297/67 (IT) ประจำวันพุธที่ 21 สิงหาคม 2567
กลุ่มแรนซัมแวร์ใหม่ Mad Liberator กำลังเป็นกลุ่มภัยคุกคามที่ควรเฝ้าระวัง หลังจากที่ Sophos X-Ops พบว่ากลุ่มนี้ใช้แอปพลิเคชันการเข้าถึงระยะไกล AnyDesk เพื่อโจมตีผู้ใช้งาน โดยสร้างหน้าจออัปเดต Microsoft Windows ปลอม เพื่อปกปิดการขโมยข้อมูลของผู้ใช้งาน โดย Mad Liberator เริ่มมีปฏิบัติการตั้งแต่เดือนกรกฎาคม 2024 ที่มุ่งเน้นไปที่การขโมยข้อมูลมากกว่า การโจมตีเพื่อทำการเข้ารหัสข้อมูลตามรูปแบบเดิมของแรนซัมแวร์ทั่วไป กลุ่มนี้ใช้เทคนิคทางวิศวกรรมสังคมเพื่อหลอกล่อให้เหยื่ออนุญาตการเชื่อมต่อ AnyDesk โดยทำให้เหยื่อเข้าใจผิดว่าเป็นการบำรุงรักษาจากแผนกไอทีของบริษัท เมื่อผู้โจมตีกำหนดการเชื่อมต่อสำเร็จ พวกเขาจะโอนไฟล์ที่ปลอมเป็นอัปเดตของ Windows เข้ามาในระบบของเหยื่อ หน้าจออัปเดตปลอมนี้ช่วยปิดบังการขโมยข้อมูลจาก OneDrive และไฟล์บนเซิร์ฟเวอร์ส่วนกลาง ซึ่งการโจมตีนี้จะใช้เวลาประมาณสี่ชั่วโมง การโจมตีดังกล่าวย้ำถึงความสำคัญของการฝึกอบรมพนักงานเกี่ยวกับการจัดการเซสชันระยะไกลและการใช้ระบบควบคุมการเข้าถึง Anydesk เพื่อป้องกันการโจมตีในอนาคต อย่างไรก็ตาม กลวิธีทางวิศวกรรมสังคมที่กลุ่มนี้ใช้ในกรณีที่อธิบายข้างต้นนั้นน่าสนใจ แต่ก็ไม่ได้มีลักษณะเฉพาะ ผู้โจมตีจะยังคงพัฒนาและใช้กลวิธีต่างๆ อย่างต่อเนื่องเพื่อพยายามใช้ประโยชน์จากทั้งองค์ประกอบของมนุษย์และชั้นความปลอดภัยทางเทคนิค
แหล่งข่าว https://securityaffairs.com/167231/malware/mad-liberator-ransomware-social-engineering.html