Ramsomware Group REvil จากรัสเซียกลับมาออนไลน์อีกครั้งหลังจากหายไป 2 เดือน

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

บริษัทเกมชื่อดัง CD Projekt Red ถูกมัลแวร์เรียกค่าไถ่ HelloKitty ลั่นไม่หนี! ไม่หาย! ไม่จ่าย! เดี๋ยวกู้จากแบ็คอัพเอา!

บริษัทเกมชื่อดัง CD Projekt Red ผู้ผลิตเกมชื่อดังอย่าง Cyberpunk 2077 ออกมาประกาศว่าบริษัทตกเป็นเหยื่อล่าสุดของการโจมตีแบบพุ่งเป้าโดยมัลแวร์เรียกค่าไถ่ โดยผู้โจมตีได้เข้าถึงระบบภายใน เก็บและโอนถ่ายข้อมูลบางส่วนออก จากนั้นทำการเข้ารหัสข้อมูลส่วนที่เหลือพร้อมกับเรียกค่าไถ่

เคสการโจมตี CD Projekt Red นับว่าเป็นกรณีศึกษาที่ดีมากกรณีหนึ่ง เนื่องจากทางบริษัทได้มีการทำแบ็คอัพระบบเอาไว้เสมอ และแบ็คอัพดังกล่าวนั้นไม่ได้รับผลกระทบจากการโจมตี ทางบริษัทจึงมีแผนที่จะไม่จ่ายค่าไถ่และกู้คืนระบบขึ้นมาจากแบ็คอัพโดยทันที นอกจากนั้น CD Projekt Red ยังได้มีการออกแถลงการณ์อย่างเป็นทางการ และให้ข้อมูลเกี่ยวกับการโจมตีซึ่งรวมไปถึงโน้ตเรียกค่าไถ่ที่ผู้โจมตีทิ้งเอาไวด้วย

จากข้อมูลที่เผยแพร่โดย CD Projekt Red นักวิจัยด้านความปลอดภัย Fabian Wosar จาก Emsisoft ได้เชื่อมโยงข้อมูลดังกล่าวและพบความสอดคล้องกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ใช้ชื่อว่า HelloKitty ซึ่งเริ่มมีปฏิบัติการตั้งแต่เดือนพฤศจิกายนปีที่แล้ว เป็นต้นมา กลุ่ม HelloKitty ยังเคยทำการโจมตีบริษัทด้านพลังงานสัญชาติบราซิลอย่าง CEMIG ด้วย

ในขณะนี้ข้อมูลเกี่ยวกับผู้โจมตีและภัยคุกคามยังมีเพียงแค่ส่วนที่เป็นมัลแวร์เรียกค่าไถ่ ยังไม่ปรากฎข้อมูลเพิ่มเติมว่าผู้โจมตีมีพฤติกรรมการโจมตีอย่างไรบ้างจนสามารถรันมัลแวร์เรียกค่าไถ่ได้ในท้ายที่สุด ขอให้ติดตามการอัปเดตข้อมูลในอนาคตต่อไป

ผลจากการโจมตี CD Projekt Red เริ่มทำให้มีผู้แอบอ้างว่าได้ครอบครองข้อมูลจากการโจมตีบริษัทฯ และพร้อมจะนำมาเปิดประมูลขายให้กับผู้ให้ราคาสูงสุด ทั้งนี้ยังไม่มีการประกาศขายหรือการประมูลใดที่มีข้อมูลยืนยันและน่าเชื่อมากพอว่าผู้ที่ประกาศขายนั้นมีการครอบครองข้อมูลจริง

ที่มา: twitter, facebook, bleepingcomputer, securityweek, theregister, threatpost, zdnet, bleepingcomputer, twitter

บริษัทผู้ผลิตโซลูชันป้องกันมัลแวร์ Emsisoft คอนฟิกระบบผิด ข้อมูลในฐานข้อมูลสำหรับใช้ทดสอบระบบรั่วไหล

Emsisoft ประกาศเมื่อสัปดาห์ที่ผ่านมาว่าทางบริษัทได้มีการตรวจสอบการตั้งค่าที่ผิดพลาดในฐานข้อมูล ซึ่งในส่วนระบบที่ใช้สำหรับประเมินประสิทธิภาพผลิตภัณฑ์และทดสอบ บันทึกการใช้งานตรวจพบการเข้าถึงบางส่วนของฐานข้อมูลแต่ไม่สามารถยืนยันได้ว่ามีข้อมูลมากน้อยแค่ไหนที่ถูกเข้าถึงไปบ้าง

ในการตรวจสอบเบื้องต้น ฐานข้อมูลดังกล่าวถูกติดตั้งผิดพลาดไว้ตั้งแต่วันที่ 18 มกราคม จนถึงวันที่ 3 กุมภาพันธ์ ซึ่งเป็นช่วงเวลาที่การตั้งค่าผิดพลาดนั้นถูกตรวจพบ การตรวจสอบพบว่าในฐานข้อมูลดังกล่าวนั้นมีข้อมูลส่วนบุคคลเฉพาะในลักษณะที่เป็นอีเมลทั้งหมด 14 รายการ จาก 7 องค์กร/บริษัท ที่แตกต่างกันออกไป

ข้อมูลในส่วนอื่นซึ่งคาดว่าได้รับผลกระทบนั้น ได้ว่า Technical log ซึ่งเกิดจากการทำงานของโซลูชัน Endpoint protection ของ Emsisoft เองซึ่งไม่มีข้อมูลส่วนบุคคลประกอบอยู่ รวมไปถึงไม่มีข้อมูลใด ๆ เกี่ยวกับลูกค้าหรือผู้ใช้งาน การตรวจสอบเหตุการณ์ไม่พบหลักฐานที่ยืนยันการโจมตีดังกล่าวตั้งใจพุ่งเป้ามาที่บริษัท และไม่พบผลกระทบต่อระบบ Production

Emsisoft ได้มีการประสานงานกับผู้ได้รับผลกระทบและดำเนินการเสริมความปลอดภัยตามความเหมาะสมแล้ว

ที่มา: securityweek

Ziggy Ransomware ประกาศปิดระบบและจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัย M. Shahpasandi ได้เปิดเผยถึงความเคลื่อนไหวล่าสุดจากผู้ดูแลระบบ Ziggy Ransomware ซึ่งได้ทำการประกาศผ่านทาง Telegram ว่ากำลังปิดระบบการทำงานของ Ziggy Ransomware และจะปล่อยคีย์ถอดรหัสทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware กล่าวว่าพวกเขารู้สึกผิดเกี่ยวกับการกระทำและมีความกังวลเกี่ยวกับการดำเนินการบังคับใช้กฏหมายซึ่งเกิดขึ้นแล้วกับ Emotet และ Netwalker Ransomware เป็นเหตุให้ผู้ดูแลระบบจึงตัดสินใจปิดระบบและปล่อยคีย์ทั้งหมดให้เเก่ผู้ที่ตกเป็นเหยื่อ

ผู้ดูแลระบบ Ziggy Ransomware ได้ทำการโพสต์ไฟล์ SQL ที่มีคีย์ถอดรหัสจำนวน 922 คีย์สำหรับเหยื่อที่ถูกเข้ารหัส ซึ่งไฟล์ SQL จะแสดงคีย์สามคีย์ที่จำเป็นในการถอดรหัสไฟล์ นอกจากนี้ผู้ดูแลระบบแรนซัมแวร์ยังโพสต์ตัวถอดรหัสและซอร์สโค้ดสำหรับตัวถอดรหัสอื่นที่ทำให้สามารถสร้างซอฟต์แวร์ถอดรหัสแบบออฟไลน์ เพื่อถอดรหัสให้กับเหยื่อที่ติดไวรัสและไม่สามารถเชื่อมต่อกับอินเทอร์เน็ตหรือไม่สามารถเข้าถึงเซิร์ฟเวอร์ที่ดูแลควบคุมได้

ทั้งนี้ BleepingComputer ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อใช้ตัวถอดรหัสของบริษัทรักษาความปลอดภัยอย่าง Emsisoft แทนที่จะเป็นตัวถอดรหัสที่มาจากกลุ่ม Ziggy Ransomware เพื่อ ป้องกันมัลแวร์อื่น ๆ เช่นแบ็คดอร์ที่อาจเเฝงไว้กับตัวถอดรหัส

ที่มา: bleepingcomputer

กลุ่ม FonixCrypter Ransomware ประกาศหยุดการโจมตีและแจกจ่ายคีย์ถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสได้

กลุ่มอาชญากรรมทางไซเบอร์ที่อยู่เบื้องหลัง Fonix Ransomware ได้ประกาศหยุดปฏิบัติการโจมตีด้วย Fonix Ransomware และวางแผนจะแจกจ่ายมาสเตอร์คีย์ถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสได้ฟรี

Fonix Ransomware หรือที่รู้จักกันในชื่อ Xinof และ FonixCrypter ได้เริ่มปฏิบัติการการโจมตีด้วย Fonix Ransomware ในเดือนมิถุนายน 2020 และได้เข้ารหัสเหยื่ออย่างต่อเนื่อง แต่การดำเนินการโจมตีด้วย ransomware ไม่ได้เกิดในวงกว้างเหมือนอย่าง ransomware ตระกูลอื่น ๆ เช่น REvil, Netwalker หรือ STOP

การประกาศหยุดปฏิบัติโจมตีเกิดขึ้นโดยผู้ใช้ Twitter ผู้ที่อ้างว่าเป็นผู้ดูแลระบบ Fonix ransomware ได้ประกาศว่าจะหยุดปฏิบัติการโจมตีด้วย Fonix Ransomware โดยจะทำการลบข้อมูลทั้งหมดและจะเเจกจ่ายมาสเตอร์คีย์ถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ที่ถูกเข้ารหัสได้ฟรี

Michael Gillespie นักวิจัยด้านความปลอดภัยจาก Emsisoft ได้ทำการตรวจสอบมาสเตอร์คีย์ถอดรหัสที่ใช้ในการถอดรหัส Fonix Ransomware พบว่ามาสเตอร์คีย์ใช้งานได้กับ Fonix ransomware บางเวอร์ชันเท่านั้น

ทั้งนี้ Gillespie ได้แนะนำให้ผู้ที่ตกเป็นเหยื่อให้ทำการรอตัวถอดรหัสของ Emsisoft ก่อนแทนที่จะใช้คีย์ถอดรหัสที่มาจากกลุ่ม FonixCrypter ซึ่งอาจมีมัลแวร์อื่น ๆ เช่นแบ็คดอร์เเฝงไว้

ที่มา: zdnet, decrypterbleepingcomputer

พบกลุ่มแรนซัมแวร์ใหม่ที่มีชื่อว่า “Avaddon” กำลังใช้กลยุทธ์การโจมตี DDoS เพื่อกดดันให้เหยื่อจ่ายค่าไถ่

Brett Callow นักวิเคราะห์ภัยคุกคามของ Emsisoft ได้เผยเเพร่ถึงกลุ่มแรนซัมแวร์ Avaddon ที่ใช้กลยุทธ์การโจมตีแบบปฏิเสธการให้บริการ (Distributed Denial of Service - DDoS) เพื่อบังคับให้เหยื่อทำการติดต่อและเจรจาเรื่องค่าไถ่

ตามรายงานที่เปิดเผยพบว่าในเดือนตุลาคมปี 2020 พบกลุ่มปฏิบัติการแรนซัมแวร์ SunCrypt และ RagnarLocker ได้เริ่มใช้การโจมตีแบบ DDoS กับเครือข่ายหรือเว็บไซต์ของเหยื่อที่ถูกเข้ารหัส ซึ่งเป็นกลยุทธ์ใหม่ในการบังคับให้เหยื่อเปิดการเจรจาจ่ายค่าไถ่

โดยปกติแล้วผู้ที่ตกเป็นเหยื่อการโจมตีด้วยแรนซัมแวร์จำนวนมากจะกู้คืนจากการสำรองข้อมูลและจะไม่ทำการติดต่อผู้โจมตี อย่างไรก็ตามนักวิเคราะห์ภัยคุกคามได้พบกลุ่มแรนซัมแวร์ Avaddon ได้ใช้การโจมตี DDoS เพื่อทำลายเว็บไซต์หรือเครือข่ายของเหยื่อจนกว่าเหยื่อจะติดต่อพวกเขาและเริ่มเจรจา

Callow กล่าวอีกว่าไม่น่าแปลกใจเลยที่เห็นกลุ่มแรนซัมแวร์พยายามรวมเอาการโจมตีแรนซัมแวร์และการโจมตี DDoS เข้าด้วยกัน เนื่องจากในบางกรณีอาจช่วยโน้มน้าวให้บางบริษัทที่ตกเป็นเหยื่อเชื่อว่าการจ่ายเงินอย่างรวดเร็วเป็นทางเลือกที่ดีที่สุด

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบระบบของท่านอยู่เป็นประจำ ทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดและควรใช้อุปกรณ์ในการตรวจจับเหตุการ์ต่าง ๆ เพื่อเป็นการป้องกันการตกเป็นเป้าหมายของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

กลุ่มแรนซัมแวร์เพิ่มกลยุทธ์การเรียกค่าไถ่ โดยการใช้บริการคอลเซ็นเตอร์โทรกดดันหาเหยื่อที่ถูกแฮก

Evgueni Erchov หัวหน้าทีม IR & Cyber ​​Threat Intelligence จาก Arete Incident Response ได้เปิดเผยถึงพฤติกรรมของกลุ่มแรนซัมแวร์ที่ได้ใช้กลยุทธ์ใหม่ในการกดดันและเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อ โดยใช้บริการคอลเซ็นเตอร์โทรหาเหยื่อที่ถูกแฮกและอาจพยายามกู้คืนระบบจากการสำรองข้อมูลและหลีกเลี่ยงการจ่ายค่าไถ่

พฤติกรรมดังกล่าวยังสอดคล้องตามรายงานของ Emsisoft และ Coveware ที่ได้เห็นเเนวโน้มกลยุทธ์ใหม่ในการเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อตั้งแต่อย่างน้อยเมื่อเดือนสิงหาคมที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่เคยโทรหาเหยื่อเพื่อข่มขู่เหยื่อในอดีตได้แก่กลุ่ม Sekhmet Ransomware, Maze Ransomware, Conti Ransomware และ Ryuk Ransomware

ตามรายงานของบริษัททั้ง 3 พบว่ากลุ่มคอลเซ็นเตอร์ที่โทรข่มขู่เหยื่อที่หลีกเลี่ยงการจ่ายค่าไถ่นั้นเป็นกลุ่มเดียวกับที่ทำงานให้กับกลุ่มแรนซัมแวร์ เนื่องจากมีเทมเพลตและสคริปต์ที่ใช้ในการติดต่อที่เหมือนกัน

ทั้งนี้บริษัทหรือองค์กรต่างๆ ควรทำการตรวจสอบระบบความปลอดภัยภายในเครือข่ายและทำการอัปเดตซอฟต์แวร์ที่ใช้อยู่สม่ำเสมอ เพื่อเป็นการป้องกันกการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet

 

Emsisoft ปล่อยเครื่องมือถอดรหัสให้ผู้ที่ติด STOP Ransomware กู้คืนไฟล์ได้ฟรี

 

Emsisoft ผู้ผลิตโปรแกรม Antivirus ได้เปิดเผยโปรแกรมถอดรหัสไฟล์ให้กับผู้ที่ติดเชื้อมัลแวร์เรียกค่าไถ่ STOP ทำให้สามารถถอดรหัสและกู้คืนไฟล์ได้ฟรี ทั้งนี้เครื่องมือดังกล่าวสามารถถอดรหัสของมัลแวร์ตระกูล STOP ได้ 148 สายพันธุ์จากทั้งหมด 160 สายพันธุ์

มัลแวร์เรียกค่าไถ่ STOP เป็นมัลแวร์เรียกค่าไถ่ที่ถูกพบมากที่สุดจากสถิติที่ Emsisoft รวบรวมมาในช่วงไตรมาสที่ 2 ถึง ไตรมาสที่ 3 ของปี 2019 นับจากจำนวนผู้ติดเชื้อที่ยืนยันแล้ว 116,000 ราย และคาดการณ์ว่ามีผู้ติดเชื้อทั้งหมดจริงๆ ประมาณ 460,000 ราย

Emsisoft ระบุว่า STOP Ransomware ได้แพร่กระจายผ่านโปรแกรม Crack ที่อัปโหลดไว้บนเว็บไซต์เถื่อนให้ดาวน์โหลดฟรี

จากที่สามารถถอดรหัสได้ 148 สายพันธุ์จากทั้งหมด 160 สายพันธุ์ Emsisoft ระบุว่าเครื่องมือน่าจะช่วยเหลือเหยื่อให้กู้คืนไฟล์ได้ฟรีประมาณ 70% ของเหยื่อทั้งหมด โดยแนะนำให้ผู้ที่ติดเชื้อสายพันธุ์ที่ยังไม่มีตัวถอดรหัสสำรองข้อมูลไว้ เผื่อในอนาคตอาจมีระบบที่สามารถถอดรหัสไฟล์เหล่านั้นได้

สามารถดาวน์โหลดเครื่องมือถอดรหัสรวมถึงศึกษาวิธีใช้ได้จาก https://www.

Avast and Emsisoft release free decrypters for BigBobRoss ransomware

Avast และ Emsisoft ปล่อยตัวถอดรหัสฟรีสำหรับ BigBobRoss ransomware

Avast และ Emsisoft บริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่รู้จักกันดีในเรื่องผลิตภัณฑ์ป้องกันไวรัส ได้ปล่อยตัวถอดรหัสที่ไม่เสียค่าใช้จ่าย ซึ่งจะสามารถช่วยเหลือผู้ที่ตกเป็นเหยื่อของ BigBobRoss ransomware ให้กู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามาถดาวน์โหลด decrypters ได้จากเว็บไซต์ Avast และ Emsisoft

Michael Gillespie นักวิจัยด้านความปลอดภัยของ Emsisoft บอกว่าการพบ BigBobRoss ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 มกราคม เมื่อเหยื่อบางรายพยายามระบุชนิด ransomware ผ่าน ID-Ransomware ซึ่งเป็นบริการที่ Gillespie สร้างขึ้นเมื่อหลายปีก่อน เพื่อช่วยให้เหยื่อสามารถระบุชนิดของ ransomware

Gillespie กล่าวว่าเขาได้รับ 35 ตัวอย่างจากผู้ใช้ใน 6 ประเทศ ซึ่งต่อมาถูกระบุว่าเป็นผู้ตกเป็นเหยื่อ BigBobRoss ซึ่งไม่ใช่เหยื่อทุกรายจะรู้จักบริการ ID-Ransomware ดังนั้นจำนวนของผู้ตกเป็นเหยื่อ BigBobRoss น่าจะมีจำนวนมากกว่านั้น

แต่ยังไม่ชัดเจนว่า BigBobRoss ดำเนินการแพร่กระจาย ransomware หรือทำให้เหยื่อติดเชื้อด้วยช่องทางใด

นอกจากการใช้บริการ ID-Ransomware แล้ว ผู้ที่ตกเป็นเหยื่อยังสามารถตรวจสอบได้ด้วยตนเองว่าติด BigBobRoss หรือไม่ โดยเมื่อเหยื่อติด BigBobRoss ไฟล์ส่วนใหญ่จะถูกเข้ารหัสและเปลี่ยนนามสกุลไฟล์เป็น ".obfuscated"

ผู้ใช้งานสามารถลดความเสี่ยงจากการจ่ายเงินค่าไถ่ ได้ด้วยการสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อให้สามารถเรียกคืนข้อมูลได้เมื่อติด ransomware โดยไม่ต้องจ่ายเงินค่าไถ่

ที่มา: www.