Patrick Van Looy ผู้เชี่ยวชาญจาก Northware พบ LockBit Ransomware ที่สามารถแพร่กระจายได้ด้วยตัวเอง และมีเครื่องถูกเข้ารหัสแล้วกว่า 225 เครื่อง ภายในเวลาแค่ 3 ชั่วโมงเท่านั้น ซึ่งการโจมตีจะเริ่มต้นในช่วงเวลาประมาณ 1:00 AM (อ้างอิงจากข้อมูลการ access เข้าระบบของ administrator account ) จนกระทั่ง log out ออกไปในเวลา 4:00 AM โดย Patrick Van Looy กล่าวว่า LockBit Ransomware จะเริ่มต้นจากการทำ brute-force เพื่อขโมย credential ของ administrator ผ่านบริการ VPN ที่ไม่ได้ทำการ patch จึงสามารถเข้าถึงระบบ Network ได้และเริ่มต้นปล่อย Ransomware อย่างรวดเร็ว แตกต่างจากกรณีทั่วไปที่ hacker จะต้องพยายามแทรกซึมเข้ามาในระบบ network จากนั้นจะพยายามขโมยข้อมูล credential ของ admin โดยทั่วไปมักต้องใช้เวลาหลายวัน

ในขณะที่เว็บไซต์โปรแกรมป้องกันไวรัสอย่าง McAfee ก็แสดงความคิดเห็นด้วยว่า LockBit มี feature ในการแพร่กระจายด้วยตัวเอง เมื่อ Ransomware ถูก launch เครื่องที่ถูกเข้ารหัสจะติดต่อไปยังเครื่องอื่นใน network ด้วย ARP request เมื่อพบเครื่องที่ active อยู่จะทำการเชื่อมต่อด้วย SMB protocol เพื่อแพร่กระจาย Ransomware ด้วยการใช้คำสั่ง remote PowerShell เพื่อดาวน์โหลด Ransomware และติดตั้ง ซึ่งถ้าเครื่องคอมพิวเตอร์ติด Ransomware มีจำนวนมาก การแพร่กระจายก็จะรวดเร็วยิ่งขึ้นตามไปด้วย

สำหรับ LockBit Ransomware ถูกพบครั้งแรกเมื่อช่วงเดือนกันยายน ปี 2019 ที่ผ่านมา โดยมีลักษณะเป็น Ransomware-as-a-Service (Raas) ที่เปิดให้แฮกเกอร์ทั่วไปสามารถดาวน์โหลด Ransomware ไปใช้โจมตีและจะมีหน้าเว็บไซต์ให้สำหรับการจ่ายเงินค่าไถ่เพื่อแลกกับ decryption keys แต่มีเงื่อนไขว่า ถ้าหากได้รับเงินค่าไถ่แล้ว จะต้องแบ่งเงินค่าไถ่ให้ด้วยระหว่างแฮกเกอร์และผู้พัฒนา ซึ่งล่าสุด McAfee Labs และ Northwave บริษัทด้าน Cybersecurity ได้ร่วมกันออกรายงานรายละเอียดเกี่ยวกับการทำงานของ LockBit หลังจากที่พวกเขาได้รับ incident ของการเข้ารหัสเครื่องกว่า 25 servers และ 255 workstations ภายในเวลาเพียง 3 ชั่วโมง

การโจมตีครั้งนี้ทำให้ LockBit เป็น Ransomware ที่ผู้เชี่ยวชาญให้ความเห็นว่าต้องจับตามองอย่างใกล้ชิดต่อไป เพราะความรวดเร็วที่ใช้ในการโจมตี ด้วยการอยู่ในระบบเพียงช่วงเวลาสั้น ๆ ส่งผลให้การตรวจจับแทบจะเป็นไปไม่ได้ และสามารถแพร่กระจายในระบบ network ของเหยื่อได้ด้วยตัวเอง LockBit จึงเป็น Ransomware-as-a-Service (Raas) ที่ไม่ต้องอาศัย hacker ที่มีความเชี่ยวชาญ โดยสามารถโจมตีเหยื่อด้วยตัวเอง จึงเป็นสิ่งที่น่ากังวลอย่างยิ่ง

ที่มา

• https://www.bleepingcomputer.com/news/security/lockbit-Ransomware-self-spreads-to-quickly-encrypt-225-systems
• https://www.mcafee.com/blogs/other-blogs/mcafee-labs/tales-from-the-trenches-a-lockbit-Ransomware-story/

ภาพจาก : Taylor Vick on Unsplash