🥷 เตือนภัย "FortiBleed" ช่องโหว่ฉกข้อมูลรหัสผ่าน สู่การโจมตีด้วยมัลแวร์เรียกค่าไถ่ "Lynx Ransomware"
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ออกโรงแจ้งเตือนถึงแคมเปญการโจมตีระลอกใหม่ของกลุ่มแฮกเกอร์ผู้พัฒนา Lynx Ransomware ที่ได้หันมาใช้ประโยชน์จากเทคนิคและช่องโหว่การขโมยข้อมูลยืนยันตัวตน (Credential Theft) หรือที่เรียกกันในวงการว่า "FortiBleed" เพื่อเข้าควบคุมระบบเครือข่ายขององค์กรก่อนจะทำการล็อกรหัสไฟล์เพื่อเรียกค่าไถ่ในขั้นถัดไป
⚠️ รู้จักกับช่องโหว่ "FortiBleed" และกลไกการฉกข้อมูล
คำว่า FortiBleed เป็นชื่อเรียกที่เปรียบเปรยถึงพฤติกรรมความเสียหายที่คล้ายกับช่องโหว่สะท้านโลกในอดีตอย่าง Heartbleed โดยในรอบนี้เป้าหมายหลักคืออุปกรณ์รักษาความปลอดภัยเครือข่ายและเกตเวย์ SSL VPN ขององค์กร
• ลักลอบดึงข้อมูลจากหน่วยความจำ (Memory Leak): ช่องโหว่นี้เปิดโอกาสให้แฮกเกอร์ที่อยู่ระยะไกล (Remote Attackers) สามารถส่งคำขอพิเศษที่ออกแบบมาเพื่อดึงข้อมูล (Leak) ออกมาจากหน่วยความจำของตัวอุปกรณ์ได้โดยไม่ต้องยืนยันตัวตน
• เป้าหมายคือรหัสผ่านและ Session: สิ่งที่หลุดออกมาจากหน่วยความจำนั้นรวมถึง ข้อมูลชื่อผู้ใช้งาน (Usernames), รหัสผ่าน (Passwords) ของพนักงาน และเซสชันโทเค็น (Session Tokens) ที่ยังคงค้างอยู่ในระบบ ทำให้แฮกเกอร์สามารถรวบรวมข้อมูลเหล่านี้ไปใช้ในการ "สวมรอย" เข้าสู่เครือข่ายภายในองค์กรได้อย่างง่ายดาย
📉 จากการฉกข้อมูลสู่การฝังตัวของ "Lynx Ransomware"
หลังจากที่กลุ่มแฮกเกอร์ได้ข้อมูลสิทธิ์การเข้าถึงผ่านเทคนิค FortiBleed มาเรียบร้อยแล้ว กระบวนการโจมตีจะถูกยกระดับเข้าสู่เฟสถัดไปทันที:
1. การเข้าถึงระยะเริ่มต้น (Initial Access): แฮกเกอร์ใช้ข้อมูล VPN Credentials ที่ขโมยมาได้ล็อกอินเข้าสู่ระบบเครือข่ายภายในขององค์กรเสมือนเป็นพนักงานคนหนึ่ง ทำให้ระบบตรวจจับสิทธิ์ (Identity Controls) ทั่วไปตรวจไม่พบสิ่งผิดปกติ
2. การขยายสิทธิ์และเคลื่อนไหวในระบบ (Lateral Movement): เมื่อเข้ามาได้แล้ว แฮกเกอร์จะเริ่มสแกนหาเครื่องเซิร์ฟเวอร์หลัก, ระบบสำรองข้อมูล (Backup Servers) และพยายามยกระดับสิทธิ์ตัวเองขึ้นเป็น Domain Admin
3. ปล่อยมัลแวร์เรียกค่าไถ่ (Ransomware Deployment): เมื่อควบคุมโครงสร้างพื้นฐานที่สำคัญได้ทั้งหมด แฮกเกอร์จะทำการปิดระบบรักษาความปลอดภัยบนเครื่องปลายทาง (EDR/Antivirus) และสั่งรัน Lynx Ransomware เพื่อเข้ารหัสข้อมูล (Encrypt) พร้อมทิ้งข้อความเรียกค่าไถ่ทันที
💡 แนวทางการป้องกันและรับมือสำหรับองค์กร
เพื่อป้องกันไม่ให้องค์กรตกเป็นเหยื่อของขบวนการ Lynx Ransomware ผ่านช่องโหว่ FortiBleed ทีมไอทีและผู้ดูแลระบบควรเร่งดำเนินการดังนี้ครับ:
• เร่งอัปเดตแพตช์ด่วนที่สุด (Immediate Patching): ตรวจสอบและอัปเดตเฟิร์มแวร์ของอุปกรณ์เครือข่ายและเกตเวย์ VPN ทุกตัวให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่การรั่วไหลของหน่วยความจำ
• บังคับใช้ระบบ MFA ที่มีประสิทธิภาพ: แม้แฮกเกอร์จะได้รหัสผ่านไป แต่การเปิดใช้งาน Multi-Factor Authentication (MFA) ที่ผูกกับเงื่อนไขที่รัดกุม (เช่น คุมตาม IP หรือพฤติกรรม) จะช่วยสกัดกั้นไม่ให้คนร้ายล็อกอินผ่าน VPN เข้ามาได้
• ตรวจสอบประวัติการล็อกอินที่ผิดปกติ (Log Audit): เฝ้าระวังและสแกนประวัติการเชื่อมต่อ VPN ว่ามีการเข้าใช้งานจากสถานที่หรือเวลาที่ผิดปกติ (เช่น มีการล็อกอินพร้อมกันจากสองสถานที่) หรือไม่ เพื่อรีบตัดการเชื่อมต่อและรีเซ็ตรหัสผ่านของพนักงานรายนั้นทันทีครับ
Reference : FortiBleed Credential Theft Connected to INC and Lynx Ransomware
To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions