จากข่าวก่อนหน้านี้ ที่มีการแฮ็คระบบขนส่งมวลชนของ San Francisco หรือที่มีชื่อเรียกย่อๆว่า Muni ทำให้ผู้โดยสารได้ใช้บริการขนส่งเมือง San Francisco ได้ฟรี ล่าสุดมีการเปิดเผยเพิ่มเติมจาก KrebsOnSecurity.com

lenovo-victim

เครื่องดังกล่าวถูกแฮ็คแล้วให้ติดต่อกลับไปยัง cryptom27@yandex.com เพื่อให้ได้ key ในการถอดรหัสไฟล์ที่ถูกเข้ารหัสทั้งหมด ซึ่งคิดเงินทั้งหมดที่ 100 Bitcoin หรือประมาณ 73000$ นั่นเอง!!! (2,600,000 กว่าบาท)

โดยทาง KrebsOnSecurity กล่าวว่าเค้าได้รับการติดต่อจาก security researcher ซึ่งเป็นคนที่เคยโดนแฮ็คด้วย email เดียวกันก็คือ cryptom27@yandex.com เมื่อวันจันทร์ หลังจากเหตุเกิดไปแล้วประมาณ 3 วัน ซึ่งทาง security researcher ดังกล่าวได้กล่าวว่าเค้าได้แฮ็คเข้าไปใน mail box ของ email ดังกล่าวได้สำเร็จจากการเดารหัสผ่านของคำถามลับ(Secret question) ทำให้เค้าสามารถ reset password ของ email นั้นได้ เมื่อเข้าไปได้ทาง security researcher ก็ได้ backup message ทั้งหมดออกมา จากนั้นก็นำมาแชร์ให้กับ KrebsOnSecurity.com

โดยภายในนั้นมีอีเมล์ที่ถูกส่งให้กับหัวหน้าผู้ดูแลระบบที่ชื่อว่า Sean Cunningham ของ “Muni” อยู่ด้วย และใช้นามแฝงผู้ส่งว่า “Andy Saolis”

โดยใจความของ email คือ

“if You are Responsible in MUNI-RAILWAY !

All Your Computer’s/Server’s in MUNI-RAILWAY Domain Encrypted By AES 2048Bit!

We have 2000 Decryption Key !

Send 100BTC to My Bitcoin Wallet , then We Send you Decryption key For Your All Server’s HDD!!”

ซึ่งเมื่อไล่ดูไปเรื่อยๆ พบว่า Hacker คนนี้ทำมายาวนานมาก และดูเหมือนว่า 100 Bitcoin ถือเป็นเงินปกติที่ Hacker คนนี้ได้มาเป็นประจำ เพราะเมื่อวันที่ 20/11/2016 ที่ผ่านมาก็เพิ่งมีการโอน 63 Bitcoin มาจากบริษัทหนึ่งใน US จากการขู่

Hacker คนนี้ติดนิสัยในการเปลี่ยน Bitcoin wallet ไปเรื่อยๆในทุกๆ 2-3 วัน, ด้วยเหตุผลทางด้านความปลอดภัย เค้าอธิบายว่าเหยื่อบางคนมักใช้เวลาหลายๆวันในการตัดสินใจจะจ่ายเงินค่าไถ่ตามที่ทาง Hacker กำหนด จากการตรวจสอบ Bitcoin wallet หลายๆอันไล่ย้อนหลังไปถึงเดือนสิงหาคมพบว่าเงินทั้งหมดที่เค้าได้ขู่เหยื่อทั้งหลายมามีขั้นต่ำอยู่ที่ประมาณ 140,000$ ใน Bitcoin

นั่นคือข้อมูลทั้งหมดของ Mail box นี้ที่ Hacker ใช้ แต่ Security Researcher ไม่สามารถที่จะเจาะเข้าไปใน w889901665@yandex.com ซึ่งเป็นอีเมล์อีกอันของ Hacker ได้ ซึ่งจากการนำ Email ดังกล่าวไปตรวจสอบพบว่า มีเหยื่อมากมายที่โดน Email นี้ขู่จากการติด malware ที่ชื่อว่า Mamba นั่นเอง

จากข้อความที่ถูกส่งจาก cryptom2016@yandex.com พบว่ามีการทำธุรกิจกับ 2 hosting ซึ่ง user,password ที่ใช้ในการจัดการ server เหล่านั้นกลับถูกเก็บไว้ใน mail box ของ Hacker แบบไม่เข้ารหัสอีกด้วย

KrebsOnSecurity ได้ขอความช่วยเหลือไปยัง security expert ทั้งหลายด้วยข้อความทั้งหมดที่ security researcher เป็นผู้แชร์มา ทาง Alex Holden, Chief Information Security Officer ของทางบริษัท Hold Security กล่าวว่าการโจมตีดังกล่าวเป็นการโจมตีเป็นแบบ staging คือมีขั้นตอน มีการใช้เครื่องมือ open source มากมายในการหาช่องโหว่และทำให้เหยื่อติด ransomware

“พบว่า Attacker ใช้เครื่องมือหลายอย่างในการ scan internet อย่างกว้างๆ และระบุเป้าหมายหลายๆที่เพื่อหาช่องโหว่ ซึ่งช่องโหว่ที่ใช้มากที่สุดคือ ‘weblogic unserialize exploit‘ และระบุการโจมตีไปเป็น server ของบริษัท Oracle และรวมถึง Primavera project ซึ่งเป็น portfolio management software”

จากใน email เพิ่มเติมพบว่า Attacker เสนอตัวที่จะช่วยเพิ่มความปลอดภัยของระบบให้กับเหยื่อเพื่อป้องกันเหยื่อจาก Hacker คนอื่นๆโดยการขอ Bitcoin เพิ่มเติมเล็กน้อย

มีอยู่ case หนึ่ง, เหยื่อเพิ่มเงินอีก 20 Bitcoin จากเงินค่าไถ่เพื่อจะถามว่าเค้าถูกแฮ็คได้อย่างไร ซึ่งในทางกลับกัน, Hacker ได้ให้ link ไปยังเว็บเซอร์เวอร์ และเร่งให้กับเหยื่อติดตั้ง patch สำคัญเพื่อจะ patch Java Application ของบริษัท และมีหลายๆ case ที่ Hacker ขู่เหยื่อว่าข้อมูลจะหายไปเมื่อไม่จ่ายเงินภายใน 48 ชม.หรือน้อยกว่านั้น และบางครั้งก็ขู่จะเพิ่มเงินค่าไถ่ในทุกๆวันที่ยังไม่ยอมจ่ายเงิน

Server ที่ใช้ในการ scan ช่องโหว่ของ Oracle ทำให้เป็นเบาะแสในการที่จะตามตำแหน่งของ Hacker ซึ่งพบว่ามีกว่า 300 IP ที่เข้ามาจัดการเครื่องดังกล่าว ซึ่งส่วนใหญ่มาจาก Iran ส่วนในอีก account ที่อยู่คนละ hosting มีการระบุไว้ว่าเบอร์โทรศัพท์คือ +78234512271 ซึ่งเป็นเบอร์ในรัสเซีย

รายละเอียดต่างๆที่ได้มาจาก Attacker เป็นตัวชี้นำว่าเบอร์ของรัสเซียน่าจะเป็นของปลอมมากกว่า เนื่องด้วยพบ web link หรือ IP ของเครื่องเหยื่อ การ list credential ที่แฮ็คมาได้ มีการนำข้อมูลเหล่านั้นมาแปลงโดยใช้ Google Translate ซึ่งส่วนใหญ่เป็นการแปลงไปเป็นภาษา Farsi หรือ Persian ซึ่งเป็นภาษาหลักที่ใช้ใน Iran และหลายๆประเทศในตะวันออกกลาง

User บนเครื่อง Server เป็นเบาะแสอีกอย่างนึงเช่น Alireza, Mokhi ซึ่ง Alireza อาจจะมาจากชื่อว่า “Ali Reza” ซึ่งเป็นตระกูลอันดับ 7 ของศาสดาอิสลาม Muhammad หรือก็คือชื่อที่ใช้อย่างมากใน Iran, Arab, และชาวตุรกี

จาก list ของเหยื่อที่เคยถูกขู่, ถือว่าเคสของ SFMTA (“Muni”) เป็นเครื่องที่แปลกเพราะโดยปกติ Hacker จะขู่จากบริษัทในเชิงอุตสาหกรรมและบริษัทก่อสร้างใน US ซะมากกว่า โดยปกติเหยื่อเหล่านั้นจะจ่ายเงินแค่ประมาณ 1 Bitcoin ต่อเครื่องที่ถูกเข้ารหัสเท่านั้น (732$)

Email จาก Inbox ของ Hacker ยังบ่งชี้ไปยังเหยื่ออีกมากมายที่รุนแรงไม่แพ้กัน เช่น บริษัท China Construction of America ยอมจ่าย 24Bitcoin ($17,500) ซึ่งเป็นการต่อรองราคาจาก 40Bitcoin เป็นต้น

วิธีการป้องกันตัวจาก Ransomware

ส่วนวิธีการป้องกันตัวจาก Ransomware ทางบริษัท I-SECURE จำกัดได้เคยเขียนไว้แล้วครับ หากใครสนใจสามารถลองอ่านดูได้จาก Link ครับ

วิธีการป้องกัน Ransomware โดยบริษัท i-secure จำกัด

screen-shot-2559-11-09-at-11-30-55

Source:: KrebsOnSecurity.com