Microsoft เตือนภัย DEV-0569 และวิธีการใหม่ กระจาย Royal Ransomware ผ่าน Google Ads

ภัยของระบบคอมพิวเตอร์ถูกแรนซัมแวร์ (Ransomware) โจมตี ยังไม่มีทีท่าว่าจะหยุดง่าย ๆ ล่าสุด ทางไมโครซอฟต์ออกมาเตือนผู้ใช้ว่า พบวิธีการส่ง Ransomware ผ่านแคมเปญหนึ่งที่ใช้ Google Ads เพื่อกระจายเพย์โหลด (Payload) ร่วมด้วย ซึ่งชื่อการโจมตีครั้งนี้เรียกว่า "DEV-0569"

การโจมตี DEV-0569 เกิดขึ้นครั้งแรกเมื่อเดือนกันยายน ปี ค.ศ.2022 เป็นวิธีการกระจาย Payload หรือโปรแกรมปลอม เว็บไซต์ปลอมที่คอยล่อลวงผู้ใช้ เช่น โปรแกรม Adobe Flash Player ที่ยุติการให้บริการตั้งแต่ปี ค.ศ.2020, โปรแกรม AnyDesk, โปรแกรม Zoom ฯลฯ ผ่าน Google Ads หรือโฆษณาใด ๆ หากคลิกโฆษณาแล้วดาวน์โหลดโปรแกรมปลอม Ransomware ก็จะเข้าโจมตีคอมพิวเตอร์ และ DEV-0569 อัปเกรดวิธีการกระจาย Ransomware เมื่อปลายเดือนตุลาคมที่ผ่านมา ด้วยการเพิ่มนวัตกรรม เทคนิคใหม่ ๆ ที่ทำให้การส่ง Ransomware ผ่านช่องทางต่าง ๆ แนบเนียนยิ่งขึ้น

ส่วนใครที่คิดว่าไม่ได้ดาวน์โหลดโปรแกรมเหล่านี้ ก็ต้องระวังอีเมลฟิชชิ่งไว้ด้วย เพราะอีกเมลเหล่านี้มักมาจากแฮกเกอร์ปลอมตัวเป็นหน่วยงานอื่น ส่งอีเมลพร้อมลิงก์ดาวน์โหลด Ransomware รวมถึงคอมเมนต์ตามสื่อต่าง ๆ เช่น บล็อก แพลตฟอร์มโซเชียลใด ๆ เรียกได้ว่าลิงก์ดาวน์โหลดแฝง Ransomware มีอยู่ทุกที่เลยทีเดียว

นอกจาก Ransomware แล้ว ยังมี Batloader ที่เป็นช่องทางการแจกจ่าย Payload ในขั้นต่อไป แถม Ransomware ยังทำงานร่วมกับมัลแวร์ชนิดอื่น ๆ เช่น Emotet, IcedID, Qakbot และยังใช้เป็นเครื่องมือที่เรียกว่า NSudo เพื่อเปิดใช้งานสิทธิขั้นสูงของบางโปรแกรม และเพิ่มค่า Registry สำหรับปิดการใช้งานป้องกันไวรัสอีกด้วย

เรียกไ้ดดว่าแผนโจมตี DEV-0569 เป็นได้ทั้งจุดเชื่อมต่อเพื่อเตรียมแพร่กระจาย Ransomware สร้างอันตรายตั้งแต่เริ่มจนจบกระบวนการ ทางที่ดีควรหลีกเลี่ยงทั้งโฆษณาที่เขียนด้วยข้อความแปลก ๆ ลิงก์ดาวน์โหลดโปรแกรม อีเมลที่น่าสงสัย หรือมาจากใครที่ไม่รู้จัก (หรือแม้แต่คนที่รู้จักก็ยังมีโอกาสถูกแฮกเพื่อการนี้ได้)