Yellow Pages ยืนยันข้อมูลรั่วไหล หลังถูกโจมตีจากกลุ่ม Black Basta
Yellow Pages Group ก่อตั้งในปี 2451 ปัจจุบันเป็นเจ้าของ และดำเนินการเว็บไซต์ YP.ca และ YellowPages.
Yellow Pages ยืนยันข้อมูลรั่วไหล หลังถูกโจมตีจากกลุ่ม Black Basta
Linux version of Black Basta ransomware targets VMware ESXi servers
แรนซัมแวร์ Black Basta เวอร์ชัน Linux กำหนดเป้าหมายเซิร์ฟเวอร์ VMware ESXi
Black Basta เป็นแรนซัมแวร์ตัวล่าสุดที่เพิ่มการเข้ารหัส VMware ESXi virtual machine (VMs) ที่ทำงานบนเซิร์ฟเวอร์ Linux ขององค์กร
กลุ่มแรนซัมแวร์ส่วนใหญ่กําลังมุ่งเน้นไปที่การโจมตี ESXi VMs เนื่องจากวิธีการนี้สอดคล้องกับการกําหนดเป้าหมายในลักษณะองค์กร เนื่องจากทำให้สามารถใช้ประโยชน์จากการเข้ารหัสเซิร์ฟเวอร์หลายเครื่องได้เร็วขึ้นด้วยคําสั่งเพียงครั้งเดียว
การเข้ารหัสของแรนซัมแวร์กับ VM นั้นได้ผลเป็นอย่างมาก เนื่องจากหลายบริษัทมีการย้ายระบบไปยัง virtual machine เนื่องจากช่วยให้จัดการอุปกรณ์ได้ง่ายขึ้น และใช้ทรัพยากรอย่างมีประสิทธิภาพมากขึ้น
กลุ่มแรนซัมแวร์ Black Basta มุ่งเป้าไปที่เซิร์ฟเวอร์ ESXi (more…)
QBot ผนึกกำลัง Black Basta ransomware เพิ่มประสิทธิภาพในการโจมตี
กลุ่มแรนซัมแวร์ Black Basta ร่วมมือกับมัลแวร์ QBot เพื่อเพิ่มความสามารถในการเข้าควบคุมระบบของเหยื่อได้ดีขึ้น
โดย QBot (QuakBot) เป็นมัลแวร์บน Windows ที่ถูกใช้เพื่อขโมยข้อมูลธนาคาร, ข้อมูลผู้ใช้งานบน Windows domain และดาวน์โหลดมัลแวร์ตัวอื่นๆมาลงบนอุปกรณ์ที่ติด QBot
เหยื่อมักจะถูกโจมตีจาก Qbot ผ่านทางอีเมลล์ฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย แม้ตัวมันจะเริ่มต้นจากการเป็นแค่โทรจันสำหรับขโมยข้อมูลบัญชีผู้ใช้ธนาคาร แต่ต่อมาก็มีการร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ รวมถึง MegaCortex, ProLock, DoppelPaymer และ Egrego
การร่วมมือกับกลุ่ม Black Basta
Black Basta เป็นกลุ่มแรนซัมแวร์ที่ค่อนข้างใหม่ โดยเริ่มพบการโจมตีหลายบริษัทในเวลาอันสั้น และเรียกเงินค่าไถ่เป็นจำนวนมาก
ผู้เชี่ยวชาญจาก NCC Group ค้นพบความร่วมมือระหว่าง Qakbot และ Black Basta กับเหตุการณ์ที่เกิดขึ้นเมื่อเร็วๆ นี้ ซึ่งสามารถระบุได้จากเทคนิคที่ใช้โดยผู้โจมตี
ในขณะที่กลุ่มแรนซัมแวร์ทั่วไปมักใช้ QBot ในการเป็นช่องทางแรกในการเข้าถึงระบบของเหยื่อ แต่ NCC กล่าวว่ากลุ่ม Black Basta กลับใช้มันเพื่อแพร่กระจายตัวเองไปยังภายในเครือข่ายของเหยื่อ โดยมัลแวร์จะสร้างการเชื่อมต่อชั่วคราวบนโฮสต์เป้าหมาย และสั่งให้เรียกใช้งาน DLL โดยใช้ regsvr32.exe
เมื่อ Qakbot เริ่มทำงานแล้ว มันจะสามารถแพร่กระจายในเครือข่ายผ่านการ brute-force account บน AD หรือผ่านทาง SMB file sharing protocol
นักวิเคราะห์ยังค้นพบไฟล์ข้อความชื่อ “pc_list.