แฮกเกอร์พุ่งเป้าไปที่ MSP เพื่อแพร่ Ransomware ที่จะใช้เป็นเครื่องมือโจมตีSupply Chain

 

Kaseya และ Webroot ได้รับคำตำหนิเกี่ยวกับมาตรการรักษาความมั่นคงปลอดภัย (Security Hygiene) ในโลกไซเบอร์ที่คุณภาพไม่ดีจากลูกค้า ซึ่งเป็นเหตุให้ผู้โจมตีสามารถเข้าสู่ระบบของพวกเขา
 
องค์กรธุรกิจจำนวนมากกำลังถูกแทรกซึมโดยอาชญากรไซเบอร์ที่สามารถใช้ประโยชน์ได้อย่างคล่องแคล่วจากรายงานข้อมูลประจำตัว (Credential) ที่ง่ายต่อการเข้าถึง เพื่อไปยังระบบที่ติดตั้งโดยบริษัทที่ให้บริการด้านการบริหารและจัดเก็บข้อมูลออนไลน์ (Managed Service Provider: MSP) ต่อจากนั้นก็เริ่มเข้าโจมตีด้วย Ransomware
 
แฮกเกอร์ได้มีการกำหนดกลุ่มลูกค้าเป้าหมายผ่านเครื่องมือตรวจสอบ (Monitoring)และเครื่องมือสำหรับการจัดการระยะไกล ที่จัดทำโดยบริษัทอย่างน้อยสองแห่ง ซึ่งบริษัทที่ว่านี้ก็คือ Webroot และ Kaseya เพื่อที่จะปรับใช้มัลแวร์ Sodinokibiตามรายงานของ Reddit 
 
จากการตรวจสอบเพิ่มเติมโดยบริษัทรักษาความปลอดภัยHuntress Labs ได้มีการเปิดเผยว่า บริษัทที่ให้บริการด้านการบริหารและจัดเก็บข้อมูลออนไลน์ (MSP)ได้ตกเป็นเป้าหมายสำคัญของRansomware โดยมีการใช้ประโยชน์จากโปรโตคอลที่ใช้ในการเชื่อมต่อกับคอมพิวเตอร์จากระยะไกล (Remote Desktop Protocol: RDP) สำหรับการเข้าถึงในขั้นต้น
 
จากทั้งสองเหตุการณ์นั้นพบว่า หลังจากที่ได้รับสิทธิ์เป็นผู้ดูแลระบบแล้ว ผู้โจมตีจะถอนการติดตั้ง (Uninstall)ซอฟต์แวร์ Webrootและ ESETตลอดจนอุปกรณ์ปลายทางที่ใช้ซอฟต์แวร์Veeam Backup เพื่อสำรองข้อมูล
 
ในส่วนของรายงานอื่นๆ นั้น ยังพบว่าคอนโซลการจัดการของ Webroot ได้ถูกนำมาใช้เพื่อสร้างเพย์โหลด PowerShellเพื่อดาวน์โหลดมัลแวร์เพิ่มเติม และนอกจากนี้ยังพบว่า Kaseya VSA ได้ถูกนำไปใช้ในการส่ง Sodinokibi ซึ่งก็เป็นอีกหนึ่งเหตุการณ์ที่แยกต่างหากจากเหตุการณ์ที่กล่าวมาข้างต้น
 
อย่างไรก็ตาม ระดับความรุนแรงของเหตุการณ์ดังกล่าวก็ยังไม่เป็นที่ทราบแน่ชัด แต่ทาง Huntress Labs ก็ได้มีคำแนะนำว่ามันอาจจะส่งผลกระทบต่อลูกค้าหลายพันราย ซึ่งในส่วนของ MSP ที่ได้รับผลกระทบนั้นก็ยังไม่ได้รับการเปิดเผยต่อสาธารณะ นอกจากนี้พวกเขายังได้รับข้อเสนอเกี่ยวกับการให้ความช่วยเหลือด้านเทคนิคจาก CEO ของ Huntress Lab อีกด้วย
 
สำหรับ UBX Cloud ที่แต่เดิมนั้นเป็นบริษัทที่สร้างThread เกี่ยวกับรายงานเหล่านี้ ได้อธิบายถึงสถานการณ์ที่เกิดขึ้นพร้อมให้คำแนะนำแก่ลูกค้าKaseya หลายคนๆ ที่ได้รับผลกระทบ ตามที่ได้มีการประชุมแบบ Conference Call ที่ทางบริษัทได้จัดขึ้น
 
นอกจากนี้ ทั้งWebroot และ Kaseya ก็ได้รับการยืนยันแล้วว่าลูกค้าบางส่วนของพวกเขาถูกแทรกซึมจากผู้คุกคาม หรือที่เราเรียกกันว่า "Threat Actors" และยังพุ่งประเด็นไปที่การจัดการรหัสผ่าน (Password Management) ที่ไม่สอดคล้องและหละหลวม ในขณะที่ความสมบูรณ์ ( Integrity)ของผลิตภัณฑ์ของพวกเขาเองนั้นดูเหมือนว่าจะไม่ได้รับผลกระทบดังกล่าวอย่างชัดเจน
 
"เราทุกคนต่างก็รู้ดีว่าการรับรองความถูกต้องด้วยสองปัจจัย (2FA)เป็นวิธีปฏิบัติที่ดีที่สุดสำหรับมาตรการรักษาความมั่นคงปลอดภัยทางเว็บไซต์ (Cyber Hygiene) และเราก็ยังสนับสนุนให้ลูกค้าใช้ 2FA ที่มีใน Webroot Management Console มาได้ระยะหนึ่งแล้ว" Chad Bacher รองประธานอาวุโสของ Webrootกล่าวกับ Reddit
 
"เมื่อเร็วๆ นี้ ทีมที่ทำหน้าที่ป้องกันและกำจัดมัลแวร์ขั้นสูง (Advanced Malware Removal) ของ Webrootได้ค้นพบว่ามีลูกค้าเพียงเล็กน้อยที่ได้รับผลกระทบจากผู้คุกคามที่ใช้ประโยชน์จากการผสมผสานของการปฏิบัติด้านมาตรการรักษาความมั่นคงปลอดภัยที่หละหลวมของลูกค้า เกี่ยวกับการรับรองความถูกต้องและโปรโตคอลที่ใช้ในการเชื่อมต่อกับคอมพิวเตอร์จากระยะไกล (RDP)"
 
ดังนั้น ทางบริษัทจึงได้ตัดสินใจที่จะให้เริ่มทำการ Log Out ออกจากเว็บคอนโซลสำหรับผู้ที่ใช้เครื่องมือของพวกเขา และปล่อยอัพเดตซอฟต์แวร์ (Software Update) ที่เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA)โดยอัตโนมัติในเครื่องลูกข่าย (Clients) ทั้งหมด
 
"เราตระหนักถึงหลายๆ เคสที่มีข้อจำกัด ในกรณีที่ลูกค้าตกเป็นเป้าหมายของผู้คุกคาม (Threat Actors) ที่ใช้ประโยชน์จากข้อมูลประจำตัวที่ถูกโจมตี เพื่อเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ไปจนถึงข้อมูลลับเฉพาะ (Privileged)" John Durant ประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยี (CTO) ของ Kaseyaกล่าวกับ Dark Reading
 
"หลักฐานทั้งหมดที่ปรากฏอยู่ในการจัดการ (Disposal)ภัยคุกคามของเรา ชี้ไปยังการใช้งานของข้อมูลประจำตัว (Credentials) ที่ตกอยู่ในสภาวะที่เสี่ยงต่ออันตราย"
 
การเพิ่มขึ้นของผู้โจมตีทางไซเบอร์ในห่วงโซ่อุปทาน (Supply Chain) ดังกล่าวเคยถูกตั้งค่าสถานะไว้ก่อนหน้านี้ โดยมีรายงานจากศูนย์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ หรือ NCSC (National Cyber security Center) ซึ่งรายงานที่ออกมาเมื่อปีที่แล้วนั้นแจ้งว่า มี MSP จำนวนมากที่ถูกโจมตีในปี 2017พร้อมกับมีรายงานที่ชี้ให้เห็นว่าเมื่อRansomwareถูกสร้างมาเป็นอย่างดี การประนีประนอม (Compromises)ในสถานการณ์เหล่านี้ก็ทำได้ยากยิ่งขึ้น และในบางครั้งก็ไม่สามารถทำการตรวจจับได้ (Detect) เช่นกัน