จับตา “DEVMAN” แรนซัมแวร์สายพันธุ์ใหม่ ต่อยอดจาก Conti โจมตีในเอเชียและแอฟริกา แรนซัมแวร์สายพันธุ์ใหม่ชื่อ “DEVMAN” ซึ่งพัฒนาต่อยอดมาจากโค้ดของแรนซัมแวร์ชื่อดังอย่าง DragonForce และ Conti โดยมีเป้าหมายหลักคือระบบปฏิบัติการ Windows 10 และ 11
DEVMAN คืออะไร?
DEVMAN เป็นแรนซัมแวร์ (Ransomware) ที่มีความเชื่อมโยงกับกลุ่มแรนซัมแวร์ชื่อดังอย่าง DragonForce และ Conti โดยทำงานในรูปแบบ RaaS (Ransomware-as-a-Service) ซึ่งหมายความว่าผู้พัฒนามัลแวร์จะเปิดให้ผู้โจมตีรายอื่นเช่าใช้บริการเพื่อแลกกับส่วนแบ่งของค่าไถ่
จากการวิเคราะห์พบว่า DEVMAN มีการพัฒนาต่อยอดมาจาก DragonForce ซึ่ง DragonForce เองก็พัฒนามาจาก Conti อีกทีหนึ่ง ทำให้ DEVMAN มีความสามารถและลักษณะการทำงานที่คล้ายคลึงกับรุ่นพี่ของมัน แต่ก็มี “ข้อผิดพลาด” ที่น่าสนใจ เช่น การเข้ารหัสไฟล์เรียกค่าไถ่ของตัวเอง ทำให้เหยื่อไม่สามารถเปิดอ่านได้
วิธีการโจมตีและเป้าหมาย
DEVMAN มักจะใช้วิธีการโจมตีแบบ Double Extortion คือไม่เพียงแต่เข้ารหัสไฟล์ของเหยื่อเพื่อเรียกค่าไถ่เท่านั้น แต่ยังขโมยข้อมูลสำคัญออกไปก่อน แล้วขู่ว่าจะเปิดเผยข้อมูลนั้นสู่สาธารณะหากไม่จ่ายค่าไถ่
ช่องทางการโจมตีหลักๆ ได้แก่:
- เจาะระบบผ่านช่องโหว่: โจมตีผ่านช่องโหว่ของบริการที่เชื่อมต่ออินเทอร์เน็ตโดยตรง เช่น VPN หรือ RDP ที่ไม่มีการป้องกันที่รัดกุม
- ใช้ข้อมูลประจำตัวที่ถูกขโมย: ใช้ชื่อผู้ใช้และรหัสผ่านที่ได้มาจากการโจมตีด้วยวิธีการต่างๆ เช่น Password Spraying
- การเคลื่อนไหวในเครือข่าย: เมื่อเข้าสู่ระบบได้แล้ว DEVMAN จะใช้ Group Policy Object (GPO) เพื่อแพร่กระจายไปยังเครื่องอื่นๆ ในเครือข่ายอย่างรวดเร็ว
DEVMAN มีลักษณะการทำงานที่โดดเด่น โดยจะเข้ารหัสไฟล์ของเหยื่อและเปลี่ยนนามสกุลเป็น “.DEVMAN” จากนั้นจะพยายามแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นในเครือข่ายเดียวกันผ่านช่องทาง SMB shares
แม้ว่าโค้ดส่วนใหญ่จะยังคงคล้ายกับต้นแบบ แต่ DEVMAN ก็มีคุณสมบัติเฉพาะตัวและโครงสร้างพื้นฐานที่แยกจากกันอย่างชัดเจน รวมถึงมีเว็บไซต์สำหรับเผยแพร่ข้อมูลของเหยื่อ (Dedicated Leak Site – DLS) ของตัวเองในชื่อ “Devman’s Place”
สถานะปัจจุบันและข้อบกพร่อง
จากการวิเคราะห์พบว่า DEVMAN ยังอยู่ในช่วง “ทดลอง” และมีข้อบกพร่องที่น่าสนใจ คือ การเข้ารหัสไฟล์เรียกค่าไถ่ของตัวเอง ซึ่งทำให้เหยื่อไม่สามารถเปิดอ่านข้อความได้ และอาจส่งผลต่อประสิทธิภาพในการเรียกค่าไถ่
อย่างไรก็ตาม เว็บไซต์ของกลุ่มแฮกเกอร์ระบุว่ามีเหยื่อที่ถูกโจมตีแล้วเกือบ 40 ราย โดยส่วนใหญ่อยู่ในภูมิภาค เอเชียและแอฟริกา
แนวทางการป้องกัน
เพื่อป้องกันความเสียหายจากแรนซัมแวร์ DEVMAN และภัยคุกคามอื่นๆ องค์กรควรปฏิบัติตามแนวทางต่อไปนี้:
- อัปเดตและแพตช์ระบบอย่างสม่ำเสมอ: โดยเฉพาะอย่างยิ่งกับระบบที่เชื่อมต่อกับอินเทอร์เน็ตโดยตรง เช่น VPN และเซิร์ฟเวอร์ต่างๆ เพื่อปิดช่องโหว่ที่ผู้โจมตีอาจใช้เป็นช่องทางเข้ามาในระบบ
- ใช้รหัสผ่านที่คาดเดายากและเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA): เพื่อป้องกันการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- จำกัดสิทธิ์การเข้าถึง: ใช้หลักการ Zero Trust คือไม่ไว้วางใจใครเลย และให้สิทธิ์ผู้ใช้ในการเข้าถึงข้อมูลและระบบเท่าที่จำเป็นต่อการทำงานเท่านั้น
- สำรองข้อมูลอย่างสม่ำเสมอ: ควรมีการสำรองข้อมูลที่สำคัญอย่างน้อย 3 ชุด ใน 2 รูปแบบสื่อที่แตกต่างกัน และเก็บ 1 ชุดไว้นอกสถานที่ (Off-site backup) เพื่อให้แน่ใจว่าสามารถกู้คืนข้อมูลได้ในกรณีที่ถูกโจมตี
- ฝึกอบรมพนักงาน: สร้างความตระหนักรู้เกี่ยวกับภัยคุกคามทางไซเบอร์ เช่น การสังเกตอีเมลหลอกลวง (Phishing) และการไม่คลิกลิงก์หรือดาวน์โหลดไฟล์ที่ไม่น่าเชื่อถือ
DEVMAN เป็นอีกหนึ่งตัวอย่างของภัยคุกคามทางไซเบอร์ที่มีการพัฒนาอย่างต่อเนื่อง การเตรียมความพร้อมและมีมาตรการป้องกันที่รัดกุมจึงเป็นสิ่งสำคัญที่สุดที่จะช่วยให้องค์กรของคุณปลอดภัยจากแรนซัมแวร์และภัยคุกคามอื่นๆ ได้
การปรากฏตัวของ DEVMAN สะท้อนให้เห็นถึงวิวัฒนาการที่ไม่หยุดนิ่งของภัยคุกคามทางไซเบอร์ แม้ว่าระบบป้องกันไวรัสส่วนใหญ่อาจยังตรวจจับว่าเป็น DragonForce หรือ Conti แต่การมีอยู่ของมันตอกย้ำถึงความจำเป็นที่ทุกองค์กรต้องเฝ้าระวังและเสริมสร้างความมั่นคงปลอดภัยทางไซเบอร์อย่างต่อเนื่อง
พร้อมปกป้องธุรกิจและชีวิตดิจิทัลของคุณให้ปลอดภัยแล้วหรือยัง?