Trend Micro เปิดเผยรายงานการพบ Linux Ransomware ในชื่อ Strain BlackSuit ที่คล้ายคลึงกับ Royal Ransomware ซึ่งถูกพบจากการตรวจสอบเวอร์ชัน x64 VMware ESXi ที่กำหนดเป้าหมายการโจมตีไปยังเครื่อง Linux โดยมีความคล้ายคลึงกัน 98% ใน function ความคล้ายคลึงกันใน block 99.5% และความคล้ายคลึงกันในการ jump 98.9% โดยอ้างอิงจาก BinDiff ซึ่งเป็นเครื่องมือเปรียบเทียบสำหรับ binary files
BlackSuit ถูกพบครั้งแรกในเดือนพฤษภาคม 2023 โดย Palo Alto Networks Unit 42 ซึ่งได้มุ่งความสนใจไปที่ความสามารถในการกำหนดเป้าหมายทั้งโฮสต์ Windows และ Linux สอดคล้องกับกลุ่มแรนซัมแวร์อื่น ๆ ที่ใช้วิธีการ double extortion จากการขโมย และเข้ารหัสข้อมูลที่มีความสำคัญในเครือข่ายที่ถูกโจมตีเพื่อแลกกับค่าไถ่ โดยข้อมูลที่เกี่ยวข้องกับเหยื่อจะถูกนำไปประกาศไว้ใน dark web leak site
รวมถึงการค้นพบล่าสุดจาก Trend Micro แสดงให้เห็นว่าทั้ง BlackSuit และ Royal ใช้ AES ของ OpenSSL สำหรับการเข้ารหัส และใช้เทคนิคการเข้ารหัสแบบ intermittent encryption ที่คล้ายกัน เพื่อเพิ่มความเร็วของกระบวนการเข้ารหัสข้อมูล รวมถึงอาร์กิวเมนต์บรรทัดคำสั่งเพิ่มเติม และการหลีกเลี่ยงรายการไฟล์อื่นที่มีนามสกุลเฉพาะระหว่างการเข้ารหัส
ซึ่ง Trend Micro ได้ตั้งสมุติฐานไว้ว่า เนื่องจาก Royal เป็น Ransomware ที่แยกกลุ่มออกมาจากทีม Conti ในอดีต จึงเป็นไปได้ว่า BlackSuit ก็เกิดขึ้นจากกลุ่มที่แตกคอกันภายในกลุ่มแรนซัมแวร์ดั้งเดิมของ Royal เช่นเดียวกัน
นอกจากนี้ทาง Cyble ยังได้พบกลุ่ม ransomware-as-a-service (RaaS) ใหม่ที่มีชื่อรหัสว่า NoEscape โดยได้ใช้วิธีการ triple extortion เพื่อเพิ่มผลกระทบให้แก่เหยื่อ และเพิ่มโอกาสสำเร็จในการเรียกค่าไถ่
triple extortion คือการโจมตีที่ขโมยข้อมูลของเหยื่อออกมาในขณะที่ทำการเข้ารหัสข้อมูล รวมถึงการโจมตีแบบ distributed denial-of-service (DDoS) เพื่อสร้างผลกระทบและบีบให้เหยื่อต้องจ่ายค่าไถ่
ที่มา : thehackernews
You must be logged in to post a comment.