Ransomware ตัวใหม่ และยังอยู่ในระหว่างการพัฒนากำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมายอย่างตั้งใจต่อองค์กร เหตุการณ์นี้ถูกพบโดยทีม Symantec Threat Hunter ของ Broadcom
โดยมัลแวร์มีชื่อว่า Yanluowang Ransomware (เป็นชื่อเทพของจีน Yanluo Wang หนึ่งในสิบราชาแห่งนรก) โดยข้อมูลนี้ถูกเพิ่มเข้าไปในส่วนขยายในไฟล์ที่ถูกเข้ารหัสบนระบบที่ถูกโจมตี
Yanluowang Ransomware ถูกพบเมื่อเร็ว ๆ นี้ ขณะที่มีการตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับองค์กรที่มีชื่อเสียง หลังพบพฤติกรรมที่น่าสงสัยที่เกี่ยวข้องกับ Active Directory query tool ชื่อว่า AdFind
AdFind มักถูกใช้โดยผู้ใช้งานแรนซัมแวร์สำหรับการสอดแนม ซึ่งรวมถึงการเข้าถึงข้อมูลที่จำเป็นสำหรับการทำ Lateral movement บนเครือข่ายของเหยื่อ
เหยื่อถูกเตือนอย่าพยายามขอความช่วยเหลือ
ภายในไม่กี่วันที่นักวิจัยตรวจพบการใช้ AdFind ที่น่าสงสัย ผู้โจมตีก็พยายามที่จะปรับใช้ Yanluowang ransomware payloads ทั่วทั้งระบบขององค์กรที่ถูกโจมตี
ก่อนที่จะนำไปปรับใช้ในอุปกรณ์ที่ถูกโจมตี Ransomware จะมีการเปิดตัวเครื่องมือที่เป็นอันตรายซึ่งออกแบบมาเพื่อดำเนินการดังต่อไปนี้
- สร้างไฟล์ .txt พร้อมจำนวนเครื่องที่มีการเข้าถึงได้เพื่อตรวจสอบใน Command line
- ใช้ Windows Management Instrumentation (WMI) เพื่อเก็บข้อมูล Process ที่ทำงานอยู่บนเครื่องที่มีการเข้าถึงได้ที่อยู่ในไฟล์ .txt
- บันทึก Process และชื่อเครื่องที่มีการเข้าถึงได้ทั้งหมดไปที่ process.txt
เมื่อเริ่มทำงานแล้ว Yanluowang จะหยุด Hypervisor virtual machines ยุติกระบวนการที่เก็บข้อมูลทั้งหมด (รวมถึง SQL และ Veeam) เข้ารหัสไฟล์ และต่อท้ายนามสกุลไฟล์ด้วย .yanluowang
ในกระบวนการเข้ารหัสของ Yanluowang ยังทิ้งบันทึกเรียกค่าไถ่ชื่อ README.txt ที่เตือนผู้ที่ตกเป็นเหยื่อไม่ให้ติดต่อหน่วยงานบังคับใช้กฎหมาย หรือขอความช่วยเหลือจากบริษัทเจรจาเกี่ยวกับแรนซัมแวร์
การโจมตีด้วย DDoS
ถ้าเหยื่อไม่เชื่่อฟัง หรือปฏิบัติตามกฏที่แจ้งไว้ ผู้โจมตีขู่ว่าจะทำการโจมตีแบบ Distributed denial of service (DDoS) ต่อเหยื่อ
ผู้โจมตียังขู่ว่าจะโจมตีซ้ำในอีกไม่กี่สัปดาห์ และลบข้อมูลของเหยื่อ ซึ่งเป็นกลวิธีทั่วไปที่กลุ่ม Ransomware ส่วนใหญ่ใช้เพื่อกดดันเหยื่อให้จ่ายค่าไถ่
แม้ว่าจะอยู่ระหว่างการพัฒนา แต่ Yanluowang ยังคงเป็นมัลแวร์ที่เป็นอันตราย เนื่องจาก Ransomware เป็นหนึ่งในภัยคุกคามที่ใหญ่ที่สุดที่องค์กรทั่วโลกที่กำลังเผชิญอยู่
คณะมนตรีความมั่นคงแห่งชาติทำเนียบขาวจัดการประชุมร่วมกันระหว่างเจ้าหน้าที่ระดับสูงจากกว่า 30 ประเทศในงานต่อต้าน Ransomware นานาชาติ เพื่อเข้าร่วมความพยายามของสหรัฐฯ ในการปราบปรามกลุ่มอาชญากรไซเบอร์ที่ทำการเรียกค่าไถ่
หลังจาก Ransomware โจมตี Colonial Pipeline และ JBS ในฤดูร้อนที่ผ่านมา รองที่ปรึกษาความมั่นคงแห่งชาติ Anne Neuberger ได้บอกกับธุรกิจต่างๆในสหรัฐฯ ให้เตรียมพร้อมในการรับมือกับ Ransomware อย่างจริงจังอีกด้วย
ที่มา: bleepingcomputer
You must be logged in to post a comment.