Symantec เผยรายละเอียด Noberus ทายาทมัลแวร์เรียกค่าไถ่ที่เคยถล่มบริษัทพลังงานสหรัฐฯ

ทีม Threat Hunter ของ Symantec บริษัทด้านความมั่นคงปลอดภัยไซเบอร์เผยรายละเอียดของกลวิธี เครื่องมือ และขั้นตอน (TTPs) ในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ Noberus ที่ออกอาละวาดในช่วงหลายเดือนที่ผ่านมา

Threat Hunter เชื่อว่า Noberus เป็นทายาทของมัลแวร์เรียกค่าไถ่ในตระกูล Darkside และ BlackMatter ซึ่ง Darkside เป็นมัลแวร์ที่ถูกใช้ในการโจมตีท่อส่งพลังงานของ Colonial Pipeline บริษัทพลังงานยักษ์ใหญ่ของสหรัฐอเมริกาเมื่อเดือนพฤษภาคม 2021

เมื่อเดือนเมษายนที่ผ่านมา สำนักงานสืบสวนกลางของสหรัฐฯ (FBI) เคยออกประกาศขอข้อมูลเพิ่มเติมเกี่ยวกับ Noberus หลังจากที่ในช่วงเดือนพฤศจิกายน 2021 – มีนาคม 2022 Noberus เข้าไปสร้างความปั่นป่วนมากกว่า 60 องค์กร

Symantec ระบุว่าความอันตรายของ Noberus คือการที่มันถูกสร้างขึ้นโดยใช้ภาษา Rust ซึ่งผู้สร้างอย่าง Coreid อ้างว่าทำให้มันสามารถเข้าไปล็อกไฟล์ได้บนระบบปฏิบัติการที่หลากหลาย ตั้งแต่ Windows, EXSI, Debian, ReadyNAS และ Synology

นอกจากนี้ Coreid ยังบอกด้วยว่าผู้ที่ใช้ Noberus จะไม่สามารถเปิดเผยที่อยู่ IP ที่แท้จริงของเซิร์ฟเวอร์ได้ อีกทั้งยังมีระบบการสื่อสารระหว่างผู้โจมตีกับเหยื่อที่เข้ารหัสถึงระดับที่คนอื่นไม่สามารถเข้าไปดักอ่านได้

Coreid อัปเดต Noberus มาอย่างสม่ำเสมอนับตั้งแต่เปิดตัวในเดือนพฤศจิกายน 2021 ซึ่งรวมถึงการเพิ่มฟีเจอร์ Plus ได้แก่ การเพิ่มระบบการโจมตีแบบ DDoS (การโจมตีทางไซเบอร์โดยส่งการจราจรทางอินเทอร์เน็ตเข้าไปจนล้นเซิร์ฟเวอร์) การเพิ่มเบอร์โทรหรือข้อมูลการติดต่อของเหยื่อเพื่อให้ผู้ใช้มัลแวร์สามารถติดต่อโดยตรงกับเหยื่อได้ และยังมีบริการ brute force (เจาะรหัสผ่าน) ของ NTDS และ Kerberos แบบฟรี ๆ

ทีม Threat Hunter ขนานนาม Coreid ว่าเป็นหนึ่งในผู้พัฒนามัลแวร์เรียกค่าไถ่ที่อันตรายที่สุดและเคลื่อนไหวถี่ที่สุดในตอนนี้