สรุปข้อมูล

ตั้งแต่ปี 2025 เป็นต้นมาพบการโจมตีด้วยมัลแวร์ของกลุ่มแฮกเกอร์ที่รู้จักกันในชื่อ Babuk ที่ปิดตัวลงเมื่อปี 2021 พร้อมเผยแพร่ Source Code ของมัลแวร์ Babuk Locker สู่สาธารณะส่งผลให้มีการพัฒนามัลแวร์ข้างต้นเป็นหลากหลายเวอร์ชันโดยเฉพาะมัลแวร์ Babuk Locker 2.0 ที่ถูกค้นพบในการโจมตีล่าสุดแต่ยังไม่เป็นที่แน่ชัดว่าเป็นการกลับมาของกลุ่มแฮกเกอร์ Babuk เองหรือเป็นกลุ่มแฮกเกอร์อื่นที่ใช้มัลแวร์นี้ในการโจมตีเรียกค่าไถ่ นอกจากนี้ยังพบว่าอาจมีการเชื่อมโยงกับกลุ่มแฮกเกอร์ Skywaveและ Bjorka อีกด้วย

รายละเอียดเพิ่มเติม

Babuk Locker 2.0 เป็น Ransomware-as-a-Service (RaaS) ที่ใช้เทคนิค Double Extortion ซึ่งผสมระหว่าง Ransomware และ Extortionware ซึ่งจากการวิเคราะห์ไฟล์มัลแวร์ชื่อ babuk[.]exe พบว่าโค้ดภายในเป็นของ LockBit 3.0 หรือที่รู้จักกันในชื่อ LockBit Black ที่ถูกเปลี่ยนชื่อใหม่เป็น Babuk Locker โดยรายละเอียดเชิงเทคนิคมีดังนี้:

• ในกระบวนการ Encryption จะใช้ AES-256 ในการ Encrypt ไฟล์ของเหยื่อและใช้ RSA-2048 สำหรับการ Encrypt AES Key อีกทีทำให้ยากต่อการ Decrypt มากขึ้น
• มัลแวร์ทำการ Terminate Process และ Service ของระบบต่าง ๆ ในระบบของเหยื่อให้ได้มากที่สุด เช่น sql, oracle, synctime และ backup เพื่อเพิ่มประสิทธิภาพในการ Encryption และลดโอกาสการเกิด Conflict ในการเข้าถึงไฟล์ รวมไปถึงปิดการใช้งาน Service ความปลอดภัยและการสำรองข้องมูล
• มีฟังก์ชัน API “logoncli_DsGetDcNameW” สำหรับการ Enumeration Active Directory (AD) เพื่อใช้ในการโจมตี Brute-force บัญชี AD พร้อม List ที่ถูก Encode ด้วย Base64 ของ Username และ Password ที่มักนิยมใช้งานกัน
• การ API Harvesting จะทำการ Hash ชื่อ API จาก DLL และเปรียบเทียบชื่อกับ List ของ API ที่ต้องการ เพื่อ Obfuscate ในการเรียก API และหลีกเลี่ยงการตรวจจับ พร้อมใช้ Key XOR “0x4803BFC7” ที่ใช้สำหรับการเปลี่ยนชื่อ API
• มีการเปลี่ยนรูปพื้นหลังหลังจากทำการ Encrypt ไฟล์ต่าง ๆ เพิ่มนามสกุลเฉพาะให้กับไฟล์ เปลี่ยน Icon และติดตั้งไฟล์ [.]ico ใน Directory “%PROGRAMDATA%”

จากการโจมตีตั้งแต่เดือนมกราคม 2025 กลุ่มแฮกเกอร์ที่อ้างว่าใช้มัลแวร์ Babuk Locker 2.0 ในการโจมตีนั้นโจมตีหน่วยงานต่าง ๆ ทั่วโลกไปกว่า 100 แห่ง เช่น Amazon, รัฐสภาอิสราเอล (Knesset), Sodexo และองค์กรระดับสูงอื่นๆ จากหลายภาคส่วน รวมถึงพลังงาน การผลิต เทคโนโลยีสารสนเทศ รัฐบาล เป็นต้น

ผลกระทบจากการโจมตี

จากการโจมตีด้วยมัลแวร์ Babuk Locker 2.0 ซึ่งจริงๆ คือ LockBit 3.0 ที่ถูกนำมาเปลี่ยนชื่อ ส่งผลให้แฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลที่ก่อนทำการ Encrypt เพื่อขู่ให้เหยื่อจ่ายค่าไถ่ นอกจากนี้จากการโจมตียังทำให้ Process และ Service ต่าง ๆ ของเหยื่อหยุดชะงัก รวมไปถึงองค์กรหรือหน่วยงานสูญเสียชื่อเสียง ความน่าเชื่อถือ และค่าใช้จ่ายในการฟื้นฟูระบบด้วย

คำแนะนำ

• Awareness Training เรื่องรูปแบบการโจมตีให้กับบุคลากรในองค์กร
• ใช้ Multi-Factor Authentication (MFA) เพื่อลดโอกาสในการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
• หมั่นตรวจสอบและอัปเดตซอฟต์แวร์และฮาร์ดแวร์ต่าง ๆ ในระบบอย่างสม่ำเสมอ เพื่อป้องกันช่องโหว่
• ตรวจสอบการทำงานและไฟล์ที่อยู่ในระบบเพื่อตรวจจับกิจกรรมที่ผิดปกติ
• จำกัดสิทธิ์การเข้าถึงและใช้งานโดยใช้หลักการ Least Privilege
• อัปเดตซอฟต์แวร์ป้องกันไวรัสและป้องกันมัลแวร์อยู่เสมอเพื่อตรวจจับและบล็อกภัยคุกคาม
• พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
• เพิ่มแผนการ Backup ในการลดผลกระทบและความเสียหายหลังถูกโจมตี
• หลีกเลี่ยงการชำระค่าไถ่ เนื่องจากกลุ่มแฮกเกอร์สามารถทำการโจมตีซ้ำได้

แหล่งอ้างอิง

hxxps://www[.]rapid7[.]com/blog/post/2025/04/02/a-rebirth-of-a-cursed-existence-the-babuk-locker-2-0/