เราทราบกันดีว่า WannaCry ใช้เครื่องมือ EternalBlue ในการโจมตีช่องโหว่ SMB Service (MS17-010) ซึ่งแน่นอนว่าก่อนหน้านี้ก็มี Malware พฤติกรรมที่คล้ายกับ WannaCry ด้วยเช่นกัน นั่นคือ Adylkuzz ซึ่งแตกต่างจาก WannaCry ที่ฝังเครื่องมือในการขุด Bitcoin แทน หลังจากผ่านช่วงการแพร่กระจายของ WannaCry ไปได้ 2 อาทิตย์ ตอนนี้ก็เริ่มมี Malware ตัวใหม่ที่ใช้ EternalBlue ในการเริ่มการโจมตีและแพร่กระจายเช่นกัน

FireEye พบ Malware ตัวหนึ่งที่มีการโจมตี MS17-010 เหมือน WannaCry แต่สิ่งที่ Malware ตัวนี้ทำหลังจากที่ทำการ exploit SMB service ได้สำเร็จ คือจะทำการเขียนไฟล์ VBScript ที่จะเป็นการติดต่อไปยัง C&C Server แล้วทำการ download Gh0st RAT หรือ Backdoor.Nitol มาติดตั้งอีกทีหนึ่ง

จะเห็นว่าแม้ WannaCry จะเริ่มเลือนลางหายไป แต่ก็ยังมี malware อีกมากมายที่เริ่มเกิดขึ้นจาก concept ของ WannaCry ดังนั้นหากเป็นไปได้แนะนำให้ทำการหมั่น update ระบบอยู่เสมอครับ

Source:: FireEye