ธนาคารกลางแห่งชาติแซมเบียถูกโจมตีจาก Ransomware แต่ธนาคารตัดสินใจไม่ยอมจ่ายค่าไถ่ ด้วยการส่งรูปอวัยวะเพศตอบโต้กลับไปให้แฮ็กเกอร์แทน

หลังจากถูกโจมตีด้วย Hive ransomware ธนาคารกลางแห่งชาติแซมเบียได้ปฏิเสธอย่างชัดเจนว่าพวกเขาจะไม่ยอมจ่ายเงินค่าไถ่ให้กับแฮ็กเกอร์ ด้วยการโพสต์ภาพอวัยวะเพศชายตอบกลับไปยังแฮ็กเกอร์ โดยเมื่อสัปดาห์ที่ผ่านมา Bank of Zambia ซึ่งเป็นธนาคารกลางของประเทศ ออกมาเปิดเผยว่าเหตุที่ระบบธนาคารขัดข้องครั้งล่าสุดนั้นเป็นผลมาจากการถูกโจมตีทางไซเบอร์

ธนาคารแถลงข่าวเปิดเผยว่า “ธนาคารแห่งแซมเบียมีความประสงค์ที่จะแจ้งให้ประชาชนทราบว่าธนาคารประสบปัญหาแอปพลิเคชันหยุดชะงักบางส่วน ในวันจันทร์ที่ 9 พฤษภาคม พ.ศ. 2565"
การหยุดชะงักซึ่งส่งผลกระทบต่อบางระบบของธนาคาร เช่น ระบบ Bureau De Change Monitoring และเว็บไซต์บางส่วนของธนาคาร ซึ่งเกิดจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งขอยืนยันว่าระบบเหล่านี้ได้รับการกู้คืนกลับมาให้สามารถใช้งานได้ตามปกติเรียบร้อยแล้ว

ข้อความตอบกลับ

แม้ว่า Bank of Zambia จะไม่ได้เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ แต่ BleepingComputer คาดว่าการโจมตีดังกล่าวถูกดำเนินการโดยกลุ่ม Hive ransomware ซึ่งอ้างว่าได้เข้ารหัสอุปกรณ์ Network Attached Storage (NAS) ของธนาคาร อย่างไรก็ตามแทนที่จะยอมจ่ายค่าไถ่ให้กับผู้โจมตี ตัวแทนของธนาคารได้ตอบโต้การเจรจาเรียกค่าไถ่กลับไปหาแฮ็กเกอร์ที่ชื่อว่า '14m3-sk1llz' ด้วยการโพสต์ลิงก์ไปยังรูปอวัยวะเพศชายแทน

การตอบกลับในรูปแบบนี้ทำให้นักวิจัยด้านความปลอดภัย MalwareHunterTeam โพสต์โพลสอบถามความคิดเห็นของผู้คนว่าภาพดังกล่าวเป็นข้อความจากเหยื่อเองจริงๆ หรือเป็นข้อความที่ถูกส่งโดยบางคนที่ต้องการป่วนในการเจรจาต่อรองการจ่ายค่าไถ่ ผลการสำรวจความคิดเห็นจากผู้ตอบแบบสอบถามส่วนใหญ่เชื่อว่ามาจากเหยื่อเป็นคนส่งเอง

(more…)

เว็ปไซต์บน TOR ของ REvil กลับมาออนไลน์อีกครั้ง เพื่อเปลี่ยนเส้นทางไปยังปฏิบัติการของแรนซัมแวร์ตัวใหม่

เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)

พบ Phishing แอบอ้างเป็น Microsoft โดยใช้บริการ Azure Static Web Apps

Static Web Apps เป็นบริการของ Microsoft Azure ที่นักพัฒนาสามารถใช้สำหรับสร้าง และให้บริการเว็บโฮสติ้งสำหรับเนื้อหาต่างๆบนเว็บเพจ

นักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam พบว่าฟีเจอร์ในการสร้าง branding และ web hosting สามารถทำให้ผู้โจมตีใช้เป็นหน้า landing pages ของฟิชชิ่งได้ เนื่องจาก static web apps จะได้รับ TLS certificate ที่ถูกต้องจาก wildcard domain .1.azurestaticapps.

แรนซัมแวร์ปลอมตัวเป็นเครื่องมือถอดแรนซัมแวร์เพื่อหลอกผู้ที่ต้องการถอดรหัสแรนซัมแวร์

 

 

MalwareHunterTeam ได้เปิดเผยถึงแรนซัมแวร์ชนิดใหม่ที่ชื่อ Zorab โดยแรนซัมแวร์ชนิดนี้มีจุดประสงค์เพื่อปลอมเป็นเครื่องมือถอดรหัสแรนซัมแวร์ที่ชื่อ STOP Djvu decryptor

STOP Djvu decryptor นั้นเป็นเครื่องมือถอดรหัสแรนซัมแวร์ตระกูล STOP Djvu ที่ถูกพัฒนาโดยบริษัท Emsisoft และ Michael Gillespie เพื่อใช้ในการถอดรหัสแรนซัมแวร์ STOP Djvu

เมื่อผู้ใช้ทำการใช้เครื่องมือถอดรหัสแรนซัมแวร์ STOP Djvu ปลอมแล้ว ตัวแรนซัมแวร์ที่แฝงอยู่ในเครื่องมือถอดรหัสจะทำการรัน Crab.

Discord client turned into a password stealer by updated malware

โทรจัน AnarchyGrabber3 รุ่นใหม่ปรับความสามารถในการขโมยบัญชี Discord

MalwareHunterteam ได้เผยถึงการค้นพบโทรจัน AnarchyGrabber3 เวอร์ชันใหม่ที่ได้รับการปรับปรุงให้มีความสามารถขโมยรหัสผ่านและโทเค็นของผู้ใช้รวมไปถึงทำการปิดการใช้งาน 2FA และสามารถกระจายมัลแวร์ไปยังเพื่อนของผู้ที่ตกเหยื่อ โดยการเเพร่กระจายโทรจัน AnarchyGrabber3 ใน Discord นั้นทำโดยการเเสร้งว่าเป็นซอฟต์แวร์เครื่องมือโกงเกม, บอทเกมหรือซอฟต์แวร์ที่มีลิขสิทธิ์

เมื่อติดตั้งซอฟต์แวร์แล้ว AnarchyGrabber3 ที่ถูกเเฝงมาจะทำการแก้ไขไฟล์ %AppData%\Discord\<version>\modules\discord_desktop_core\index.

BlackRouter Ransomware Promoted as a RaaS by Iranian Developer

Ransomware ที่เรียกว่า BlackRouter ได้ถูกค้นพบว่า ได้มีการเลื่อนขั้นเป็น Ransomware-as-a-service บน Telagram ซึ่งค้นพบโดยนักพัฒนาชาวอิหร่าน ก่อนหน้านี้ก็มีการกระจาย Ransomware อีกตัวที่มีชื่อเรียกว่า BlackRouter และส่งเสริมการติดเชื้ออื่นๆ เช่น RAT

BlackRouter นั้นถูกค้นพบครั้งแรกในเดือนพฤษภาคมปี 2018 และมีช่วงเวลาที่มีชื่อเสียงเมื่อ TrandMicro ค้นพบว่าถูกทิ้งพร้อมกับโปรแกรมการเข้าถึงระยะไกลและ Keyloggers บนคอมพิวเตอร์

ในช่วงเดือนมกราคม BlackRoter Ransomware รุ่นใหม่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยชื่อ Petrovic ซึ่งแชร์ตัวอย่างไว้บน Twitter นอกจากนี้ MalwareHunterTeam ระบุว่าตัวแปรเบื้องต้นเดียวกับตัวแปรก่อนหน้านี้ แต่มี GUI ที่ดูดีขึ้นและเพิ่มตัวจับเวลา

หลังจากค้นพบ BlackRouter ไม่นาน นักวิจัยด้านความปลอดภัยอีกคนชื่อ Shadow บอกกับ BleedingComputer ว่า Ransomware นี้ได้รับการโปรโมทในฐานะ RaaS ในช่องแฮ็คบน Telagram โดยนักพัฒนาชาวอิหร่าน

ใครก็ตามในบริษัทในเครือที่เข้าร่วม RaaS นี้และกระจาย Ransomware ของ BlackRouter จะได้รับ 80% จากเงินที่เรียกค่าไถ่ และอีก 20% จะเป็นผู้พัฒนา

นอกจากนี้ยังมีการส่งเสริมให้ Trojan สามารถเข้าถึงได้จากระยะไกล ชื่อว่า BlackRAT ซึ่งกล่าวว่า มีคุณสมบัติเช่น encrypted communications, AV evasion, small size, plugins, เปิดการใช้งาน RDP, กำหนดค่า miner, ขโมยเงินจากกระเป๋าเงินดิจิตอล, keylogger, password-stealer และอื่นๆ

ดูเหมือนว่า BlackRouter ไม่ได้มีการเผยแพร่อย่างหนัก โดยมีการส่ง ID Ransomware เพียงครั้งเดียวตั้งแต่วันที่ 31 ธันวาคม

จากที่กล่าวมา Ransomware เชช่น BlackRouter มีการกระจายทั่สไปผ่านไปยัง RDP หรือผ่าน Crack และการดาวน์โหลดปลอม ดงันั้นตรวจสอบให้แน่ใจว่าไม่ได้อนุญาตให้ RDP เชื่อมต่อโดยตรงกับอินเตอร์เน็ตและตรวจสอบให้แน่ใจว่าได้ทำการสแกนทุกสิ่งที่คุณดาวน์โหลดจากแหล่งที่ไม่มีความน่าเชื่อถือ

ที่มา:bleepingcomputer

CryptoNar Ransomware Discovered and Quickly Decrypted

เมื่อสัปดาห์ที่ผ่านมานักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam ค้นพบ ransomware ตัวใหม่ชื่อว่า CryptoNar จากการตรวจสอบพบว่ามีผู้ติด ransomware ดังกล่าวเกือบ 100 คน

CryptoNar หรือ Crypto Nar Ransomware จะเข้ารหัสไฟล์ของเหยื่อ โดยจะทำการเข้ารหัสไฟล์แตกต่างกันออกไปขึ้นอยู่กับชนิดของไฟล์ที่กำลังถูกเข้ารหัส โดยไฟล์ที่เป็น .txt หรือ .md จะทำการเข้ารหัสไฟล์ทั้งหมดและเปลี่ยนนามสกุลไฟล์เป็น .fully.