FBI แจ้งว่ากลุ่มแรนซัมแวร์ Ranzy Locker ได้โจมตีบริษัทในสหรัฐอย่างน้อย 30 แห่งในปีนี้จากภาคอุตสาหกรรมต่างๆ
อาชญากรไซเบอร์ที่ยังไม่ทราบแน่ชัด ใช้แรนซัมแวร์ Ranzy Locker โจมตีธุรกิจในสหรัฐฯ มากกว่า 30 แห่ง ณ เดือนกรกฎาคม 2564 FBI กล่าวใน TLP: WHITE flash alert.
ผู้ที่ตกเป็นเหยื่อ ได้แก่ ธุรกิจด้านการก่อสร้างของภาคการผลิตที่สำคัญ ด้านวิชาการที่เกี่ยวข้องของรัฐบาล ด้านเทคโนโลยีสารสนเทศ และด้านการขนส่ง
Flash alert ประสานงานกับ CISA และได้รับการออกแบบมาเพื่อให้ข้อมูล เพื่อช่วยผู้เชี่ยวชาญด้านความปลอดภัยในการตรวจจับและป้องกันการโจมตีของแรนซัมแวร์ดังกล่าว
เหยื่อของ Ranzy Locker ส่วนใหญ่ที่รายงานการโจมตีบอกกับ FBI ว่าผู้โจมตีบุกรุกเครือข่ายของพวกเขาเพื่อขโมยข้อมูล Credentials ด้วยวิธีการ brute-forcing Remote Desktop Protocol (RDP) และเมื่อเร็ว ๆ นี้ มีรายงานว่าผู้โจมตียังใช้ประโยชน์จากเซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ หรือใช้ข้อมูล Credentials ที่ถูกขโมยในการโจมตีแบบฟิชชิ่ง
เมื่อแรนซัมแวร์เข้าไปในเครือข่ายของเหยื่อ ผู้โจมตี Ranzy Locker จะขโมยเอกสารที่ไม่ได้เข้ารหัส ก่อนที่จะเข้ารหัสบนระบบบนเครือข่ายองค์กรของเหยื่อ ซึ่งเป็นวิธีที่ใช้โดยกลุ่มแรนซัมแวร์ส่วนใหญ่ ไฟล์ที่ถูกเข้ารหัส มักจะประกอบด้วยข้อมูลที่สำคัญ ซึ่งรวมถึงข้อมูลลูกค้า ข้อมูลระบุตัวบุคคล (PII) และบันทึกทางการเงิน ถูกใช้เป็นเครื่องมือในการบังคับเหยื่อให้จ่ายเงินค่าไถ่เพื่อรับไฟล์คืน และเพื่อไม่ให้มีข้อมูลรั่วไหล
เมื่อเหยื่อไปที่ Tor payment ของกลุ่ม พวกเค้าจะเห็นข้อความ 'Locked by Ranzy Locker' และหน้าจอ Live chat เพื่อเจรจากับผู้โจมตี โดยผู้โจมตียังอนุญาตให้เหยื่อทดลองถอดรหัสไฟล์สามไฟล์ได้ฟรี เพื่อพิสูจน์ว่าตัวถอดรหัสสามารถกู้คืนไฟล์ได้
ผู้ที่ตกเป็นเหยื่อที่ไม่จ่ายค่าไถ่จะถูกนำเอกสารที่ถูกขโมยไปเผยแพร่บนเว็บไซต์สำหรับเผยแพร่ข้อมูลรั่วไหลของ Ranzy Locker ซึ่งมีชื่อว่า Ranzy Leak โดยโดเมนที่ใช้บนเว็บไซต์เผยแพร่ข้อมูลรั่วไหลยังถูกใช้โดย Ako Ransomware ในอดีต ซึ่งเป็นส่วนหนึ่งของการรีแบรนด์ของกลุ่มจาก Ako เป็น ThunderX และ Ranzy Locker
ThunderX เป็นแรนซัมแวร์ที่เปิดตัวเมื่อปลายเดือนสิงหาคม 2020 ภายในหนึ่งเดือนหลังจากเปิดตัว Tesorion พบจุดอ่อนในการเข้ารหัส ซึ่งช่วยสร้างตัวถอดรหัสลับฟรี และไม่นานหลังจากนั้น กลุ่มอาชญากรไซเบอร์ได้แก้ไขจุดบกพร่อง และเปิดตัวแรนซัมแวร์สายพันธุ์ใหม่ภายใต้ชื่อ Ranzy Locker
ที่มา: bleepingcomputer