ตำรวจเกาหลีใต้ประกาศการเข้าจับกุมผู้ต้องสงสัยวัย 20 ปีเมื่อช่วงต้นเดือนที่ผ่านมาหลังจากพบหลักฐานซึ่งบ่งชี้ว่าผู้ต้องสงสัยคนนี้มีส่วนเกี่ยวข้องกับการแพร่กระจายมัลแวร์เรียกค่าไถ่ Gandcrab ผ่านการใช้บริการ Ransomware-as-a-Service เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ผ่านทางอีเมลกับเป้าหมายในประเทศเกาหลีใต้ กระบวนการสืบสวนถูกดำเนินการผ่านการติดตามลักษณะธุรกรรมของ cryptocurenncy ที่มีการเชื่อมโยงกับบัญชีธนาคารจริง

จากการตรวจสอบ ผู้ต้องสงสัยรายนี้มีพฤติกรรมในการส่งอีเมลกว่า 6,500 ฉบับในช่วงระหว่างเดือนกุมภาพันธ์ถึงเดือนมิถุนายน 2019 โดยปลอมแปลงเอกสารทางราชการในลักษณะต่าง ๆ พร้อมกับแนบไฟล์ของมัลแวร์ Gandcrab เมื่อกระบวนการเข้ารหัสเสร็จสิ้น มัลแวร์เรียกค่าไถ่จะเรียกเงินค่าไถ่เป็นจำนวนประมาณ 1,300 ดอลลาร์สหรัฐฯ หรือประมาณ 40,000 บาทในสกุลบิทคอยน์ การติดตามการโจมตีพบผู้เสียหายแล้วกว่า 120 ราย

แม้ลักษณะการส่งอีเมลเป็นจำนวนมาก ทางหน่วยงานเกาหลีกล่าวว่าผู้ต้องสงสัยทำเงินจากปฏิบัติการได้เพียงแค่ 12 ล้านวอน หรือประมาณ 320,000 บาทเท่านั้น เนื่องจากเขาจะได้รับเงินจากการจ่ายค่าไถ่เพียงแค่ 7% จากมูลค่าทั้งหมดที่ถูกจ่ายผ่านบริการ Ransomware-as-a-Service

ที่มา: therecord

Cisco Talos พบการกลับมาใช้งาน China Chopper อีกครั้ง ในเลบานอนและประเทศอื่นๆ ในเอเชีย

เครื่องมือการแฮกอย่าง web shell ที่รู้กันในนาม China Chopper พบครั้งแรกเมื่อเก้าปีที่แล้วและถูกใช้โดยกลุ่มที่เกี่ยวข้องกับการแฮกที่ได้รับการสนับสนุนจากรัฐบาลจีน ถูกพบการกลับมาใช้งานอีกครั้ง web shell คือสคริปต์ที่ยอมให้ผู้โจมตีควบคุมการเข้าถึงเซิฟเวอร์ที่ทำงานบนเว็บแอปพลิเคชัน การใช้ช่องโหว่นี้มักไม่สามารถตรวจพบได้

“China Chopper คือ web shell ที่แนบเนียนโดยไม่ได้รับความสนใจมากนัก” นักวิจัย FireEye กล่าวในปี 2013 โดยจาก China Chopper เวอร์ชั่นที่ Cisco Talos พบในปัจจุบันใช้โค้ดเพียง 1 บรรทัด

แม้จะซ่อนตัวอย่างแนบเนียน แต่ก็พบการใช้งานหลายครั้งในช่วงหลายปีที่ผ่านมา China Chopper ถูกใช้ไปในวงกว้างและจำนวนผู้ไม่หวังดีที่ใช้มันก็มีโอกาสจะเพิ่มขึ้นเรื่อยๆ ในระยะสองปีให้หลัง

Cisco Talos ยกตัวอย่างการใช้ China Chopper สามเคส ซึ่งน่าจะเกิดจากกลุ่มคนละกลุ่ม
* แคมเปญแรกที่มีเป้าหมายเป็นองค์กรของรัฐบาลเอเชียเพื่อขโมยเอกสารและสำเนาดาต้าเบสโดยการติดตั้ง China Chopper บนเว็บเซิฟเวอร์ไม่กี่ตัว
* ในแคมเปญที่สองที่เผยให้ทราบว่ามีผู้โจมหลายคน ransomware หลายตัว รวมถึง Sodinokibi และ GandCrab ที่ถูกใช้โดยมีเป้าหมายเป็นองค์กรในเลบานอน การโจมตีในกรณีนี้จะขโมยรหัสผ่านบางตัวใน local memory และใช้ remote access tool อย่าง Gh0stRAT และ Venom
* แคมเปญที่สามในสองปีที่ผ่านมา ได้ระบุเป้าหมายเป็นผู้ให้บริการเว็บโฮสต์ในเอเชีย และทำการบุกรุกวินโดว์เซิฟเวอร์นานกว่าสิบเดือน

นักวิจัยหลายคนได้เชื่อมโยงการโจมตีของ China Chopper ก่อนหน้านี้กับแฮกเกอร์ชาวจีน แต่ Talos คิดว่ามันไม่สอดคล้องกับแคมเปญล่าสุด

นักวิจัย Cybereason ได้ระบุว่า China Chopper ในปีที่ผ่านมา ได้ถูกใช้ในเชิง “การโจมตีถาวรแบบขั้นสูง” ในการต่อต้านผู้ให้บริการโทรคมนาคมที่ใช้เครื่องมือและเทคนิคโดยเกี่ยวข้องกับผู้ไม่หวังดีชาวจีน เช่น APT10

ผู้ที่มีรัฐหนุนหลังมีความเชื่อมโยงกับชาวจีน เช่น กลุ่ม cyber-espionage Leviathan หรือ Threat Group-3390 มักจะใช้ China Chopper ตามที่ MITRE กล่าว Leviathan กลุ่มที่นักวิจัย FireEye ใน APT40 โดย FireEye คาดการณ์ว่าเหล่าสมาชิกผู้ก่อการร้ายนี้เป็นผู้ขับเคลื่อนความสามารถของกองทัพเรือจีนให้ทันสมัย

web shell นี้แพร่หลาย จึงทำให้ผู้ไม่หวังดีกลุ่มไหนก็ใช้มันได้ นี่หมายความว่าแทบเป็นไปไม่ได้เลยที่จะระบุว่ากลุ่มไหนโจมตีโดยอ้างจากการใช้ China Chopper เท่านั้น ซึ่งจากการ forensic ระบุว่ามีการใช้คำสั่ง RAR ที่เจาะจงในการโจมตี ทำให้ Talos เชื่อว่าการพบการใช้งาน China Chopper ในครั้งนี้แตกต่างจากกลุ่มที่เคยพบมาก่อนอย่างแฮกเกอร์ชาวจีน

ที่มา:cyberscoop

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet