วันพฤหัสบดีที่ 9 กรกฎาคม พ.ศ. 2558
“Grabit” – ปฏิบัติการโหด ! ขโมยไฟล์กว่าหมื่นไฟล์ จากองค์กรทั่วโลก ! รู้กันหรือยัง??
แคสเปอร์สกี้ แลป ค้นพบปฏิบัติการสายลับไซเบอร์ที่เน้นเป้าหมายเป็นองค์กรธุรกิจสายพันธุ์ใหม่ที่ชื่อ “Grabit” ซึ่งสามารถขโมยไฟล์กว่าหนึ่งหมื่นไฟล์จากการองค์กรขนาดเล็กและขนาดกลางจากทั่วโลก โดยประเทศไทยมีสัดส่วนการติดมัลแวร์สูงที่สุด (41.01%) ตามด้วยเวียดนาม (12.96%) อินเดีย (6.61%) และสหรัฐอเมริกา (4.76%)
รายชื่อกลุ่มเป้าหมายได้แก่ธุรกิจกลุ่มสารเคมี นาโนเทคโนโลยี การศึกษา การเกษตร สื่อมวลชน การก่อสร้างและอื่นๆนอกจากนี้ ยังมีประเทศอื่นที่ได้รับผลกระทบคือ สหรัฐอาหรับเอมิเรตส์ เยอรมัน อิสราเอล แคนาดา ฝรั่งเศส ออสเตรีย ศรีลังกา ชิลี เบลเยี่ยม และจีน
“โดยปกติแล้ว เราจะเห็นปฏิบัติการสอดแนมมากมายที่มุ่งเน้นไปที่ผู้ประกอบการ องค์กรของรัฐบาล แต่หน่วยงานระดับสูงอื่นๆ แต่สำหรับธุรกิจขนาดเล็กและขนาดกลางยังพบไม่ค่อยพบเห็น แต่ Grabit ได้แสดงให้เห็นว่าไม่ใช่แค่องค์กรระดับสูงเท่านั้นที่จะตกเป็นเป้าหมาย ในโลกของไซเบอร์ทุกๆ องค์กรที่ครอบครองเงิน ข้อมูล และมีอิทธิพลทางการเมือง ก็มีโอกาสตกเป็นเป้าของผู้โจมตีได้ ปัจจุบัน Grabit ยังดำเนินการอยู่ จึงจำเป็นอย่างยิ่งที่องค์กรต้องตรวจสอบเครือข่ายให้ปลอดภัย เมื่อวันที่ 15 พฤษภาคม ที่ผ่านมา “Grabit keylogger” ถูกตรวจพบว่ามีข้อมูลประจำตัวของเหยื่อจำนวนหลายร้อยแอคเค้าท์จากระบบที่ติดเชื้อ ซึ่งภัยคุกคามนี้ไม่ควรถูกมองข้าม” ไอโด นัวร์ นักวิจัยด้านความปลอดภัยระดับสูง ทีมวิเคราะห์และวิจัยระดับโลก แคสเปอร์สกี้ แลป กล่าว
การติดเชื้อนี้เริ่มขึ้นเมื่อผู้ใช้ในองค์กรธุรกิจได้รับอีเมลพร้อมไฟล์แนบที่เป็น Microsoft Office Word (.doc) เมื่อผู้ใช้กดดาวน์โหลดไฟล์ โปรแกรมสปายจะเข้าแฝงตัวในเครื่องจากการรีโมทเซิฟเวอร์ซึ่งถูกแฮกและใช้เป็นศูนย์กลางมัลแวร์ ผู้โจมตีจะควบคุมเหยื่อโดยใช้ HawkEye keylogger เครื่องมือสอดแนมทางพาณิชย์จากเว็บ HawkEyeProducts และ ใช้โมดูลตั้งค่าที่มีตัวเลขของเครื่องมือการจัดการระยะไกล (RATs)
เพื่อแสดงให้เห็นถึงสัดส่วนปฏิบัติการของ Grabit แคสเปอร์สกี้ แลป เปิดเผยว่า keylogger ในเซิร์ฟเวอร์สั่งการและควบคุมเพียงตัวเดียวสามารถขโมยรหัสผ่าน 2,887 รายการ อีเมล 1,053 รายการ และยูสเซอร์เนม 3,023 รายการ จากโฮสต์จำนวน 4,928 โฮสต์ที่แตกต่างกัน ทั้งจากโฮสต์ภายในและภายนอก รวมทั้ง Outlook, Facebook, Skype, Google, Pinterest, Yahoo, LikedIn และ Twitter ตลอดจนบัญชีธนาคารและอื่นๆ
กลุ่มอาชญากรไซเบอร์ที่แปลกแยก
ในแง่หนึ่ง Grabit ก็ไม่ได้พยายามปิดบังกิจกรรมของตัวเองเลย กลุ่มตัวอย่างมัลแวร์บางกลุ่มใช้โฮสติ้งเซิร์ฟเวอร์เดียวกัน และใช้แม้กระทั่งใบรับรองเดียวกัน ซึ่งเป็นการทำลายระบบซีเคียวริตี้ของตัวเอง ในทางกลับกัน ผู้โจมตีได้ใช้เทคนิคซ่อนโค้ดจากการสอดส่องของนักวิเคราะห์ จากข้อมูลนี้ ทำให้แคสเปอร์สกี้ แลป เชื่อว่าเบื้องหลังปฎิบัติการนี้ คือกลุ่มอาชญากรไซเบอร์ที่แปลกแยกซึ่งประกอบด้วยสมาชิกที่มีความสามารถธรรมดา และสมาชิกที่มีเทคนิคระดับสูงกว่า มีเป้าหมายชัดเจนในการลบร่องลอยตัวเอง ผู้เชี่ยวชาญเชื่อว่า ผู้ที่เขียนโปรแกรมมัลแวร์นี้ไม่ได้เขียนโค้ดเองทั้งหมดตั้งแต่เริ่มต้น
ในแง่หนึ่ง Grabit ก็ไม่ได้พยายามปิดบังกิจกรรมของตัวเองเลย กลุ่มตัวอย่างมัลแวร์บางกลุ่มใช้โฮสติ้งเซิร์ฟเวอร์เดียวกัน และใช้แม้กระทั่งใบรับรองเดียวกัน ซึ่งเป็นการทำลายระบบซีเคียวริตี้ของตัวเอง ในทางกลับกัน ผู้โจมตีได้ใช้เทคนิคซ่อนโค้ดจากการสอดส่องของนักวิเคราะห์ จากข้อมูลนี้ ทำให้แคสเปอร์สกี้ แลป เชื่อว่าเบื้องหลังปฎิบัติการนี้ คือกลุ่มอาชญากรไซเบอร์ที่แปลกแยกซึ่งประกอบด้วยสมาชิกที่มีความสามารถธรรมดา และสมาชิกที่มีเทคนิคระดับสูงกว่า มีเป้าหมายชัดเจนในการลบร่องลอยตัวเอง ผู้เชี่ยวชาญเชื่อว่า ผู้ที่เขียนโปรแกรมมัลแวร์นี้ไม่ได้เขียนโค้ดเองทั้งหมดตั้งแต่เริ่มต้น
เพื่อการป้องกัน Grabit แคสเปอร์สกี้ แลป แนะนำขั้นตอนง่ายๆ ดังนี้
01… ตรวจสอบที่ C:\Users\\AppData\Roaming\Microsoft ถ้าพบไฟล์ปฏิบัติการ เป็นไปได้ว่าคุณอาจติดเชื้อมัลแวร์ที่คุณไม่ควรเพิกเฉย
01… ตรวจสอบที่ C:\Users\
02… การกำหนดค่าระบบปฏิบัติการวินโดว์ใน Windows System Configurations ไม่ควรมีไฟล์ grabit1.exe อยู่ในตารางเริ่มต้น ให้รัน “msconfig” เพื่อล้างการบันทึกไฟล์ grabit1.exe
03… ห้ามเปิดไฟล์แนบและลิ้งก์จากคนที่คุณไม่รู้จัก ถ้าคุณไม่สามารถเปิดได้ก็อย่าส่งต่อไปให้ผู้อื่น และควรให้แอดมินระบบตรวจสอบเรื่องนี้
04…ใช้งานโซลูชั่นแอนตี้มัลแวร์ขั้นสูงที่อัพเดทอย่างสม่ำเสมอ และหมั่นติดตามการทำงานของแอนตี้ไวรัสเพื่อสอดส่องกระบวนการที่น่าสงสัย
ขอบคุณข้อมูลจาก windowsitpro.in.th
สมัครสมาชิก:
บทความ (Atom)