Paradise Ransomware Distributed via Uncommon Spam Attachment

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer

Sodinokibi Ransomware May Tip NASDAQ on Attacks to Hurt Stock Prices

มัลแวร์เรียกค่าไถ่ Sodinokibi วางแผนแจ้งตลาดหุ้นหลังจากทำการโจมตี

มัลแวร์เรียกค่าไถ่ Sodinokibi หรือ REvil เป็นมัลแวร์เรียกค่าไถ่ที่ดำเนินการในลักษณะของการให้เช่ามัลแวร์เพื่อโจมตี (Ransomware-as-a-Service) โดยเงินที่ได้จากการเรียกค่าไถ่จะถูกแบ่งกันระหว่างผู้เช่าและผู้ให้เช่ามัลแวร์ โดยเน้นโจมตีองค์กรและยังไม่มีตัวถอดรหัสที่สามารถถอดรหัสได้ฟรีโดยไม่เสียเงินค่าไถ่

ในช่วงที่ผ่านมากลุ่มเบื้องหลัง Sodinokibi มีการพัฒนาไปอีกขั้นด้วยการสนับสนุนให้ผู้เช่ามัลแวร์ขโมยข้อมูลออกมาก่อนจะทำการปล่อยมัลแวร์ให้เข้ารหัส เพื่อในกรณีที่องค์กรตัดสินใจไม่ยอมจ่ายค่าไถ่กู้คืนไฟล์จะข่มขู่เพื่อปล่อยข้อมูลเพิ่มเติม ทำให้กลายเป็นเหตุการณ์ข้อมูลหลุดซึ่งอาจจะนำไปสู่การผิดกฏหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR หรือกฏหมายในลักษณะเดียวกัน ซึ่งอาจนำไปสู่การปรับเงินที่สูงกว่าค่าไถ่มาก กดดันให้องค์กรตัดสินใจจ่ายค่าไถ่แทน

จากข้อมูลล่าสุดที่ BleepingComputer รวบรวมมานี้พบว่ากลุ่มเบื้องหลัง Sodinokibi มีการวางแผนเพิ่มว่าจะทำการส่งอีเมลแจ้งไปยังตลาดหุ้นอย่างดัชนี NASDAQ เพื่อให้การเทขายหุ้นจนราคาตก ทั้งนี้ในปี 2017 บริษัท Centrify ได้ทำการสำรวจผลกระทบที่เกิดจากการโจมตีทางด้านไซเบอร์กับราคาหุ้นของบริษัทที่ถูกโจมตี พบว่าในวันที่มีการประกาศข่าวร้ายดังกล่าวจะเกิดการเทขายทำให้หุ้นตกเฉลี่ย 5% ของราคาเดิม

บริษัท Coveware สรุปสถิติของ Q4 ปี 2019 ไว้ว่าค่าเฉลี่ยของค่าไถ่จากมัลแวร์เรียกค่าไถ่อยู่ที่ 84,116 ดอลลาร์สหรัฐ (ประมาณ 2 ล้านหกแสนบาท) พบการโจมตีจาก Sodinokibi ถึง 29.4% จากการโจมตีทั้งหมด และการติดมัลแวร์เรียกค่าไถ่ส่วนใหญ่ (57.4%) เกิดจากการโจมตีผ่าน RDP

ที่มา: bleepingcomputer

SyncCrypt Ransomware Hides Inside JPG Files, Appends .KK Extension

"SyncCrypt" Ransomware ตัวใหม่ ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Emxisoft แพร่กระจายโดยใช้ไฟล์ที่แนบมาใน SPAM ซึ่งจะไปเรียก WSF ไฟล์อีกทีนึง เมื่อผู้ใช้งานเผลอติดตั้งไฟล์ดังกล่าว เครื่องคอมพิวเตอร์จะถูกเข้ารหัส และใส่ .kk ต่อท้ายชื่อไฟล์ที่เข้ารหัส
การใช้ไฟล์ WSF ไม่ใช่เรื่องแปลกใหม่ แต่วิธีการทำงานในครั้งนี้ของมันน่าสนใจเพราะสคริปต์ WSF จะดาวน์โหลดภาพที่มีการฝังไฟล์ ZIP ซึ่งเก็บไฟล์ที่มีความจำเป็นต่อกระบวนการเข้ารหัสของ SyncCrypt ไว้ ทำให้สามารถหลบหลีกการตรวจจับของ antivirus ได้ เมื่อ SyncCrypt ทำการเข้ารหัสเครื่องคอมพิวเตอร์เสร็จแล้วโฟลเดอร์ที่ชื่อว่า README จะปรากฏบนเดสก์ท็อป โดยจะมีไฟล์ AMMOUNT.txt, key, readme.