LockBit ransomware goes ‘Green,’ uses new Conti-based encryptor

LockBit 3.0 ใช้วิธีการเข้ารหัสแบบใหม่ในชื่อ LockBit Green

ผู้เชี่ยวชาญจาก VX-Underground ได้รายงานว่าผู้พัฒนา LockBit Ransomware มีการเปลี่ยนแปลงตัวเข้ารหัสอีกครั้ง ซึ่งในครั้งนี้หันมาใช้ชนิดเดียวกับ Conti Ransomware ที่เพิ่งปิดตัวลงไป และมีการใช้ชื่อใหม่ว่า LockBit Green

ตั้งแต่ LockBit Ransomware เปิดตัวก็มีการปรับเปลี่ยนวิธีการโจมตีรวมถึงวิธีการเข้ารหัสมาตลอด เวอร์ชันล่าสุดที่มีการประกาศอย่างเป็นทางการคือ LockBit 3.0 (หรือที่เรียกว่า LockBit Black) ซึ่งใช้วิธีการเข้ารหัสแบบเดียวกับ BlackMatter Ransomware

ในปัจจุบันมีการค้นพบว่า LockBit มีการใช้ตัวเข้ารหัสชนิดเดียวกับ Conti ซึ่งคาดว่าได้มาจาก Source Code ที่หลุดออกมาหลังจาก Conti ปิดตัวลง โดยหลังจากที่ Source Code ของ Conti หลุดได้ไม่นาน ก็มีกลุ่มแฮ็กเกอร์กลุ่มอื่น ๆ เริ่มใช้มันเพื่อสร้างตัวเข้ารหัสให้เป็นของตนเช่นเดียวกัน

ลักษณะการทำงาน

ตั้งแต่ข่าวของ LockBit Green เผยแพร่สู่สาธารณะ นักวิจัยก็ได้ตัวอย่างของ LockBit Green จากไฟล์บน VirusTotal และเว็บไซต์แชร์มัลแวร์อื่น ๆ
ต่อมาผู้เชี่ยวชาญจาก CyberGeeksTech ได้ใช้วิธีการ reverse-engineered กับตัวอย่างของ LockBit Green และระบุในรายงานกับ BleepingComputer ว่า ตัวเข้ารหัสที่ใช้เป็นตัวเข้ารหัสเดียวกับ Conti ที่พวกเขาเคยวิเคราะห์ไว้ก่อนหน้านี้อย่างแน่นอน โดยอัลกอริธึมการถอดรหัสก็เป็นชนิดเดียวกัน
จากนั้นบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง PRODAFT มีการแชร์ข้อมูล IOC ของ LockBit Green พร้อมกับส่งไฟล์ตัวอย่าง และระบุในรายงานกับ BleepingComputer ว่ามีเป้าหมายมากกว่า 5 รายที่ถูกโจมตีโดย LockBit Green แล้ว
หลังจากได้รับไฟล์ตัวอย่างจาก PRODAFT ทีมงาน BleepingComputer ได้ทดสอบไฟล์ดังกล่าว พบว่าไฟล์เรียกค่าไถ่ได้ถูกแก้ไขรายละเอียดจาก Conti ให้มาเป็นของ LockBit 3.0 แล้ว

อย่างไรก็ตาม การเปลี่ยนแปลงที่เห็นได้ชัดสุดคือ LockBit Green จะใช้ extension แบบสุ่ม แทนที่จะใช้ .lockbit แบบเวอร์ชั่นเก่า

IOC

ที่มา : bleepingcomputer

FBI เตือน! กลุ่มแฮกเกอร์ส่ง USB ไดรฟ์มาให้เพื่อใช้แพร่กระจาย ransomware

 

 

 

 

 

 

 

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนถึงองค์กรต่างๆ เกี่ยวกับ แฟลชไดร์ USB อันตรายที่มาพร้อมกับ ransomware ซึ่งสามารถแพร่กระจายผ่านทางอีเมล และเป็นช่องทางให้เกิดโจมตีทางไซเบอร์ได้ โดยแฟลชไดร์ USB จะถูกส่งมาในรูปแบบของ "กล่องของขวัญตกแต่งที่มีจดหมายขอบคุณปลอม บัตรของขวัญปลอม และ USB"

รายละเอียดแผนการหลอกลวง

กลุ่มอาชญากรไซเบอร์ FIN7 ส่งของขวัญที่น่าสงสัยให้กับบริษัทต่างๆในสหรัฐอเมริกา ซึ่งพัสดุถูกปลอมแปลงให้เป็นการส่งโดยกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) หรือไม่ก็มาจาก Amazon เพื่อหลอกลวงให้ผู้รับเปิดพัสดุเหล่านี้มาใช้งาน

ในกล่องพัสดุประกอบด้วยแฟลชไดร์ USB ที่มีมัลแวร์ และยังมีจดหมายระบุรายระเอียดแนวทางปฏิบัติเกี่ยวกับไวรัสโควิด 19 ซึ่งคาดว่าออกโดยกระทรวงสาธารณสุข หรือไม่ก็เป็นของขวัญจาก Amazon

 

 

 

 

 

 

 

 

 

 

 

 

 

 

แคมเปญนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2021

ตามรายงาน FBI ระบุว่ามีการส่งไดร์ USB ที่ติดตั้งไวรัสตั้งแต่เดือนสิงหาคม 2021 พัสดุเหล่านี้ถูกส่งผ่านทางไปรษณีย์สหรัฐ (USPS) ไปยังบริษัทในอุตสาหกรรมต่างๆเช่น การขนส่ง การประกันภัย และการป้องกันประเทศ โดยพัสดุประกอบด้วยแฟลชไดร์ Lily Go USB ที่ภายหลังถูกระบุว่าถูกติดตั้ง ransomware ไว้ โดยหน่วยงานต่างๆพบว่าเมื่อนำมาใช้งาน แฟลชไดร์ดังกล่าวจะดำเนินการโจมตีด้วยวิธีการที่เรียกว่า BadUSB ซึ่งจะติดตั้งตัวเองลงบนเครื่อง และแสร้งทำเป็นอุปกรณ์คีย์บอร์ดแทนที่จะเป็นไดร์ USB ซึ่งอาจส่งผลให้เกิดการแพร่กระจาย BlackMatter และ REvil ransomware ไปยังคอมพิวเตอร์ของบริษัทที่เป็นเหยื่อ

"เป้าหมายสุดท้ายของ FIN7 ในการโจมตีคือการเข้าถึงเครือข่ายของเหยื่อ และติดตั้ง ransomware (ทั้ง BlackMatter และ REvil) ภายในเครือข่าย โดยใช้เครื่องมือต่างๆรวมถึง Metasploit, Cobalt Strike, Carbanak malware, the Griffon backdoor, and PowerShell scripts" FBI กล่าว

คำเตือนของ FBI เน้นย้ำถึงข้อที่ว่าไม่ควรใช้งานแฟลชไดร์ USB ที่ไม่รู้จักกับอุปกร์ของตน หรือองค์กร

ที่มา : hackread

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

เมื่อวันศุกร์ที่ 7 พฤษภาคม 2021 ที่ผ่านมานั้น กลุ่มในเครือของ DarkSide Ransomware ได้โจมตี Colonial Pipeline ซึ่งเป็นท่อส่งเชื้อเพลิงของอเมริกา การโจมตีดังกล่าวนั้นส่งผลให้การขนส่งน้ำมันหยุดชะงัก และส่งผลกระทบเป็นวงกว้าง ทำให้เป็นพาดหัวข่าวไปทั่วโลก จากการกดดัน และตรวจสอบอย่างเข้มงวดของหน่วยงานระดับชาติในหนึ่งสัปดาห์ต่อมา DarkSide ได้ประกาศปิดตัวลง รวมถึง REvil ที่เป็นผู้อยู่เบื้องหลังการโจมตี KASEYA และ JBS ก็หยุดเคลื่อนไหวไปเช่นเดียวกัน (more…)