New Evil Corp ransomware สวมบทเป็น PayloadBin เพื่อหลบเลี่ยงมาตรการคว่ำบาตรของสหรัฐฯ
พบ Ransomware ที่เกิดขึ้นมาใหม่ชื่อว่า PayloadBIN ที่เกิดจากกลุ่ม Evil Corp รีแบรนด์ตัวเองเพื่อเลี่ยงการคว่ำบาตรที่กำหนดโดยสำนักงานควบคุมทรัพย์สินต่างประเทศของกระทรวงการคลังสหรัฐ (OFAC : Office of Foreign Asset Control) โดยกลุ่มดังกล่าวจะรู้จักกันในชื่อ Indrik Spider หรือ Dridex ที่เริ่มต้นกลุ่มจากการเป็นพันธมิตรกับ ZeuS botnet และได้จัดตั้งกลุ่มที่เน้นในการแจกจ่าย banking trojan และ downloader ที่เรียกว่า Dridex ผ่าน อีเมลฟิชชิ่ง
หลังจากถูกรัฐบาลสหรัฐคว่ำบาตรในปี 2019 บริษัทที่รับเจรจาจัดการเกี่ยวกับการจ่ายค่าไถ่ให้กับ Ransomware ปฏิเสธที่จะดำเนินการในกรณีต้องมีการจ่ายค่าไถ่ให้กับกลุ่ม Evil Corp เพื่อหลีกเลี่ยงค่าปรับหรือการดำเนินการทางกฏหมายจากทางการของสหรัฐ กลุ่ม Evil Corp จึงเริ่มเปลี่ยนชื่อในการปฏิบัติการเป็นชื่อต่าง ๆ เช่น WastedLocker, Hades และ Phoenix เพื่อเลี่ยงการถูกคว่ำบาตร และกลุ่มแฮกเกอร์ที่โจมตีบริษัทประกัน CNA ของอเมริกาคือกลุ่ม Phoenix ที่ได้เปลี่ยนชื่อปฏิบัติการมาจาก Evil Corp
Evil Corp ได้ปลอมตัวเป็นกลุ่ม Payload Bin
หลังจากการโจมตีกรมตำรวจนครบาลในกรุงวอชิงตัน ดี.ซี. และขโมยข้อมูลที่ไม่ได้เข้ารหัส กลุ่ม Babuk ได้กล่าวว่าพวกเขากำลังจะเลิกการใช้งาน Ransomware แต่จะมุ่งเน้นไปที่การขโมยข้อมูลและขู่กรรโชกแทน และเมื่อปลายเดือนพฤษภาคมที่ผ่านมา พบว่าเว็บไซต์ของ Babuk ได้มีการแก้ไขหน้าตาใหม่โดยการเปลี่ยนชื่อกลุ่มในหน้าเว็บไซต์เป็น “payload bin” ดังรูปด้านล่าง
ในวันพฤหัสที่ผ่านมาทาง BleepingComputer พบตัวอย่าง PayloadBIN Ransomware ซึ่งสามารถเดาได้ทันทีว่าเป็นการรีแบรนด์ของ Babuk Locker โดยจากตัวอย่างจะเห็นได้ว่า เมื่อ Ransomware ถูกติดตั้งแล้ว จะพบว่าไฟล์ที่ถูกเข้ารหัสจะมีนามสกุลเป็น .PAYLOADBIN ตามภาพด้านล่าง
นอกจากนี้ยังมีไฟล์ที่เป็นรายละเอียดในการเรียกค่าไถ่ชื่อว่า “PAYLOADBIN-README.txt” โดยมีรายละเอียดว่า “เครือข่ายของเหยื่อถูก LOCKED ด้วย PAYLOADBIN ransomware” ตามภาพด้านล่าง
หลังจากพบตัวอย่างทาง Bleepingcomputer คิดว่าทางกลุ่ม Babuk นั้นกำลังโกหกเกี่ยวกับการยกเลิกการใช้ Ransomware แต่เป็นการพยายามเปลี่ยนชื่อกลุ่มปฏิบัติการเป็นชื่อใหม่แทน และอย่างไรก็ตาม หลังจากวิเคราะห์ ransomware ตัวใหม่แล้ว ทั้ง Fabian Wosar จาก Emsisoft และ Michael Gillespie จาก ID Ransomware เห็นตรงกันว่า Babuk Ransomware เป็นการรีแบรนด์จากการดำเนินการ Ransomware ในครั้งก่อนของ Evil Corp เพื่อหลีกเลี่ยงการถูกคว่ำบาตรจากรัฐบาลสหรัฐฯ และในตอนนี้บริษัทเจรจาเกี่ยวกับ Ransomware ส่วนใหญ่จะไม่ช่วยอำนวยความสะดวกในการชำระเงินสำหรับเหยื่อที่ได้ผลกระทบจาก PayloadBIN Ransomware แล้ว
ที่มา : bleepingcomputer
You must be logged in to post a comment.