นักวิจัยจาก ESET ได้เปิดเผยแรนซัมแวร์ชนิดใหม่ ”CryCryptor” ที่กำหนดเป้าหมายไปยังผู้ใช้ Android ในแคนาดา โดยแรนซัมแวร์ทำการเเพร่กระจายผ่านเว็บไซต์สองแห่งที่ให้บริการดาวน์โหลดแอปพลิเคชันที่ใช้ในการติดตาม COVID-19 อย่างเป็นทางการของกระทรวงสาธารณสุขแคนาดา

”CryCryptor” แรนซัมแวร์ถูกค้บพบหลังจากรัฐบาลแคนาดาประกาศถึงการสนับสนุนการพัฒนาแอปพลิเคชันที่ใช้ทำการติดตาม COVID-19 โดยพบว่าแรนซัมแวร์มีลักษณะการทำงานคือ หลังจากที่ทำการติดตั้งแอปพลิเคชันที่มีแรนซัมแวร์ ตัวแอปจะทำการร้องขอการเข้าถึงไฟล์บนอุปกรณ์ หลังจากการได้รับอนุญาตแล้ว แรนซัมแวร์จะทำการเข้ารหัสไฟล์โดยมีนามสกุล “ .enc”, “ .enc.

Kaspersky ICS CERT ได้มีการเปิดเผยผลการตรวจสอบเพิ่มเติมอ้างอิงจากไฟล์ของมัลแวร์เรียกค่าไถ่ SNAKE ซึ่งมีส่วนเกี่ยวข้องกับการโจมตี Honda และบริษัทด้านพลังงาน Enel Group ในช่วงที่ผ่านมา โดยผลการตรวจสอบมาจากการนำโค้ดของมัลแวร์ SNAKE มาวิเคราะห์ระบุหาเวอร์ชันอื่นเพิ่มเติม

ผลลัพธ์ของการตรวจสอบเปิดเผยพฤติกรรมของผู้โจมตีที่น่าสนใจได้ตามประเด็นดังนี้

มัลแวร์ SNAKE เกือบทุกสายพันธุ์ถูกปรับแต่งมาให้พยายามเชื่อมต่อไปที่โดเมนเนมภายในของเป้าหมายเสมอ เพื่อให้สามารถทำงานได้เฉพาะเป้าหมายที่กำหนดเท่านั้น ซึ่งหมายความแฮกเกอร์จะต้องรู้ลักษณะเครือข่ายก่อนลงมือด้วย
แฮกเกอร์มีขั้นตอนมากกว่าหนึ่งขั้นตอนในการสร้างความเสียหาย โดยอาจพยายามเข้าถึงและขโมยข้อมูลออกไปก่อนจะเริ่มการทำงานของมัลแวร์เรียกค่าไถ่
แฮกเกอร์มีการใช้ Domain policy ในการช่วยแพร่กระจายมัลแวร์เรียกค่าไถ่ ซึ่งหมายความว่าแฮกเกอร์จำเป็นที่จะต้องมีสิทธิ์ที่เทียบเท่ากับ Domain admin ก่อนถึงจะดำเนินการได้
Kaspersky ยังระบุถึงกลุ่มเป้าหมายของ SNAKE ซึ่งพุ่งเป้าอย่างชัดเจนไปยังกลุ่มธุรกิจยานยนต์และผู้ผลิตชิ้นส่วนซึ่งใช้ในอุตสาหกรรม โดยในปัจจุบันมีการยืนยันการโจมตีแล้วที่จีน, ญี่ปุ่นและประเทศในกลุ่มยุโรป

ข้อมูลเพิ่มเติมสำหรับมัลแวร์ ค่าแฮชสำหรับใช้ในการตรวจจับและคำแนะนำในการป้องกันเครือข่ายสามารถดูเพิ่มเติมได้จากแหล่งที่มาข่าว

ที่มา: ics-cert.

ทีมนักวิจัยด้านความปลอดภัย MalwareHunterTeam ได้ประกาศการค้นพบมัลแวร์เรียกค่าไถ่สายพันธุ์ใหม่ "Saturn" เข้ารหัสไฟล์พร้อมแก้นามสกุลไฟล์เป็น .saturn ยังไม่มีวิธีการถอดรหัสโดยไม่จ่ายค่าไถ่ในขณะนี้
แมในตอนนี้ยังไม่มีการเปิดเผยข้อมูลถึงวิธีการแพร่กระจายของมัลแวร์เรียกค่าไถ่ Saturn ได้พฤติกรรมและรูปแบบการแพร่กระจายที่ไม่ได้มีการเพิ่มขึ้นอย่างรวดเร็วมากนัก จึงอาจสรุปได้ว่า Saturn ยังคงแพร่กระจายได้วิธีการอย่างอีเมลพร้อมไฟล์แนบ การเข้าเว็บไซต์ที่มีการแสดงโฆษณาและมีการฝังสคริปต์ที่เป็นอันตราย มัลแวร์เรียกค่าไถ่ Saturn ยังไม่มีพฤติกรรมในการลบไฟล์ข้อมูลสำรองจากฟีเจอร์ Volume Shadow Copies, Windows Backup Catalog และปิดการทำงาน Windows Startup Repair
Recommendation
แนะนำให้เพิ่มความระมัดระวังก่อนเปิดไฟล์ที่ต้องสงสัยใดๆ รวมไปถึงการตั้งค่าระบบให้ปลอดภัยเพื่อป้องกันการโจมตีระบบเพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่
ที่มา : bleepingcomputer

Hacker ที่อยู่เบื้องหลัง WannaCry Ransomware ถอนเงิน 143,000 เหรียญจากกระเป๋าเงิน Bitcoin

ผ่านมาเกือบ 3 เดือนแล้วที่ WannaCry Ransomware ระบาด และได้ทำให้ระบบของโรงพยาบาล การบริการโทรคมนาคม และธรุกิจจำนวนมากทั่วโลกกว่า 150 ประเทศไม่สามารถใช้งานได้ โดยเรียกเงินจากเหยื่อประมาณ 300-600 เหรียญ เพื่อแลกกับ Key ในการถอดรหัส โดยรวม Hacker ที่อยู่เบื้องหลัง WannaCry ได้เงินจากผู้ที่ตกเป็นเหยื่อเป็นจำนวนกว่า 140,000 เหรียญ แต่เกือบสามเดือนที่ผ่านมานี้ไม่มีการแตะต้องกระเป๋าเงิน Bitcoins เหล่านั้นเลย จนกระทั่งเมื่อวันพุธที่ 2 สิงหาคม เงินจำนวนดังกล่าวถูกถอนออก 7 ครั้งภายใน 15 นาที

ทั้งนี้ยังคงระบุไม่ได้ว่าใครคือผู้ที่อยู่เบื้องหลัง WannaCry Ransomware ตัวนี้ แม้ว่านักวิจัยบางกลุ่มได้สืบค้นไปจนถึงกลุ่ม Hacker ที่ชื่อว่า Lazarus ในเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ในขณะที่นักวิจัยอื่นๆ เชื่อว่าเป็นการกระทำจากประเทศจีน

ที่มา : thehackernews

Impact Level : information

Affected Platform : Windows Platform

Conclusion : นักวิจัยจาก Politecnico di Milano ของอิตาลีได้นำเสนอเครื่องมือที่ใช้ตรวจจับ ransomeware และการกู้คืน file ที่ถูกเข้ารหัสจาก ransomeware ที่มีชื่อว่า ShieldFS

ShieldFS จะทำการจดจำและสร้าง models พฤติกรรมของ filesystem ที่เกิดจากใช้งานปกติ และมันยังสามารถตรวจหา ransomeware จากพฤติกรรมที่เกิดขึ้นมาเปรียบเทียบกับ models

ที่ทำการสร้างขึ้นมาก่อนหน้า หากตรวจพบพฤติกรรมของ ransomeware เครื่องมือ ShieldFS จะ block การทำงานของ ransomeware และทำการกู้ไฟล์ที่ถูกเข้ารหัส
Copy-on-Write (COW) เป็นเทคนิคทางโปรแกรมมิ่งที่ ShieldFS นำมาใช้ในการกู้ไฟล์ที่ถูกเข้ารหัส โดยเป็นเทคนิคที่อนุญาตให้ระบบปฏิบัติการแชร์ข้อมูลที่กำลังถูกประมวลผลให้กับโปรเซสอื่น

นักวิจัยได้ทำการทดสอบ ShieldFS กับ malware หลายๆตัวที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งรวมไปถึง WannaCry, TeslaCrypt, CryptoWall, CryptoLocker ด้วยผลการทดสอบเผยให้เห็นว่า ShieldFS สามารถตรวจจับ malware ที่ได้นำมาทำการทดลองได้สำเร็จและสามารถกู้ไฟล์ข้อมูลที่ถูกเข้ารหัสได้ 97 เปอร์เซ็นต์

ที่มา : THREATPOST

MalwareBytes ได้มีการแจ้งเตือนผู้ใช้งานเกี่ยวกับการค้นพบมัลแวร์เรียกค่าไถ่ CryptoMix สายพันธุ์ใหม่ซึ่งในคราวนี้จะเปลี่ยนนามสกุลของไฟล์ที่มีการเข้ารหัสเป็น .EXTE
มัลแวร์เรียกค่าไถ่ CryptoMix แม้ว่าจะเป็นมัลแวร์เรียกค่าไถ่ที่ไม่ค่อยมีฟังก์ชันหรือการทำงานพิเศษที่เป็นที่รู้จักเท่าไหร่ แต่มันก็ยังคงมีการอัพเดตตัวเองและแพร่กระจายอยู่อย่างสม่ำ สำหรับในเวอร์ชันใหม่นี้นั้น ทาง MalwareBytes ตรวจพบความเปลี่ยนแปลงเล็กน้อยในส่วนที่เป็นนามสกุลของไฟล์ที่มัลแวร์มีการเข้ารหัสจากเดิม .AZER เป็น .EXTE และเปลี่ยนชื่อของไฟล์ ransom note จากเดิมคือ HELP_YOUR_FILES.TXT เป็น _HELP_INSTRUCTION.TXT แต่การทำงานและขั้นตอนในการเข้ารหัสนั้นยังคงเหมือนเดิม คือมีการฝังกุญแจเข้ารหัสไว้จำนวน 10 รายการเพื่อให้สามารถเข้ารหัสไฟล์โดยไม่จำเป็นต้องติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม
Recommendation CryptoMix ยังคงใช้วิธีการแพร่กระจายเหมือนกับมัลแวร์เรียกค่าไถ่ประเภทอื่นคือทั้งทางช่องทางอีเมลและ drive-by download แนะนำให้ทำการตรวจสอบการป้องกันเพื่อพร้อมรับมือกับภัยคุกคามในลักษณะนี้อย่างสม่ำเสมอ

ที่มา : securityweek

Android RAT(โทรจันสั่งการระยะไกล)ตัวใหม่ที่ตรวจพบภายใต้ชื่อ GhostCtrl ถูกพบโดย Trend Micro ในขณะที่กำลังโจมตีองค์กรสุขภาพของประเทศอิสราเอล โทรจันชนิดนี้มีเป้าหมายหลักที่ระบบปฏิบัติการ Windows กับอุปกรณ์ Android ของผู้ที่เกี่ยวข้องกับองค์กร สามารถล็อกอุปกรณ์เคลื่อนที่ได้โดยการรีเซ็ต PIN และแสดงใบเสร็จค่าไถ่สำหรับผู้ที่ติดไวรัส

GhostCtrl RAT ถูกพัฒนาต่อยอดมาจาก OmniRAT ซึ่งเป็น RATs ยอดนิยมที่มีผู้นำไปพัฒนาต่อมากมายหลายแบบ มีความสามารถที่อันตรายหลายอย่าง เช่น
- สามารถ root อุปกรณ์ Android ได้
- สื่อสารกับ C&C Server ที่เปิดโดเมนโดยใช้ข้อมูลปลอม
- ควบคุมระบบฟังก์ชั่นในอุปกรณ์ เช่น การโทร , Wi-Fi , Mode ของโทรศัพท์
- Download , Upload หรือแก้ไขข้อมูลของ File ต่างๆได้

นอกจากนี้ยังพบฟังก์ชันการทำงานที่ไม่พบใน Android RATs ทั่วๆไป
- ลบหรือเปลี่ยนรหัสผ่านโดยผู้โจมตีได้
- เปลี่ยนแปลงการแจ้งเตือนต่างๆ
- ควบคุม Bluetooth เพื่อค้นหาและเชื่อมต่อกับอุปกรณ์อื่น

bleepingcomputer

Doctor Web รายงานถึงมัลแวร์เข้ารหัสเรียกค่าไถ่ตัวใหม่ Linux.Encoder.1 ที่ออกแบบมาเพื่อมุ่งโจมตีเว็บเซิร์ฟเวอร์โดยเฉพาะ โดยทาง Doctor Web ยังไม่ได้รายงานว่ามันอาศัยช่องทางใดเข้าไปยังเซิร์ฟเวอร์

เมื่อมัลแวร์เข้าไปแล้วและรันด้วยสิทธิ์ root ได้สำเร็จ มันจะเข้ารหัสในโฟลเดอร์ /home, /root, /var/lib/mysql, /var/www, /etc/nginx, /etc/apache2, และ /var/log จากนั้นมันจะสแกนทั้งระบบไฟล์เพื่อหาไฟล์ข้อมูลที่นามสกุลไฟล์ตรงกับเป้าหมายเพื่อเข้ารหัสต่อไป

กระบวนการที่เหลือจะเหมือนกับมัลแวร์เข้ารหัสเรียกค่าไถ่อื่นๆ จะทิ้งไฟล์เรียกค่าไถ่เอาไว้ และเรียกค่าไถ่เป็นเงินจำนวน 1BTC

ที่มา : blognone

ได้มีการตรวจพบ Ransomware ที่สร้างเลียนแบบมัลแวร์ Cryptolocker โดยบริษัททางด้านความปลอดภัยที่ชื่อว่า IntelCrawler เป็นผู้ตรวจพบ Ransomware ชนิดใหม่นี้มีเป้าหมายการโจมตีอยู่ที่ผู้ใช้ใน สหรัฐฯ, ยุโรป และ รัสเซีย Ransomware ตัวนี้จะต่างจาก Cryptolocker ตรงที่ Cryptolocker จะเข้ารหัสไฟล์ทั้งหมดในเครื่องแต่ Ransomware ตัวนี้จะเข้ารหัสแค่ไฟล์ใดไฟล์หนึ่งเท่านั้น ทางบริษัท IntelCrawler ได้ค้นพบช่องโหว่ใน cryptographic toolkit ที่ใช้ในการถอดรหัสไฟล์ในเครื่องของเหยื่อ ดังนั้นพวกเขาจึงใช้ช่องโหว่ที่พบในการสร้างคีย์ที่สามารถถอดรหัสไฟล์ที่ถูกเข้ารหัสไว้ได้ทั้งหมดแล้ว Ransomware ตัวนี้ยังมีการแพร่กระจายที่น้อย ซึ่งผู้ใช้จะสามารถติด Ransomeware ตัวนี้ได้จากการดาวโหลดผ่านทาง Drive-by download และการเปิดไฟล์ที่ดาวน์โหลดมาจากอินเตอร์เน็ตอย่างเช่นไฟล์ .mp3 เป็นต้น

ที่มา : net-security

ได้มีการตรวจพบ Ransomware ที่สร้างเลียนแบบมัลแวร์ Cryptolocker โดยบริษัททางด้านความปลอดภัยที่ชื่อว่า IntelCrawler เป็นผู้ตรวจพบ Ransomware ชนิดใหม่นี้มีเป้าหมายการโจมตีอยู่ที่ผู้ใช้ใน สหรัฐฯ, ยุโรป และ รัสเซีย Ransomware ตัวนี้จะต่างจาก Cryptolocker ตรงที่ Cryptolocker จะเข้ารหัสไฟล์ทั้งหมดในเครื่องแต่ Ransomware ตัวนี้จะเข้ารหัสแค่ไฟล์ใดไฟล์หนึ่งเท่านั้น ทางบริษัท IntelCrawler ได้ค้นพบช่องโหว่ใน cryptographic toolkit ที่ใช้ในการถอดรหัสไฟล์ในเครื่องของเหยื่อ ดังนั้นพวกเขาจึงใช้ช่องโหว่ที่พบในการสร้างคีย์ที่สามารถถอดรหัสไฟล์ที่ถูกเข้ารหัสไว้ได้ทั้งหมดแล้ว Ransomware ตัวนี้ยังมีการแพร่กระจายที่น้อย ซึ่งผู้ใช้จะสามารถติด Ransomeware ตัวนี้ได้จากการดาวโหลดผ่านทาง Drive-by download และการเปิดไฟล์ที่ดาวน์โหลดมาจากอินเตอร์เน็ตอย่างเช่นไฟล์ .mp3 เป็นต้น

ที่มา : net-security