CISA และ FBI เตือนภัย แรนซัมแวร์ Ghost เจาะระบบองค์กรในกว่า 70 ประเทศ

cisa-and-fbi-ghost-ransomware-breached-orgs-in-70-countries-Social

CISA และ FBI เปิดเผยว่ากลุ่มแฮ็กเกอร์ที่ใช้ Ghost Ransomware ได้ก่อเหตุเจาะระบบองค์กรต่างๆ ในหลากหลายภาคอุตสาหกรรมในกว่า 70 ประเทศทั่วโลก โดยมีทั้งองค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานที่สำคัญ รวมถึงภาคส่วนอื่นๆ เช่น การดูแลสุขภาพ หน่วยงานรัฐบาล สถาบันการศึกษา เทคโนโลยี การผลิต ธุรกิจขนาดกลางและขนาดเล็กจำนวนมากที่ตกเป็นเหยื่อ

จากรายงานระบุว่า การโจมตีเหล่านี้เริ่มต้นขึ้นตั้งแต่ช่วงต้นปี 2021 โดยผู้โจมตีได้มุ่งเป้าหมายไปที่ระบบบริการอินเทอร์เน็ตที่ยังคงใช้ซอฟต์แวร์และเฟิร์มแวร์เวอร์ชันเก่า ซึ่งเป็นช่องโหว่ให้แรนซัมแวร์ Ghost สามารถเข้าถึงระบบได้อย่างง่ายดาย คำแนะนำจาก CISA, FBI และศูนย์แบ่งปันข้อมูลและวิเคราะห์หลายรัฐ (MS-ISAC) ที่เผยแพร่เมื่อวันพุธนี้ เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์ และการอัปเดตซอฟต์แวร์และเฟิร์มแวร์ให้ทันสมัยเพื่อลดความเสี่ยงในการถูกโจมตี

กลุ่มแรนซัมแวร์ Ghost ใช้ช่องโหว่ที่ยังไม่ได้อัปเดต โจมตีองค์กรกว่า 70 ประเทศ รวมถึงจีน โดยเปลี่ยนแปลงมัลแวร์เป็นประจำ เช่น เปลี่ยนนามสกุลไฟล์ ปรับโน้ตร้องขอค่าไถ่ และใช้หลายอีเมลสื่อสาร เพื่อหลีกเลี่ยงการตรวจจับ กลุ่มนี้ใช้ชื่อหลายชื่อ เช่น Ghost, Cring, Crypt3r, Phantom และ Wickrme โดยมีมัลแวร์หลัก ได้แก่ Cring.exe, Ghost.exe, ElysiumO.exe และ Locker.exe

Ghost มีเป้าหมายทางการเงิน ใช้โค้ดที่เข้าถึงได้สาธารณะ เพื่อเจาะช่องโหว่ที่ยังไม่ได้รับการแก้ไขใน Fortinet (CVE-2018-13379), ColdFusion (CVE-2010-2861, CVE-2009-3960) และ Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)

เพื่อป้องกันการโจมตีจากแรนซัมแวร์ Ghost ผู้ดูแลเครือข่ายควรปฏิบัติตามแนวทางดังนี้:

สำรองข้อมูลระบบเป็นประจำ และจัดเก็บไว้ในสถานที่ที่ไม่เชื่อมต่อกับระบบหลัก เพื่อป้องกันการเข้ารหัสจากแรนซัมแวร์
เร่งอัปเดตช่องโหว่ในระบบปฏิบัติการ ซอฟต์แวร์ และเฟิร์มแวร์ให้เร็วที่สุด
มุ่งเน้นการแก้ไขช่องโหว่ที่แรนซัมแวร์ Ghost มักโจมตี (เช่น CVE-2018-13379, CVE-2010-2861, CVE-2009-3960, CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)
แยกส่วนเครือข่ายเพื่อลดการเคลื่อนย้ายของการโจมตีจากอุปกรณ์ที่ติดเชื้อ
บังคับใช้การยืนยันตัวตนแบบหลายขั้นตอน (MFA) ที่ทนต่อการโจมตีแบบฟิชชิงสำหรับบัญชีที่มีสิทธิพิเศษและบัญชีบริการอีเมลทั้งหมด

แรนซัมแวร์ Ghost ถูกพบครั้งแรกโดย Amigo_A และทีม CSIRT ของ Swisscom ในต้นปี 2021 ผู้โจมตีใช้ Mimikatz แบบปรับแต่ง ตามด้วยการใช้ CobaltStrike beacons และนำแรนซัมแวร์มาปฏิบัติการผ่าน CertUtil ซึ่งเป็นเครื่องมือของ Windows เพื่อหลบเลี่ยงระบบความปลอดภัย นอกจากการเจาะระบบด้วยช่องโหว่เบื้องต้น กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐยังมุ่งเป้าไปที่ช่องโหว่ CVE-2018-13379 ใน Fortinet SSL VPN ที่มีช่องโหว่เดียวกันนี้ถูกใช้เจาะระบบสนับสนุนการเลือกตั้งของสหรัฐฯ

Fortinet ได้ออกคำเตือนหลายครั้งในช่วงปี 2019-2021 เพื่อให้ลูกค้าแก้ไขช่องโหว่ดังกล่าว แต่การโจมตียังคงเกิดขึ้นอย่างต่อเนื่อง

คำแนะนำล่าสุดจาก CISA, FBI และ MS-ISAC ในเดือนมกราคม 2025 รวมถึงตัวชี้วัดการโจมตี (IOCs), เทคนิค (TTPs) และวิธีการตรวจจับที่เชื่อมโยงกับกิจกรรมของแรนซัมแวร์ Ghost

Source: bleepingcomputer.com

ผู้ที่สนใจสอบถามข้อมูลเพิ่มเติม สามารถติดต่อทีมงาน WIT ได้ที่

Related Posts