“Crux” แรนซัมแวร์สายพันธุ์ใหม่ โจมตีองค์กรผ่าน Remote Desktop

ทีมนักวิจัยด้านความปลอดภัยไซเบอร์จากบริษัท Huntress ได้ออกมาเปิดเผยถึงการพบมัลแวร์เรียกค่าไถ่ชนิดใหม่ในชื่อ “Crux” ซึ่งกำลังเริ่มแพร่ระบาดอยู่ในตอนนี้ โดยมีการยืนยันเหตุการณ์โจมตีแล้วอย่างน้อย 3 ครั้งภายในเดือนเดียวกันนี้ โดยได้รับความสนใจจากวงการไอทีทั่วโลก เนื่องจาก Crux มีลักษณะการโจมตีที่รวดเร็ว ซับซ้อน และมีศักยภาพสูงในการหลบเลี่ยงระบบป้องกันขององค์กร

Crux เป็นผลงานของกลุ่มผู้โจมตีที่เกี่ยวข้องกับ BlackByte ซึ่งเป็นกลุ่มแรนซัมแวร์ระดับ Ransomware-as-a-Service (RaaS) ที่เริ่มปรากฏตัวมาตั้งแต่ปี 2021 และเคยมีประวัติการโจมตีโครงสร้างพื้นฐานสำคัญในสหรัฐอเมริกา เช่น องค์กรด้านพลังงานและสาธารณูปโภค สำหรับ Crux นั้นนักวิจัยพบว่าผู้โจมตีใช้วิธีการเข้าถึงระบบเหยื่อผ่าน Remote Desktop Protocol (RDP) โดยใช้บัญชีผู้ใช้จริงที่ได้มาจากการแอบดักข้อมูลหรือเจาะผ่านช่องโหว่ เมื่อเข้าสู่ระบบได้แล้ว ผู้โจมตีจะดำเนินการปิดฟีเจอร์ Windows Recovery ทันที จากนั้นรันคำสั่งติดตั้งมัลแวร์ โคลนข้อมูลออกไปยังเซิร์ฟเวอร์ภายนอก และเริ่มกระบวนการเข้ารหัสไฟล์ทั้งหมดบนเครื่องที่ติดมัลแวร์

ทั้งนี้ Remote Desktop Protocol หรือ RDP คือเทคโนโลยีที่อนุญาตให้ผู้ใช้เชื่อมต่อและควบคุมเครื่องคอมพิวเตอร์จากระยะไกลผ่านเครือข่าย เช่น อินเทอร์เน็ต โดยผู้ดูแลระบบมักเปิดใช้งานฟีเจอร์นี้เพื่อบริหารจัดการเครื่องเซิร์ฟเวอร์หรือคอมพิวเตอร์ขององค์กรได้ง่ายขึ้น

ซึ่งแฮกเกอร์จะใช้เครื่องมือในการค้นหาเครื่องที่เปิดให้บริการ RDP บนอินเทอร์เน็ต เมื่อค้นพบ หากเครื่องไม่มีการป้องกันที่ดีพอ เช่น รหัสผ่านเดาไม่ยาก บัญชีผู้ใช้รั่วไหล หรือไม่มีการตั้งค่าความปลอดภัยที่เหมาะสม ก็จะทำให้แฮกเกอร์เจาะและเข้าควบคุมเครื่องได้เต็มที่ สามารถติดตั้งมัลแวร์ เข้าถึงข้อมูล เคลื่อนไหวภายในเครือข่าย และทำลายระบบได้ในที่สุด

ซึ่งมีการตรวจสอบพบมีทั้งหมด 3 กรณี โดยสองเหตุการณ์แรกเกิดขึ้นเมื่อวันที่ 4 กรกฎาคม และอีกเหตุการณ์หนึ่งเกิดขึ้นในวันที่ 13 กรกฎาคม ทั้งหมดนี้มีลักษณะร่วมกันคือตัวมัลแวร์จะเริ่มต้นจากกระบวนการรันไฟล์ผ่าน svchost.exe ก่อนจะเรียกใช้ cmd.exe และ bcdedit.exe เพื่อปิดการทำงานของระบบกู้คืนในเครื่อง จากนั้นจะสร้างไฟล์ “canary” ซึ่งเป็นสัญญาณเตือนเพื่อหลีกเลี่ยงการตรวจจับและทิ้งร่องรอยสำหรับวิเคราะห์พฤติกรรมย้อนหลัง

ที่น่ากังวลคือการโจมตีครั้งที่สามในวันที่ 13 กรกฎาคม ผู้โจมตีสามารถเข้าสู่ระบบผ่านบัญชีผู้ใช้ระดับ Support และ Administrator ซึ่งบ่งชี้ว่าเป็นการเจาะที่วางแผนมาแล้วล่วงหน้า ในเวลาเพียงไม่กี่นาทีหลัง login สำเร็จ ผู้โจมตีก็สามารถอัปโหลดไฟล์มัลแวร์และสั่งรันบนเครื่องได้ทันที ซึ่งแสดงให้เห็นถึงระดับทักษะและการเตรียมการที่รัดกุมของกลุ่มผู้อยู่เบื้องหลัง

Crux ยังแสดงพฤติกรรมหลบซ่อนอย่างแยบยล โดยใช้ชื่อไฟล์ที่แตกต่างกันในแต่ละเหตุการณ์ บางกรณีมัลแวร์ถูกรันจากโฟลเดอร์ temp หรือแม้แต่จากโฟลเดอร์ C:\Windows ทำให้ยากต่อการตรวจจับด้วยซอฟต์แวร์ป้องกันทั่วไป นอกจากนี้ยังมีการใช้เครื่องมือ “rclone” เพื่อโอนถ่ายข้อมูลออกจากเครื่องเหยื่อ โดยกำหนดปลายทางเป็นเซิร์ฟเวอร์ควบคุมของผู้โจมตี ซึ่งมักตั้งอยู่นอกเขตอำนาจศาลขององค์กรเป้าหมาย

นักวิจัยจาก Huntress เตือนว่าองค์กรควรเฝ้าระวังพฤติกรรมต้องสงสัยที่เกี่ยวข้องกับการปิดระบบกู้คืน การรันคำสั่งผ่าน cmd.exe โดยไม่ทราบสาเหตุ หรือการใช้เครื่องมือสำรองข้อมูลที่ไม่ได้รับอนุญาต เช่น rclone นอกจากนี้ยังแนะนำให้จำกัดการเข้าถึงผ่าน RDP เฉพาะในกรณีจำเป็น พร้อมเปิดใช้การยืนยันตัวตนหลายขั้นตอน (MFA) และติดตั้งระบบ EDR หรือเครื่องมือเฝ้าระวังพฤติกรรมภายในเครือข่ายที่สามารถตรวจจับพฤติกรรม lateral movement ได้

แม้ Crux จะยังไม่ได้แพร่ระบาดในวงกว้างเท่าแรนซัมแวร์อื่น ๆ แต่ความสามารถในการหลบหลีก การเข้ารหัสรวดเร็ว และการใช้งานบัญชีจริงในการโจมตี แสดงให้เห็นว่ากลุ่มผู้อยู่เบื้องหลังมีเจตนาร้ายและศักยภาพสูงในการก่อกวนภาคธุรกิจ การเฝ้าระวังและป้องกันจึงต้องทำเชิงรุกและต่อเนื่อง โดยเฉพาะในระบบที่ยังเปิดใช้ RDP หรือขาดมาตรการตรวจจับเชิงลึก

สำหรับองค์กรใดที่ยังไม่มีแผนตอบสนองภัยคุกคามไซเบอร์อย่างเป็นระบบ ข้อมูลจากกรณีของ Crux น่าจะเพียงพอที่จะกระตุ้นให้เริ่มลงมือทันที ก่อนที่ภัยเงียบนี้จะกลายเป็นหายนะต่อระบบข้อมูลภายในองค์กรอย่างคาดไม่ถึง

ที่มา