ฟีเจอร์ Wiper ใหม่ของ Anubis Ransomware ลบไฟล์ข้อมูลได้ถาวรและกู้คืนไม่ได้

• การโจมตีเริ่มจาก Anubis ส่งอีเมล Spear-phishing พร้อมแนบไฟล์หรือลิงก์อันตรายไปยังเหยื่อ โดยปลอมว่าส่งมาจากแหล่งที่มีความน่าเชื่อถือเพื่อหลอกให้เหยื่อทำการเปิดไฟล์หรือคลิกลิงก์
• หลังเปิดไฟล์ Ransomware จะทำงานผ่าน Interpreter เช่น PowerShell หรือ CMD ที่สามารถรองรับพารามิเตอร์เฉพาะต่าง ๆ ได้ เช่น:
  • "/KEY=" Key ใช้สำหรับการ Encryption
  • "/elevated" การยกระดับสิทธิ์
  • "/WIPEMODE" สั่งให้ลบข้อมูลแบบถาวร
  • "/PATH=" ระบุ Path ที่ต้องการ Encrypt
  • "/PFAD=" ยกเว้น Path บางรายการ
• ก่อนเริ่มการโจมตีหลัก กลุ่ม Anubis ทำการตรวจสอบสิทธิ์ของเหยื่อ หากพบว่ามีสิทธิ์ระดับ Admin จะแสดงข้อความ Admin privileges detected. Attempting to elevate to SYSTEM... พร้อมยกระดับสิทธิ์เป็น SYSTEM โดยใช้เทคนิค Valid Accounts และ Access Token Manipulation: Create Process with Token แล้วพยายามเข้าถึง Physical Drive .PHYSICALDRIVE0
• ต่อมามัลแวร์จะทำการค้นหาไฟล์และไดเรกทอรี่เพิ่มเติม เพื่อค้นหาไฟล์เป้าหมาย โดยละเว้นโฟลเดอร์ระบบหรือสำคัญ เช่น C:Windows, System32, Program Files, EFI, [.]vscode และ [.]nuget เป็นต้น เพื่อหลีกเลี่ยงที่อาจทำให้ระบบของเหยื่อล่มจนไม่สามารถดำเนินการเรียกค่าไถ่ได้
• เมื่อ Anubis ดำเนินการข้างต้นสำเร็จ จะทำการโจมตีต่อไปดังนี้:
  • ลบ Shadow Copy โดยการใช้คำสั่ง vssadmin delete shadows เพื่อลบข้อมูลสำรอง ทำให้ไม่สามารถกู้คืนไฟล์ได้ หยุด Process ของ Service ต่างๆ ที่สามารถส่งผลกระทบการ Encryption ข้อมูลและการทำงานของมัลแวร์
  • ใช้ Elliptic Curve Integrated Encryption Scheme (ECIES) Algorithm ในการ Encrypt ไฟล์ เพิ่มนามสกุล [.]anubis ของเหยื่อและเปลี่ยนไอคอนและวอลเปเปอร์เป็นโลโก้ของกลุ่ม Anubis พร้อมทิ้งโน้ตเรียกค่าไถ่
  • นอกจากนี้ Anubis สามารถใช้ /WIPEMODE เพื่อลบข้อมูลในไฟล์ของเหยื่ออย่างถาวร ทำให้ไฟล์มีขนาด 0 KB โดยที่ชื่อไฟล์ยังคงอยู่ซึ่งจะใช้ในการกดดันเหยื่อเพิ่ม

ผลกระทบจากการโจมตี

ผลกระทบจากการโจมตี Ransomware ส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลในไฟล์ต่าง ๆ บนระบบของเหยื่อ นอกจากนี้ Anubis มีฟีเจอร์ที่สามารถลบข้อมูลของเหยื่อได้ถาวรและลบ Volume Shadow Copy ทั้งหมด ทำให้เหยื่อไม่สามารถกู้ข้อมูลได้ถาวรเช่นกัน รวมไปถึงทำให้เหยื่อหรือองค์กรนั้น ๆ สูญเสียชื่อเสียง และเสียค่าใช้จ่ายเพื่อแก้ไขระบบทั้งหมด

สรุปการโจมตี

Anubis เป็น RaaS ที่มีฟีเจอร์การลบข้อมูลถาวรผ่าน WIPEMODE เพื่อทำลายโอกาสในการกู้คืนข้อมูลของเหยื่อ โดยการโจมตีเริ่มต้นด้วยอีเมล Spear-phishing และใช้คำสั่ง CLI เพื่อควบคุมการทำงานของมัลแวร์ ยกระดับสิทธิ์ ลบ Shadow Copy หยุดการทำงานขอ Service และ Encrypt ข้อมูลด้วย ECIES สุดท้ายทำการแนบโน้ตเรียกค่าไถ่

คำแนะนำ

• Awareness Training เกี่ยวกับรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Phishing
• ใช้งาน Mail Gateway ในการสแกนหาไฟล์แนบและ URL ที่อันตราย
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
• จำกัดสิทธิ์ของผู้ใช้งานตามหลัก Least Privilege Principle ให้แต่ละบัญชีเข้าถึงเฉพาะส่วนที่จำเป็น เพื่อลดความเสี่ยงหากบัญชีถูก Compromise
• ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
• เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
• หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำและลบข้อมูลถาวรได้

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/anubis-ransomware-adds-wiper-to-destroy-files-beyond-recovery/

https://www.trendmicro.com/en_us/research/25/f/anubis-a-closer-look-at-an-emerging-ransomware.html