้เห็นถึงวิธีการโจมตีที่มุ่งเป้าหมายและจงใจ ซึ่งมักพบเห็นได้ทั่วไปในการโจมตีธุรกิจและองค์กรต่างๆ
เช่นเดียวกับตระกูลแรนซัมแวร์อื่นๆ Prinz Eugen อาจเข้าถึงเหยื่อผ่านช่องทางการติดเชื้อแบบดั้งเดิมได้เช่นกัน อีเมลฟิชชิ่ง โทรจัน ซอฟต์แวร์ละเมิดลิขสิทธิ์ และเครื่องมือเปิดใช้งานซอฟต์แวร์ที่ผิดกฎหมายยังคงเป็นกลไกการแพร่กระจายที่พบได้ทั่วไป เพย์โหลดที่เป็นอันตรายสามารถปลอมแปลงเป็นไฟล์บีบอัด ไฟล์ปฏิบัติการ เอกสาร Microsoft Office และเนื้อหาอื่นๆ ที่ดูเหมือนถูกต้องตามกฎหมาย
การสื่อสารโดยไม่ต้องมีคำแนะนำ
แม้ว่าจะไม่มีข้อความเรียกค่าไถ่ถูกส่งไปบนอุปกรณ์ที่ติดไวรัส แต่จากการวิเคราะห์พบว่าผู้โจมตีคาดหวังว่าเหยื่อจะเป็นฝ่ายเริ่มติดต่อเอง มีรายงานว่าสามารถติดต่อผู้โจมตีได้ผ่านทางอีเมล prinzeugen@mail2tor.co และ standardbankcc@cock.li ยังไม่มีการเปิดเผยจำนวนเงินค่าไถ่ที่แน่นอน ทำให้เหยื่อไม่แน่ใจทั้งเรื่องค่าใช้จ่ายและความน่าจะเป็นในการกู้คืนข้อมูลของตน
แนวทางที่ไม่ธรรมดานี้เน้นให้เห็นถึงกลยุทธ์ที่หลากหลายมากขึ้นที่ผู้ดำเนินการแรนซัมแวร์ใช้ และแสดงให้เห็นว่าการไม่มีข้อความเรียกค่าไถ่ไม่ควรถูกตีความว่าเป็นสัญญาณว่าไฟล์สามารถกู้คืนได้ง่าย
เสริมสร้างการป้องกันมัลแวร์เรียกค่าไถ่
การป้องกันภัยคุกคามอย่างมีประสิทธิภาพ เช่น Prinz Eugen จำเป็นต้องใช้กลยุทธ์ด้านความปลอดภัยแบบหลายชั้น องค์กรและผู้ใช้แต่ละรายควรให้ความสำคัญกับการลดโอกาสที่ผู้โจมตีจะเข้าถึงระบบได้ในขั้นต้น ในขณะเดียวกันก็ต้องมั่นใจว่ายังมีตัวเลือกในการกู้คืนระบบหากเกิดเหตุการณ์ขึ้น
แนวทางปฏิบัติต่อไปนี้ช่วยเพิ่มความสามารถในการรับมือกับการติดเชื้อแรนซัมแวร์ได้อย่างมีนัยสำคัญ:
- ทำการสำรองข้อมูลเป็นประจำและจัดเก็บสำเนาไว้แบบออฟไลน์หรือในสภาพแวดล้อมคลาวด์ที่ปลอดภัยซึ่งระบบที่ติดไวรัสไม่สามารถแก้ไขได้โดยตรง
- ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน และปกป้องบริการการเข้าถึงระยะไกล เช่น RDP ด้วยการตรวจสอบสิทธิ์แบบหลายปัจจัย
- ปิดใช้งานบริการการเข้าถึงระยะไกลที่ไม่จำเป็น และหลีกเลี่ยงการเปิดเผย RDP สู่โลกอินเทอร์เน็ตโดยตรง
- ติดตั้งระบบปฏิบัติการและซอฟต์แวร์อัปเดตโดยเร็วที่สุดเพื่อกำจัดช่องโหว่ที่ทราบแล้ว
การตระหนักรู้ด้านความปลอดภัยทางไซเบอร์มีความสำคัญไม่แพ้กัน ผู้ใช้ควรตรวจสอบระบบเพื่อหาสิ่งผิดปกติ บังคับใช้การควบคุมการเข้าถึงโดยยึดหลักการให้สิทธิ์ขั้นต่ำ และทดสอบขั้นตอนการกู้คืนข้อมูลสำรองอย่างสม่ำเสมอ องค์กรควรจัดทำแผนรับมือเหตุการณ์และฝึกอบรมพนักงานให้รู้จักวิธีการหลอกลวงแบบฟิชชิ่งและเทคนิควิศวกรรมสังคมอื่นๆ ด้วย
ข้อคิดส่งท้าย
Prinz Eugen เป็นมัลแวร์เรียกค่าไถ่ที่ซับซ้อนและซ่อนเร้น มันผสมผสานการเข้ารหัสที่แข็งแกร่ง เทคนิคการบุกรุกแบบเจาะจงเป้าหมาย และความสามารถในการลบตัวเอง เพื่อเพิ่มความเสียหายให้มากที่สุดในขณะที่ลดหลักฐานทางนิติวิทยาศาสตร์ให้น้อยที่สุด การที่มันไม่มีข้อความเรียกค่าไถ่ทำให้มันผิดปกติเป็นพิเศษและอาจทำให้เหยื่อตอบสนองได้ช้า เนื่องจากการถอดรหัสโดยปราศจากเครื่องมือของผู้โจมตีนั้นเป็นไปไม่ได้ ดังนั้น การป้องกัน การรักษาความปลอดภัยการเข้าถึงที่แข็งแกร่ง และการสำรองข้อมูลที่เชื่อถือได้ จึงยังคงเป็นวิธีการป้องกันมัลแวร์นี้ที่มีประสิทธิภาพมากที่สุด