แรนซัมแวร์สายพันธุ์ใหม่ “DEVMAN” โจมตีระบบ Windows ในเอเชียและแอฟริกา

จับตา “DEVMAN” แรนซัมแวร์สายพันธุ์ใหม่ ต่อยอดจาก Conti โจมตีในเอเชียและแอฟริกา แรนซัมแวร์สายพันธุ์ใหม่ชื่อ “DEVMAN” ซึ่งพัฒนาต่อยอดมาจากโค้ดของแรนซัมแวร์ชื่อดังอย่าง DragonForce และ Conti โดยมีเป้าหมายหลักคือระบบปฏิบัติการ Windows 10 และ 11

DEVMAN เป็นแรนซัมแวร์ (Ransomware) ที่มีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ชื่อดังอย่าง DragonForce และ Conti โดยทำงานในรูปแบบ RaaS (Ransomware-as-a-Service) ซึ่งหมายความว่าผู้พัฒนามัลแวร์จะเปิดให้ผู้โจมตีรายอื่นเช่าใช้บริการเพื่อแลกกับส่วนแบ่งของค่าไถ่

จากการวิเคราะห์พบว่า DEVMAN มีการพัฒนาต่อยอดมาจาก DragonForce ซึ่ง DragonForce เองก็พัฒนามาจาก Conti อีกทีหนึ่ง ทำให้ DEVMAN มีความสามารถและลักษณะการทำงานที่คล้ายคลึงกับรุ่นพี่ของมัน แต่ก็มี “ข้อผิดพลาด” ที่น่าสนใจ เช่น การเข้ารหัสไฟล์เรียกค่าไถ่ของตัวเอง ทำให้เหยื่อไม่สามารถเปิดอ่านได้

DEVMAN มักจะใช้วิธีการโจมตีแบบ Double Extortion คือไม่เพียงแต่เข้ารหัสไฟล์ของเหยื่อเพื่อเรียกค่าไถ่เท่านั้น แต่ยังขโมยข้อมูลสำคัญออกไปก่อน แล้วขู่ว่าจะเปิดเผยข้อมูลนั้นสู่สาธารณะหากไม่จ่ายค่าไถ่

ช่องทางการโจมตีหลักๆ ได้แก่:

• เจาะระบบผ่านช่องโหว่: โจมตีผ่านช่องโหว่ของบริการที่เชื่อมต่ออินเทอร์เน็ตโดยตรง เช่น VPN หรือ RDP ที่ไม่มีการป้องกันที่รัดกุม
• ใช้ข้อมูลประจำตัวที่ถูกขโมย: ใช้ชื่อผู้ใช้และรหัสผ่านที่ได้มาจากการโจมตีด้วยวิธีการต่างๆ เช่น Password Spraying
• การเคลื่อนไหวในเครือข่าย: เมื่อเข้าสู่ระบบได้แล้ว DEVMAN จะใช้ Group Policy Object (GPO) เพื่อแพร่กระจายไปยังเครื่องอื่นๆ ในเครือข่ายอย่างรวดเร็ว

DEVMAN มีลักษณะการทำงานที่โดดเด่น โดยจะเข้ารหัสไฟล์ของเหยื่อและเปลี่ยนนามสกุลเป็น “.DEVMAN” จากนั้นจะพยายามแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่ายเดียวกันผ่านช่องทาง SMB shares

แม้ว่าโค้ดส่วนใหญ่จะยังคงคล้ายกับต้นแบบ แต่ DEVMAN ก็มีคุณสมบัติเฉพาะตัวและโครงสร้างพื้นฐานที่แยกจากกันอย่างชัดเจน รวมถึงมีเว็บไซต์สำหรับเผยแพร่ข้อมูลของเหยื่อ (Dedicated Leak Site – DLS) ของตัวเองในชื่อ “Devman’s Place”

จากการวิเคราะห์พบว่า DEVMAN ยังอยู่ในช่วง “ทดลอง” และมีข้อบกพร่องที่น่าสนใจ คือ การเข้ารหัสไฟล์เรียกค่าไถ่ของตัวเอง ซึ่งทำให้เหยื่อไม่สามารถเปิดอ่านข้อความได้ และอาจส่งผลต่อประสิทธิภาพในการเรียกค่าไถ่

อย่างไรก็ตาม เว็บไซต์ของกลุ่มแฮกเกอร์ระบุว่ามีเหยื่อที่ถูกโจมตีแล้วเกือบ 40 ราย โดยส่วนใหญ่อยู่ในภูมิภาค เอเชียและแอฟริกา

เพื่อป้องกันความเสียหายจากแรนซัมแวร์ DEVMAN และภัยคุกคามอื่นๆ องค์กรควรปฏิบัติตามแนวทางต่อไปนี้:

• อัปเดตและแพตช์ระบบอย่างสม่ำเสมอ: โดยเฉพาะอย่างยิ่งกับระบบที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง เช่น VPN และเซิร์ฟเวอร์ต่างๆ เพื่อปิดช่องโหว่ที่ผู้โจมตีอาจใช้เป็นช่องทางเข้ามาในระบบ
• ใช้รหัสผ่านที่คาดเดายากและเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA): เพื่อป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต
• จำกัดสิทธิ์การเข้าถึง: ใช้หลักการ Zero Trust คือไม่ไว้วางใจใครเลย และให้สิทธิ์ผู้ใช้ในการเข้าถึงข้อมูลและระบบเท่าที่จำเป็นต่อการทำงานเท่านั้น
• สำรองข้อมูลอย่างสม่ำเสมอ: ควรมีการสำรองข้อมูลที่สำคัญอย่างน้อย 3 ชุด ใน 2 รูปแบบสื่อที่แตกต่างกัน และเก็บ 1 ชุดไว้นอกสถานที่ (Off-site backup) เพื่อให้แน่ใจว่าสามารถกู้คืนข้อมูลได้ในกรณีที่ถูกโจมตี
• ฝึกอบรมพนักงาน: สร้างความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ เช่น การสังเกตอีเมลหลอกลวง (Phishing) และการไม่คลิกลิงก์หรือดาวน์โหลดไฟล์ที่ไม่น่าเชื่อถือ

DEVMAN เป็นอีกหนึ่งตัวอย่างของภัยคุกคามทางไซเบอร์ที่มีการพัฒนาอย่างต่อเนื่อง การเตรียมความพร้อมและมีมาตรการป้องกันที่รัดกุมจึงเป็นสิ่งสำคัญที่สุดที่จะช่วยให้องค์กรของคุณปลอดภัยจากแรนซัมแวร์และภัยคุกคามอื่นๆ ได้

การปรากฏตัวของ DEVMAN สะท้อนให้เห็นถึงวิวัฒนาการที่ไม่หยุดนิ่งของภัยคุกคามทางไซเบอร์ แม้ว่าระบบป้องกันไวรัสส่วนใหญ่อาจยังตรวจจับว่าเป็น DragonForce หรือ Conti แต่การมีอยู่ของมันตอกย้ำถึงความจำเป็นที่ทุกองค์กรต้องเฝ้าระวังและเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง