Sodinokibi Ransomware May Tip NASDAQ on Attacks to Hurt Stock Prices

มัลแวร์เรียกค่าไถ่ Sodinokibi วางแผนแจ้งตลาดหุ้นหลังจากทำการโจมตี

มัลแวร์เรียกค่าไถ่ Sodinokibi หรือ REvil เป็นมัลแวร์เรียกค่าไถ่ที่ดำเนินการในลักษณะของการให้เช่ามัลแวร์เพื่อโจมตี (Ransomware-as-a-Service) โดยเงินที่ได้จากการเรียกค่าไถ่จะถูกแบ่งกันระหว่างผู้เช่าและผู้ให้เช่ามัลแวร์ โดยเน้นโจมตีองค์กรและยังไม่มีตัวถอดรหัสที่สามารถถอดรหัสได้ฟรีโดยไม่เสียเงินค่าไถ่

ในช่วงที่ผ่านมากลุ่มเบื้องหลัง Sodinokibi มีการพัฒนาไปอีกขั้นด้วยการสนับสนุนให้ผู้เช่ามัลแวร์ขโมยข้อมูลออกมาก่อนจะทำการปล่อยมัลแวร์ให้เข้ารหัส เพื่อในกรณีที่องค์กรตัดสินใจไม่ยอมจ่ายค่าไถ่กู้คืนไฟล์จะข่มขู่เพื่อปล่อยข้อมูลเพิ่มเติม ทำให้กลายเป็นเหตุการณ์ข้อมูลหลุดซึ่งอาจจะนำไปสู่การผิดกฏหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR หรือกฏหมายในลักษณะเดียวกัน ซึ่งอาจนำไปสู่การปรับเงินที่สูงกว่าค่าไถ่มาก กดดันให้องค์กรตัดสินใจจ่ายค่าไถ่แทน

จากข้อมูลล่าสุดที่ BleepingComputer รวบรวมมานี้พบว่ากลุ่มเบื้องหลัง Sodinokibi มีการวางแผนเพิ่มว่าจะทำการส่งอีเมลแจ้งไปยังตลาดหุ้นอย่างดัชนี NASDAQ เพื่อให้การเทขายหุ้นจนราคาตก ทั้งนี้ในปี 2017 บริษัท Centrify ได้ทำการสำรวจผลกระทบที่เกิดจากการโจมตีทางด้านไซเบอร์กับราคาหุ้นของบริษัทที่ถูกโจมตี พบว่าในวันที่มีการประกาศข่าวร้ายดังกล่าวจะเกิดการเทขายทำให้หุ้นตกเฉลี่ย 5% ของราคาเดิม

บริษัท Coveware สรุปสถิติของ Q4 ปี 2019 ไว้ว่าค่าเฉลี่ยของค่าไถ่จากมัลแวร์เรียกค่าไถ่อยู่ที่ 84,116 ดอลลาร์สหรัฐ (ประมาณ 2 ล้านหกแสนบาท) พบการโจมตีจาก Sodinokibi ถึง 29.4% จากการโจมตีทั้งหมด และการติดมัลแวร์เรียกค่าไถ่ส่วนใหญ่ (57.4%) เกิดจากการโจมตีผ่าน RDP

ที่มา: bleepingcomputer

SyncCrypt Ransomware Hides Inside JPG Files, Appends .KK Extension

"SyncCrypt" Ransomware ตัวใหม่ ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Emxisoft แพร่กระจายโดยใช้ไฟล์ที่แนบมาใน SPAM ซึ่งจะไปเรียก WSF ไฟล์อีกทีนึง เมื่อผู้ใช้งานเผลอติดตั้งไฟล์ดังกล่าว เครื่องคอมพิวเตอร์จะถูกเข้ารหัส และใส่ .kk ต่อท้ายชื่อไฟล์ที่เข้ารหัส
การใช้ไฟล์ WSF ไม่ใช่เรื่องแปลกใหม่ แต่วิธีการทำงานในครั้งนี้ของมันน่าสนใจเพราะสคริปต์ WSF จะดาวน์โหลดภาพที่มีการฝังไฟล์ ZIP ซึ่งเก็บไฟล์ที่มีความจำเป็นต่อกระบวนการเข้ารหัสของ SyncCrypt ไว้ ทำให้สามารถหลบหลีกการตรวจจับของ antivirus ได้ เมื่อ SyncCrypt ทำการเข้ารหัสเครื่องคอมพิวเตอร์เสร็จแล้วโฟลเดอร์ที่ชื่อว่า README จะปรากฏบนเดสก์ท็อป โดยจะมีไฟล์ AMMOUNT.txt, key, readme.