แรนซัมแวร์ใหม่ Gentlemen ขโมยข้อมูลสำคัญก่อนล็อกเครื่อง ระบาดหนักหลายประเทศ

Gentlemen หรือ สุภาพบุรุษ เมื่อเห็นคำนี้อาจจะนึกถึงบุรุษที่สุภาพเรียบร้อย ดูดีมีสกุล แต่ถ้าเปลี่ยนให้มาเป็นชื่อมัลแวร์ โดยเฉพาะมัลแวร์เรียกค่าไถ่ (Ransomware) ล่ะก็ ไม่มีทางที่เหยื่อจะได้รับความสุภาพอย่างแน่นอน

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายแรนซัมแวร์ตัวใหม่ที่มีชื่อว่า Gentlemen ซึ่งถูกพัฒนาโดยกลุ่มแรนซัมแวร์ชื่อเดียวกัน โดยมัลแวร์ตัวนี้ได้เริ่มระบาดมาตั้งแต่ช่วงเดือนสิงหาคมที่ผ่านมา และได้ระบาดไปยัง 17 ประเทศทั่วโลก ครอบคลุมประเทศในแถบเอเชียแปซิฟิก, ทวีปอเมริกาเหนือ, ทวีปอเมริกาใต้ และแถบตะวันออกกลาง โดยโจมตีนั้นได้มุ่งเน้นไปยังกลุ่มธุรกิจที่มีความสำคัญ และมูลค่าสูงเช่น กลุ่มการผลิต, กลุ่มก่อสร้าง, กลุ่มธุรกิจด้านการแพทย์, และกลุ่มธุรกิจประกัน โดยเน้นไปยังกลุ่มธุรกิจขนาดกลางและขนาดใหญ่ ซึ่งรูปแบบการปฏิบัติการนั้นแสดงให้เห็นถึงการที่กลุ่มแรนซัมแวร์ดังกล่าวนั้นมีความเชี่ยวชาญและมีความมืออาชีพสูง

ในทางเทคนิคนั้นตัวแรนซัมแวร์ Gentlemen ถูกสร้างขึ้นด้วยภาษา Go โดยมีการรวบรวมหลากเทคนิคสำหรับการบุกรุกเข้าระบบของเหยื่อไว้บนมัลแวร์ตัวเดียว ซึ่งหลังจากที่มัลแวร์ดังกล่าวฝังตัวลงบนระบบของเหยื่อแล้ว ก่อนที่จะทำการเข้ารหัส (Encryption) ไฟล์ต่าง ๆ บนเครื่องของเหยื่อเพื่อจับไว้เป็นประกัน ตัวมัลแวร์จะจัดการปิดระบบป้องกัน Windows Defender, ปิดระบบสำรองข้อมูล (Backup Service) อย่างเช่น Veeam ลง, หยุดการใช้งานฐานข้อมูล (Database) เช่น MSSQL และ MongoDB, และลบบันทึกการทำงานของระบบ (Sytem Log) เพื่อทำให้การตรวจสอบวิเคราะห์ระบบหลังความเสียหายเกิดขึ้นแล้วทำได้ยากยิ่งขึ้น

ภาพจาก : https://cyberpress.org/gentlemen-ransomware-2/

ตัวมัลแวร์จะทำงานภายใต้ภาพแวดล้อมที่กำหนด โดยจะทำงานภายในพารามิเตอร์ Password (–password) ซึ่งถ้าไม่มีการใช้รหัสผ่านที่ถูกต้อง ตัวมัลแวร์ก็จะหยุดทำงานโดยทันที ทั้งนี้เพื่อป้องกันการทำงานโดยไม่ตั้งใจ และป้องกันการถูกตรวจสอบโดยทีมวิจัยมัลแวร์ นอกจากนั้นตัวมัลแวร์ยังมีการใช้งาน Argument ต่าง ๆ บน Command-Line ที่จะเข้ามาช่วยกำหนดขอบเขตของการทำงาน, เป้าหมายไฟล์ที่ต้องการ, และความเร็วในการเข้ารหัสไฟล์ ช่วยเพิ่มประสิทธิภาพและความยืดหยุ่นในการทำงานของมัลแวร์ดังกล่าว เช่น –system, –shares, –fast, และ –ultrafast เป็นต้น

ในส่วนของเทคนิคการเข้ารหัสไฟล์นั้น แรนซัมแวร์ตัวนี้จะใช้เทคนิคการเข้ารหัสแบบลูกผสมระหว่าง X25519 (ECDH) และ XChaCha20 ซึ่งไฟล์ที่ถูกเข้ารหัสแต่ละตัวจะมีกุญแจเฉพาะ (Unique Key) กับกุญแจ nonce ซึ่งเป็นการเข้ารหัสด้วยรูปแบบไม่คงที่ หรือ Dynamic เพื่อเพิ่มความยากในการพยายามถอดรหัสปลดล็อกไฟล์เองโดยไม่พึ่งกุญแจส่วนตัว หรือ Private Key ที่ถูกเก็บไว้กับแฮกเกอร์ที่ใช้งานแรนซัมแวร์ดังกล่าว โดยไฟล์ที่มีขนาด 1 MB หรือเล็กกว่าจะถูกเข้ารหัสแบบเต็มตัว ขณะที่ไฟล์ขนาดใหญ่กว่านั้นจะถูกเข้ารหัสแค่บางส่วนของไฟล์เพียงแค่ให้รับประกันว่าไฟล์จะใช้งานไม่ได้ เพื่อช่วยให้การเข้ารหัสไฟล์ทำได้รวดเร็วมากกว่าการเข้ารหัสแบบเต็มทุกไฟล์

หลังจากที่แรนซัมแวร์ทำการเข้ารหัสล็อกไฟล์บนเครื่องเสร็จเรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการปล่อยโน้ตเรียกค่าไถ่ภายใต้ชื่อไฟล์ว่า README-GENTLEMEN.txt เอาไว้ โดยภายในจะมีการบอกว่ามีโฟลเดอร์ไหนที่ตกเป็นเหยื่อบ้าง พร้อมทั้งคำคู่ว่าไฟล์ทั้งหมดถูกส่งไปให้แฮกเกอร์แล้วและจะทำการปล่อยสู่สาธารณะทันทีถ้าไม่มีการจ่ายค่าไถ่ให้ตามเวลาที่กำหนด พร้อมทั้งเสนอว่าจะโชว์การปลดล็อกไฟล์ให้ดู 2 ไฟล์เพื่อยืนยันว่าแฮกเกอร์สามารถปลดล็อกไฟล์ได้จริง ในเวลาเดียวกันตัวมัลแวร์ก็จะทำการเปลี่ยนฉากหลัง (Wallpaper) เพื่อข่มขู่เหยื่ออีกด้วย

ทางทีมวิจัยจาก AhnLab บริษัทผู้เชี่ยวชาญด้านการพัฒนาเครื่องมือต่อต้านภัยไซเบอร์ ซึ่งเป็นผู้ตรวจพบแรนซัมแวร์ดังกล่าว ได้ระบุตัวแรนซัมแวร์ภายใต้ชื่อ Ransomware/Win GentlemenCrypt แล้วได้ทำการอัปเดตเครื่องมือตรวจจับอย่าง AhnLab V3 ในช่วงเดือนธันวาคมนี้ให้สามารถตรวจจับได้แล้ว พร้อมทั้งให้ข้อมูลระบุตัวไฟล์มัลแวร์ในรูปแบบ MD5 Hash มาด้วย ซึ่งตัวข้อมูลระบุตัวตนของไฟล์มัลแวร์นั้นมีลักษณะดังนี้

adf675ffc1acb357f2d9f1a94e016f52 and de1a114a2c5552387a1bbb61501bf129