กลุ่ม SunCrypt Ransomware ประกาศเข้าร่วมเป็นสมาชิกในกลุ่ม Maze Ransomware

SunCrypt

กลุ่ม Ransomware ที่ชื่อ SunCrypt ประกาศเข้าเป็นสมาชิกในกลุ่ม Maze Ransomware เพื่อแชร์ข้อมูลเชิงลึกโดยการแบ่งปันข้อมูลด้านเทคนิคและส่วนเเบ่งจากเงินค่าไถ่จากกลุ่ม Maze Ransomware โดย SunCrypt Ransomware นั้นถูกพบการปฏิบัติการครั้งเเรกในเดือนตุลาคม 2019 ซึ่งยังไม่เป็นที่รู้จักและไม่ค่อยมีการถูกพูดถึงมากนัก

จากตัวอย่าง SunCrypt Ransomware ที่ถูกวิเคราะห์เบื้องต้นพบว่า SunCrypt Ransomware จะทำการติดตั้งตัวเองผ่าน PowerShell โดยแรนซัมแวร์จะทำการเชื่อมต่อกับเซิฟเวอร์ C&C ของกลุ่ม Maze Ransomware ที่ [91[.]218.114.31|http://91[.]218.114.31/] เมื่อทำการรันไฟล์แรนซัมแวร์จะพบว่าแรนซัมแวร์เข้ารหัสไฟล์บนคอมพิวเตอร์ที่ตกเป็นเหยื่อโดยจะทำการเพิ่มเลขฐานสิบหกต่อท้ายชื่อไฟล์ นอกจากนั้นในทุกโฟลเดอร์จะมีไฟล์บันทึกเรียกค่าไถ่ชื่อ YOUR_FILES_ARE_ENCRYPTED HTML ถูกสร้างขึ้น

ไฟล์บันทึกเรียกค่าไถ่จะลิงก์ไปยังเว็บไซต์การชำระเงินด้วย Tor Network โดยในเว็บไซต์การชำระเงินจะมีเพียงหน้าจอแชทที่เหยื่อสามารถเจรจาค่าไถ่กับผู้กลุ่ม SunCrypt Ransomware และนอกจากนี้ยังมีลิงก์ที่เชื่อมโยงไปยังเว็บไซต์ที่กลุ่ม SunCrypt Ransomware ทำขึ้นเพื่อเพื่อเผยแพร่ข้อมูลตัวอย่างของเหยื่อ

เนื่องจาก SunCrypt Ransomware เป็นแรนซัมแวร์ชนิดใหม่ทำให้โปรเเกรมป้องกันไวรัสหลายๆ ชนิดยังไม่สามารถตรวจจับได้ ผู้ใช้งานควรทำการระมัดระวังในการดาวน์โหลดไฟล์เเหล่งที่ไม่รู้จักหรือเปิดอีเมลจากเเหล่งที่ไม่รู้ที่มาเพื่อเป็นการป้องกันการโจมตีด้วย Ransomware ชนิดใหม่นี้

ที่มา: bleepingcomputer.com

Update: ทั้งนี้ทางกลุ่ม Maze ได้ออกมาให้ข้อมูลว่าปฏิบัติการของ SunCrypt นั้นไม่เกี่ยวข้องกับ Maze

ที่มา: twitter.com