Evil Corp ได้เปิดตัวแรนซัมแวร์ตัวใหม่ที่ใช้ชื่อว่า Macaw Locker เพื่อหลบเลี่ยงมาตรการการลงโทษจากสหรัฐฯ ที่ใช้เพื่อห้ามไม่ให้เหยื่อยอมชำระเงินค่าไถ่
กลุ่ม Evil Corp หรือที่รู้จักในชื่อ Indrik Spider และ Dridex มีส่วนร่วมในอาชญากรรมทางโลกไซเบอร์มาตั้งแต่ปี 2550 แต่ส่วนใหญ่จะเป็นการร่วมโจมตีร่วมกับกลุ่มพันธมิตรอื่นๆ เมื่อเวลาผ่านไป กลุ่มดังกล่าวมุ่งความสนใจการโจมตีโดยใช้ Trojan Banking ที่รู้จักกันในชื่อ Dridex ในการโจมตีแบบ Phishing
โดยเมื่อการโจมตีของแรนซัมแวร์สร้างผลกำไรมากขึ้น Evil Corp ได้เปิดตัวการทำงานที่เรียกว่า BitPaymer ซึ่งเป็นการส่งผ่านมัลแวร์ Dridex ไปยังเครือข่ายองค์กรต่างๆ
การกระทำของกลุ่ม Evil Corp ทำให้พวกเขาถูกมาตรการป้องกันจากรัฐบาลสหรัฐในปี 2019 โดยบริษัทที่ทำหน้าที่เจรจาเกี่ยวกับการจ่ายค่าไถ่ของแรนซัมแวร์จะไม่อำนวยความสะดวกในการชำระเงินค่าไถ่ที่เกิดจากการโจมตีโดยกลุ่ม Evil Corp. ดังนั้นเพื่อหลีกเลี่ยงมาตรการนี้ของสหรัฐ Evil Corp จึงเริ่มเปลี่ยนชื่อแรนซัมแวร์เป็นชื่อต่างๆ เช่น WastedLocker, Hades, Phoenix CryptoLocker,PayLoadBin และ ตระกูลแรนซัมแวร์อื่น ๆ ที่ยังไม่ได้รับการพิสูจน์ว่ามีความเกี่ยวข้องกับ Evil Corp คือ DoppelPaymer ซึ่งพึ่งรีแบรนด์เป็น Grief
ในเดือนนี้บริษัท Olympus และ Sinclair Broadcast Group ถูกโจมตีด้วยแรนซัมแวร์ในช่วงสุดสัปดาห์ โดยบริษัท Sinclair ถึงกับทำให้การออกอากาศทางทีวีถูกยกเลิก และผู้ประกาศข่าวต้องรายงานข่าวด้วยกระดานไวท์บอร์ด และกระดาษ
ในสัปดาห์นี้ พบว่าการโจมตีทั้งสองเกิดขึ้นโดยแรนซัมแวร์ตัวใหม่ที่รู้จักกันในชื่อ Macaw Locker
ในการสนทนากับนักวิจัยของบริษัท Emsisoft ได้ให้ข้อมูลกับ BleepingComputer ว่าจากการวิเคราะห์โค้ด MacawLocker พบว่าเป็นการรีแบรนด์ครั้งล่าสุดของตระกูลแรนซัมแวร์ของ Evil Corp ทาง BleepingComputer ยังได้ทราบจากแหล่งข่าวในอุตสาหกรรมความปลอดภัยทางไซเบอร์ว่าเหยื่อ Macaw Locker ที่พบในตอนนี้ มีเพียงสองรายเท่านั้นคือ Sinclair และ Olympus
แหล่งข่าวยังได้แชร์ข้อมูลที่เป็นการเรียกค่าไถ่ของเหยื่อ Macaw Locker โดยที่ผู้โจมตีต้องการค่าไถ่ 450 bitcoin หรือ 28 ล้านดอลลาร์สำหรับเหยื่อรายหนึ่ง และ 40 ล้านดอลลาร์สำหรับเหยื่ออีกรายหนึ่ง
เมื่อทำการโจมตีสำเร็จ แรนซัมแวร์ Macaw Locker จะเข้ารหัสไฟล์ของเหยื่อ และเพิ่มนามสกุล .macaw ต่อท้ายชื่อไฟล์ ในขณะที่เข้ารหัสไฟล์ แรนซัมแวร์จะสร้างบันทึกค่าไถ่ในแต่ละโฟลเดอร์ชื่อ macaw_recover.txt สำหรับการโจมตีแต่ละครั้ง บันทึกค่าไถ่จะมีหน้าการเจรจาเหยื่อที่ไม่ซ้ำกันบนไซต์ Tor ของ Macaw Locker และ ID การถอดรหัสที่เกี่ยวข้องหรือ ID แคมเปญ ดังรูปด้านล่าง
Dark Web ของกลุ่มนี้จะมีการแนะนำสั้นๆ ให้กับเหยื่อถึงเครื่องมือในการถอดรหัสไฟล์ฟรี และช่องทางแชทสำหรับเจรจากับแฮกเกอร์
ตอนนี้ Macaw Locker ถูกเปิดเผยว่าเป็นฝีมือของ Evil Corp และน่าจะเห็นการรีแบรนด์ชื่อ Ransomware ไปเรื่อยๆ โดยยังไม่มีท่าทีว่าจะหยุดทำการโจมตี
ที่มา: bleepingcomputer
You must be logged in to post a comment.