ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบประกาศด้านความปลอดภัยเกี่ยวกับแรนซัมแวร์สายพันธุ์ใหม่ที่ใช้วิธีการโจมตี Bring Your Own Vulnerable Driver (BYOVD) เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอกภัย
1. นักวิจัยจากทีม Threat Hunter ของ Symantec และ Carbon Black ตรวจพบแรนซัมแวร์สายพันธุ์ใหม่ชื่อ Osiris ที่มีการยกระดับเทคนิคการโจมตี โดยใช้วิธี Bring Your Own Vulnerable Driver (BYOVD) ผ่านไดรเวอร์ที่เป็นอันตรายชื่อ POORTRY เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัยบนระบบปฏิบัติการ Windows ก่อนดำเนินการโจมตีหลัก รูปแบบการโจมตีดังกล่าวช่วยให้มัลแวร์สามารถหลีกเลี่ยงการตรวจจับและควบคุมระบบเป้าหมาย โดยผลิตภัณฑ์ที่ได้รับผลกระทบ ได้แก่ อุปกรณ์ที่ใช้ระบบปฏิบัติการ Windows 11
Osiris มีพฤติกรรมโหลดและติดตั้งไดรเวอร์ POORTRY เพื่อเพิ่มสิทธิ์การทำงานและยุติการทำงานของโปรเซสด้านความปลอดภัย จากนั้นใช้เครื่องมือมาตรฐานที่มีอยู่ในระบบ เพื่อสำรวจระบบและเตรียมระบบของเครื่องที่ถูกโจมตีก่อนการเข้ารหัสไฟล์ นอกจากนี้ยังพบการใช้เครื่องมือขโมยข้อมูลยืนยันตัวตน เช่น Mimikatz ซึ่งถูกปรับเปลี่ยนชื่อโปรแกรมเพื่อหลีกเลี่ยงการตรวจจับ เพื่อขโมยรหัสผ่านและข้อมูลลับ รวมถึงการส่งข้อมูลออกไปยังบริการจัดเก็บข้อมูลบนคลาวด์ ก่อนเริ่มกระบวนการเข้ารหัสข้อมูลและแสดงข้อความเรียกค่าไถ่ แม้ Osiris จะมีเป้าหมายหลักเพื่อเรียกค่าไถ่จากเหยื่อ แต่ผลกระทบที่เกิดขึ้นอาจทำให้ระบบไม่สามารถใช้งานได้ ข้อมูลสำคัญถูกเข้ารหัสหรือรั่วไหล และกระทบต่อการดำเนินงานขององค์กร แนะนำให้ผู้ดูแลระบบอัปเดตระบบปฏิบัติการและซอฟต์แวร์ด้านความปลอดภัยให้เป็นเวอร์ชันล่าสุด จำกัดสิทธิ์การติดตั้งไดรเวอร์และการเข้าถึงระดับผู้ดูแลระบบ ตรวจสอบพฤติกรรมผิดปกติในระบบอย่างสม่ำเสมอ และสำรองข้อมูลแยกออกจากระบบหลักเพื่อช่วยลดความเสี่ยงจากการโจมตีลักษณะดังกล่าว
2. แนวทางการป้องกัน
2.1 ไม่ดาวน์โหลดหรือติดตั้งซอฟต์แวร์น่าสงสัย หรือซอฟต์แวร์ที่ไม่ได้มาจากผู้พัฒนา/ผู้ให้บริการโดยตรง
2.2 อัปเดตระบบปฏิบัติการและโปรแกรมต่าง ๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
2.3 ใช้งานโปรแกรมป้องกันไวรัสที่เชื่อถือได้ และไม่ปิดการทำงานโดยไม่จำเป็น
2.4 ไม่ติดตั้งไดรเวอร์หรือโปรแกรมแปลก ๆ หากไม่แน่ใจควรหลีกเลี่ยงหรือสอบถามผู้เชี่ยวชาญก่อน
3. อ้างอิง
