แรนซัมแวร์ Anubis กลับมาอีกแล้ว คราวนี้ลุยโจมตีเหยื่อที่ใช้งาน Windows และ Android

ชื่ออนูบิส หรือ Anubis อาจเป็นเทพเจ้าแห่งความตายของอียิปต์โบราณที่มีชื่อเสียงโด่งดัง แต่ในวงการมัลแวร์ นี่คือแรนซัมแวร์ตัวใหม่ที่มีความสามารถที่ร้ายกาจซึ่งเคยระบาดมาแล้วระลอกหนึ่งในปี ค.ศ. 2024 (พ.ศ. 2567) และตอนนี้มัลแวร์ตัวดังกล่าวก็ได้กลับมาอีกครั้ง

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการกลับมาระบาดอีกครั้งของแรนซัมแวร์ Anubis ซึ่งในระลอกนี้ได้เน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ Windows และ Android พร้อมกับฟีเจอร์ใหม่ที่พัฒนาไปไกลเกินกว่าการที่เพียงแค่เข้าโจมตีเครื่องของเหยื่อเพื่อเข้ารหัสไฟล์แล้วเรียกค่าไถ่จากเหยื่อ ซึ่งการโจมตีในครั้งนี้ได้มุ่งเน้นไปยังการโจมตีกลุ่มองค์กร และอุตสาหกรรมมูลค่าสูง โดยการที่แรนซัมแวร์เวอร์ชันใหม่นี้สามารถทำงานแบบข้ามระบบ หรือ Cross-Platform นั้นสร้างความกังวลใจให้กับทีมวิจัยจาก Bitsight บริษัทผู้พัฒนาเทคโนโลยีต่อต้านภัยไซเบอร์ ซึ่งเป็นผู้ตรวจพบการระบาดรอบล่าสุดนี้เป็นอย่างมาก เนื่องจากความสามารถใหม่นี้จะช่วยให้แรนซัมแวร์กระจายได้ไว และรับมือลำบากมากขึ้น

แรนซัมแวร์ Anubis นั้นทางทีมวิจัยได้ตรวจพบว่ามีต้นกำเนิดมาจากประเทศรัสเซีย โดยตัวมัลแวร์นั้นได้ถูกจำหน่ายในรูปแบบแรนซัมแวร์สำหรับการเช่าใช้งาน (RaaS หรือ Ransomware-as-a-Service) พร้อมแผนการใช้งานที่ยืดหยุ่น และโมเดลการแบ่งรายได้หลากรูปแบบ ซึ่งมัลแวร์ตัวนี้นั้นถูกวางขายอยู่ในกระดานข่าวที่อยู่ในระบบอินเตอร์เน็ตมืด (Dark Web) การกลับมาระบาดของแรนซัมแวร์ตัวนี้นั้นสอดคล้องกับสถิติการเติบโตของแรนซัมแวร์ในปีนี้ พร้อมทั้งการเติบโตของปริมาณข้อมูลทั่วรั่วไหลของเหยื่อแรนซัมแวร์ที่ถูกโพสบนเว็บบอร์ดสาธารณะที่เพิ่มขึ้นเกือบ 25% ขณะที่เว็บไซต์สำหรับการแพร่กระจายข้อมูลดังกล่าวซึ่งถูกสร้างโดยกลุ่มผู้พัฒนาแรนซัมแวร์นั้น มีปริมาณพุ่งสูงมากกว่าเดิมถึง 53%

โดยในแคมเปญนี้ แฮกเกอร์จะใช้การแพร่กระจายมัลแวร์ผ่านวิธีการหลอกลวงแบบพุ่งเป้าเฉพาะ (Spear Phishing) ด้วยการใช้อีเมลที่ปลอมจนเหมือนอีเมลที่น่าเชื่อถือ หลอกให้เหยื่อทำการติดตั้งมัลแวร์ลงสู่ระบบของเหยื่อ

ความสามารถในการทำงานของแรนซัมแวร์ Anubis นั้นก็เรียกได้ว่ามีความหลากหลายมาก ขณะที่เวอร์ชัน Windows จะมีความสามารถในการเข้ารหัสแบบเรียกค่าไถ่เหมือนแรนซัมแวร์ทั่ว ๆ ไป เวอร์ชัน Android กลับเพิ่มความสามารถในการทำงานจนคล้ายคลึงกับมัลแวร์ประเภทขโมยเงินจากบัญชีธนาคาร หรือ Banking Malware ด้วยการใช้หน้าจอซ้อน (Overlay Attack) เลียนแบบหน้าจอแอปจริงเพื่อขโมยรหัสผ่าน, ความสามารถในการลอบบันทึกหน้าจอของเหยื่อ, ลอบดักจับการพิมพ์ (Keylogging), ไปจนถึงการดักจับข้อมูลสำหรับการยืนยันตัวตนต่าง ๆ ไม่เพียงเท่านั้น ยังมีความสามารถในการใช้ข้อมูลรายชื่อผู้ติดต่อของเหยื่อ (Contact List) เพื่อส่งข้อความสั้น (SMS หรือ Short Message Service) เพื่อแพร่กระจายตัวเองไปยังเหยื่อรายมใหม่ ๆ อีกด้วย

นอกจากนั้น แรนซัมแวร์ตัวนี้ยังมีการใช้วิธีการระดับสูงเพื่อการปฏิบัติการ (Advanced Execution) ผ่านคำสั่งบน Command-Line อำนวยความสะดวกให้แฮกเกอร์ที่ใช้งานสามารถดัดแปลงวิธีการโจมตีให้เหมาะกับเป้าหมายและเหยื่อได้ ผ่านคำสั่งอย่าง KEY=, /elevated, /PATH=, /PFAD=, และ /WIPEMODE ทำให้การสั่งงานนั้นครอบคลุมตั้งแต่การเข้ารหัส, เพิ่มสิทธิ์ในการเข้าถึงระบบ, เลือกโจมตีโฟลเดอร์ใดโฟลเดอร์หนึ่งโดยเฉพาะ, หรือแม้การสั่งล้างไส้ในของไฟล์ (Wiping) นอกจากนั้นในเวอร์ชัน Windows ยังได้มีการนำเอาฟีเจอร์ Elliptic Curve Integrated Encryption Scheme (ECIES) มาใช้งานกับไฟล์ที่เข้ารหัสอยู่เพื่อป้องกันการถูกถอดรหัสโดยไม่ได้รับอนุญาต

ไม่เพียงเท่านั้น ความสามารถในการคงอยู่บนระบบ (Persistence) ยังเรียกได้ว่า ร้ายกาจมาก เพราะมีการทำลายความสามารถในการกู้ระบบ (Recovery) ด้วยการลบการสำรองข้อมูลเงา (Shadow Copy) ออกจนหมดสิ้น ทั้งยังทำลายความสามารถในการควบคุมระบบในภาวะวิกฤติ หรือ Critical System Services ไปพร้อมกับอัปเกรดสิทธิ์ของตัวเองในการเข้าควบคุมระบบไปพร้อมกันด้วยวิธีการควบคุมบงการ Token หรือ Token Manipulation อีกด้วย

จะเห็นได้ว่า ความประมาทและชะล่าใจของผู้ใช้งานสามารถนำพาไปสู่ความเสียหายได้อย่างมาก วิธีการป้องกันที่ง่ายที่สุดคือ ต้องระมัดระวังตัวทุกครั้งก่อนเปิดไฟล์ หรือ ลิงก์ใด ๆ ที่มากับอีเมลต้องสงสัย