EDRKillShifter – The New Weapon for Cybercriminals สิ่งที่องค์กรต้องระวัง
การนำเครื่องมือ EDRKillShifter มาใช้ใหม่ในกลุ่มมัลแวร์ Medusa, BianLian, และ Play การพัฒนาใหม่ที่ต้องจับตา
ในโลกของการโจมตีทางไซเบอร์ที่มีการพัฒนาอย่างรวดเร็ว กลุ่มแฮกเกอร์ไม่เพียงแค่ใช้อุปกรณ์และเครื่องมือที่มีอยู่ในตลาด แต่ยังมีการพัฒนาเครื่องมือใหม่ ๆ เพื่อลดความเสี่ยงในการถูกตรวจจับโดยระบบรักษาความปลอดภัย หนึ่งในตัวอย่างที่โดดเด่นคือการนำเครื่องมือ EDRKillShifter ซึ่งเดิมถูกใช้ในกลุ่ม RansomHub มาปรับใช้ในกลุ่มมัลแวร์อื่น ๆ เช่น Medusa, BianLian, และ Play ซึ่งแสดงให้เห็นถึงการเชื่อมโยงระหว่างกลุ่มมัลแวร์ที่เคยเป็นคู่แข่งกันมาก่อน
EDRKillShifter คืออะไร?
เครื่องมือ EDRKillShifter ถูกออกแบบมาเพื่อปิดการทำงานของ EDR (Endpoint Detection and Response) ที่เป็นเครื่องมือป้องกันการโจมตีบนอุปกรณ์คอมพิวเตอร์ โดยวิธีการที่ใช้คือการโจมตีผ่านการใช้ BYOVD (Bring Your Own Vulnerable Driver) ซึ่งเป็นการใช้ไดรเวอร์ที่มีช่องโหว่จากแหล่งที่มาที่เชื่อถือได้ เพื่อปิดการทำงานของระบบรักษาความปลอดภัย ก่อนที่แฮกเกอร์จะดำเนินการเข้ารหัสข้อมูลที่อยู่ในระบบของเหยื่อ
การใช้งาน EDRKillShifter ในกลุ่มมัลแวร์ต่าง ๆ
จากการวิเคราะห์พบว่า RansomHub ซึ่งเป็นกลุ่มแฮกเกอร์ที่มีการใช้ EDRKillShifter ในการโจมตีได้เริ่มร่วมมือกับกลุ่มมัลแวร์อื่น ๆ เช่น Medusa, BianLian, และ Play โดยการนำเครื่องมือดังกล่าวไปใช้งานในการโจมตีของตนเอง
สิ่งที่น่าสนใจคือ การใช้เครื่องมือที่พัฒนาโดยคู่แข่ง เช่น RansomHub ซึ่งเป็นเครื่องมือที่ทำให้เกิดความเสียหายในเชิงเทคนิคได้ง่ายขึ้น โดยเฉพาะในกลุ่มที่มีลักษณะการทำงานแบบ RaaS (Ransomware as a Service) เช่น Play และ BianLian ซึ่งมักจะทำงานภายใต้ความเชื่อมั่นและไม่มักเปิดรับพันธมิตรใหม่ ๆ
การเชื่อมโยงระหว่างกลุ่มมัลแวร์
ความพิเศษของเรื่องนี้คือ การที่กลุ่มที่มีลักษณะการทำงานปิด (Closed RaaS Model) อย่าง Play และ BianLian กลับนำเครื่องมือจาก RansomHub มาใช้ในการโจมตี โดย ESET ได้สันนิษฐานว่า การใช้งานเครื่องมือเดียวกันในหลายกลุ่มที่แข่งขันกันอาจเป็นผลมาจากการทำงานร่วมกันระหว่างแฮกเกอร์จากกลุ่มเหล่านี้
ในขณะเดียวกันก็มีการคาดการณ์ว่า QuadSwitcher อาจเป็นแฮกเกอร์ที่อยู่เบื้องหลังการโจมตีทั้งหมด ซึ่งอาจมีความเชื่อมโยงกับ Play โดยเฉพาะ เนื่องจากมีลักษณะการโจมตีที่คล้ายคลึงกัน
การป้องกันและรับมือกับการโจมตี
การใช้เครื่องมือ EDRKillShifter เป็นสัญญาณเตือนถึงความซับซ้อนของการโจมตีที่แฮกเกอร์สามารถปรับใช้ได้อย่างมีประสิทธิภาพ โดยการเข้าไปจัดการกับระบบความปลอดภัยก่อนที่จะเริ่มการเข้ารหัสข้อมูล
การป้องกันที่ดีที่สุดคือการตรวจสอบให้แน่ใจว่าอุปกรณ์ในองค์กรมีการตรวจจับแอปพลิเคชันที่ไม่ปลอดภัย รวมถึงการเปิดใช้งานฟังก์ชันที่สามารถตรวจจับไดรเวอร์ที่มีช่องโหว่ และพยายามป้องกันการติดตั้งไดรเวอร์ที่ไม่ปลอดภัย
สรุป
การนำเครื่องมือ EDRKillShifter ไปใช้งานในหลายกลุ่มมัลแวร์เป็นการสะท้อนให้เห็นถึงความพยายามของแฮกเกอร์ในการปรับตัวเพื่อหลบหลีกการตรวจจับจากระบบรักษาความปลอดภัย การร่วมมือระหว่างกลุ่มที่มีการทำงานแบบ RaaS ชี้ให้เห็นถึงความท้าทายใหม่ ๆ ในการป้องกันการโจมตี โดยเฉพาะอย่างยิ่งในภาคธุรกิจที่ต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่มีการพัฒนาอย่างรวดเร็ว
คุณคิดว่าเครื่องมือ EDRKillShifter จะกลายเป็นเครื่องมือที่แฮกเกอร์ใช้มากขึ้นในอนาคตหรือไม่? หรือมีวิธีใดที่คุณใช้เพื่อป้องกันการโจมตีแบบนี้ในองค์กรของคุณ? แชร์ความคิดเห็นของคุณและร่วมแลกเปลี่ยนความรู้ด้านความปลอดภัยทางไซเบอร์ได้ที่ด้านล่าง! อย่าลืมแชร์บทความนี้กับเพื่อน ๆ เพื่อให้พวกเขาทราบถึงภัยคุกคามใหม่ ๆ ที่อาจเกิดขึ้นในโลกไซเบอร์!
หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการป้องกันการโจมตีทางไซเบอร์และรักษาความปลอดภัยในองค์กรของคุณ สามารถติดตามข่าวสารและข้อมูลอัปเดตล่าสุดจากเราได้เลย!
Loading...
Post ID: 26761 | TTT-WEBSITE | AFRA APACHE
