Pulse Secure VPN ก่อนปี 2019 เสี่ยงโดน Black Kingdom Ransomware

REDTEAM.PL บริษัทให้บริการด้าน Cyber security แห่งหนึ่งในประเทศโปแลนด์ เปิดเผยข้อมูลของ Black Kingdom กลุ่มผู้พัฒนา ransomware ที่มีเป้าหมายโจมตีบริษัท และองค์กรต่างๆ โดยใช้ช่องโหว่ที่ถูกจัดอยู่ในระดับ critical ชื่อ CVE-2019-11510 ซึ่งจะมีผลกระทบต่อ Pulse Secure VPN software โดยหลังจากช่องโหว่นี้ถูกเปิดเผย ก็ได้มีการออกแพทซ์เพื่อแก้ไขไปแล้วในช่วงเดือนเมษายนปี 2019 ที่ผ่านมา แต่อย่างไรก็ตามยังพบว่ามีผู้ใช้งานที่ไม่ได้อัปเดตอยู่เป็นจำนวนมาก จึงเป็นช่องทางให้กลุ่มแฮกเกอร์นำมาใช้โจมตีได้

Adam Ziaja นักวิจัยของ REDTEAM.PL ให้ข้อมูลว่าตรวจพบมัลแวร์ชนิดนี้จากการทำ “Honey Pot” ซึ่งเป็นระบบที่สร้างขึ้นเพื่อหลอกล่อให้แฮกเกอร์เข้ามาโจมตี จากนั้นจึงเริ่มวิเคราะห์เทคนิคที่แฮกเกอร์นำมาใช้ ซึ่งจากการสังเกตพฤติกรรม พบว่า ransomware ชนิดนี้มักจะแอบอ้างใช้ชื่อ scheduled task ที่เลียนแบบจาก Google Chrome

GoogleUpdateTaskMachineUSA - Black Kingdom task
GoogleUpdateTaskMachineUA - legitimate Google Chrome task

และพยายามจะ run script ที่ชื่อว่า “reverse.ps1” เพื่อให้เครื่องของเหยื่อ ติดต่อกลับมาที่ IP ในฝั่งแฮกเกอร์ ในที่นี้คือ IP 198.13.49.179 จากการตรวจสอบพบเป็น Public IP ที่อยู่ภายใต้การบริหารจัดการของ Choopa บริษัทลูกของ Vultr ซึ่งเป็นที่ทราบกันดีว่าเป็นผู้ให้บริการ virtual private servers (VPS) ราคาถูก ที่มักถูกใช้เพื่อนำไปก่ออาชญากรรมทางไซเบอร์ หรือใช้เพื่อเป็น malicious tools นอกจากนั้นอีกจุดสำคัญของ Black Kingdom คือมักจะทิ้ง ransomnote หรือข้อความเรียกค่าไถ่ที่จะนับถอยหลังเมื่อเหยื่อเปิดดู พร้อมกับคำขู่ที่ว่าหากไม่โอนเงินเข้าบัญชี bitcoin ภายในเวลาที่กำหนดจะทำการลบข้อมูลทั้งหมด หรือจะนำข้อมูลออกไปขาย ดังนั้น หากท่านกำลังใช้งาน Pulse Secure VPN แนะนำให้ตรวจสอบและทำการแพทซ์ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันช่องโหว่ดังกล่าวด้วย

ที่มา: https://www.bleepingcomputer.com/news/security/black-kingdom-ransomware-hacks-networks-with-pulse-vpn-flaws/