เมื่อวันที่ 6 มิถุนายนที่ผ่านมา กลุ่ม LockBit ransomware ได้เผยแพร่ข้อมูลลงบนเว็บไซต์รายงานข้อมูลรั่วไหล ในเนื้อหากล่าวว่าจะมีการเผยแพร่ข้อมูลกว่า 356,841 ไฟล์ ของบริษัท Mandiant ที่เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาในอีก 3 ชั่วโมงข้างหน้า

ซึ่งทาง LockBit ยังไม่ได้เปิดเผยว่าเป็นไฟล์ชนิดใด พบเพียงตัวอย่างเป็นไฟล์ชื่อ 'mandiantyellowpress.

กลุ่มแรนซัมแวร์กำลังพัฒนาการโจมตีเพิ่มขึ้นอีกระดับด้วยการแฮ็คเว็บไซต์ของบริษัท เพื่อที่จะแสดงข้อมูลการเรียกค่าไถ่ออกสู่สาธารณะ กลยุทธ์การโจมตีครั้งใหม่นี้ดำเนินการโดย Industrial Spy เป็นกลุ่มที่เพิ่งเริ่มใช้แรนซัมแวร์ในการโจมตี

ส่วนหนึ่งของการโจมตีของ Industrial Spy จะโจมตีเครือข่าย, ขโมยข้อมูล และติดตั้งแรนซัมแวร์บนอุปกรณ์ต่างๆ จากนั้นจะทำการขู่เหยื่อว่าจะขายข้อมูลที่ขโมยมาได้ใน Tor marketplace หากเหยื่อไม่ยอมจ่ายค่าไถ่

ทาง Industrial Spy เริ่มขายข้อมูลที่พวกเขาอ้างว่าได้ขโมยมาจาก SATT Sud-Est ซึ่งเป็นบริษัทจากฝรั่งเศส ในราคา 500,000 ดอลลาร์

นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบว่าการโจมตีครั้งนี้ค่อนข้างแปลกจากที่ผ่านมา เพราะผู้โจมตียังมีการแฮ็คเว็บไซต์ของบริษัท เพื่อแสดงข้อความเตือนว่าข้อมูล 200GB ถูกขโมยไป และในไม่ช้าจะถูกขายหากเหยื่อไม่ยอมจ่ายค่าไถ่

(more…)

หลังจากการหยุดปฏิบัติการไปหลายเดือนตั้งแต่ช่วงเดือนพฤศจิกายนจนถึงกุมภาพันธ์ ตอนนี้ Clop ransomware กลับมาแล้ว จากรายงานของนักจัยจาก NCC Group

"CL0P กลับมาอยู่ในระดับแนวหน้าของภัยคุกคามจากแรนซัมแวร์ โดยเพิ่มขึ้นจากการที่มีความเคลื่อนไหวน้อยที่สุดในเดือนมีนาคม มาเป็นมีความเคลื่อนไหวมากที่สุดลำดับที่สี่ในเดือนเมษายน"

ปฏิบัติการที่เพิ่มขึ้นนี้ถูกพบหลังจากกลุ่ม CL0P เพิ่มรายการเหยื่อรายใหม่กว่า 21 รายภายในเดือนเมษายนเพียงเดือนเดียว บนไซต์ที่ใช้รายงานข้อมูลรั่วไหลของเหยื่อของพวกเขา

"มีความเปลี่ยนแปลงที่น่าสนใจในการรายงานในเดือนเมษายน ในขณะที่ Lockbit 2.0 มีเหยื่อ 103 ราย และ Conti มีเหยื่อ 45 ราย ซึ่งยังคงเป็นกลุ่มผู้โจมตีที่มากที่สุด กลุ่มเป้าหมายที่ตกเป็นเหยื่อจากการโจมตีของ CL0P กลับเพิ่มขึ้นอย่างมากจาก 1 รายเป็น 21 ราย" กลุ่ม NCC กล่าว

โดยเป้าหมายมากที่สุดของกลุ่ม CL0P คือภาคอุตสาหกรรม โดยคิดเป็น 45% จากการโจมตี และอีก 27% คือกลุ่มเป้าหมายบริษัทเทคโนโลยี ด้วยเหตุนี้ NCC Group จึงแจ้งเตือนองค์กรต่างๆ ที่อยู่ในกลุ่มเป้าหมายของกลุ่ม ransomware ให้เฝ้าระวัง และเตรียมความพร้อม

อย่างไรก็ตาม กลุ่ม CL0P ransomware กลับดูเหมือนจะไม่มีการเคลื่อนไหวมากนักหลังจากที่ปล่อยรายชื่อเหยื่อรวดเดียวกว่า 21 รายดังกล่าว

ในขณะที่เหยื่อรายล่าสุดได้รับการยืนยันว่าเป็นการโจมตีครั้งใหม่ แต่ในอีกทฤษฎีหนึ่งก็คือกลุ่ม CL0P อาจยุติปฏิบัติการแล้วจริงๆหลังจากที่หยุดปฏิบัติการไปหลายเดือน โดยการเผยแพร่ข้อมูลของเหยื่อล่าสุด คือเหยื่อที่ยังไม่ได้ถูกปล่อยข้อมูลออกมาก่อนหน้านี้ ซึ่งก็คล้ายกันกับกลุ่ม Conti ที่กำลังทำอยู่ซึ่งเป็นส่วนหนึ่งของการยุติปฏิบัติการ

ในขณะที่มุ่งเป้าโจมตีไปที่เหยื่อทั่วโลกตั้งแต่ปี 2019 (เหยื่อบางราย ได้แก่ Maastricht University, Software AG IT, ExecuPharm และ Indiabulls) กลุ่ม CL0P ก็ยังถูกเชื่อมโยงเข้ากับการโจมตี Accellion ในการโจมตี Accellion กลุ่ม CL0P ได้ทำการขโมยข้อมูลจำนวนมากจากหลายบริษัทที่มีชื่อเสียงโดยใช้ File Transfer Appliance (FTA) ของ Accellion

ต่อมา CL0P ใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่กับบริษัท โดยบีบให้ต้องจ่ายค่าไถ่จำนวนมากเพื่อไม่ให้ข้อมูลถูกเผยแพร่ รายชื่อบริษัทที่ถูกขโมยข้อมูลจาก Accellion FTA ได้แก่ บริษัทพลังงานยักษ์ใหญ่อย่าง Shell, บริษัทรักษาความปลอดภัยทางไซเบอร์ Qualys, ซูเปอร์มาร์เก็ตยักษ์ใหญ่ Kroger และมหาวิทยาลัยหลายแห่งทั่วโลก( University of Colorado, University of Miami, Stanford Medicine, University of Maryland บัลติมอร์ (UMB) และมหาวิทยาลัยแคลิฟอร์เนีย)

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญจาก Trend Micro ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ที่มีชื่อว่า Cheers ซึ่งมีเป้าหมายหลัก ๆ คือ VMware ESXi Server ที่เป็นแพลตฟอร์มที่นิยมใช้กันอย่างแพร่หลายทั่วโลก

ระบบสำคัญของหลายองค์กรต่างอยู่ในแพลตฟอร์มนี้ ซึ่งหากโจมตีได้สำเร็จจนทำให้ระบบหยุดทำงาน ก็จะส่งผลต่อการดำเนินธุรกิจรวมไปถึงกระทบต่อชื่อเสียงขององค์กรอีกด้วย

ลักษณะการทำงาน

เมื่อเซิร์ฟเวอร์ VMware ESXi ถูกโจมตีได้สำเร็จ แรนซัมแวร์จะทำการสแกนหาไฟล์ที่มีนามสกุล .log, .vmdk, .vmem, .vswp, และไฟล์ extensions ที่นามสกุล .vmsn
ซึ่งเป็นไฟล์สำคัญของ ESXi ทั้งหมด เช่นไฟล์ Snapshot หรือ log files จากนั้นจะทำการเปลี่ยนนามสกุลไฟเหล่านั้นล์เป็น “.Cheers” แล้วทำการเข้ารหัสไฟล์โดยใช้ SOSEMANUK stream cipher และลบคีย์ในการกู้คืนออก ซึ่งระหว่างแรนซัมแวร์ทำการสแกนโฟลเดอร์เพื่อเข้ารหัส มันก็จะทำการสร้าง Text ไฟล์ที่ชื่อ ‘How To Restore Your Files.

SpiceJet สายการบินราคาประหยัดของอินเดียได้แจ้งลูกค้าในวันนี้ถึงการถูกโจมตีจาก ransomware ซึ่งส่งผลกระทบต่อระบบบางระบบ และทำให้เที่ยวบินออกเดินทางล่าช้า

ซึ่งจากประกาศที่เผยแพร่บนช่องทางโซเชียลมีเดียของสายการบินอ้างว่า ทีมไอทีสามารถขัดขวางการโจมตีได้ ดังนั้นทุกอย่างจึงกลับสู่สถานะการทำงานปกติ

อย่างไรก็ตามพบว่าลูกค้าหลายรายของสายการบินออกมาแจ้งปัญหาอย่างต่อเนื่องบน Twitter และ Facebook โดยส่วนใหญ่เป็นเรื่องของความล่าช้าของเที่ยวบิน โดยระบุว่าไม่สามารถติดต่อฝ่ายบริการลูกค้าทางโทรศัพท์ได้ และระบบการจองยังคงใช้งานไม่ได้

BleepingComputer ได้ยืนยันว่าปัจจุบัน(ในขณะที่กำลังเขียนบทความ) มีเพียงหน้าแรกของ SpiceJet เท่านั้นที่ใช้งานได้ ในขณะที่ระบบ และหน้าเว็บอื่นๆส่วนใหญ่ไม่สามารถโหลดได้

อย่างไรก็ตาม ยังสามารถตรวจสอบตารางสถานะเที่ยวบินได้ และพบว่าเกิดความล่าช้าในทุกจุดหมายปลายทางที่เราตรวจสอบ ตั้งแต่สองถึงห้าชั่วโมง

ประกาศแจ้งเตือนเที่ยวบินล่าช้าบนเว็บไซต์ SpiceJet

จากข้อมูล SpiceJet เป็นสายการบินที่ใหญ่เป็นอันดับสองในอินเดีย ให้บริการเครื่องบิน 102 ลำเพื่อให้บริการจุดหมายปลายทางกว่า 60 แห่ง บริษัทมีพนักงานมากกว่า 14,000 คน และถือหุ้นประมาณ 15% ของส่วนแบ่งการตลาดในท้องถิ่น

ด้วยเหตุนี้ การโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อการดำเนินงานจึงส่งผลกระทบต่อผู้โดยสารจำนวนมากทั่วอินเดีย และปลายทางระหว่างประเทศ และความล่าช้าหลายชั่วโมงเหล่านี้ส่งผลให้เกิดความสูญเสียทางการเงินอย่างมาก

BleepingComputer ได้ติดต่อ SpiceJet เพื่อขอรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีจาก ransomware และโฆษกของบริษัทได้ให้ข้อมูลดังต่อไปนี้:

“ระบบ SpiceJet บางระบบเผชิญกับการโจมตีด้วยแรนซัมแวร์ที่พยายามโจมตีเมื่อคืนที่ผ่านมา ซึ่งส่งผลกระทบต่อการปฏิบัติการบินของเรา แม้ว่าทีมไอทีของเราจะควบคุม และแก้ไขสถานการณ์ได้ แต่ก็ยังส่งผลกระทบต่อเที่ยวบินของเรา ซึ่งนำไปสู่ความล่าช้าของเที่ยวบินไปยังสนามบิน หรือบางเที่ยวบินที่มีข้อจำกัดในการดำเนินการช่วงกลางคืนถูกยกเลิก SpiceJet กำลังติดต่อกับผู้เชี่ยวชาญ และหน่วยงานด้านอาชญากรรมทางไซเบอร์ในประเด็นนี้”

ความผิดพลาดก่อนหน้านี้

ในเดือนมกราคม 2020 SpiceJet ยืนยันเหตุการณ์การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตบนฐานข้อมูลสำรองของสายการบิน ซึ่งไม่มีการป้องกันที่เข้มงวดมากพอ

ไฟล์ดังกล่าวมีข้อมูลที่ไม่ได้เข้ารหัสของผู้โดยสาร 1,200,000 คนที่เคยใช้บริการของ SpiceJet ในเดือนก่อนหน้า รวมถึงชื่อนามสกุล ข้อมูลเที่ยวบิน หมายเลขโทรศัพท์ ที่อยู่อีเมล และวันเกิด

ในปี พ.ศ. 2564 SpiceJet ประสบปัญหาทางการเงินอย่างรุนแรงจากการหยุดให้บริการเนื่องจากข้อจำกัดด้านโควิด-19 โดยรายงานการสูญเสียรายได้ต่อปี 28% ซึ่งส่งผลโดยตรงต่อความมั่นคงของธุรกิจ

สถานการณ์ทางการเงินที่เกิดขึ้น อาจทำให้บริษัทไม่ได้ลงทุนในด้านความปลอดภัยทางไซเบอร์ และการตอบสนองต่อเหตุการณ์มากนัก ซึ่งอาจทำให้การโจมตีด้วยแรนซัมแวร์ประสบความสำเร็จได้ง่ายขึ้น

ที่มา :bleepingcomputer

RedPacket Security ได้ออกมาให้ข่าวเรื่องการถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ของบริษัท เอฟเอ็น แฟคตอรี่เอาท์เล็ท จำกัด (มหาชน) ซึ่งเป็นบริษัทผลิต และจำหน่ายเครื่องแต่งกาย ประกอบกิจการจำหน่ายเครื่องหนัง เสื้อผ้า เฟอร์นิเจอร์ และเครื่องใช้ภายในบ้าน

LockBit ระบุว่าได้ข้อมูลออกไปทั้งหมด 2236 ไฟล์ และหากเหยื่อไม่จ่ายค่าไถ่ก็เตรียมจะเผยแพร่ข้อมูลทั้งหมดในบล็อกของ LockBit ภายในวันที่ 13 พ.ค. 2565 เวลา 00:00:00

ที่มา : redpacketsecurity

เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)

Python Ransomware ตัวใหม่ กำลังมุ่งเป้าไปที่ระบบที่ใช้ Jupyter Notebook

Jupyter Notebook เป็น open source web environment ที่ใช้สำหรับการวิเคราะห์ข้อมูล และสร้างโมเดลข้อมูล เพื่อจำลองข้อมูลของ data science, computing และ machine learning ซึ่งรองรับภาษาโปรแกรมมากกว่า 40 ภาษา และถูกใช้โดยบริษัทต่างๆ รวมถึง Microsoft, IBM และ Google ควบคู่ไปกับมหาวิทยาลัยหลายแห่ง ล่าสุดทางทีม Nautilus ของ Aqua Security เพิ่งได้ค้นพบมัลแวร์ใหม่บนเครื่องมือที่เป็นที่นิยมนี้

ในขณะที่ Jupyter Notebook อนุญาตให้ผู้ใช้แบ่งปันเนื้อหากับผู้อื่น ให้สามารถเข้าถึงข้อมูลได้อย่างปลอดภัยผ่าน Account credential หรือ tokens แต่บางครั้งผู้ใช้งานก็ไม่ได้มีการตั้งค่าบน AWS buckets ไว้อย่างถูกต้อง และปลอดภัย ซึ่งจะทำให้ใครก็สามารถเปิดดูข้อมูลได้ ซึ่ง Python ransomware นี้ ก็จะมุ่งเป้าไปยังเครื่องที่มีความเสี่ยงในการโดนโจมตีเหล่านี้

นักวิจัยได้สร้าง honeypot ที่มีแอปพลิเคชั่น Jupyter Notebook ที่เปิดเผยข้อมูล เพื่อสังเกตพฤติกรรมของมัลแวร์ โดยพบว่าเมื่อแรนซัมแวร์เข้าถึงเซิร์ฟเวอร์ได้ มันจะทำการเปิด terminal เพื่อดาวน์โหลดเครื่องมือที่ใช้ในการโจมตีอื่นๆ รวมทั้งตัวเข้ารหัส จากนั้นจึงสร้างสคริปต์ Python เพื่อติดตั้งแรนซัมแวร์

เมื่อการโจมตีจบลง ทางทีม Nautilus สามารถเก็บข้อมูลได้มากพอที่จะนำมาจำลองการโจมตีดังกล่าว โดยที่ตัวเข้ารหัสจะคัดลอก และเข้ารหัสไฟล์ ลบเนื้อหาที่ไม่ได้เข้ารหัส และทำการลบตัวเองออกจากระบบ

(more…)

บริษัท Denso ผู้จัดจำหน่ายเทคโนโลยียานยนต์ และชิ้นส่วนได้ยืนยันกับ ISMG ว่าตกเป็นเหยื่อของการโจมตีด้วย Ransomware เมื่อสัปดาห์ที่ผ่านมา โดยยังอยู่ระหว่างการตรวจสอบ และบริษัทไม่ได้เปิดเผยรายละเอียดของการเรียกค่าไถ่ หรือผู้ที่อยู่เบื้องหลังการโจมตี แต่ DarkTracer แพลตฟอร์มตรวจสอบ Dark web อิสระ กล่าวว่าเป็นการโจมตีของกลุ่ม Ransomware Pandora

โฆษกของบริษัท Denso บอก ISMG ว่า "บริษัทในเครือในประเทศเยอรมนีถูกผู้ไม่หวังดีเข้าถึงระบบโดยมิชอบเมื่อวันที่ 10 มีนาคม พ.ศ. 2565 ซึ่งเป็นการโจมตีด้วย Ransomware" Denso Supplier เคยเป็นส่วนหนึ่งของกลุ่มผู้ผลิตรถยนต์ Toyota Group ของญี่ปุ่น บริษัทได้แจ้งหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องทั้งหมด และหน่วยงานด้านความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญเป็นพิเศษเพื่อสอบสวนเหตุการณ์ดังกล่าว

คำแถลงของบริษัทระบุว่า "หลังจากตรวจพบการเข้าถึงโดยมิชอบ บริษัทได้ตัดการเชื่อมต่อเครือข่ายของอุปกรณ์ในทันที และยืนยันว่าไม่มีผลกระทบต่อบริษัทอื่นๆ ของ Denso"

โฆษกของ Denso กล่าวกับ ISMG ว่า "การผลิตไม่มีการหยุดชะงัก และเรายังคงดำเนินการโรงงานทั้งหมดของเราตามปกติ เราสามารถทำเช่นนี้ได้เนื่องจากเราย้ายระบบงานที่ได้รับผลกระทบจากเหตุการณ์นี้ไปยังไซต์อื่น ๆ ของ Denso เรากำลังตรวจสอบข้อมูลที่ได้รับผลกระทบจากเหตุการณ์นี้ เรายังไม่สามารถพูดรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้ได้"

แม้ว่าโฆษกของ Denso ปฏิเสธที่จะเปิดเผยรายละเอียดเกี่ยวกับ Ransomware แต่แพลตฟอร์มการตรวจสอบ Dark web อิสระที่เรียกว่า DarkTracer ทวีตว่ากลุ่ม Ransomware ของ Pandora ได้อ้างความรับผิดชอบในการโจมตีครั้งนี้

(more…)

IBM Security X-Force พบเวอร์ชันอัพเกรดของ AnchorDNS Backdoor โดยมีชื่อเรียกว่า AnchorMail

"AnchorMail จะใช้ Command and Control เป็นเซิร์ฟเวอร์อีเมล โดยใช้โปรโตคอล SMTP และ IMAP ผ่าน Protocol TLS" โดย Charlotte Hammond ผู้เชี่ยวชาญการวิเคราะห์มัลแวร์ของ IBM ระบุว่าพฤติกรรมของ AnchorMail จะคล้ายๆกับพฤติกรรมของ AnchorDNS รุ่นก่อน

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง TrickBot คือ ITG23 หรือที่รู้จักในชื่อ Wizard Spider โดยค่อนข้างมีชื่อเสียงในด้านการพัฒนา Anchor Backdoor ที่ถูกใช้โจมตีเหยื่อมาตั้งแต่ปี 2018 ด้วยมัลแวร์ TrickBot และ BazarBackdoor ในช่วงหลายปีที่ผ่านมาทางกลุ่มได้ร่วมมือกับกลุ่ม Conti Ransomware ซึ่งทำให้มีการนำ TrickBot และ BazarLoader ไปใช้ร่วมในการโจมตี

Backdoor AnchorDNS ในเวอร์ชันเก่านั้นจะสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้ DNS Tunneling เพื่อหลีกเลี่ยงการป้องกันของเหยื่อ แต่เวอร์ชันใหม่จะใช้อีเมลที่ได้รับการออกแบบมาเป็นพิเศษ

Charlotte Hammond ได้กล่าวว่า AnchorMail จะใช้โปรโตคอล SMTPS ที่เข้ารหัสเพื่อส่งข้อมูลไปยัง C2 และใช้ IMAPS ในการรับคำสั่ง การทำงานของมัลแวร์จะกำหนดเวลาให้ทำงานทุกๆ 10 นาที ตามด้วยการติดต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดำเนินการรับคำสั่ง ซึ่งรวมถึงการรันไบนารี, DLL และ shell code ผ่าน PowerShell จากนั้นก็จะลบตัวมันเองออกจากระบบ

การค้นพบ Anchor เวอร์ชันใหม่ จะทำให้เกิด Backdoor ใหม่ๆที่ใช้ในการโจมตีด้วย Ransomware เพิ่มมากขึ้น

ในปัจจุบัน AnchorMail ยังพบการโจมตีเฉพาะบน Windows เท่านั้น แต่เนื่องจากพบว่า AnchorDNS ถูกนำไปใช้บน Linux เรียบร้อยแล้ว จึงทำให้ในอนาคตเราอาจพบ AnchorMail เวอร์ชัน Linux เกิดขึ้นได้เช่นกัน

ที่มา : thehackernews