แรนซัมแวร์ตัวใหม่ DEVMAN จากทีมแฮกเกอร์ DragonForce มุ่งเล่นงานผู้ใช้งาน Windows 10 และ Windows 11

อย่างที่ผู้อ่านหลายรายอาจจะทราบแล้วจากข่าวเก่า ๆ ของทางเราว่า ปริมาณการโจมตีจากมัลแวร์เรียกค่าไถ่ หรือ Ransomware นั้นกลับมาพุ่งสูงขึ้นอีกครั้งในปีนี้ โดยการโจมตีนั้นไม่ได้จำกัดแค่แรนซัมแวร์เก่า ๆ ที่กลับมาใหม่อีกครั้งเท่านั้น แต่ยังมีการพัฒนาแรนซัมแวร์ตัวใหม่มาอีกหลายตัว อย่างเช่นในข่าวนี้ อีกด้วย

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญใหม่ของทีมแฮกเกอร์ DragonForce (ไม่มีส่วนเกี่ยวข้องกับวงดนตรีชื่อดังแต่อย่างใด) ในการแพร่กระจายแรนซัมแวร์ตัวใหม่ในการโจมตีผู้ใช้งานระบบปฏิบัติการ Windows 10 และ Windows 11 โดยแรนซัมแวร์ตัวใหม่นี้มีชื่อว่า DevMan ซึ่งทางทีม DragonForce ได้ทำการปล่อยให้บริการกับเหล่าแฮกเกอร์ทั่วไปในรูปแบบแรนซัมแวร์แบบเช่าใช้ (Ransomware-as-a-Service หรือ RaaS) โดยในส่วนของพฤติกรรมการทำงานของแรนซัมแวร์ตัวดังกล่าวนั้น ทางทีมวิจัยระบุว่า จะมีการทำงานที่แตกต่างกันออกไปบน Windows ทั้ง 2 รุ่น ทว่า ทางแหล่งข่าวไม่ได้มีการระบุไว้ว่า มีพฤติกรรมในจุดนี้ที่แตกต่างกันอย่างไร ?

ภาพจาก: https://cybersecuritynews.com/new-devman-ransomware-from-dragonforce-attacking-windows/

ในส่วนของรายละเอียดทั่วไปของมัลแวร์ตัวนี้นั้น ตัวมัลแวร์เป็นการพัฒนาต่อยอดมาจากมัลแวร์ต้นฉบับดั้งเดิมที่มีชื่อเดียวกันกับทีมผู้สร้าง DragonForce ซึ่งทางทีมวิจัยพบว่าตัวมัลแวร์ Devman นั้นมีการใช้โค้ดพื้นฐานตัวเดียวกัน แต่มีการดัดแปลงบางอย่างเล็กน้อย เช่น มีการใช้นามสกุลไฟล์ .DEVMAN สำหรับไฟล์ที่ถูกตัวมัลแวร์เข้ารหัส ขณะที่ฟีเจอร์ และระบบการทำงานที่ถูกดึงมาจากมัลแวร์ต้นฉบับนั้นยังคงเหมือนกัน แต่สิ่งที่ทำให้แตกต่างจากมัลแวร์ต้นฉบับนั้นคือ พฤติกรรมการทำงานของมัลแวร์ที่ดูแปลกประหลาดหลายอย่าง ที่ทำให้ทางทีมวิจัยคาดการณ์ว่า มัลแวร์ตัวนี้เหมือนเป็นตัวทดสอบสำหรับให้กลุ่มคู่ค้า (Affiliates) ใช้งานมากกว่าจะเป็นผลิตภัณฑ์ที่สมบูรณ์แล้ว แต่ถึงกระนั้น ก็มีการตรวจพบว่า แรนซัมแวร์ดังกล่าวได้ถูกใช้งานโจมตีเหยื่อไปแล้วกว่า 40 ราย ในหลากเขต เช่น เอเชีย, แอฟริกา, ลาตินอเมริกา และยุโรป

ซึ่งข้อสังเกตเรื่องความไม่สมบูรณ์ดังกล่าวนั้น มาจากทีมนักวิจัยจาก Any.Run บริษัทผู้พัฒนาเครื่องมือวิเคราะห์มัลแวร์นั้นได้ทำการเข้าตรวจสอบแรนซัมแวร์ดังกล่าวด้วยการรันบนระบบทดสอบบนสภาวะแวดล้อมจำลอง หรือ Sandbox นั้น ผลออกมาว่า ทางทีมวิจัยได้ตรวจพบช่องโหว่ในการทำงานของแรนซัมแวร์ดังกล่าวมากมายหลายอย่าง ไม่ว่าจะเป็น การที่ตัวแรนซัมแวร์นั้นทำการเข้ารหัสตัวโน้ตสำหรับใช้ขู่กรรโชกทรัพย์เหยื่อ (Ransom Note) ซึ่งทำให้เหยื่อนั้นไม่สามารถเข้าถึงวิธีการจ่ายเงินเพื่อไถ่ไฟล์ของตนเองได้ และแฮกเกอร์ที่ใช้งานก็จะไม่ได้รับเงินเช่นเดียวกัน รวมถึงตัวแรนซัมแวร์ยังมีวิธีการเปลี่ยนชื่อไฟล์ที่ถูกกำหนดไว้แล้วตายตัวจนคาดเดาได้ง่าย ทำให้ทางทีมวิจัยคาดว่า ตัวแรนซัมแวร์ อาจถูกสร้างโดยผู้สร้างที่ไม่มีฝีมือมากนัก หรืออาจเป็นเพียงเวอร์ชันทดสอบที่ถูกปล่อยให้ทดลองใช้งานกันก่อน

ในภาคของการทำงานนั้น ทางทีมวิจัยพบว่า ระบบการเข้ารหัสของแรนซัมแวร์นั้น มีการทำงานอยู่ 3 โหมด คือ การเข้ารหัสแบบเต็ม (Full Encryption), การเข้ารหัสเฉพาะส่วนของ Header ที่เน้นความเร็วในการทำงาน และการเข้ารหัสในรูปแบบที่ผู้ใช้งานสามารถปรับแต่งให้เข้ากับแต่ละเป้าหมายได้ ในส่วนของการทำงานกับระบบเครือข่าย (Network) นั้น พบว่า ตัวมัลแวร์มีการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่น้อยมาก ซึ่งการทำงานส่วนมากนั้นจะเกิดขึ้นในแบบออฟไลน์ ยกเว้นในขั้นตอนการสำรวจลาดเลาบนระบบการแชร์ไฟล์บนโปรโตคอล SMB (Server Message Block) ที่มุ่งเน้นไปยังบัญชีผู้ใช้งานระดับผู้ดูแล (Administrator) ว่ามีการแชร์ข้อมูลใดบ้าง ? บนระบบเครือข่ายท้องถิ่น (Local Network) เป็นหลัก

นอกจากนั้น ทางทีมวิจัยยังได้เปิดเผยถึงวิธีการที่แรนซัมแวร์ใช้งานเพื่อคงอยู่บนระบบของเหยื่อ (Persistent) โดยตัวแรนซัมแวร์นั้นจะใช้ประโยชน์จาก Windows Restart Manager API ด้วยการเข้าแก้ไขในส่วนของ Registry Session ที่มีชื่อว่า 

HKEY_CURRENT_USERSoftwareMicrosoftRestartManagerSession0000

ซึ่งจะส่งผลให้ตัวแรนซัมแวร์สามารถฝ่าระบบป้องกันการแก้ไขไฟล์ (File Locks) และสร้างความมั่นใจว่า จะเข้าถึงบัญชีผู้ใช้งานที่กำลังใช้ Session อยู่ได้อย่างแน่นอน รวมไปถึงประกันความสามารถในการเข้าถึงไฟล์ Log สำคัญต่าง ๆ และเข้าถึงไฟล์ระบบที่สำคัญอย่าง NTUSER.DAT ได้ ซึ่งการสร้าง Registry นี้จะเกิดขึ้นไวมากในระดับเสี้ยววินาที (Milliseconds) โดยหลังจากที่มัลแวร์ใช้งานเสร็จเรียบร้อยแล้วก็จะทำการลบทันที เพื่อป้องกันการถูกตรวจสอบโดยผู้เชี่ยวชาญและเครื่องมือวิเคราะห์ระบบ 

นอกจากนั้น ทางทีมวิจัยยังตรวจพบว่า มัลแวร์ยังมีการสร้าง Mutex (Mutual Exclusion หรือ กลไกการล็อกการทำงาน) ในรูปแบบของค่าคงที่ ที่มีการถูกกำหนดมาล่วงหน้าแล้ว (Hardcoded) ที่มีค่าคือ hsfjuukjzloqu28oajh727190 เพื่อป้องกัน Instance หลายตัวทำงานพร้อมกันในเวลาเดียวกัน ซึ่งการทำงานดังกล่าวแสดงให้เห็นว่า ตัวแรนซัมแวร์อาจมีการยืมวิธีการทำงานมาจากแรนซัมแวร์อีกตัวหนึ่งที่มีชื่อว่า Conti ด้วย เนื่องจากแรนซัมแวร์ดังกล่าวนั้นมีการใช้วิธีการนี้อยู่