เตือนภัย! DEVMAN แรนซัมแวร์ตัวใหม่จาก DragonForce โจมตีผู้ใช้ Windows 10 และ 11

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแรนซัมแวร์สายพันธุ์ใหม่ที่มีชื่อว่า DEVMAN ซึ่งมีความเชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ DragonForce แรนซัมแวร์ตัวนี้กำลังพุ่งเป้าโจมตีผู้ใช้งานระบบปฏิบัติการ Windows 10 และ Windows 11 โดยเฉพาะ สร้างความกังวลให้กับองค์กรและผู้ใช้งานทั่วไป

DEVMAN คืออะไรและทำงานอย่างไร?

DEVMAN เป็นแรนซัมแวร์ที่เข้ารหัสไฟล์บนระบบของเหยื่อ โดยจะเพิ่มนามสกุล .DEVMAN (หรือบางกรณีอาจเป็น .yAGRTb) ต่อท้ายไฟล์ที่ถูกเข้ารหัส เมื่อระบบถูกโจมตี มัลแวร์จะพยายามแพร่กระจายไปยังเครื่องอื่น ๆ ในเครือข่ายผ่านช่องโหว่การแชร์ไฟล์ (SMB shares) อย่างรวดเร็ว

สิ่งที่น่าสนใจคือ DEVMAN ใช้ข้อความเรียกค่าไถ่ (ransom note) ที่มีลักษณะคล้ายกับที่กลุ่ม DragonForce และ Conti เคยใช้ ซึ่งบ่งชี้ถึงความเชื่อมโยงกับกลุ่มอาชญากรเหล่านี้

แรนซัมแวร์ DEVMAN มักใช้ช่องทางหลักในการโจมตีคอมพิวเตอร์ ดังนี้ครับ:

•     การเจาะระบบผ่านข้อมูลประจำตัว (Credentials) ที่รั่วไหล: อาชญากรไซเบอร์อาจได้ข้อมูลชื่อผู้ใช้และรหัสผ่านที่รั่วไหลมาจากการละเมิดข้อมูลในอดีต และนำมาใช้เข้าถึงระบบของเหยื่อ
•     การโจมตีแบบ Brute-force บนโปรโตคอล Remote Desktop Protocol (RDP): DEVMAN จะพยายามสุ่มรหัสผ่านเพื่อเข้าถึง RDP ซึ่งเป็นโปรโตคอลที่ช่วยให้ผู้ใช้สามารถควบคุมคอมพิวเตอร์จากระยะไกลได้ หากเดารหัสผ่านสำเร็จ ก็จะสามารถเข้าถึงระบบและติดตั้งมัลแวร์ได้ครับ

ข้อสังเกตและพฤติกรรมผิดปกติที่น่าสนใจ

จากการวิเคราะห์เบื้องต้น ผู้เชี่ยวชาญพบพฤติกรรมบางอย่างที่ชี้ให้เห็นว่าแรนซัมแวร์ DEVMAN อาจยังอยู่ในระหว่างการพัฒนา นั่นคือ ตัวข้อความเรียกค่าไถ่เองก็ถูกเข้ารหัสโดยตัวมัลแวร์ ซึ่งเป็นเรื่องที่ไม่ปกติสำหรับแรนซัมแวร์ที่ถูกพัฒนามาอย่างสมบูรณ์ นอกจากนี้ DEVMAN ยังมีการใช้งานซอฟต์แวร์ที่ถูกกฎหมายหลายตัว เช่น AnyDesk, SplashTop, Atera, PsExec, และ MSI Afterburner เพื่อช่วยในการควบคุมระยะไกลและการขโมยข้อมูล ซึ่งเป็นกลยุทธ์ที่ซับซ้อนขึ้นของกลุ่มแฮกเกอร์

กลุ่มเป้าหมายและผลกระทบ

กลุ่ม DEVMAN อ้างว่ามีเหยื่อที่ถูกโจมตีไปแล้วกว่า 40 ราย โดยส่วนใหญ่อยู่ในทวีปเอเชียและแอฟริกา ซึ่งเป็นสัญญาณเตือนที่สำคัญสำหรับผู้ใช้งานในภูมิภาคเหล่านี้ การโจมตีของ DEVMAN มักจะเริ่มต้นด้วยการเจาะระบบผ่านการใช้ข้อมูลประจำตัว (credentials) ที่รั่วไหล หรือการโจมตีแบบ Brute-force บนโปรโตคอล Remote Desktop Protocol (RDP)

คำแนะนำในการป้องกัน

เพื่อป้องกันตนเองจากแรนซัมแวร์ DEVMAN และภัยคุกคามอื่นๆ ควร:

•     สำรองข้อมูลสำคัญอย่างสม่ำเสมอ ไปยังอุปกรณ์จัดเก็บข้อมูลที่ไม่เชื่อมต่อกับเครือข่ายหลัก เพื่อให้แน่ใจว่าคุณมีข้อมูลที่กู้คืนได้แม้จะถูกโจมตี
•     อัปเดตระบบปฏิบัติการและซอฟต์แวร์ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ เพื่อปิดช่องโหว่ด้านความปลอดภัยที่แรนซัมแวร์อาจใช้โจมตี
•     ติดตั้งและอัปเดตโปรแกรมป้องกันไวรัส (Antivirus) ที่น่าเชื่อถือ และตรวจสอบให้แน่ใจว่าทำงานอย่างมีประสิทธิภาพ
•     ระมัดระวังในการเปิดไฟล์แนบหรือลิงก์ จากอีเมลที่ไม่รู้จักหรือไม่น่าเชื่อถือ แม้จะดูเหมือนมาจากแหล่งที่น่าเชื่อถือก็ตาม
•     ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน สำหรับบัญชีต่าง ๆ และพิจารณาเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication - MFA)
•     จำกัดการเข้าถึง SMB shares และกำหนดสิทธิ์การเข้าถึงให้เหมาะสม เพื่อป้องกันการแพร่กระจายของมัลแวร์ในเครือข่าย

หากพบว่าตกเป็นเหยื่อของแรนซัมแวร์ สิ่งสำคัญคือไม่ควรจ่ายค่าไถ่ เพราะไม่มีอะไรรับประกันว่าคุณจะได้ข้อมูลคืน และยังเป็นการสนับสนุนกลุ่มอาชญากร ควรติดต่อผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์เพื่อขอคำแนะนำและความช่วยเหลือในการกู้คืนข้อมูล

share :