นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer

Europol, Eurojust และความร่วมมือของหน่วยงานราชการในหลายประเทศได้มีการเปิดเผยผลการดำเนินการเพื่อจัดการกับหนึ่งกลุ่มมัลแวร์ที่อันตรายที่สุดในโลก "Emotet" ซึ่งมีการแพร่กระจายอยู่ทั่วโลก มัลแวร์ Emotet ถูกใช้ในการขโมยข้อมูลรวมไปถึงแพร่กระจายมัลแวร์ในปฏิบัติการอื่นๆ ด้วย

ผลจากการดำเนินการร่วมกัน ตำรวจไซเบอร์ของยูเครนได้ประกาศการจับกุมผู้ต้องหาสองคนในยูเครนจากหลักฐานที่บ่งชี้ให้เห็นว่าผู้ต้องหาทั้งสองคนนั้นมีส่วนเกี่ยวข้องกับโครงข่ายของมัลแวร์ Emotet ที่ใช้สำหรับการควบคุมและแพร่กระจายซึ่งมีอยู่ทั่วโลก ผู้ต้องหาทั้งสองคนจะถูกตัดสินจำคุกเป็นเวลา 12 ปีตามความผิดที่เกิดขึ้น (วีดิโอการเข้าตรวจสอบที่พักของผู้ต้องสงสัยสามารถดูได้ที่ : BLOmClsSpc)

นอกเหนือจากการเข้าจับกุมแล้ว ทางการฯ จะทำการเข้าควบคุมเครือข่ายของมัลแวร์ Emotet เพื่อทำการสั่งการให้มีการถอนการติดตั้งมัลแวร์ Emotet ที่ถูกติดตั้งอยู่ทั่วโลกจากเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุมผ่านการส่งโมดูลของมัลแวร์ใหม่เข้าไป โมดูลดังกล่าวนี้จะทำการถอนการติดตั้งมัลแวร์ในวันที่ 25 เมษายนนี้ และถือเป็นการปิดฉากหนึ่งในสายพันธุ์มัลแวร์ที่มีความอันตรายมากที่สุดสายพันธุ์หนึ่งของโลกอย่างสมบูรณ์แบบ

ที่มา: bleepingcomputer | bleepingcomputer

James Quinn จาก Binary Defense ได้ออกมาเปิดเผยถึงปฏิบัติการการโจมตีกระบวนการแพร่กระจายของมัลแวร์ Emotet โดยการโจมตีช่องโหว่ Buffer overflow ในกระบวนการติดตั้งของมัลแวร์ซึ่งส่งผลให้มัลแวร์ล้มเหลวที่จะทำงานต่อและทำให้กระบวนการแพร่กระจายของมัลแวร์ Emotet ในถูกชะลอลงไปได้กว่า 6 เดือน

มัลแวร์ Emotet เป็นหนึ่งในมัลแวร์ตระกูล Botnet ซึ่งมีอัตราการแพร่กระจายสูงสุดสายพันธุ์หนึ่งของโลก โดยหากผู้ควบคุมมัลแวร์ Emotet สามารถใช้มัลแวร์เป็นช่องทางในการขโมยข้อมูลระบบหรือใช้ในการติดตั้งมัลแวร์สายพันธุ์อื่นๆ เข้าไปเพิ่มเติมได้

ช่องโหว่ที่ James Quinn ค้นพบนั้นเป็นช่องโหว่ Buffer overflow ง่ายๆ ในกระบวนการติดตั้งลงในระบบของมัลแวร์ Emotet โดยการโจมตีช่องโหว่ดังกล่าวสามารถทำได้เพียงแค่ใช้สคริปต์ PowerShell ในการแก้ไขค่าซึ่งเกี่ยวข้องกับการตั้งค่ารีจิสทรีที่มัลแวร์ Emotet จะเข้าไปดำเนินการ ส่งผลให้เกิดลักษณะของการทำ Killswitch และทำให้มัลแวร์ไม่สามารถติดตั้งในระบบได้

ช่องโหว่นี้ถูกแพร่กระจายอย่างลับๆ ระหว่างหน่วยงาน CERT และกลุ่ม Cybersecurity เพื่อป้องกันคนร้ายรู้ตัว โดยช่องโหว่ดังกล่าวถูกนำมาใช้ตั้งแต่ช่วงวันที่ 6 กุมภาพันธ์จนถึงวันที่ 5 สิงหาคมที่ผ่านมา ทั้งนี้ช่องโหว่นี้ในปัจจุบันไม่สามารถใช้หยุดการแพร่กระจายได้แล้วเนื่องจากผู้พัฒนามัลแวร์ได้มีการแก้ไขโค้ดซึ่งส่งผลให้ช่องโหว่ดังกล่าวถูกปิดลง

อ่านบทวิเคราะห์ฉบับเต็มจาก Binary Defense ได้ที่: https://www.

พบ Emotet สายพันธุ์ใหม่แพร่กระจายผ่าน WiFi

Emotet ตัวใหม่ถูกพบว่าสามารถกระจายผ่านการเชื่อมต่อ WiFi นอกเหนือจากการแพร่ผ่านอีเมลอย่างที่เคยทำในอดีต นักวิจัยจาก Binary Defense ระบุ Emotet ใช้ประโยชน์จาก wlanAPI interface ในการแพร่กระจายไปยังอุปกรณ์ที่เชื่อมต่อกับเครือข่าย WiFi ที่ไม่ปลอดภัย

Emotet ถูกค้นพบ Trend Micro ในชื่อ TrojanSpy.

Emotet หนึ่งในบอทเน็ตมัลแวร์ที่อันตรายและใหญ่ที่สุดในวันนี้กลับมามีชีวิตอีกครั้งหลังจากที่ไม่พบการใช้งานนานเกือบสี่เดือนนับตั้งแต่สิ้นเดือนพฤษภาคมปีนี้

ณ ช่วงเวลานั้นเซิร์ฟเวอร์ควบคุมของมัน (C&C) ถูกปิดตัวลง ทำให้ Emotet หยุดทำงานและหยุดแพร่เชื้อ โดยนักวิจัยบางคนเชื่อว่าเซิร์ฟเวอร์ควบคุมถูกปิดด้วยฝีมือเจ้าหน้าที่รัฐ แต่กลับไม่เป็นเช่นนั้น

ในวันที่ 16 กันยายน 2019 พบการส่งอีเมลแพร่เชื่อจาก Emotet โดย Raashid Bhat นักวิจัยด้านความปลอดภัยที่ SpamHaus บอกกับ ZDNet ว่า อีเมลดังกล่าวจะมีไฟล์แนบที่เป็นอันตรายหรือลิงก์ไปยังมัลแวร์ ปล่อยออกจากเซิร์ฟเวอร์ Emotet และมุ่งเป้าไปที่ผู้ใช้ภาษาโปแลนด์และเยอรมันเป็นหลัก

เมื่อผู้ใช้หลงเชื่อเปิดไฟล์แนบอันตรายหรือดาวน์โหลดมัลแวร์ ผู้ใช้จะติดเชื้อ Emotet จากนั้น Emotet จะดาวน์โหลดมัลแวร์ตัวอื่นๆ มาต่อไป ทั้งนี้ Emotet เป็นที่รู้จักกันดีในเรื่องการขโมยรหัสผ่าน แพร่ไปยังเครื่องอื่นๆ ในวงเน็ตเวิร์คเดียวกัน และขโมยอีเมลเพื่อแพร่เชื้อต่อ

นอกจากนี้ผู้อยู่เบื้องหลัง Emotet ว่าทำกิจการ Malware-as-a-Service (MaaS) คือให้ผู้โจมตีรายอื่นๆ สามารถเช่า Emotet เพื่อแพร่เชื้อมัลแวร์ของตัวเอง ตัวอย่างลูกค้าที่ว่าคือกลุ่มเบื้องหลัง Bitpaymer และ Ryuk ransomware นั่นเอง

ลูกค้าที่เป็นที่รู้จักมากที่สุดของ Emotet คือผู้ให้บริการของ Bitpaymer และ Ryuk ransomware ซึ่งมักจะเช่าการเข้าถึงโฮสต์ที่ติดเชื้อของ Emotet เพื่อเข้าถึงเครือข่ายองค์กรหรือรัฐบาลท้องถิ่นด้วยสายพันธุ์ ransomware

ทั้งนี้สามารถติดตาม IOCs ล่าสุดของ Emotet ได้จาก https://twitter.