กลุ่ม Black Basta ransomware ทำรายได้จากการเรียกค่าไถ่กว่า 100 ล้านดอลลาร์

กลุ่ม Black Basta ransomware จากรัสเซีย กวาดรายได้จากการเรียกค่าไถ่ไปแล้วอย่างน้อย 100 ล้านดอลลาร์ จากเหยื่อมากกว่า 90 รายที่ยอมจ่ายค่าไถ่ นับตั้งแต่เปิดตัวครั้งแรกในเดือนเมษายน 2022 (more…)

Kaspersky เผยแพร่ตัวถอดรหัสแรนซัมแวร์ ‘MeowCorp’ ที่มีการใช้ซอร์สโค้ดเดียวกับ Conti ransomware

Kaspersky เผยแพร่เครื่องมือถอดรหัสสำหรับแรนซัมแวร์ Conti เวอร์ชันแก้ไข ที่ทำให้เหยื่อหลายร้อยรายสามารถกู้คืนไฟล์ได้ฟรี

โดย Kaspersky พบ cache private key ของ Conti ransomware ในฟอรัมของกลุ่มแฮ็กเกอร์ ซึ่งเคยถูกนำมาใช้ในการโจมตีองค์กรทั้งภาครัฐ และเอกชนหลายแห่งในช่วงปีที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่ชื่อว่า ‘MeowCorp’

นักวิจัยผู้เชี่ยวชาญเกี่ยวกับแรนซัมแวร์ Amigo-A ระบุว่าผู้โจมตีได้เผยแพร่ข้อมูลในฟอรัมภาษารัสเซียเมื่อเดือนกุมภาพันธ์ 2022 ซึ่งมีลิงก์ไปยัง Key ถอดรหัส, โปรแกรมถอดรหัส, และรหัสต้นฉบับ

Kaspersky วิเคราะห์ Key และพบว่าเกี่ยวข้องกับสายพันธุ์หนึ่งของ Conti ransomware ที่ถูกพบเมื่อเดือนธันวาคม 2022 โดยสายพันธุ์นี้มีการแพร่กระจายมาตั้งแต่เดือนสิงหาคม โดย private key อยู่ในโฟลเดอร์ทั้งหมด 257 โฟลเดอร์ (มี 1โฟลเดอร์ที่มีสองคีย์) และมีการกำหนดเป้าหมายไปที่องค์กรในรัสเซียเป็นส่วนใหญ่

บางโฟลเดอร์มีตัวถอดรหัสที่สร้างขึ้นก่อนหน้านี้พร้อมกับไฟล์อื่น ๆ เช่น รูปภาพ และเอกสาร เพื่อแสดงให้เหยื่อเห็นว่าการถอดรหัสใช้งานได้

34 โฟลเดอร์มีชื่อที่ชัดเจนของเหยื่อภาครัฐในประเทศต่าง ๆ ในยุโรป และเอเชีย

Fedor Sinitsyn หัวหน้านักวิเคราะห์มัลแวร์ของ Kaspersky ให้ข้อมูลกับ BleepingComputer ว่า ชื่อในโฟลเดอร์ที่เหลือถูก hash หรือเข้ารหัสไว้

จากข้อมูลดังกล่าว และจำนวนตัวถอดรหัสที่พบ Kaspersky สันนิษฐานได้ว่า Conti เวอร์ชันดังกล่าวถูกใช้เพื่อเข้ารหัสเหยื่อ 257 ราย และ 14 ราย ยอมจ่ายเงินให้กับผู้โจมตีเพื่อกู้คืนข้อมูลที่ถูกเข้ารหัส

private key ถูกสร้างขึ้นวันที่ 13 พฤศจิกายน 2022 ถึง 5 กุมภาพันธ์ 2023 ซึ่งเป็นข้อมูลบ่งชี้ถึงไทม์ไลน์ของการโจมตีได้เป็นอย่างดี โดยนักวิจัยระบุว่าเหยื่อที่ทำการติดต่อ Kaspersky เพื่อขอให้ช่วยในการถอดรหัส ก็อยู่ในช่วงเวลานั้นเช่นเดียวกัน

Kaspersky เพิ่มตัวถอดรหัส และ private key 258 Key ลงใน RakhniDecryptor ซึ่งเป็นเครื่องมือที่สามารถใช้กู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ได้หลายสายพันธ์ุ

ตัวถอดรหัสสามารถกู้คืนไฟล์ที่เข้ารหัสโดย Conti ซึ่งใช้รูปแบบชื่อ และนามสกุลต่อไปนี้:

<file_name>.KREMLIN
<file_name>.RUSSIA
<file_name>.PUTIN

เป็นเวลากว่าสามปีที่ Conti ดำเนินการในลักษณะ ransomware-as-a-service ที่สร้างรายได้จำนวนมาก โดยส่วนใหญ่มีการกำหนดเป้าหมายไปที่องค์กรขนาดใหญ่ และเรียกค่าไถ่จำนวนมากเพื่อถอดรหัสข้อมูลที่ถูกเข้ารหัสไว้ โดย Conti ถือเป็นตัวตายตัวแทนของ Ryuk ransomware ซึ่งถูกพบในเดือนธันวาคม 2019

Conti สร้างความเสียหายอย่างต่อเนื่อง และมีการใช้วิธีการใหม่ ๆ เช่น การขโมยข้อมูล การปล่อยข้อมูลของเหยื่อบนเว็บไซต์ เพื่อบังคับให้เหยื่อจ่ายค่าไถ่

การรุกรานยูเครนของรัสเซียในเดือนกุมภาพันธ์ปีที่ผ่านมา สร้างความขัดแย้งภายในมากขึ้นเนื่องจากสมาชิกหลักเข้าข้างรัสเซีย ทำให้นักวิจัยที่ติดตามการดำเนินการของทางกลุ่ม Conti อยู่ ได้ข้อมูลของข้อความนับพันที่มีการแลกเปลี่ยนกันระหว่างกลุ่ม Conti และกลุ่มพันธมิตร รวมไปถึงการรั่วไหลของซอร์สโค้ดสำหรับตัวเข้ารหัส, ตัวถอดรหัส และตัวสร้างแรนซัมแวร์ รวมทั้งการเข้าถึง administrative panels

ในเดือนพฤษภาคม 2022 หัวหน้ากลุ่ม Conti ได้ประกาศปิดตัวกลุ่มลง โดยผู้นำของกลุ่ม Conti ได้ย้ายไปร่วมมือกับกลุ่มอื่น ๆ ส่วนสมาชิกก็ย้ายไปร่วมมือกับกลุ่มแรนซัมแวร์อื่น ๆ เช่นเดียวกัน

รัฐบาลสหรัฐฯ ประเมินว่า Conti เป็นหนึ่งในปฏิบัติการเรียกค่าไถ่ที่มีรายได้สูงที่สุด มีเหยื่อทั้งหมดหลายพันราย และสามารถรวบรวมเงินค่าไถ่ได้มากกว่า 150 ล้านดอลลาร์

ความเสียหายที่เกิดกับบริษัทของสหรัฐฯ ทำให้กระทรวงการต่างประเทศสหรัฐฯ เสนอรางวัลสูงถึง 15 ล้านดอลลาร์ สำหรับข้อมูลที่ระบุตำแหน่งของหัวหน้ากลุ่ม Conti กลุ่มผู้นำ และองค์กรพันธมิตรของ Conti ได้

 

ที่มา : bleepingcomputer

 

LockBit ransomware goes ‘Green,’ uses new Conti-based encryptor

LockBit 3.0 ใช้วิธีการเข้ารหัสแบบใหม่ในชื่อ LockBit Green

ผู้เชี่ยวชาญจาก VX-Underground ได้รายงานว่าผู้พัฒนา LockBit Ransomware มีการเปลี่ยนแปลงตัวเข้ารหัสอีกครั้ง ซึ่งในครั้งนี้หันมาใช้ชนิดเดียวกับ Conti Ransomware ที่เพิ่งปิดตัวลงไป และมีการใช้ชื่อใหม่ว่า LockBit Green

ตั้งแต่ LockBit Ransomware เปิดตัวก็มีการปรับเปลี่ยนวิธีการโจมตีรวมถึงวิธีการเข้ารหัสมาตลอด เวอร์ชันล่าสุดที่มีการประกาศอย่างเป็นทางการคือ LockBit 3.0 (หรือที่เรียกว่า LockBit Black) ซึ่งใช้วิธีการเข้ารหัสแบบเดียวกับ BlackMatter Ransomware

ในปัจจุบันมีการค้นพบว่า LockBit มีการใช้ตัวเข้ารหัสชนิดเดียวกับ Conti ซึ่งคาดว่าได้มาจาก Source Code ที่หลุดออกมาหลังจาก Conti ปิดตัวลง โดยหลังจากที่ Source Code ของ Conti หลุดได้ไม่นาน ก็มีกลุ่มแฮ็กเกอร์กลุ่มอื่น ๆ เริ่มใช้มันเพื่อสร้างตัวเข้ารหัสให้เป็นของตนเช่นเดียวกัน

ลักษณะการทำงาน

ตั้งแต่ข่าวของ LockBit Green เผยแพร่สู่สาธารณะ นักวิจัยก็ได้ตัวอย่างของ LockBit Green จากไฟล์บน VirusTotal และเว็บไซต์แชร์มัลแวร์อื่น ๆ
ต่อมาผู้เชี่ยวชาญจาก CyberGeeksTech ได้ใช้วิธีการ reverse-engineered กับตัวอย่างของ LockBit Green และระบุในรายงานกับ BleepingComputer ว่า ตัวเข้ารหัสที่ใช้เป็นตัวเข้ารหัสเดียวกับ Conti ที่พวกเขาเคยวิเคราะห์ไว้ก่อนหน้านี้อย่างแน่นอน โดยอัลกอริธึมการถอดรหัสก็เป็นชนิดเดียวกัน
จากนั้นบริษัทด้านความปลอดภัยทางไซเบอร์อย่าง PRODAFT มีการแชร์ข้อมูล IOC ของ LockBit Green พร้อมกับส่งไฟล์ตัวอย่าง และระบุในรายงานกับ BleepingComputer ว่ามีเป้าหมายมากกว่า 5 รายที่ถูกโจมตีโดย LockBit Green แล้ว
หลังจากได้รับไฟล์ตัวอย่างจาก PRODAFT ทีมงาน BleepingComputer ได้ทดสอบไฟล์ดังกล่าว พบว่าไฟล์เรียกค่าไถ่ได้ถูกแก้ไขรายละเอียดจาก Conti ให้มาเป็นของ LockBit 3.0 แล้ว

อย่างไรก็ตาม การเปลี่ยนแปลงที่เห็นได้ชัดสุดคือ LockBit Green จะใช้ extension แบบสุ่ม แทนที่จะใช้ .lockbit แบบเวอร์ชั่นเก่า

IOC

ที่มา : bleepingcomputer

Conti ransomware ยุติปฏิบัติการ เพื่อรีแบรนด์กลุ่มให้เล็กลง

กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป

ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน

แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม

ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”

(more…)

Shutterfly พบข้อมูลรั่วไหลหลังจากถูกโจมตีโดย Conti ransomware

แพลตฟอร์มขายภาพถ่ายออนไลน์ Shutterfly ยอมรับว่ามีข้อมูลของพนักงานรั่วไหล ระหว่างการโจมตีของ Conti ransomware

Shutterfly นั้นให้บริการกับลูกค้าผ่านแบรนด์ต่างๆ รวมถึง Shutterfly.

แบบฟอร์มติดต่อบนเว็บไซต์ขององค์กร ถูกใช้ในการแพร่กระจายมัลแวร์ BazarBackdoor

มัลแวร์ BazarBackdoor กำลังแพร่กระจายผ่านแบบฟอร์มการติดต่อของเว็บไซต์ขององค์กร แทนที่จะเป็นการใช้อีเมลฟิชชิ่งทั่วไป เพื่อหลบเลี่ยงการตรวจจับโดยซอฟต์แวร์ และอุปกรณ์ security

BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot และอยู่ระหว่างการพัฒนาโดยกลุ่ม Conti ransomware มัลแวร์นี้ช่วยให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ที่ยึดครองได้จากระยะไกล โดยมัลแวร์ BazarBackdoor มักจะแพร่กระจายผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบที่เป็นอันตราย เพื่อหลอกให้ดาวน์โหลด และติดตั้งมัลแวร์

แบบฟอร์มการติดต่อถูกใช้แทนอีเมล

ในรายงานฉบับใหม่จาก Abnormal Security นักวิเคราะห์อธิบายว่าแคมเปญใหม่เริ่มต้นในเดือนธันวาคม 2564 โดยกำหนดเป้าหมายไปยังเหยื่อที่เป็นองค์กรด้วย BazarBackdoor โดยใช้ Cobalt Strike หรือ ransomware payloads

แทนที่จะส่งอีเมลฟิชชิ่งไปยังเป้าหมาย ผู้โจมตีจะใช้แบบฟอร์มการติดต่อขององค์กรก่อนเพื่อเริ่มการติดต่อ ตัวอย่างเช่น ในกรณีหนึ่ง นักวิเคราะห์ของ Abnormal พบผู้โจมตีปลอมตัวเป็นพนักงานในบริษัทก่อสร้างของแคนาดาเพื่อขอใบเสนอราคาจัดหาผลิตภัณฑ์ หลังจากที่พนักงานตอบกลับอีเมลข้างต้นแล้ว ผู้โจมตีจะทำการส่งไฟล์ ISO ที่เป็นอันตรายกลับไป

เนื่องจากการส่งไฟล์เหล่านี้โดยตรงจะถูกตรวจจับได้จากอุปกรณ์ security ซึ่งจะทําให้เกิดการแจ้งเตือนด้านความปลอดภัย ผู้โจมตีจึงใช้บริการแชร์ไฟล์เช่น TransferNow และ WeTransfer แทน ตามข้อมูลที่แสดงด้านล่าง

Hiding BazarLoader

ใน ISO ไฟล์ ประกอบไปด้วย .lnk file และ .log file ซึ่งเป็นความพยายามในการหลบเลี่ยงการตรวจจับของ Antivirus โดยการ packing ที่ payloads ไว้ในไฟล์ ISO และให้ผู้ใช้ดึงข้อมูลออกมาด้วยตนเอง

โดย .lnk file มีคำสั่งที่ใช้สำหรับการเปิด terminal window โดยใช้ Windows binaries บนเครื่อง และโหลด .log file ซึ่งที่จริงแล้วเป็น BazarBackdoor DLL

เมื่อ backdoor ถูกโหลดแล้วจะถูกซ่อนตัวอยู่ใน process svchost.

CISA อัพเดท IOC ของ Conti ransomware เพิ่มเกือบ 100 Domain

US Cybersecurity and Infrastructure Security Agency (CISA) ได้อัปเดตการแจ้งเตือน IOC ของ Conti ransomware ซึ่งประกอบด้วยชื่อโดเมนเกือบ 100 ชื่อที่ทางกลุ่มใช้ในการดำเนินการที่ผ่านมา

การแจ้งเตือนเกี่ยวกับ Conti Ransomware ถูกเผยแพร่ครั้งแรกตั้งแต่วันที่ 22 กันยายน พ.ศ. 2564 โดยมีรายละเอียดที่ CISA และสำนักงานสืบสวนสหรัฐอเมริกา (FBI) ให้ข้อมูลรายละเอียดของการโจมตีจาก Conti ransomware ที่กำหนดเป้าหมายเป็นองค์กรต่างๆ ในสหรัฐอเมริกา ส่วนข้อมูลอัพเดทครั้งล่าสุดเป็นข้อมูลจาก US Secret Service

(more…)

กลุ่มแรนซัมแวร์เพิ่มกลยุทธ์การเรียกค่าไถ่ โดยการใช้บริการคอลเซ็นเตอร์โทรกดดันหาเหยื่อที่ถูกแฮก

Evgueni Erchov หัวหน้าทีม IR & Cyber ​​Threat Intelligence จาก Arete Incident Response ได้เปิดเผยถึงพฤติกรรมของกลุ่มแรนซัมแวร์ที่ได้ใช้กลยุทธ์ใหม่ในการกดดันและเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อ โดยใช้บริการคอลเซ็นเตอร์โทรหาเหยื่อที่ถูกแฮกและอาจพยายามกู้คืนระบบจากการสำรองข้อมูลและหลีกเลี่ยงการจ่ายค่าไถ่

พฤติกรรมดังกล่าวยังสอดคล้องตามรายงานของ Emsisoft และ Coveware ที่ได้เห็นเเนวโน้มกลยุทธ์ใหม่ในการเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อตั้งแต่อย่างน้อยเมื่อเดือนสิงหาคมที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่เคยโทรหาเหยื่อเพื่อข่มขู่เหยื่อในอดีตได้แก่กลุ่ม Sekhmet Ransomware, Maze Ransomware, Conti Ransomware และ Ryuk Ransomware

ตามรายงานของบริษัททั้ง 3 พบว่ากลุ่มคอลเซ็นเตอร์ที่โทรข่มขู่เหยื่อที่หลีกเลี่ยงการจ่ายค่าไถ่นั้นเป็นกลุ่มเดียวกับที่ทำงานให้กับกลุ่มแรนซัมแวร์ เนื่องจากมีเทมเพลตและสคริปต์ที่ใช้ในการติดต่อที่เหมือนกัน

ทั้งนี้บริษัทหรือองค์กรต่างๆ ควรทำการตรวจสอบระบบความปลอดภัยภายในเครือข่ายและทำการอัปเดตซอฟต์แวร์ที่ใช้อยู่สม่ำเสมอ เพื่อเป็นการป้องกันกการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet