บริษัทนวัตกรรมการเงินทางด้านการแพทย์ HealthEquity ออกมาแจ้งเตือนถึงความเสียหายจากการที่ข้อมูลรั่วไหล หลังบัญชีของพาร์ทเนอทางธุรกิจถูกแฮ็ก และนำมาใช้งานเพื่อเข้าระบบของทางบริษัท และขโมยข้อมูลสุขภาพที่ถูกป้องกันไว้

(more…)

The Zero Day Initiative (ZDI) พบแคมเปญการโจมตีของ DarkGate ในช่วงกลางเดือนมกราคม 2024 ซึ่งใช้ประโยชน์จากช่องโหว่ CVE-2024-21412 ผ่านตัวติดตั้งซอฟต์แวร์ปลอม โดยในวันที่ 13 กุมภาพันธ์ 2024 Microsoft ได้แก้ไขช่องโหว่ Microsoft Defender SmartScreen ซึ่งเกี่ยวกับ internet shortcuts ในภายหลัง หลังจากนั้นกลุ่ม APT ที่รู้จักกันในชื่อ Water Hydra ก็ใช้ช่องโหว่ CVE-2024-21412 เพื่อโจมตีในแคมเปญที่มุ่งเป้าหมายทางด้านการเงิน โดย Bypass Microsoft SmartScreen เพื่อติดตั้ง DarkMe remote access trojan (RAT)

เมื่อไม่นานมานี้ CRIL ได้พบแคมเปญที่กำลังดำเนินการอยู่ซึ่งใช้ประโยชน์จาก internet shortcuts (URL) โดยในแคมเปญนี้ ผู้โจมตีใช้ช่องโหว่ CVE-2024-21412 เพื่อ Bypass Microsoft Defender SmartScreen และติดตั้ง payloads บนระบบของเหยื่อ

การติดมัลแวร์เริ่มต้นด้วยอีเมลสแปมที่ดูเหมือนจะมาจากแหล่งที่เชื่อถือได้ อีเมลนี้ถูกออกแบบมาเพื่อหลอกให้ผู้รับคลิกที่ลิงก์ ซึ่งจะเป็นการเปิดไฟล์ internet shortcut ที่อยู่บน WebDAV share จากภายนอก เมื่อผู้ใช้ดับเบิลคลิกที่ไฟล์ internet shortcut ไฟล์นั้นจะใช้ประโยชน์จากช่องโหว่ CVE-2024-21412 และเรียกใช้ไฟล์ LNK อีกตัวที่อยู่บน WebDAV share เดียวกัน เพื่อเริ่มต้นกระบวนการแพร่กระจายมัลแวร์

การโจมตีนี้ใช้วิธีการที่หลากหลาย โดยใช้ไฟล์สคริปต์ต่าง ๆ เช่น PowerShell และ JavaScript เพื่อส่ง payload ในขั้นตอนสุดท้าย กระบวนการนี้จะนำไปสู่การติดตั้ง payload ที่เป็นอันตรายอย่าง Lumma และ Meduza Stealer ซึ่งเน้นในการเก็บรวบรวมข้อมูลที่มีความสำคัญจากเครื่องของเหยื่อ

เป้าหมายการโจมตี

ผู้โจมตีมีเป้าหมายทั้งบุคคล และองค์กรในภูมิภาค และอุตสาหกรรมต่าง ๆ โดยจากเอกสารปลอมที่พบในแคมเปญนี้ ผู้โจมตีจะมุ่งเป้าหมายไปที่ผู้เสียภาษีในสเปน, บริษัทขนส่ง ด้วยอีเมลที่อ้างว่ามาจากกรมขนส่งสหรัฐฯ และบุคคลในออสเตรเลียโดยการเลียนแบบแบบฟอร์มลงทะเบียน Medicare อย่างเป็นทางการ

การวิเคราะห์ทางเทคนิค

ในแคมเปญนี้ผู้โจมตีจะหลอกให้ผู้ใช้คลิกที่ลิงก์อันตรายที่อยู่ในอีเมลสแปม ลิงก์นี้มีโปรโตคอลการค้นหาที่นำผู้ใช้ไปยัง WebDAV share ซึ่งโฮสต์ไฟล์ Internet Shortcut (.url)

เมื่อผู้ใช้เปิดไฟล์ internet shortcut แล้ว ไฟล์จะใช้ประโยชน์จากช่องโหว่ CVE-2024-21412 เพื่อหลีกเลี่ยง Microsoft Defender SmartScreen และเรียกใช้ไฟล์ LNK ที่โฮสต์อยู่บน WebDAV share เดียวกัน

เมื่อไฟล์ LNK ถูกเรียกใช้งาน มันจะทริกเกอร์ utility forfiles ซึ่งเป็นโปรแกรม Windows ที่ถูกออกแบบมาเพื่อประมวลผลไฟล์เป็นกลุ่ม โดย utility จะค้นหาไฟล์ "win.

ช่องโหว่ Security Bypass ใน Exim Mail Servers ส่งผลกระทบกับระบบกว่า 1.5 ล้านรายการ

Censys แจ้งเตือนการพบ Exim mail transfer agent (MTA) instances กว่า 1.5 ล้านรายการที่มีช่องโหว่ ซึ่งทำให้ Hacker สามารถ bypass security filter ได้

(more…)

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 แก้ไขช่องโหว่ 142 รายการ เป็น Zero-Days 4 รายการ

Microsoft ออกอัปเดต Patch Tuesday ประจำเดือนกรกฎาคม 2024 โดยได้แก้ไขช่องโหว่ 142 รายการ รวมถึงช่องโหว่ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการ และพึ่งเปิดเผย 2 รายการ
โดย Patch Tuesday ประจำเดือนกรกฎาคม 2024 มีช่องโหว่ระดับ Critical 5 รายการ

(more…)

หน่วยงานบังคับใช้กฎหมายระหว่างประเทศที่นำโดยกระทรวงยุติธรรมสหรัฐฯ ได้ปิดบัญชี Twitter เกือบ 1,000 บัญชีที่ควบคุมโดยกลุ่ม Bot ขนาดใหญ่ที่เผยแพร่โฆษณาชวนเชื่อของรัสเซีย รวมถึงโดเมนที่ใช้ลงทะเบียน Bot เหล่านี้

กลุ่ม Bot นี้จัดการโดยรองบรรณาธิการของสำนักข่าว Russia Today (RT) ของรัฐบาลรัสเซีย และเจ้าหน้าที่ FSB ของรัสเซีย โดยใช้ซอฟต์แวร์ AI ชื่อ Meliorator เพื่อเผยแพร่ข้อมูลเท็จไปยังผู้ใช้ Twitter ทั่วโลกตั้งแต่ปี 2022

พวกเขาใช้ Meliorator สร้างบัญชีโซเชียลมีเดียปลอมที่ดูเหมือนจริงจากหลายประเทศทั่วโลก เพื่อขยายการเผยแพร่ข้อมูลเท็จ และอิทธิพลที่เป็นอันตรายของรัสเซียบน Twitter

กลุ่ม Bot นี้ช่วยให้ RT สามารถเผยแพร่ข้อมูลได้อย่างกว้างขวาง สอดคล้องกับเป้าหมายของผู้บริหาร RT ที่ต้องการขยายการกระจายข้อมูลนอกเหนือจากการออกอากาศทางทีวีแบบดั้งเดิม

FBI ระบุว่า RT มีการใช้ Meliorator มาตั้งแต่ปี 2022 เพื่อเผยแพร่ข้อมูลเท็จไปยังหลายประเทศ รวมถึงสหรัฐฯ โปแลนด์ เยอรมนี เนเธอร์แลนด์ สเปน ยูเครน และอิสราเอล

Meliorator ถูกออกแบบมาเพื่อใช้บนเครือข่ายโซเชียลมีเดียในการสร้างตัวตนปลอมจำนวนมากที่ดูเหมือนจริง เพื่อเผยแพร่ข้อมูลเท็จ และสร้างความขัดแย้งในสังคม

ในเดือนมิถุนายน 2024 Meliorator ทำงานเฉพาะบน X (ชื่อเดิมคือ Twitter) แต่การวิเคราะห์แสดงให้เห็นว่าผู้ดำเนินการอาจขยายฟังก์ชันการทำงานไปยังเครือข่ายโซเชียลมีเดียอื่น ๆ ในอนาคต

กลุ่ม Bot นี้ลงทะเบียน Bot บน Twitter ใหม่โดยใช้เซิร์ฟเวอร์อีเมลส่วนตัวโดเมน mlrtr[.]com และ otanmail[.]com ซึ่งถูกยึดในปฏิบัติการครั้งนี้ X ยังได้ปิดบัญชีโซเชียลมีเดีย 968 บัญชีที่สามารถระบุว่าเป็นส่วนหนึ่งของกลุ่ม Bot ของ RT โดยมักอ้างว่าเป็นบุคคลในสหรัฐฯ

ผู้อำนวยการ FBI Christopher Wray ระบุว่านี่เป็นครั้งแรกในการยุติปฏิบัติการกลุ่ม Bot บนโซเชียลมีเดียที่ใช้ AI ของรัสเซีย ซึ่งมีเป้าหมายเพื่อเผยแพร่ข้อมูลเท็จต่างประเทศที่สร้างโดย AI และบั่นทอนพันธมิตรในยูเครน รวมถึงสร้างอิทธิพลต่อเรื่องราวทางภูมิรัฐศาสตร์ที่เป็นประโยชน์ต่อรัฐบาลรัสเซีย FBI และหน่วยงานพันธมิตรยังได้เผยแพร่คำแนะนำทางเทคนิคเกี่ยวกับซอฟต์แวร์ Meliorator ที่ใช้ในกลุ่ม Bot นี้

ที่มา: bleepingcomputer

พบการโจมตีในชื่อ Blast-RADIUS ที่มีความสามารถในการ Bypass การตรวจสอบสิทธิ์ใน RADIUS/UDP protocol ทำให้ Hacker สามารถเข้าถึงระบบเครือข่าย และอุปกรณ์ของเป้าหมาย ด้วยวิธีการโจมตีแบบ man-in-the-middle MD5 collision attacks

อุปกรณ์ Networks จำนวนมาก (switches, routers และ routing infrastructure) ที่ใช้ในองค์กร และระบบบนเครือข่ายองค์กร และเครือข่ายโทรคมนาคม มีการใช้ RADIUS (Remote Authentication Dial-In User Service) protocol ในการตรวจสอบการ authentication และ authorization ซึ่งบางกรณีอาจมีอุปกรณ์หลายหมื่นเครื่องที่ทำการตรวจสอบสิทธิ์ผ่าน RADIUS ในเครื่องเดียว

RADIUS protocol ใช้สำหรับการยืนยันตัวตนใน DSL และ FTTH (Fiber to the Home), 802.1X และ Wi-Fi, Wi-Fi, 2G and 3G cellular roaming, 5G DNN (Data Network Name), private APN และ VPN รวมถึงเครือข่ายโครงสร้างพื้นฐานที่สำคัญ

Blast-RADIUS คือการโจมตีโดยใช้ช่องโหว่ใน protocol (CVE-2024-3596) และ MD5 collision attack ในการโจมตี ทำให้ผู้โจมตีสามารถเข้าถึง RADIUS traffic, ควบคุมการตอบสนองของ server และเพิ่ม protocol attributes ได้ตามที่ต้องการ ทำให้ผู้โจมตีได้รับสิทธิ์ผู้ดูแลระบบบนอุปกรณ์ RADIUS ได้โดยไม่ต้อง brute forcing passwords หรือขโมยข้อมูล credentials

RADIUS protocol จะใช้ MD5 hashed ในการ requests และ responses ตรวจสอบสิทธิ์บนอุปกรณ์ โดยชุดสาธิตการโจมตีหรือ proof-of-concept exploit (PoC) ที่ยังไม่ถูกเปิดเผย จะคำนวณ MD5 chosen-prefix hash collision เพื่อปลอมแปลงการตอบสนอง "Access-Accept" เพื่อระบุ request การตรวจสอบสิทธิ์ที่ประสบความสำเร็จ จากนั้น MD5 hash ปลอมจะถูก inject เข้าสู่ระบบเครือข่าย โดยใช้การโจมตีแบบ man-in-the-middle ซึ่งทำให้ Hacker สามารถเข้าสู่ระบบได้

โดยการโจมตี Blast-RADIUS จะใช้เวลาในการโจมตี 3 ถึง 6 นาทีในการสร้าง MD5 hash ซึ่งนานกว่าเวลา second timeouts 30-60 วินาที ทั้งนี้ประสิทธิภาพในการโจมตีดังกล่าวขึ้นอยู่กับ ประสิทธิภาพของ hardware (GPUs, FPGAs หรือ hardware อื่น ๆ ที่ทันสมัย) ทำให้สามารถลดเวลาในการโจมตีได้ถึงหลายสิบ หรือหลายร้อยเท่า

การป้องกัน

เพื่อป้องกันการโจมตีแบบ Blast-RADIUS ผู้ให้บริการเครือข่ายสามารถอัปเกรดเป็น RADIUS over TLS (RADSEC) รวมถึงเปลี่ยนไปใช้การใช้งาน RADIUS แบบ "multihop" และแยกการรับส่งข้อมูล RADIUS ออกจากการเข้าถึงอินเทอร์เน็ตโดยใช้ restricted-access management VLANs หรือ TLS/ IPsec tunneling

ที่มา : bleepingcomputer

Fujitsu ยืนยันว่าข้อมูลที่เกี่ยวข้องกับบุคคล และธุรกิจของลูกค้าบางรายรั่วไหลในเหตุการณ์การโจมตีทางไซเบอร์ที่ตรวจพบเมื่อต้นปีนี้

บริษัท Fujitsu ระบุว่า การโจมตีไม่ได้เกี่ยวข้องกับแรนซัมแวร์ แต่มีการใช้วิธีการที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับในขณะที่ขโมยข้อมูลออกไป

โดยในช่วงเดือนมีนาคม บริษัทพบว่าระบบของบริษัทหลายระบบติดมัลแวร์ และสังเกตเห็นความเป็นไปได้ที่ข้อมูลที่มีความสำคัญของลูกค้าอาจถูก compromised

Fujitsu ได้แยกคอมพิวเตอร์ที่ได้รับผลกระทบ และเริ่มการสืบสวนโดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญภายนอกเพื่อกำหนดขอบเขตของการรั่วไหล

ผลการตรวจสอบ

ในแถลงการณ์วันนี้ บริษัทระบุว่าได้สรุปการสืบสวนเหตุการณ์ และยืนยันว่าข้อมูลถูกขโมยออกไปโดยมัลแวร์ที่แพร่กระจายจากจุดเริ่มต้นเพียงจุดเดียวไปยังคอมพิวเตอร์ 49 เครื่อง

บริษัทอธิบายเพิ่มเติมว่า "หลังจากมัลแวร์ถูกติดตั้งบนคอมพิวเตอร์เครื่องหนึ่งของบริษัท ถูกพบว่ามันแพร่กระจายไปยังคอมพิวเตอร์เครื่องอื่น ๆ"

"มัลแวร์นี้ไม่ใช่แรนซัมแวร์ แต่ใช้เทคนิคที่ซับซ้อนในการปลอมตัวทำให้ยากต่อการตรวจจับ ซึ่งเกิดจากการโจมตีขั้นสูง"

Fujitsu ระบุว่าคอมพิวเตอร์ที่ติดมัลแวร์ทั้ง 49 เครื่องถูกแยกออกจากระบบอื่น ๆ ทันทีหลังจากพบการโจมตี และมัลแวร์ถูกจำกัดอยู่ในสภาพแวดล้อมเครือข่ายบริษัทในญี่ปุ่นเท่านั้น

บริษัทระบุว่า "คำสั่งในการคัดลอกไฟล์ถูกดำเนินการจากพฤติกรรมของมัลแวร์" ด้วยเหตุนี้ Fujitsu จึงระบุว่ามีความเป็นไปได้ที่ข้อมูลอาจถูกขโมยออกไป "ไฟล์ที่สามารถคัดลอกได้มีข้อมูลส่วนบุคคล และข้อมูลที่เกี่ยวข้องกับธุรกิจของลูกค้า"

Fujitsu อธิบายเพิ่มเติมว่ายังไม่ได้รับรายงานว่าข้อมูลที่ถูก compromised ถูกนำไปใช้ในทางที่ผิด หลังจากการวิเคราะห์มัลแวร์ และเหตุการณ์ Fujitsu ได้ใช้มาตรการการตรวจสอบด้านความปลอดภัยสำหรับคอมพิวเตอร์ทั้งหมดในบริษัท และอัปเดตโซลูชันตรวจจับมัลแวร์เพื่อป้องกันการโจมตีที่คล้ายกัน

ที่มา: bleepingcomputer

บริษัท Antivirus Avast ได้ค้นพบช่องโหว่ในโครงสร้างเข้ารหัสของแรนซัมแวร์ตระกูล DoNex และได้ปล่อยเครื่องมือถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ได้ฟรี

บริษัทระบุว่าได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการให้เครื่องมือถอดรหัสแก่เหยื่อของแรนซัมแวร์ DoNex ตั้งแต่เดือนมีนาคม 2024 โดยบริษัทความปลอดภัยไซเบอร์จะแจกจ่ายเครื่องมือถอดรหัสในลักษณะนี้(ไม่บอกรายละเอียดของช่องโหว่) เพื่อป้องกันไม่ให้ผู้โจมตีทราบเกี่ยวกับช่องโหว่ และแก้ไขมัน

ช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะในงานประชุมความปลอดภัยไซเบอร์ Recon 2024 เดือนที่แล้ว ดังนั้น Avast จึงตัดสินใจปล่อยเครื่องมือถอดรหัสออกมา

การถอดรหัส DoNex

DoNex เป็นการรีแบรนด์ในปี 2024 ของกลุ่ม DarkRace ซึ่งเป็นการรีแบรนด์ในปี 2023 ของแรนซัมแวร์ Muse ที่ถูกปล่อยออกมาในเดือนเมษายน 2022

ช่องโหว่ที่ค้นพบโดย Avast มีอยู่ในแรนซัมแวร์ตระกูล DoNex เวอร์ชันก่อนหน้าทั้งหมด รวมถึงเวอร์ชันปลอมที่ใช้แบรนด์ Lockbit 3.0 ที่ใช้จากกลุ่ม 'Muse' ในเดือนพฤศจิกายน 2022

Avast ระบุว่าจากการตรวจสอบของบริษัท การโจมตีล่าสุดของ DoNex มีเป้าหมายในสหรัฐอเมริกา, อิตาลี และเบลเยียม แต่ก็พบการแพร่กระจายไปทั่วโลก

ช่องโหว่ในระบบการเข้ารหัส

ในระหว่างการดำเนินการของ DoNex แรนซัมแวร์ encryption key จะถูกสร้างขึ้นโดยใช้ฟังก์ชัน 'CryptGenRandom()' ซึ่งเป็นการเริ่มต้น ChaCha20 symmetric key ที่ใช้ในการเข้ารหัสไฟล์เป้าหมาย

หลังจากขั้นตอนการเข้ารหัสไฟล์ ChaCha20 key จะถูกเข้ารหัสโดยใช้ RSA-4096 และถูกเพิ่มลงในส่วนท้ายของแต่ละไฟล์

Avast ยังไม่ได้อธิบายว่าช่องโหว่อยู่ที่ใด ดังนั้นอาจเป็นเรื่องของ key reuse, การสร้าง key ที่สามารถคาดเดาได้ หรือปัญหาอื่น ๆ

สังเกตว่า DoNex ใช้การเข้ารหัสสลับสำหรับไฟล์ที่มีขนาดใหญ่กว่า 1MB วิธีการนี้เพิ่มความเร็วเมื่อเข้ารหัสไฟล์ แต่ทำให้เกิดช่องโหว่ที่สามารถใช้เพื่อกู้คืนข้อมูลที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่

เครื่องมือถอดรหัสของ Avast สำหรับ DoNex และเวอร์ชันก่อนหน้า สามารถดาวน์โหลดได้จาก (hxxps://decoded.

ยูโรโพลประสานงานกับหน่วยงานบังคับใช้กฎหมายในปฏิบัติการที่เรียกว่า Operation Morpheus ซึ่งนำไปสู่การยึดเซิร์ฟเวอร์ Cobalt Strike เกือบ 600 เครื่องที่ใช้โดยอาชญากรไซเบอร์ในการโจมตีเครือข่ายของเหยื่อ

ในช่วงสัปดาห์เดียวในปลายเดือนมิถุนายน เจ้าหน้าที่บังคับใช้กฎหมายสามารถระบุ IP addresses ที่เกี่ยวข้องกับการกระทำความผิด และโดเมนที่เป็นส่วนหนึ่งของโครงสร้างพื้นฐานการโจมตีที่ใช้โดยกลุ่มอาชญากร

ในขั้นตอนถัดไปของปฏิบัติการ ผู้ให้บริการจะได้รับข้อมูลที่รวบรวมมาเพื่อปิดใช้งานระบบของเครื่องมือดังกล่าว

ยูโรโพลระบุว่า "เครื่องมือ Cobalt Strike red teaming ที่ไม่ได้รับอนุญาต เป็นเป้าหมายในช่วงสัปดาห์ของการปฏิบัติการ ที่ได้รับการประสานงานจากสำนักงานใหญ่ของยูโรโพลระหว่างวันที่ 24 ถึง 28 มิถุนายน"

"IP addresses ทั้งหมด 690 แห่ง ถูกแจ้งให้กับผู้ให้บริการใน 27 ประเทศทราบ จากในจำนวนนั้นกว่า 593 แห่งถูกยึดภายในช่วงสุดสัปดาห์"

Operation Morpheus เกี่ยวข้องกับหน่วยงานบังคับใช้กฎหมายจากออสเตรเลีย, แคนาดา, เยอรมนี, เนเธอร์แลนด์, โปแลนด์ และสหรัฐอเมริกา นำโดยหน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร

พันธมิตรในอุตสาหกรรมเอกชนเช่น BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.

นักวิจัยได้พบ ransomware-as-a-service (RaaS) ตัวใหม่ในชื่อ Eldorado ซึ่งถูกค้นพบในเดือนมีนาคม 2024 ที่มาพร้อมกับความสามารถในการเข้ารหัสสำหรับ VMware ESXi และ Windows

นักวิจัยพบว่า Eldorado ได้ทำการโจมตีเหยื่อไปแล้ว 16 ราย ซึ่งส่วนใหญ่อยู่ในสหรัฐฯ ในภาคอสังหาริมทรัพย์, การศึกษา, การดูแลสุขภาพ และภาคการผลิต

นักวิจัยจาก Group-IB บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ ได้ติดตามการดำเนินการของกลุ่ม Eldorado และพบว่ากลุ่ม Eldorado มีการโปรโมตการให้บริการโจมตีเป้าหมายใน RAMP forums รวมถึงได้ประกาศหาพันธมิตรที่มีฝีมือเพื่อเข้ากลุ่ม

รวมถึง Eldorado ได้สร้างเว็บไซต์เพื่อเผยแพร่ข้อมูลที่ถูกขโมยมาจากเป้าหมายที่โดนโจมตี เพื่อข่มขู่เหยื่อ และสร้างความน่าเชื่อถือให้ตัวเอง

การเข้ารหัส Windows และ Linux

Eldorado เป็น Go-based ransomware ที่มีความสามารถในการเข้ารหัสได้ทั้งแพลตฟอร์ม Windows และ Linux ผ่านรูปแบบที่แตกต่างกัน แต่มีความคล้ายคลึงกันในการทำงาน นักวิจัยได้รับโปรแกรมเข้ารหัสจากนักพัฒนา ซึ่งมาพร้อมกับคู่มือการใช้งาน โดยระบุว่ามีเวอร์ชัน 32/64-bit สำหรับ VMware ESXi hypervisors และ Windows

ทั้งนี้ Group-IB ระบุว่า Eldorado Ransomware มีลักษณะที่เป็นเอกลักษณ์ โดยไม่มีความคล้ายคลึงกับ Ransomware กลุ่มอื่น ซึ่งใช้ ChaCha20 algorithm ในการเข้ารหัส และสร้าง 32-byte key ที่ไม่ซ้ำกัน และค่า 12-byte nonce สำหรับไฟล์ที่ถูกเข้ารหัสแต่ละไฟล์ จากนั้น keys และ nonces จะถูกเข้ารหัสโดยใช้ RSA รูปแบบ Optimal Asymmetric Encryption Padding (OAEP)

หลังจากขั้นตอนการเข้ารหัส ไฟล์จะถูกผนวกส่วนขยาย “.00000001” และจดหมายเรียกค่าไถ่ในชื่อ “HOW_RETURN_YOUR_DATA.TXT” ซึ่งจะถูกทิ้งไว้ใน Documents and Desktop folders

รวมถึง Eldorado ยังได้เข้ารหัส network shares โดยใช้ SMB communication protocol เพื่อเพิ่มผลกระทบให้สูงสุด และลบ shadow volume copies บนเครื่อง Windows ที่ถูกโจมตีเพื่อป้องกันการกู้คืนข้อมูล

Ransomware จะหลีกเลี่ยงไฟล์ DLL, LNK, SYS และ EXE ตลอดจนไฟล์ และไดเร็กทอรีที่เกี่ยวข้องกับการบูตระบบ และฟังก์ชันพื้นฐาน เพื่อป้องกันไม่ให้ระบบไม่สามารถบูตได้/ไม่สามารถใช้งานได้

ในขั้นตอนท้ายสุด จะมีการตั้งค่า default ให้ลบตัวเองเพื่อหลีกเลี่ยงการตรวจจับ และการถูกวิเคราะห์

Group-IB เปิดเผยว่าผู้ที่ใช้ Eldorado ransomware สามารถปรับแต่งการโจมตีได้ ตัวอย่างเช่น ในระบบปฏิบัติการ Windows นักวิจัยสามารถระบุไดเร็กทอรีที่จะเข้ารหัส, หลีกเลี่ยงไฟล์ในเครื่อง, กำหนดเป้าหมาย network shares บน subnet เฉพาะ และป้องกันการลบมัลแวร์ด้วยตนเอง ทั้งนี้หากเป็น Linux พารามิเตอร์การปรับแต่งจะหยุดอยู่แค่การตั้งค่าไดเร็กทอรีที่จะเข้ารหัส

คำแนะนำในการป้องกัน

ใช้งาน multi-factor authentication (MFA) และ credential-based access solutions
ใช้งาน Endpoint Detection and Response (EDR) เพื่อระบุ และตอบสนองต่อ ransomware indicators
สำรองข้อมูลเป็นประจำเพื่อลดความเสียหาย และสูญหายของข้อมูล
ใช้ AI-based analytics and advanced malware detonation เพื่อการตรวจจับ และตอบสนองการโจมตีแบบเรียลไทม์
กำหนดลำดับความสำคัญของระบบ และหมั่นอัปเดตแพตซ์ด้านความปลอดภัยอย่างสม่ำเสมอ เพื่อแก้ไขช่องโหว่
ให้ความรู้ และฝึกอบรมพนักงานให้มีความรู้ด้านภัยคุกคามทางไซเบอร์
จัดทำการประเมินความปลอดภัยด้าน cybersecurity ประจำปี
หลีกเลี่ยงการจ่ายค่าไถ่ เนื่องจากวิธีนี้ไม่สามารถรับประกันการกู้คืนข้อมูลได้ และอาจทำให้เกิดการโจมตีเพิ่มขึ้น

ที่มา : bleepingcomputer.