นักวิจัยพบ Clop ransomware สายพันธุ์ใหม่ของ Linux ยังมีข้อบกพร่อง

Clop ransomware

ไม่นานมานี้หลายคนที่ติดตามข่าวคงทราบดีว่ามี Clop ransomware ที่สามารถเล่นงาน Linux ได้แล้ว และนักวิจัยด้านความปลอดภัยได้ติดตามสังเกตุการทำงานอยู่ ซึ่ง ณ ปัจจุบันพบข่าวดีคือ สายพันธ์ใหม่นี้มีการเข้ารหัสที่มีข้อบกพร่อง ซึ่งหมายความว่าผู้ตกเป็นเหยื่อสามารถกู้ไฟล์ที่ถูกขโมยคืนมาได้แบบฟรีๆ

ไม่นานมานี้ Antonis Terefos นักวิจัยจาก SentinelLabs ได้เปิดเผยรายละเอียด Clop ransomware ของ Linux ตัวใหม่นี้บนบล็อกของเขา Terefos กล่าวว่าเขาพบ ransomware ที่เล็ง Linux เป็นเป้าหมายครั้งแรกเมื่อ 26 ธันวาคม 

นักวิจัยด้านความปลอดภัยได้สังเกตเห็นการทำงานของ Clop ransomware ที่มากมายซึ่งมีเป้าหมายที่ระบบ Linux เป็นครั้งแรก  ข่าวดีก็คือการเข้ารหัสที่มีข้อบกพร่องซึ่งใช้โดยตัวแปรใหม่หมายความว่าเป็นไปได้ที่ผู้ที่ตกเป็นเหยื่อสามารถกู้คืนไฟล์ที่ถูกขโมยได้ฟรี หลังจากที่แก๊งแรนซัมแวร์ใช้มัลแวร์ตัวใหม่นี้กำหนดเป้าหมายเป็นมหาวิทยาลัยในโคลอมเบีย ซึ่งถูกเพิ่มเข้าไปใน leak site ของ dark web ของ Clop ในเดือนมกราคม และ leak site ของ Clop ซึ่งยังคงทำงานอยู่นี้เพิ่งมีการจัดให้มหาวิทยาลัย La Salle ของโคลัมเบียและ South Staffordshire Water ซึ่งเป็นการประปาของสหราชอาณาจักรอยู่ในกลุ่มผู้ตกเป็นเหยื่อล่าสุด 

Terefos ตั้งข้อสังเกตุว่าสายพันธุ์สำหรับ Linux มีความคล้ายคลึงกับของ Windows ด้วยใช้วิธีเข้ารหัสเดียวกันและมีตรรกะกระบวนการทำงานที่คล้ายกัน เพียงแต่ยังมีข้อบกพร่องหลายประการ ซึ่งหนึ่งในนั้นคือตรรกะการเข้ารหัส ransomware ซึ่งมีช่องว่างให้เราสามารถถอดรหัสไฟล์ต้นฉบับได้โดยไม่ต้องจ่ายค่าไถ่ ดังนั้น SentinelLabs จึงได้สร้างเครื่องมือถอดรหัสไฟล์ฟรีสำหรับเหยื่อ 

Terefos อธิบายว่า ข้อผิดพลาดบางอันเกิดขึ้นเพราะแฮคเกอร์ของ Clop ตัดสินใจสร้าง ransomware รูปแบบเฉพาะสำหรับ Linux แทนที่จะทำของ Windows อย่างไรก็ตาม เราควรจะระวังไว้เพราะ ransomware ที่มีเป้าหมายเป็น Linux จะมีมากขึ้น โดย Terefos กล่าวว่า “ถึงแม้ Clop สำหรับ Linux ซึ่งยังอยู่ในช่วงเริ่มต้น การพัฒนาและการใช้ Linux ในเซิร์ฟเวอร์และปริมาณ cloud workload บ่งชี้ว่าผู้ปกป้องควรคาดหวังที่จะเห็นแคมเปญ ransomware ที่กำหนดเป้าหมายเป็น Linux มากขึ้นในอนาคต”

ส่วนเรื่องของจำนวนการติดเชื้อ Clop ที่ SentinelLabs ตรวจพบนั้น ยังไม่ทราบแน่ชัด ซึ่งหากได้รับข่าวคราวแล้ว ทาง yod.net จะรีบนำเสนอทุกท่านโดยเร็วค่ะ

แก๊ง Clop ransomware ซึ่งพูดภาษารัสเซียนี้มีความเคลื่อนไหวมาตั้งแต่ช่วงปี 2019 แต่หยุดชะงักไปช่วงหนึ่งขณะปี 2021 เมื่อมีคน 6 คนของแก๊งจับกุมหลังจากมีปฏิบัติการบังคับใช้กฎหมายระหว่างประเทศชื่อ Operation Cyclone ซึ่งในเวลานั้นตำรวจยูเครนกล่าวว่าสามารถปิดโครงสร้างพื้นฐานเซิร์ฟเวอร์ที่แก๊งนี้ใช้ได้สำเร็จ แต่ Clop ยังคงอยู่และคอยมองหาเหยื่อรายใหม่ตลอด อย่างร้านค้าปลีกอุปกรณ์การเกษตรและสำนักงานสถาปนิก ในเวลาเพียงไม่กี่สัปดาห์หลังจากการบุกค้นของตำรวจ

ซึ่ง Clop กลับมาเคลื่อนไหวมากขึ้นในปี 2022 โดยสามารถเพิ่มรายชื่อเหยื่อกว่า 21 รายไปยัง dark web leak site ของตนได้ภายในเวลาหนึ่งเดือนเท่านั้น

“การเคลื่อนไหวที่เพิ่มขึ้นของ Clop ดูจะบ่งบอกว่าพวกเขากลับไปสู่การเป็นภัยคุกคามแล้ว” Matt Hull หัวหน้าระดับนานาชาติด้านข่าวกรองภัยคุกคามเชิงกลยุทธ์ของ NCC Group กล่าว “องค์กรในภาคส่วนที่เป็นเป้าหมายมากที่สุดของ Clop โดยเฉพาะภาคส่วนอุตสาหกรรมและเทคโนโลยี ควรพิจารณาภัยคุกคามจากกลุ่มransomware นี้และเตรียมพร้อมรับมือกับมัน”

About Author