FBI เตือนภัยแรนซัมแวร์ Egregor กำลังคุกคามองค์กรทั่วโลก
สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) ออกมาเตือนองค์กรเอกชนว่า ไวรัสเรียกค่าไถ่ Egregor กำลังโจมตีบริษัทต่าง ๆ ทั่วโลก
รายงาน Private Industry Notification (PIN) ของ FBI ใน TLP:WHITE ประกาศเมื่อวันพุธว่า ไวรัส Egregor จู่โจมผู้เสียหายกว่า 150 รายตั้งแต่ตอนที่องค์กรตรวจสอบเหตุคุกคามเมื่อเดือนกันยายน ปี 2020
“เนื่องจากมีผู้ปล่อย Egregor อยู่หลายคน การใช้ Tactics, Techniques, and Procedures (TTPs) จึงต้องทำในรูปแบบที่แตกต่างกันไป นับว่าเป็นเรื่องท้าทายในการป้องกันและจัดการกับภัยนี้” บุคลากรฝ่ายข่าวกรองและความมั่นคงได้กล่าวไว้
“ไวรัสเรียกค่าไถ่ Egregor ใช้กลไกหลายรูปแบบในการเข้าถึงข้อมูลของบริษัท โดยเพ่งเล็งไปที่เครือข่ายของบริษัทกับบัญชีส่วนตัวของพนักงานที่สามารถเข้าถึงเครือข่ายหรืออุปกรณ์ของบริษัท” ผู้ปล่อยไวรัส Egregor ส่งไวรัสผ่านอีเมลฟิชชิ่งพร้อมไฟล์แนบอันตราย, Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย, หรือ VPN เพื่อเข้าไปในเครือข่ายของผู้เสียหายได้อย่างอิสระ
Egregor ใช้ Cobalt Strike, Qakbot/Qbot, Advanced IP Scanner, and AdFind เพื่อยกระดับสิทธิ์เข้าถึงระบบ และการทำขั้นตอน Lateral Network Movement.
ผู้ปล่อยไวรัสคนอื่นก็แฝงไวรัสผ่านทาง 7zip และ Rclone ในรูปแบบ Service Host Process (svchost) เพื่อขโมยข้อมูลออกไปก่อนปล่อยไวรัสเรียกค่าไถ่เข้าสู่เครือข่ายของผู้เสียหาย
ที่มา : bleepingcomputer