สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และศูนย์รับเรื่องร้องเรียนทางอินเทอร์เน็ต (IC3) ได้ออกประกาศเตือนเกี่ยวกับการโจมตีของ Ransomware ที่เพิ่มขึ้น ซึ่งส่งผลกระทบต่อองค์กรภาครัฐและเอกชนของสหรัฐฯ รวมถึงให้คำแนะนำเพื่อเตรียมตัว

นับตั้งแต่ปี 2018 การโจมตีของ Ransomware พุ่งเป้าไปที่องค์กรด้านการดูแลสุขภาพ บริษัทอุตสาหกรรมและการขนส่ง โดยการใช้ประโยชน์จากซอฟต์แวร์และช่องโหว่ Remote Desktop Protocol (RDP) เพื่อเข้าสู่ระบบ และทำการเข้ารหัสไฟล์ข้อมูลของเหยื่อ ซึ่ง FBI เตือนว่าไม่ควรทำตามคำเรียกร้องของ Hacker และให้ทำการแจ้งไปที่สำนักงานของ FBI ภายในพื้นที่ และรายงานเหตุการณ์ไปยัง ic3.gov

หากเกิดเหตุการณ์ที่ต้องมีการจ่ายค่าไถ่ให้แจ้งไปยัง FBI ตามข้อบังคับของกฏหมาย

แนวทางปฏิบัติเพื่อเตรียมตัวสำหรับองค์กรที่เป็นเป้าหมายการโจมตีของ Ramsomware มีดังนี้

สำรองข้อมูลและตรวจสอบความถูกต้องของข้อมูลเป็นประจำ
สร้างความตระหนักรู้ให้กับบุคคลในองค์กร
อัปเดตแพตช์รักษาความปลอดภัยของซอฟต์แวร์และเฟิร์มแวร์บนอุปกรณ์
เปิดการอัปเดตฐานข้อมูลมัลแวร์อัตโนมัติบนซอร์ตแวร์ป้องกันมัลแวร์และสแกนระบบเป็นประจำ
กำหนดสิทธิ์ในการเข้าถึงไฟล์, ไดเรกทอรี่ และการแชร์เครือข่าย
ปิดการใช้งาน Micro Script จากไฟล์ Office ที่ส่งผ่านอีเมล
ใช้นโยบายและการควบคุมข้อกำหนดของซอฟต์แวร์
ปฏิบัติตาม best practices ของการปฏิบัติการใช้งานของ RDP
ทำ application whitelisting
แยกเครือข่ายในการทำงาน
บังคับให้มี user interaction เช่น ต้องพิมพ์ข้อมูล เมื่อผู้ใช้งานเข้าเว็บไซต์ที่ไม่ได้มีการจัดกลุ่มโดย network proxy หรือ firewall

ที่มา bleepingcomputer และ ic3.gov

การค้นหาเท็กซ์บุ๊คและเรียงความอิเล็กทรอนิกส์บนอินเตอร์เน็ตทำให้กลุ่มนักเรียนมีโอกาสถูกโจมตีจากการค้นพบของนักวิจัย Kaspersky Lab พบการโจมตีมากกว่า 365,000 ครั้งในหนึ่งปี

หลังจากการตรวจสอบการโจมตีด้วยเอกสารแพร่กระจายมัลแวร์ที่ใช้ชื่อไฟล์เกี่ยวกับการศึกษาในผู้ใช้ Kaspersky พบว่ามีผู้เป็นเหยื่อกว่า 365,000 ครั้งในหนึ่งปีการศึกษา มัลแวร์ส่วนมากที่พบในการโจมตีดังกล่าวคือ MediaGet torrent application downloader, WinLNK.Agent.

ในสัปดาห์ที่ผ่านมามีการพบว่าหน่วยงานราชการท้องถิ่นกว่า 23 หน่วยงานในรัฐเท็กซัส ประเทศสหรัฐอเมริกาติดมัลแวร์เรียกค่าไถ่ (Ransomware) เจ้าหน้าที่รัฐเท็กซัสอธิบายว่าการโจมตีทั้งหมดนี้เกี่ยวข้องกัน

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ 16 สิงหาคมที่ผ่านมา ตามเวลาสหรัฐอเมริกา เมื่อหน่วยงานราชการท้องถิ่นในรัฐเท็กซัสได้รายงานถึงปัญหาการเข้าถึงข้อมูลของพวกเขาต่อ Texas Department of Information Resources (DIR) ซึ่งทำให้มากกว่าสิบองค์กรจากทั้งรัฐเทกซัสและหน่วยงานรัฐบาลกลางได้ร่วมมือกันในการที่จะกู้ระบบคืน ต่อมาเจ้าหน้าที่ DIR ได้กล่าวว่าพบหลักฐานที่บ่งชี้ว่าการโจมตีมาจากภัยคุกคามตัวเดียว

ซึ่งแหล่งข่าวระบุว่า Ransomware ที่กระจายผ่านเน็ตเวิร์คของ 23 รัฐท้องถิ่นในเทกซัสที่ทำให้ไฟล์ถูกเข้ารหัส และเพิ่ม .JSE ต่อท้าย ตระกูล Ransomware นี้ ไม่ได้มีชื่อของตัวมันเอง ซึ่งโดยทั่วไปจะเรียกว่า .jse ransomware โดยโปรแกรมป้องกันมัลแวร์บางตัวแจ้งว่ามัลแวร์ตัวนี้คือ Nemucod ซึ่งจริงๆ แล้วเป็นโทรจันที่ติดร่วมกัน

.jse ransomware ถูกพบครั้งแรกช่วงสิงหาคม 2018 และมีรายงานล่าสุดในเดือนนี้ ซึ่งมัลแวร์ตัวนี้แตกต่างจากมัลแวร์ตัวอื่นๆ ตรงที่ไม่มีการแสดงข้อความเรียกค่าไถ่ ทำให้ผู้ที่ตกเป็นเหยื่อสับสน

ที่มา : zdnet

Ransomware หรือมัลแวร์เรียกค่าไถ่ เป็นมัลแวร์ที่ทำการเข้ารหัสไฟล์บนเครื่องที่ตกเป็นเหยื่อ โดยมักจะมีจดหมายเรียกค่าไถ่ระบุให้เหยื่อทำการจ่ายเงินเพื่อแลกกับกุญแจในการถอดรหัส หรือ เครื่องมือในการถอดรหัสไฟล์

ซึ่งในวันนี้ทีม Intelligent Response จาก บริษัทไอ-ซีเคียว จำกัดจะมาเล่าเกี่ยวกับการตรวจสอบระบบที่ติด Ransomware กันค่ะ ประกอบไปด้วย 2 หัวข้อ คือ

การตรวจสอบสายพันธุ์ของ Ransomware และ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT

การตรวจสอบสายพันธุ์ของ Ransomware
เมื่อเราตรวจพบระบบที่ติด Ransomware แล้ว เราควรทำการจำกัดความเสียหาย (containment) โดยการแยกเครื่องที่ติดเชื้อออกจากเครื่องอื่นๆ ระบบปฏิบัติการ เช่น ปิดการใช้งานระบบเครือข่ายชั่วคราว หรือทางกายภาพโดยตรง เช่น การถอดสายแลน เป็นต้น เพื่อป้องกันการแพร่กระจายในระบบเครือข่ายหรือการติดต่อไปยังเครื่องภายนอกที่เป็นอันตราย

แต่ไม่ควรปิดหรือ restart เครื่องที่มีพฤติกรรมติดมัลแวร์เรียกค่าไถ่ เนื่องจากมัลแวร์เรียกค่าไถ่บางชนิด เช่น Wannacry จะมีข้อมูลที่เกี่ยวข้องกับกุญแจที่ใช้ในการเข้ารหัสหลงเหลืออยู่ในหน่วยความจำชั่วคราว (RAM) ซึ่งสามารถช่วยในการถอดรหัสได้

เมื่อหยุดการแพร่กระจายได้แล้ว เราสามารถตรวจสอบสายพันธุ์ของ Ransomware ได้จากการอัปโหลดไฟล์ที่ถูกเข้ารหัส (ควรใช้ไฟล์ที่ไม่เป็นความลับ) และอัปโหลดไฟล์ข้อความเรียกค่าไถ่ (Ransomware Notes) ไปยังบริการ ID Ransomware หรือ No More Ransom ซึ่งบริการดังกล่าวจะแจ้งว่าเราติด Ransomware สายพันธุ์ไหน มีตัวถอดรหัสฟรีแล้วหรือไม่ ซึ่งเราสามารถทดลองดาวน์โหลดโปรแกรมถอดรหัสและทดลองถอดรหัสได้ โดยควรสำรองข้อมูลไว้ก่อนทดลองถอดรหัส

บริการ ID Ransomware

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่ยังไม่มีเครื่องมือถอดรหัสฟรี

ตัวอย่างผลการตรวจสอบสายพันธุ์ของ Ransomware จากบริการ ID Ransomware ในกรณีที่มีเครื่องมือถอดรหัสแล้ว

ซึ่งการตรวจสอบสายพันธุ์ของ Ransomware นอกจากจะทำให้เราทราบว่ามีเครื่องมือในการช่วยถอดรหัสฟรีโดยไม่ต้องจ่ายค่าไถ่แล้ว ยังช่วยให้สามารถค้นหาข้อมูลเพิ่มเติมเกี่ยวกับช่องทางการแพร่กระจายของ Ransomware ชนิดนั้นๆ และทำการป้องกันช่องทางดังกล่าวเพิ่มมากขึ้นได้อีกด้วยค่ะ
การค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT
ในบางครั้งหลังจากเกิดเหตุการณ์ Ransomware องค์กรอาจมีความต้องการทำ Digital Forensic เพื่อหาสาเหตุที่ทำให้ติดเชื้อ Ransomware ที่แท้จริง ซึ่งควรเก็บหลักฐานดิจิตอลไว้เพื่อตรวจสอบภายหลังก่อนทำการกู้คืนระบบใหม่ สามารถศึกษาวิธีเก็บหลักฐานดิจิตอลได้จากข้อเสนอแนะมาตรฐานการจัดการอุปกรณ์ดิจิทัลในงานตรวจพิสูจน์พยานหลักฐาน จัดทำโดยศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต) 

ข้อมูลสำคัญอย่างหนึ่งที่ช่วยประกอบการหาสาเหตุของการติดเชื้อก็คือไฟล์ Ransomware Executable ซึ่งถ้าเราทราบว่าไฟล์ไหนคือ Ransomware Executable ที่เป็นต้นเหตุของเหตุการณ์ทั้งหมด เราก็จะสามารถตรวจสอบหาบัญชีผู้ใช้งานที่เป็นเจ้าของไฟล์และบัญชีผู้ใช้งานที่เป็นผู้เรียกใช้ไฟล์ดังกล่าวให้ทำงานได้

วิธีการหาไฟล์ Ransomware Executable สามารถทำได้หลายวิธี ในบทความนี้จะนำเสนอการค้นหาไฟล์โดยใช้ข้อมูลจากไฟล์ $MFT เพื่อค้นหาไฟล์แรกที่ถูกเข้ารหัส ช่วงเวลาที่ไฟล์แรกโดนเข้ารหัส และใช้ข้อมูลเวลาที่ถูกเข้ารหัสไปหาไฟล์ที่ถูกเรียกใช้ในเวลาใกล้เคียงกันเพื่อหาไฟล์ Ransomware Executable

ไฟล์ MFT หรือ Master File Table เป็นไฟล์ในระบบไฟล์แบบ NTFS โดยจะรวบรวมข้อมูลของไฟล์ทั้งหมดในไดร์ฟนั้นๆ แม้แต่ไฟล์ที่ถูกลบไปแล้ว เช่น เวลาที่สร้างไฟล์ (Created) เวลาที่ถูกเข้าถึงล่าสุด (LastAccess) และข้อมูลอื่นๆ อีกมาก

ซึ่งนอกเหนือจากไฟล์ MFT แล้วยังมีไฟล์อื่นๆ ที่บันทึกความเปลี่ยนแปลงของไฟล์ เช่น ไฟล์ USN Journal และ NTFS Log ($LogFile) ซึ่งสามารถนำไปใช้ตรวจสอบไฟล์แรกที่ถูกเข้ารหัสได้เช่นกัน แต่ไฟล์ USN Journal และ NTFS Log ($LogFile) สามารถเก็บข้อมูลการเปลี่ยนแปลงได้จำกัด ซึ่งจากสูตรประมาณของ Microsoft ระบุว่าไฟล์ USN Journal ขนาด 32MB จะบันทึกการเปลี่ยนแปลงได้ประมาณ 200,000 ไฟล์ จึงไม่สามารถนำข้อมูลไฟล์ USN Journal มาใช้งานได้ในกรณีที่ Ransomware เข้ารหัสไฟล์เกิน 200,000 ไฟล์

ซึ่งเทคนิคการค้นหาไฟล์ Ransomware Executable ด้วยไฟล์ MFT ในครั้งนี้จะสาธิตผ่านการตรวจสอบบนหลักฐานดิจิตอลจากเครื่องที่ติดเชื้อ GlobleImposter 2.0 ซึ่งทำการเข้ารหัสไฟล์แล้วเปลี่ยนนามสกุลเป็น .doc

เครื่องมือที่ใช้

MFTECmd เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับ parse ไฟล์ MFT และไฟล์อื่นๆ เป็น CSV
Timeline Explorer เป็นโปรแกรมในตระกูล Eric Zimmerman's tool ใช้สำหรับเปิด CSV ขนาดใหญ่
FTK Imager เป็นโปรแกรมที่มีความสามารถในการจัดเก็บหลักฐานดิจิตอล วิเคราะห์หลักฐานดิจิตอล รวมถึงคำนวนค่า hash จากหลักฐานดิจิตอล สามารถดาวน์โหลดได้จาก https://accessdata.

บริษัท ASCO ผู้ผลิตชิ้นส่วนเครื่องบินในรัฐนิวเจอร์ซีย์ ซึ่งถือว่าเป็นหนึ่งในซัพพลายเออร์ผู้ผลิตชิ้นส่วนเครื่องบินที่ใหญ่ที่สุดในโลก ถูกโจมตีระบบไอทีด้วย Ransomware ทำให้ต้องหยุดกระบวนการผลิตของโรงงานใน 4 ประเทศ ซึ่งได้แก่ สหรัฐอเมริกา, เบลเยียม, เยอรมนีและแคนาดาเป็นเวลาหนึ่งสัปดาห์ ส่งผลให้พนักงานกว่าประมาณ 1,000 คนไม่มีงานทำ

Asco เป็นซัพพลายเออร์อะไหล่ให้กับบริษัทต่างๆ เช่น Airbus, Boeing, Bombardier และ Lockheed Martin และยังผลิตชิ้นส่วนให้กับเครื่องบินทหารเช่น F-35 fighter jet

เบื้องต้นยังไม่มีการเปิดเผยว่าบริษัท ASCO ติด ransomware ตัวใด

ที่มา: zdnet

ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet

นักวิจัยจาก Unit 42 ของ Palo Alto ออกรายงานระบุว่า ประเทศไทย ติดอันดับ 1 ใน 10 ของประเทศที่จะติด ransomware ชื่อว่า “Shade” หรือ “Troldesh” โดยสถิติดังกล่าวได้มาจากข้อมูลการดาวน์โหลดไฟล์ที่เกี่ยวข้องกับ Shade ransomware จากอุปกรณ์ firewall ที่ทาง Palo Alto ให้บริการกับลูกค้าอยู่ทั่วโลก ผ่านระบบ AutoFocus ของ Palo Alto ทำให้ได้ข้อมูล 10 อันดับของประเทศที่เสี่ยงติด Shade ransomeware โดยประทศไทยอยู่ในอันดับที่ 4 รองจาก สหรัฐอเมริกา (พบการเชื่อมต่อ 2010 sessions), ญี่ปุ่น (พบการเชื่อมต่อ 1677 sessions) และอินเดีย (พบการเชื่อมต่อ 989 sessions) ตามมาด้วยประเทศไทย (พบการเชื่อมต่อ 723 sessions) ทั้งหมดนี้เป็นสถิติตั้งแต่ เดือนมกราคมถึงมีนาคมปี 2019 ซึ่งมากกว่าประเทศรัสเซียที่อยู่ในอันดับ 7 และถูกสงสัยว่าน่าจะเป็นต้นกำเนิดของ Shade ransomware เนื่องจาก spam อีเมลที่ถูกใช้ในการแพร่กระจายส่วนมากนั้นเป็นภาษารัสเซีย อย่างไรก็ตามก็มีเหยื่อบางรายที่พบเป็นภาษาอังกฤษด้วยเช่นเดียวกัน จากข้อมูลที่พบนี้ทำให้นักวิจัยสามารถระบุโดเมนเนมที่เกี่ยวข้องกับการแพร่กระจายได้

United States – 2,010 sessions
Japan – 1,677 sessions
India – 989 sessions
Thailand – 723 sessions
Canada – 712 sessions
Spain – 505 sessions
Russian Federation – 86 sessions
France – 71 sessions
United Kingdom – 67 sessions
Kazakhstan – 21 sessions

ภาพแสดงอันดับประเทศที่พบการดาวน์โหลด Shade ransomware

ทำความรู้จัก “Shade” หรือ “Troldesh” Ransomware เบื้องต้น
“Shade” Ransomware รู้จักในชื่ออื่นๆ อย่างเช่น “Troldesh” Ransomeware หรือ “Filecoder” Ransomware ถูกพบครั้งแรกเมื่อปลายปี 2014 ถูกแพร่กระจายผ่านทาง spam และ exploit kit หลังจากนั้นเมื่อปี 2016 ก็มีรายงานจาก Microsoft ว่าพบ Shade Ransomware เวอร์ชั่นใหม่ที่ได้รับการปรับปรุงให้มีการใช้งาน Tor ในกระบวนการเรียกค่าไถ่ สิ่งที่แตกต่างจากมัลแวร์เรียกค่าไถ่อื่นๆ คือแทนที่จะหยุดการทำงานของโปรเซสเมื่อเข้ารหัสไฟล์เสร็จแล้ว Shade ransomware จะทำการเรียกไปยังโดเมนเนมอื่นที่ถูกใช้ในการแพร่มัลแวร์และดาวน์โหลดมัลแวร์อื่นๆ มาเพิ่มเติม

ภาพแสดงตัวอย่าง ransom note แบบเก่า

ภาพแสดงตัวอย่าง ransom note แบบใหม่

จากการตรวจสอบตัวอย่าง Shade ransomware ที่พบล่าสุดเมื่อต้นปีที่ผ่านมา นักวิจัยพบว่ายังมีการใช้ Tor address (cryptsen7f043rr6[.]onion) และเปลี่ยนนามสกุลไฟล์เป็น .crypted000007 เช่นเดียวกับที่พบเมื่อปี 2016

ภาพแสดงตัวอย่างไฟล์ที่ถูก Shade ransomware เข้ารหัส

การแพร่กระจายของ “Shade” Ransomware
ช่องทางการแพร่กระจายของ “Shade” ransomware ที่พบจะมาในลักษณะของอีเมล spam ที่มีการแนบไฟล์ทั้งที่เป็น zip ไฟล์ที่มีสคริปต์ไฟล์แนบไว้ หรือไฟล์เอกสาร PDF ที่มีการแนบลิงก์สำหรับไปดาวน์โหลด zip ไฟล์ที่มีสคริปต์ไฟล์แนบไว้ สคริปต์ไฟล์ดังกล่าวจะถูกใช้สำหรับเรียกไปยังเว็บไซต์ที่ถูกซ่อนไฟล์มัลแวร์เรียกค่าไถ่ไว้ เพื่อดาวน์โหลดมาติดตั้งไว้บนเครื่องของเหยื่อ

ภาพแสดงตัวอย่างกระบวนการทำงานของ Shade ransomware

สอดคล้องกับรายงานจาก zscaler ที่ระบุว่า WordPress กับ Joomla ซึ่งเป็น Content Management Systems (CMSs) ยอดนิยมที่ตกเป็นเป้าหมายจากกลุ่มอาชญากรทางไซเบอร์ เพื่อทำการโจมตีและยึดครองเว็บไซต์ (compromised) โดยพุ่งเป้าไปยังเว็บไซต์ที่มีการใช้ HTTPS จากนั้นจึงทำการแอบซ่อนไฟล์ไว้ใน directory ของเว็บไซต์ดังกล่าว (hidden directory) เพื่อนำไปใช้ในการก่ออาชญากรรมต่อไป

ทีมนักวิจัย ThreatLabZ จาก zscaler ตรวจพบว่ามีเว็บไซต์ที่ใช้ WordPress และ Joomla หลายรายการถูกโจมตีและใช้ในการซ่อนไฟล์อันตรายเพื่อแพร่กระจาย backdoor, หน้า Phishing และรวมถึงถูกใช้ในการแพร่กระจาย Shade ransomware ด้วย โดยช่องทางที่ถูกใช้ในการโจมตีส่วนมากน่าจะเป็นการอาศัยช่องโหว่ใน plugins, themes และ extersions สำหรับ WordPress ที่พบว่าถูกโจมตีคือเวอร์ชั่นตั้งแต่ 4.8.9 ถึง 5.1.1 และมีการใช้ SSL Certificate ของ Let’s Encrypt, GlobalSign และ DigiCert เป็นต้น สำหรับเว็บไซต์ที่ถูกใช้ในการซ่อนไฟล์ของ Shade ransomware นั้น จากการตรวจสอบทำให้นักวิจัยพบว่าจะมีไฟล์ 3 ชนิดที่ถูกซ่อนไว้ ได้แก่ ไฟล์ HTML, ไฟล์ zip และ ไฟล์ exe (ที่อยู่ในรูปแบบ .jpg) ดังนั้นผู้ดูแลเว็บไซต์โดยเฉพาะถ้าหากมีการใช้ Content Management Systems (CMS) ควร:

หมั่นตรวจสอบว่ามี directory หรือไฟล์ใหม่ๆ ที่ไม่สามารถหาแหล่งที่มาเกิดขึ้นในระบบหรือไม่ โดยอาจใช้เครื่องมือจำพวก File Integrity Monitoring (FIM) เพื่อช่วยในการตรวจจับและป้องกันการแก้ไขไฟล์หรือ directory สำคัญๆ ในระบบ
ควรทำการอัพเดต CMS ที่ใช้งานอยู่ให้เป็นเวอร์ชั่นล่าสุดในทุกๆ component เพื่อปิดช่องโหว่ที่อาจมีอยู่ในระบบ

ภาพตัวอย่างไฟล์ที่ถูกซ่อนใน directory ของ Web Server

Indicators of Compromise (IOCs)
สามารถติดตาม IOC ที่เกี่ยวข้องกับ Shade ransomware ได้จากลิงก์ด้านล่าง:

Shade ransomware hashes
Shade ransomware URLs
Shade ransomware IOCs
Shade/Troldesh links
Shade ransomware IOCs collection

แหล่งอ้างอิง

Shade Ransomware Hits High-Tech, Wholesale, Education Sectors in U.S, Japan, India, Thailand, Canada
Russian language malspam pushing Shade (Troldesh) ransomware
Malspam distributing Troldesh ransomware
Russia hit by new wave of ransomware spam
Abuse of hidden “well-known” directory in HTTPS sites

ตรวจพบสายพันธุ์ ransomware ใหม่ ชื่อ MegaCortex ที่กำหนดเป้าหมายไปยังภาคธุรกิจ

Sophos บริษัท รักษาความปลอดภัยไซเบอร์แห่งสหราชอาณาจักรรายงานว่ามีการตรวจพบการโจมตี ransomware ในปลายสัปดาห์ที่ผ่านมาจากสายพันธุ์ใหม่ที่ชื่อว่า MegaCortex และดูเหมือนจะได้รับการออกแบบมาเพื่อโจมตีองค์กรขนาดใหญ่คล้ายกับ Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga และ Matrix

MegaCortex ได้ถูกพบครั้งแรกเมื่อปลายเดือนมกราคมเมื่อมีคนอัพโหลดตัวอย่างบนบริการสแกนมัลแวร์ VirusTotal นับตั้งแต่นั้นมาจำนวนการโจมตีเพิ่มขึ้น เมื่อกลางสัปดาห์ที่ผ่านมาได้ตรวจพบการโจมตี 47 ครั้ง

Sophos กล่าวว่าบล็อกการโจมตีที่ตรวจพบซึ่งมาจากเครือข่ายองค์กรหลายแห่งที่ตั้งอยู่ในสหรัฐอเมริกา แคนาดา เนเธอร์แลนด์ ไอร์แลนด์ อิตาลี และฝรั่งเศส อย่างไรก็ตามการโจมตีอื่น ๆ อาจเกิดขึ้นในที่อื่น ๆ ที่ Sophos ไม่ครอบคลุม

ที่มา:www.

Avast และ Emsisoft ปล่อยตัวถอดรหัสฟรีสำหรับ BigBobRoss ransomware

Avast และ Emsisoft บริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่รู้จักกันดีในเรื่องผลิตภัณฑ์ป้องกันไวรัส ได้ปล่อยตัวถอดรหัสที่ไม่เสียค่าใช้จ่าย ซึ่งจะสามารถช่วยเหลือผู้ที่ตกเป็นเหยื่อของ BigBobRoss ransomware ให้กู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามาถดาวน์โหลด decrypters ได้จากเว็บไซต์ Avast และ Emsisoft

Michael Gillespie นักวิจัยด้านความปลอดภัยของ Emsisoft บอกว่าการพบ BigBobRoss ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 มกราคม เมื่อเหยื่อบางรายพยายามระบุชนิด ransomware ผ่าน ID-Ransomware ซึ่งเป็นบริการที่ Gillespie สร้างขึ้นเมื่อหลายปีก่อน เพื่อช่วยให้เหยื่อสามารถระบุชนิดของ ransomware

Gillespie กล่าวว่าเขาได้รับ 35 ตัวอย่างจากผู้ใช้ใน 6 ประเทศ ซึ่งต่อมาถูกระบุว่าเป็นผู้ตกเป็นเหยื่อ BigBobRoss ซึ่งไม่ใช่เหยื่อทุกรายจะรู้จักบริการ ID-Ransomware ดังนั้นจำนวนของผู้ตกเป็นเหยื่อ BigBobRoss น่าจะมีจำนวนมากกว่านั้น

แต่ยังไม่ชัดเจนว่า BigBobRoss ดำเนินการแพร่กระจาย ransomware หรือทำให้เหยื่อติดเชื้อด้วยช่องทางใด

นอกจากการใช้บริการ ID-Ransomware แล้ว ผู้ที่ตกเป็นเหยื่อยังสามารถตรวจสอบได้ด้วยตนเองว่าติด BigBobRoss หรือไม่ โดยเมื่อเหยื่อติด BigBobRoss ไฟล์ส่วนใหญ่จะถูกเข้ารหัสและเปลี่ยนนามสกุลไฟล์เป็น ".obfuscated"

ผู้ใช้งานสามารถลดความเสี่ยงจากการจ่ายเงินค่าไถ่ ได้ด้วยการสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อให้สามารถเรียกคืนข้อมูลได้เมื่อติด ransomware โดยไม่ต้องจ่ายเงินค่าไถ่

ที่มา: www.

Phobos ปรากฏตัวครั้งแรกในเดือนธันวาคมที่ผ่านมา โดยนักวิจัยที่ CoveWare ได้ให้รายละเอียดว่า ransomware ตัวนี้จะมีหลักการทำงานคล้ายคลึงกับ Dharma ransomware โดยมีเป้าหมายการโจมตีคือธุรกิจต่างๆทั่วโลก โดยการโจมตีแบบ Phobos ransomware คืออาชญากรไซเบอร์จะใช้ประโยชน์จาก RDP Port ที่เปิดเอาไว้และมีความปลอดภัยต่ำ ทำให้ถูกผู้ไม่ประสงค์ดีแอบเข้าไปในเครือข่ายได้และทำการโจมตีโดยการเข้ารหัสไฟล์และทำการเรียกค่าไถ่ โดยอ้างว่าถ้าเหยือจ่ายเป็น bitcoin ถึงจะทำการคืนไฟล์ที่ถูกเข้ารหัสให้ Phobos ransomware จะทำให้ไฟล์ในเครื่องของเหยือถูกล็อคด้วยนามสกุลไฟล์ .PHOBOS และเพิ่มไฟล์ Phobos.