เจาะลึก CL0P Ransomware : กลไกการทำงาน, เป้าหมาย, และวิธีรับมือ
Cl0P Ransomware คืออะไร?
Cl0P ransomware ปรากฏขึ้นครั้งแรกในช่วงต้นปี 2019 และเชื่อมโยงกับกลุ่มภัยคุกคาม TA505 ที่ใหญ่และมีความซับซ้อน โดยยังคงเคลื่อนไหวอย่างต่อเนื่องจนถึงเดือนมกราคม ปี 2022 การโจมตีที่มีชื่อเสียงหลายครั้งชี้ให้เห็นถึงความก้าวร้าวของกลุ่มนี้ที่มุ่งเป้าไปยังองค์กรขนาดใหญ่ Payload ที่ใช้โจมตีมักถูกเซ็นรับรองทางดิจิทัล และมีการใช้เทคนิคหลบเลี่ยงการวิเคราะห์หลายรูปแบบ
Cl0P ransomware บางเวอร์ชันถูกออกแบบมาโดยเฉพาะเพื่อไม่ให้ทำงานในระบบที่ใช้ภาษารัสเซีย ซึ่งเป็นลักษณะที่พบในแรนซัมแวร์ชื่อดังหลายตัว เช่น Maze และ NetWalker โดยผู้โจมตีเบื้องหลัง Cl0P ได้มีการเผยแพร่ข้อมูลของเหยื่อในที่สาธารณะ ซึ่งเริ่มขึ้นตั้งแต่ต้นปี 2020 และยังดำเนินต่อเนื่องมาจนถึงปัจจุบัน
ในปี 2024 Cl0P มีบทบาทสำคัญในการโจมตีช่องโหว่ในผลิตภัณฑ์ของ Cleo หลายรายการ รวมถึง LexiCom, VLTrader และ Cleo Harmony โดยมีเหยื่อจำนวนมากได้รับผลกระทบจากการโจมตีในลักษณะ supply chain ซึ่งทำให้เกิดการรั่วไหลของข้อมูลในวงกว้าง และถูกนำไปเผยแพร่บนเว็บไซต์ Data Leak Site (DLS) ของ Cl0P
Cl0P Ransomware มุ่งเป้าโจมตีที่ใด?
Cl0P ransomware มักมุ่งเป้าไปที่บริษัทขนาดใหญ่ โดยเฉพาะในอุตสาหกรรมการเงิน สาธารณสุข การผลิต และสื่อ นอกจากนี้ยังพบว่าเคยโจมตีธุรกิจขนาดกลางและขนาดเล็กด้วยเช่นกัน
ในปี 2024 ผู้ปฏิบัติการของ Cl0P ได้มุ่งเป้าโจมตีซอฟต์แวร์ของ Cleo ที่มีช่องโหว่อย่างหนัก โดยใช้การโจมตีแบบ Zero-day ซึ่งเปิดช่องให้เข้าถึงเครือข่ายต่าง ๆ โดยไม่ได้รับอนุญาต ส่งผลให้เกิดการรั่วไหลของข้อมูลจำนวนมากที่ถูกเผยแพร่บนเว็บไซต์ DLS (Data Leak Site) ของ Cl0P และการรั่วไหลดังกล่าวยังคงดำเนินต่อไประหว่างปี 2024 ถึง 2025
การใช้ช่องโหว่ของ Cleo อย่างกว้างขวางโดย Cl0P สะท้อนถึงแคมเปญก่อนหน้าของกลุ่มที่เคยใช้ประโยชน์จากช่องโหว่ของ MOVEit และ Accellion FTA เช่นกัน นอกจากนี้ ควรสังเกตว่าในการโจมตีที่เกี่ยวข้องกับ Cleo กลุ่ม Cl0P ไม่ได้เข้ารหัสข้อมูลเสมอไป แต่เลือกใช้วิธีขโมยข้อมูล (exfiltration) เพียงอย่างเดียวในบางกรณี
ช่องโหว่ที่เกี่ยวข้องถูกติดตามภายใต้รหัส CVE-2024-55956 ซึ่งช่องโหว่นี้เปิดโอกาสให้ผู้ใช้งานจากระยะไกลที่ไม่ได้รับการยืนยันตัวตนสามารถรันคำสั่ง PowerShell และ Bash/script ใด ๆ ก็ได้ ผ่านการปรับแต่งไดเรกทอรี autorun ที่ถูกกำหนดไว้
ทั้งนี้ Cl0P ไม่ใช่กลุ่มเดียวที่พุ่งเป้าโจมตีช่องโหว่ของ Cleo กลุ่มอื่น ๆ เช่น Termite ก็ได้ใช้ช่องโหว่เดียวกันนี้ในการเข้ารหัสข้อมูลและเรียกค่าไถ่จากเหยื่อเช่นกัน
Cl0P Ransomware ทำงานอย่างไร?
แรนซัมแวร์ Cl0P มักแพร่กระจายผ่านไฟล์แนบอีเมลที่เป็นอันตราย เว็บไซต์ที่เป็นอันตราย และลิงก์ที่เป็นอันตราย ผู้ปฏิบัติการของ Cl0P ยังถูกพบว่ามีการใช้ประโยชน์จากช่องโหว่ที่เป็นที่รู้จัก เช่น Accellion FTA และ “ZeroLogon”
ตัวอย่างการโจมตีด้วย Cl0P Ransomware
กลุ่มผู้ปฏิบัติการเบื้องหลัง Cl0P ถือว่ามีความซับซ้อนสูงและยังคงโจมตีองค์กรทุกขนาดอย่างต่อเนื่อง ทำให้เป็นภัยคุกคามที่สำคัญต่อความมั่นคงปลอดภัยทางไซเบอร์ ตัวอย่างบริษัทที่ได้รับผลกระทบจาก Cl0P ได้แก่ บริษัทพลังงานยักษ์ใหญ่อย่าง Shell, บริษัทด้านความปลอดภัยไซเบอร์ Qualys, ห้างสรรพสินค้าขนาดใหญ่ Kroger รวมถึงมหาวิทยาลัยหลายแห่งทั่วโลก เช่น University of Colorado, University of Miami, Stanford Medicine, University of Maryland Baltimore (UMB) และ University of California โดยทั้งหมดถูกแฮ็กเซิร์ฟเวอร์ Accellion FTA ส่งผลให้ข้อมูลสำคัญรั่วไหลและการดำเนินงานถูกขัดขวาง ตามรายงานของ Mandiant กลุ่ม UNC2546 ได้ใช้ประโยชน์จากช่องโหว่ zero-day 4 จุดใน Accellion File Transfer Appliance (FTA) ช่วงกลางเดือนธันวาคม 2020 ซึ่งช่องโหว่ทั้ง 4 นี้ได้รับการแพตช์แล้ว ได้แก่ CVE-2021-27101, CVE-2021-27102, CVE-2021-27103 และ CVE-2021-27104
รายละเอียดทางเทคนิคของ Cl0P Ransomware
Cl0P ทำงานโดยการเข้ารหัสไฟล์ของเหยื่อด้วยกุญแจเข้ารหัสเฉพาะตัว จากนั้นจึงเรียกค่าไถ่เพื่อให้ได้กุญแจถอดรหัสกลับมา แรนซัมแวร์นี้ใช้การเข้ารหัสด้วยอัลกอริทึม AES-256 โดยผสมผสานระหว่าง AES, RSA และ RC4 กุญแจเข้ารหัสจะถูกเก็บไว้บนเซิร์ฟเวอร์ระยะไกล ทำให้ผู้โจมตีต้องติดต่อเพื่อขอรับตัวถอดรหัสไฟล์
Cl0P มีฟีเจอร์เฉพาะตัวที่ทำให้มันอันตรายมาก เช่น สามารถแพร่กระจายตัวเองผ่านเครือข่าย ทำให้สามารถติดเชื้อคอมพิวเตอร์หลายเครื่องพร้อมกันได้ นอกจากนี้ Cl0P ยังมักใช้ลายเซ็นดิจิทัลเพื่อหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยปลายทาง และยังสามารถลบจุดคืนค่าระบบของ Windows (System Restore points) ซึ่งทำให้กระบวนการกู้คืนข้อมูลทำได้ยากขึ้นอีกด้วย
วิธีตรวจจับ Cl0P Ransomware
แพลตฟอร์ม SentinelOne Singularity XDR สามารถระบุและหยุดกิจกรรมหรือวัตถุที่เป็นอันตรายที่เกี่ยวข้องกับ Cl0P ได้ทั้งหมด
หากไม่ได้ใช้ SentinelOne จะตรวจจับ CL0P Ransomware ได้อย่างไร?
- โปรแกรมสแกนไวรัส: ติดตั้ง/อัปเดต สแกนหาไฟล์/กิจกรรมน่าสงสัย
- เครือข่าย: จับตาการรับส่งข้อมูลผิดปกติ, ติดต่อเซิร์ฟเวอร์แปลกๆ
- ระบบ: ตรวจสอบช่องโหว่, ระบบป้องกันทำงานปกติไหม
- พนักงาน: สอนวิธีสังเกตอีเมล/ภัยคุกคาม
- สำรองข้อมูล: เตรียมพร้อมกู้คืนหากถูกโจมตี
หากสงสัยว่าระบบติด CL0P Ransomware ควรทำอย่างไร
- ตัดการเชื่อมต่อ: ถอดสาย/ปิด Wi-Fi อุปกรณ์ที่สงสัยทันที
- สแกนหามัลแวร์: ใช้โปรแกรมสแกนไวรัส/Anti-Ransomware
- กู้คืนจากข้อมูลสำรอง: หากมี ให้กู้คืนไฟล์ที่เข้ารหัส
- ปรึกษาผู้เชี่ยวชาญ: หากลบเองไม่ได้ หรือกู้คืนไม่สำเร็จ
วิธีลดความเสี่ยง CL0P Ransomware
SentinelOne Singularity XDR Platform ช่วยหาและหยุดสิ่งผิดปกติที่เกี่ยวกับ CL0P ได้
วิธีลดความเสี่ยงจากแรนซัมแวร์ CL0P (หากไม่ได้ใช้ SentinelOne)
- สอนพนักงาน: ให้รู้ถึงอันตราย วิธีสังเกตอีเมล/ไฟล์แนบ/ภัยคุกคาม และให้รายงานสิ่งน่าสงสัย อย่าเปิดหรือคลิกสิ่งที่ไม่แน่ใจ
- ใช้รหัสผ่านที่แข็งแกร่ง: ตั้งรหัสผ่านที่ซับซ้อน ไม่ซ้ำใคร เปลี่ยนรหัสผ่านบ่อยๆ รหัสควรยาวอย่างน้อย 8 ตัว มีตัวพิมพ์ใหญ่เล็ก ตัวเลข และสัญลักษณ์ผสมกัน
- เปิดใช้งานการยืนยันสองขั้นตอน (MFA): เพิ่มความปลอดภัยอีกชั้นเมื่อเข้าสู่ระบบ โดยใช้แอปในมือถือ โทเค็น หรือสมาร์ทการ์ด
- อัปเดตระบบ: อัปเดตระบบปฏิบัติการ โปรแกรม และเฟิร์มแวร์สม่ำเสมอ ปิดบริการที่ไม่จำเป็น เพื่อป้องกันการโจมตีผ่านช่องโหว่
- สำรองและกู้คืนข้อมูล: ทำการสำรองข้อมูลและระบบอย่างสม่ำเสมอ เก็บข้อมูลสำรองไว้นอกสถานที่ และทดสอบการกู้คืนเพื่อให้แน่ใจว่าใช้งานได้จริง
แหล่งที่มา : https://www.sentinelone.com/anthology/clop/
ติดต่อเราเพื่อรับคำปรึกษาและบริการที่ดีที่สุดในด้านความปลอดภัยไซเบอร์
สนใจสินค้า :
สอบถามเพิ่มเติม :
: 02-026-6664, 02-026-6665
: 