หลังจากที่ Bad Rabbit Ransomware เริ่มแพร่ระบาดในเขตยุโรปตะวันออกเมื่อต้นสัปดาห์ที่ผ่านมา จากการตรวจสอบล่าสุดของนักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย พบว่านอกจากมันจะแพร่กระจายตัวภายในระบบเครือข่ายได้อย่างรวดเร็วผ่านทางโปรโตคอล SMB แล้ว ยังมีการใช้ชุดเครื่องมือเจาะระบบของ NSA ในการโจมตีด้วย ที่สำคัญคือ แฮ็คเกอร์เจ้าของ Bad Rabbit เป็นคนเดียวกับคนที่ปล่อย NotPetya Ransomware ให้แพร่ระบาดเมื่อเดือนมิถุนายนที่ผ่านมา
ก่อนหน้านี้ นักวิจัยหลายรายระบุว่า Bad Rabbit ใช้ Mimikatz และลิสต์ของ Credential ที่ถูก Hard-code ไว้ในตัวสำหรับเจาะเข้าเซิร์ฟเวอร์และคอมพิวเตอร์ในระบบเครือข่ายผ่านทาง SMB และ WebDAV อย่างไรก็ตาม จากการตรวจสอบในรายละเอียดเชิงลึกของ Cisco Talos และ F-Secure พบว่า มีการใช้ EternalRomance หนึ่งในชุดเครื่องมือสำหรับเจาะระบบของ NSA สำหรับแพร่กระจายตัวเองผ่านโปรโตคอล SMB อีกด้วย อย่างไรก็ตาม แฮ็คเกอร์ได้มีการนำโค้ดโจมตีมาดัดแปลงเป็นเวอร์ชันของตนเอง ทำให้ไม่สามารถตรวจจับได้ในตอนแรก
จากการใช้ EternalRomance นี้เอง ทำให้นักวิจัยและผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายราย ไม่ว่าจะเป็น Bitdefender, Cisco Talos, ESET, Group IB, Intezer Labs, Kaspersky Lab, and Malwarebytes สังเกตเห็นถึงความเชื่อมโยงระหว่าง Bad Rabbit และ NotPetya ที่ใช้เครื่องมือในการเจาะระบบของ NSA เดียวกัน โดยทาง Cisco Talos ระบุว่า “พวกเราได้ทำการประเมินและมั่นใจมากว่า Bad Rabbit ถูกสร้างขึ้นโดยใช้โค้ดแกนหลักที่เหมือนกับ NotPetya และ Toolchain ที่ใช้ในการพัฒนา Bad Rabbit ก็มีความคลึงสูงมากกับที่ใช้พัฒนา NotPetya”
นับว่าเป็นอีกหนึ่ง Ransomware ในปีนี้ นอกจาก WannaCry และ NotPetya ที่ใช้ชุดเครื่องมือเจาะระบบของ NSA ที่ถูกเปิดเผยโดยกลุ่มแฮ็คเกอร์นาม Shadow Brokers ในการโจมตีเหยื่อ สำหรับผู้ที่อยู่เบื้องหลังปฏิบัติการ Ransomware ของทั้ง NotPetya และ Bad Rabbit นั้น ทาง ESET ระบุว่า เป็นไปได้สูงที่จะเป็น TeleBotsกลุ่มอาชญากรรมไซเบอร์ที่เชื่อว่ามีรัฐบาลรัสเซียหนุนหลัง และมักพุ่งเป้าโจมตีหน่วยงานและผู้ใช้ในประเทศยูเครน
ที่มา : techtalkthai
