ผู้สร้าง GandCrab ransomware ประกาศว่าจะหยุดให้บริการ Ransomware-as-a-Service เพราะได้เงินพอแล้ว

ในช่วงปลายเดือนที่ผ่านมาผู้สร้าง GandCrab ransomware ได้ประกาศว่าจะทำการปิดการทำงานของ Ransomware-as-a-Service (RaaS) ด้วยเหตุผลที่ว่าผู้สร้างสามารถที่จะทำเงินได้มากพอแล้ว (มากกว่า 2 พันล้านเหรียญ) และวางแผนที่จะยกเลิกการให้บริการภายในหนึ่งเดือน

มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นการโจมตีในรูปแบบการเข้ารหัสไฟล์ในเครื่องผู้ใช้งาน เหยื่อต้องจ่ายเงินให้แก่ผู้โจมตีเพื่อแลกกับการถอดรหัสเพื่อให้ได้ไฟล์คืนมา โดยพบว่ามัลแวร์เรียกค่าไถ่ที่อยู่ในตระกูล GandCrab ได้รายได้จากการขาย GandCrab RaaS ให้กับผู้ต้องการและส่วนแบ่งจากเงินเรียกค่าไถ่ที่เหยื่อจ่ายมา จากประกาศดังกล่าวยังมีการระบุว่า ผู้สร้างวางแผนจะทำการลบคีย์สำหรับถอดรหัสทิ้งด้วย ซึ่งจะส่งผลให้ผู้ที่ตกเป็นเหยื่อไม่สามารถกู้คืนไฟล์ได้ แต่นักวิจัยก็เชื่อว่าการประกาศลบคีย์สำหรับถอดรหัสนี้อาจจะเป็นแค่แผนการเพื่อกระตุ้นให้ผู้ที่ตกเป็นเหยื่อตื่นตระหนกและรีบทำการชำระค่าไถ่ก็เป็นไปได้

อย่างไรก็ตามหากอ้างอิงถึงเหตุการณ์ลักษณะเดียวกัน ที่ผู้ผลิตมัลแวร์เรียกค่าไถ่ประกาศจะปิดกระบวนการทำงานของมัลแวร์ อย่างเช่น TeslaCrypt, XData, Crysis และ FilesLocker ผู้สร้างมัลแวร์เหล่านั้นมักจะปล่อยคีย์สำหรับถอดรหัสออกมาให้เหยื่อฟรีๆ มากกว่า ดังนั้นทางเลือกที่ดีที่สุดคือ ไม่ติดเลยจะดีกว่า หรือควรมีแผนสำหรับกู้คืนระบบเมื่อตกเป็นเหยื่อจริงๆ อย่างเช่น การมีระบบ Backup ข้อมูลของเครื่องสำคัญๆ อย่างสม่ำเสมอ

ที่มา: zdnet

นักวิจัยจาก Unit 42 ของ Palo Alto ออกรายงานระบุว่า ประเทศไทย ติดอันดับ 1 ใน 10 ของประเทศที่จะติด ransomware ชื่อว่า “Shade” หรือ “Troldesh” โดยสถิติดังกล่าวได้มาจากข้อมูลการดาวน์โหลดไฟล์ที่เกี่ยวข้องกับ Shade ransomware จากอุปกรณ์ firewall ที่ทาง Palo Alto ให้บริการกับลูกค้าอยู่ทั่วโลก ผ่านระบบ AutoFocus ของ Palo Alto ทำให้ได้ข้อมูล 10 อันดับของประเทศที่เสี่ยงติด Shade ransomeware โดยประทศไทยอยู่ในอันดับที่ 4 รองจาก สหรัฐอเมริกา (พบการเชื่อมต่อ 2010 sessions), ญี่ปุ่น (พบการเชื่อมต่อ 1677 sessions) และอินเดีย (พบการเชื่อมต่อ 989 sessions) ตามมาด้วยประเทศไทย (พบการเชื่อมต่อ 723 sessions) ทั้งหมดนี้เป็นสถิติตั้งแต่ เดือนมกราคมถึงมีนาคมปี 2019 ซึ่งมากกว่าประเทศรัสเซียที่อยู่ในอันดับ 7 และถูกสงสัยว่าน่าจะเป็นต้นกำเนิดของ Shade ransomware เนื่องจาก spam อีเมลที่ถูกใช้ในการแพร่กระจายส่วนมากนั้นเป็นภาษารัสเซีย อย่างไรก็ตามก็มีเหยื่อบางรายที่พบเป็นภาษาอังกฤษด้วยเช่นเดียวกัน จากข้อมูลที่พบนี้ทำให้นักวิจัยสามารถระบุโดเมนเนมที่เกี่ยวข้องกับการแพร่กระจายได้

United States – 2,010 sessions
Japan – 1,677 sessions
India – 989 sessions
Thailand – 723 sessions
Canada – 712 sessions
Spain – 505 sessions
Russian Federation – 86 sessions
France – 71 sessions
United Kingdom – 67 sessions
Kazakhstan – 21 sessions

ภาพแสดงอันดับประเทศที่พบการดาวน์โหลด Shade ransomware

ทำความรู้จัก “Shade” หรือ “Troldesh” Ransomware เบื้องต้น
“Shade” Ransomware รู้จักในชื่ออื่นๆ อย่างเช่น “Troldesh” Ransomeware หรือ “Filecoder” Ransomware ถูกพบครั้งแรกเมื่อปลายปี 2014 ถูกแพร่กระจายผ่านทาง spam และ exploit kit หลังจากนั้นเมื่อปี 2016 ก็มีรายงานจาก Microsoft ว่าพบ Shade Ransomware เวอร์ชั่นใหม่ที่ได้รับการปรับปรุงให้มีการใช้งาน Tor ในกระบวนการเรียกค่าไถ่ สิ่งที่แตกต่างจากมัลแวร์เรียกค่าไถ่อื่นๆ คือแทนที่จะหยุดการทำงานของโปรเซสเมื่อเข้ารหัสไฟล์เสร็จแล้ว Shade ransomware จะทำการเรียกไปยังโดเมนเนมอื่นที่ถูกใช้ในการแพร่มัลแวร์และดาวน์โหลดมัลแวร์อื่นๆ มาเพิ่มเติม

ภาพแสดงตัวอย่าง ransom note แบบเก่า

ภาพแสดงตัวอย่าง ransom note แบบใหม่

จากการตรวจสอบตัวอย่าง Shade ransomware ที่พบล่าสุดเมื่อต้นปีที่ผ่านมา นักวิจัยพบว่ายังมีการใช้ Tor address (cryptsen7f043rr6[.]onion) และเปลี่ยนนามสกุลไฟล์เป็น .crypted000007 เช่นเดียวกับที่พบเมื่อปี 2016

ภาพแสดงตัวอย่างไฟล์ที่ถูก Shade ransomware เข้ารหัส

การแพร่กระจายของ “Shade” Ransomware
ช่องทางการแพร่กระจายของ “Shade” ransomware ที่พบจะมาในลักษณะของอีเมล spam ที่มีการแนบไฟล์ทั้งที่เป็น zip ไฟล์ที่มีสคริปต์ไฟล์แนบไว้ หรือไฟล์เอกสาร PDF ที่มีการแนบลิงก์สำหรับไปดาวน์โหลด zip ไฟล์ที่มีสคริปต์ไฟล์แนบไว้ สคริปต์ไฟล์ดังกล่าวจะถูกใช้สำหรับเรียกไปยังเว็บไซต์ที่ถูกซ่อนไฟล์มัลแวร์เรียกค่าไถ่ไว้ เพื่อดาวน์โหลดมาติดตั้งไว้บนเครื่องของเหยื่อ

ภาพแสดงตัวอย่างกระบวนการทำงานของ Shade ransomware

สอดคล้องกับรายงานจาก zscaler ที่ระบุว่า WordPress กับ Joomla ซึ่งเป็น Content Management Systems (CMSs) ยอดนิยมที่ตกเป็นเป้าหมายจากกลุ่มอาชญากรทางไซเบอร์ เพื่อทำการโจมตีและยึดครองเว็บไซต์ (compromised) โดยพุ่งเป้าไปยังเว็บไซต์ที่มีการใช้ HTTPS จากนั้นจึงทำการแอบซ่อนไฟล์ไว้ใน directory ของเว็บไซต์ดังกล่าว (hidden directory) เพื่อนำไปใช้ในการก่ออาชญากรรมต่อไป

ทีมนักวิจัย ThreatLabZ จาก zscaler ตรวจพบว่ามีเว็บไซต์ที่ใช้ WordPress และ Joomla หลายรายการถูกโจมตีและใช้ในการซ่อนไฟล์อันตรายเพื่อแพร่กระจาย backdoor, หน้า Phishing และรวมถึงถูกใช้ในการแพร่กระจาย Shade ransomware ด้วย โดยช่องทางที่ถูกใช้ในการโจมตีส่วนมากน่าจะเป็นการอาศัยช่องโหว่ใน plugins, themes และ extersions สำหรับ WordPress ที่พบว่าถูกโจมตีคือเวอร์ชั่นตั้งแต่ 4.8.9 ถึง 5.1.1 และมีการใช้ SSL Certificate ของ Let’s Encrypt, GlobalSign และ DigiCert เป็นต้น สำหรับเว็บไซต์ที่ถูกใช้ในการซ่อนไฟล์ของ Shade ransomware นั้น จากการตรวจสอบทำให้นักวิจัยพบว่าจะมีไฟล์ 3 ชนิดที่ถูกซ่อนไว้ ได้แก่ ไฟล์ HTML, ไฟล์ zip และ ไฟล์ exe (ที่อยู่ในรูปแบบ .jpg) ดังนั้นผู้ดูแลเว็บไซต์โดยเฉพาะถ้าหากมีการใช้ Content Management Systems (CMS) ควร:

หมั่นตรวจสอบว่ามี directory หรือไฟล์ใหม่ๆ ที่ไม่สามารถหาแหล่งที่มาเกิดขึ้นในระบบหรือไม่ โดยอาจใช้เครื่องมือจำพวก File Integrity Monitoring (FIM) เพื่อช่วยในการตรวจจับและป้องกันการแก้ไขไฟล์หรือ directory สำคัญๆ ในระบบ
ควรทำการอัพเดต CMS ที่ใช้งานอยู่ให้เป็นเวอร์ชั่นล่าสุดในทุกๆ component เพื่อปิดช่องโหว่ที่อาจมีอยู่ในระบบ

ภาพตัวอย่างไฟล์ที่ถูกซ่อนใน directory ของ Web Server

Indicators of Compromise (IOCs)
สามารถติดตาม IOC ที่เกี่ยวข้องกับ Shade ransomware ได้จากลิงก์ด้านล่าง:

Shade ransomware hashes
Shade ransomware URLs
Shade ransomware IOCs
Shade/Troldesh links
Shade ransomware IOCs collection

แหล่งอ้างอิง

Shade Ransomware Hits High-Tech, Wholesale, Education Sectors in U.S, Japan, India, Thailand, Canada
Russian language malspam pushing Shade (Troldesh) ransomware
Malspam distributing Troldesh ransomware
Russia hit by new wave of ransomware spam
Abuse of hidden “well-known” directory in HTTPS sites

ตรวจพบสายพันธุ์ ransomware ใหม่ ชื่อ MegaCortex ที่กำหนดเป้าหมายไปยังภาคธุรกิจ

Sophos บริษัท รักษาความปลอดภัยไซเบอร์แห่งสหราชอาณาจักรรายงานว่ามีการตรวจพบการโจมตี ransomware ในปลายสัปดาห์ที่ผ่านมาจากสายพันธุ์ใหม่ที่ชื่อว่า MegaCortex และดูเหมือนจะได้รับการออกแบบมาเพื่อโจมตีองค์กรขนาดใหญ่คล้ายกับ Ryuk, Bitpaymer, Dharma, SamSam, LockerGoga และ Matrix

MegaCortex ได้ถูกพบครั้งแรกเมื่อปลายเดือนมกราคมเมื่อมีคนอัพโหลดตัวอย่างบนบริการสแกนมัลแวร์ VirusTotal นับตั้งแต่นั้นมาจำนวนการโจมตีเพิ่มขึ้น เมื่อกลางสัปดาห์ที่ผ่านมาได้ตรวจพบการโจมตี 47 ครั้ง

Sophos กล่าวว่าบล็อกการโจมตีที่ตรวจพบซึ่งมาจากเครือข่ายองค์กรหลายแห่งที่ตั้งอยู่ในสหรัฐอเมริกา แคนาดา เนเธอร์แลนด์ ไอร์แลนด์ อิตาลี และฝรั่งเศส อย่างไรก็ตามการโจมตีอื่น ๆ อาจเกิดขึ้นในที่อื่น ๆ ที่ Sophos ไม่ครอบคลุม

ที่มา:www.

Avast และ Emsisoft ปล่อยตัวถอดรหัสฟรีสำหรับ BigBobRoss ransomware

Avast และ Emsisoft บริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่รู้จักกันดีในเรื่องผลิตภัณฑ์ป้องกันไวรัส ได้ปล่อยตัวถอดรหัสที่ไม่เสียค่าใช้จ่าย ซึ่งจะสามารถช่วยเหลือผู้ที่ตกเป็นเหยื่อของ BigBobRoss ransomware ให้กู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามาถดาวน์โหลด decrypters ได้จากเว็บไซต์ Avast และ Emsisoft

Michael Gillespie นักวิจัยด้านความปลอดภัยของ Emsisoft บอกว่าการพบ BigBobRoss ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 มกราคม เมื่อเหยื่อบางรายพยายามระบุชนิด ransomware ผ่าน ID-Ransomware ซึ่งเป็นบริการที่ Gillespie สร้างขึ้นเมื่อหลายปีก่อน เพื่อช่วยให้เหยื่อสามารถระบุชนิดของ ransomware

Gillespie กล่าวว่าเขาได้รับ 35 ตัวอย่างจากผู้ใช้ใน 6 ประเทศ ซึ่งต่อมาถูกระบุว่าเป็นผู้ตกเป็นเหยื่อ BigBobRoss ซึ่งไม่ใช่เหยื่อทุกรายจะรู้จักบริการ ID-Ransomware ดังนั้นจำนวนของผู้ตกเป็นเหยื่อ BigBobRoss น่าจะมีจำนวนมากกว่านั้น

แต่ยังไม่ชัดเจนว่า BigBobRoss ดำเนินการแพร่กระจาย ransomware หรือทำให้เหยื่อติดเชื้อด้วยช่องทางใด

นอกจากการใช้บริการ ID-Ransomware แล้ว ผู้ที่ตกเป็นเหยื่อยังสามารถตรวจสอบได้ด้วยตนเองว่าติด BigBobRoss หรือไม่ โดยเมื่อเหยื่อติด BigBobRoss ไฟล์ส่วนใหญ่จะถูกเข้ารหัสและเปลี่ยนนามสกุลไฟล์เป็น ".obfuscated"

ผู้ใช้งานสามารถลดความเสี่ยงจากการจ่ายเงินค่าไถ่ ได้ด้วยการสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อให้สามารถเรียกคืนข้อมูลได้เมื่อติด ransomware โดยไม่ต้องจ่ายเงินค่าไถ่

ที่มา: www.

Phobos ปรากฏตัวครั้งแรกในเดือนธันวาคมที่ผ่านมา โดยนักวิจัยที่ CoveWare ได้ให้รายละเอียดว่า ransomware ตัวนี้จะมีหลักการทำงานคล้ายคลึงกับ Dharma ransomware โดยมีเป้าหมายการโจมตีคือธุรกิจต่างๆทั่วโลก โดยการโจมตีแบบ Phobos ransomware คืออาชญากรไซเบอร์จะใช้ประโยชน์จาก RDP Port ที่เปิดเอาไว้และมีความปลอดภัยต่ำ ทำให้ถูกผู้ไม่ประสงค์ดีแอบเข้าไปในเครือข่ายได้และทำการโจมตีโดยการเข้ารหัสไฟล์และทำการเรียกค่าไถ่ โดยอ้างว่าถ้าเหยือจ่ายเป็น bitcoin ถึงจะทำการคืนไฟล์ที่ถูกเข้ารหัสให้ Phobos ransomware จะทำให้ไฟล์ในเครื่องของเหยือถูกล็อคด้วยนามสกุลไฟล์ .PHOBOS และเพิ่มไฟล์ Phobos.

อาชญากรไซเบอร์กำลังกำหนดเป้าหมายไปยังเครื่องของเหยื่อเพื่อทำการโจมตี โดยโจมตีผ่านทางช่องโหว่ของโปรแกรมเว็บเบราว์เซอร์และส่วนเสริมก่อนที่จะติดตั้งมัลแวร์ที่สามารถขโมยข้อมูลและปล่อยแรนซัมแวร์เข้าสู่ระบบได้ อ้างอิงจากนักวิจัยของ Malwarebytes ซึ่งมีการค้นพบว่าการแพร่กระจายของมัลแวร์ในรูปแบบใหม่นั้นอาศัยทั้งการขโมยข้อมูลและเข้ารหัสในตัวด้วยมัลแวร์สองประเภทคือ Vidar และ GandCrab

Vidar คือมัลแวร์รูปแบบใหม่ซึ่งมีเป้าหมายคือการขโมยข้อมูลจำนวนมหาศาลของผู้ตกเป็นเหยื่อ เช่น รหัสผ่าน เอกสาร ภาพหน้าจอ ประวัติเบราว์เซอร์ ข้อมูลการส่งข้อความ รายละเอียดบัตรเครดิต และอื่นๆ

Vidar ยังสามารถกำหนดเป้าหมายเป็นกระเป๋าเงินเสมือนที่เก็บ Bitcoin และ Cryptocurrencies อื่นๆ ได้ มัลแวร์ตัวนี้มีความสามารถสูงในการปรับแต่งตัวเองและกำลังได้รับความนิยมในกลุ่มแฮกเกอร์ต่างๆ ด้วย สำหรับที่มาของชื่อมัลแวร์ Vidar นั้น ดูเหมือนว่าจะได้รับการตั้งชื่อตามเทพพระเจ้านอร์ส “Víðarr the Silent” ชื่อที่ผู้เขียนอาจเลือกเพื่อสะท้อนความสามารถที่ซ่อนเร้น

Vidar ได้รับการออกแบบมาให้ทำงานอย่างลับๆ ทำให้ผู้ที่ตกเป็นเหยื่อไม่ทราบว่าระบบของพวกเขาถูกโจมตีขณะที่ผู้โจมตีทำให้ข้อมูลส่วนตัวถูกส่งคำสั่งออกไปและควบคุมเครื่องเซิร์ฟเวอร์ (C&C) และยังทำให้เครื่องของเหยื่อทำงานเป็นตัวดาวโหลดมัลแวร์อื่นๆ และทำให้เกิดการแพร่กระจายของ GandCrab Ransomware อีกด้วย

ที่มา:zdnet.

มีรายงานถึงการโจมตีของ Ryuk ransomware ส่งผลกระทบต่อบริษัทที่ให้บริการพิมพ์และส่งหนังสือพิมพ์รายใหญ่ Tribune Publishing และ Los Angeles Times ในสหรัฐอเมริกา ซึ่งได้ให้บริการแก่ Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette, และ Carroll County Times ส่งผลให้การส่งหนังสือพิมพ์ล่าช้าเมื่อวันเสาร์ที่ผ่านมา

Ryuk ransomware เป็นที่รู้จักในเดือน สิงหาคม 2018 สามารถเรียกค่าไถ่ได้มากกว่า $640,000 ลักษณะการทำงานของ Ryuk ransomware มีความคล้ายคลึงกับ ransomware ที่ถูกสร้างโดยกลุ่ม Lazarus ที่เชื่อว่ามีรัฐบาลเกาหลีเหนืออยู่เบื้องหลัง อย่างไรก็ตามยังเร็วไปที่จะยืนยันได้ว่า ransomware ดังกล่าวเกี่ยวข้องกับเกาหลีเหนือ โดยผู้ไม่หวังดีจะโจมตีเหยื่อโดยการทำ phishing หรืออาจจะผ่านทาง remote desktop

ทางสำนักพิมพ์ประกาศว่า จากการโจมตีดังกล่าวไม่พบว่ามีข้อมูลส่วนบุคคลของสมาชิกออนไลน์และลูกค้าโฆษณาได้รับผลกระทบจากการถูกโจมตีในครั้งนี้แต่อย่างใด

ที่มา: bleepingcomputer

เครื่องคอมพิวเตอร์ของผู้ใช้งานที่เป็น Windows ในประเทศจีน ติด ransomware สายพันธุ์ใหม่กว่า 100,000 เครื่อง

ผู้ใช้ชาวจีนกว่า 100,000 คนที่ใช้เครื่องคอมพิวเตอร์ Windows ติด ransomware ซึ่งเข้ารหัสไฟล์ของพวกเขาและเรียกค่าไถ่เป็นเงิน 110 หยวน (ประมาณ 16 $) โดยผู้ไม่หวังดีพุ่งเป้าโจมตีเฉพาะชาวจีนเท่านั้น เนื่องจากกลุ่มที่อยู่เบื้องหลังภัยคุกคามนี้ใช้เฉพาะภาษาจีนเพื่อเรียกค่าไถ่ และแพร่กระจายผ่านทางเว็ปไซต์ท้องถิ่นและ forum ในประเทศจีนเท่านั้น นอกจากนี้ยังให้ชำระเงินค่าไถ่ผ่านทางบริการการชำระเงินของ WeChat ซึ่งถูกใช้เฉพาะในประเทศจีนและภูมิภาคที่อยู่ติดกันเท่านั้น

ตามรายงานข่าวท้องถิ่นหลายฉบับรายงานว่ามีการติด ransomware นี้หลังจากติดตั้งแอพโซเชียลมีเดียที่ชื่อ "Account Operation V3.1" ซึ่งเป็นแอพสำหรับช่วยให้ผู้ใช้สามารถจัดการบัญชี QQ หลายบัญชีได้ในเวลาเดียวกัน รายงานต่อมาอ้างว่าผู้สร้าง ransomware อาจอาศัย SDK ที่ชื่อว่า "EasyLanguage" เพื่อช่วยในการแพร่กระจายด้วยการ inject โค้ดที่อันตรายลงในแอพพลิเคชั่นของนักพัฒนาซอฟต์แวร์รายอื่น ๆ

ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการวิเคราะห์ และกล่าวว่านอกเหนือจากการเข้ารหัสไฟล์ ransomware ยังขโมยข้อมูลการเข้าสู่ระบบสำหรับบริการออนไลน์ของจีนเช่น Alipay, Baidu Cloud, NetEase 163, Tencent QQ, Taobao, Tmall และ Jingdong อย่างไรก็ตามล่าสุดบริษัทความปลอดภัยในจีนได้ออกมาบอกว่า สามารถถอดรหัสได้แล้ว เนื่องจาก ransomware ใช้บริษัทการเข้ารหัสและถอดรหัสแบบ hardcode ทำให้สามารถหาคีย์สำหรับถอดรหัสได้จากซอร์สโค้ด และมีแผนที่จะเผยแพร่ในอีกไม่กี่วันข้างหน้า

ที่มา: zdnet

Aurora / Zorro Ransomware กำลังแพร่กระจายอย่างต่อเนื่อง

Aurora Ransomware ได้มีการกระจายตั้งแต่ช่วงฤดูร้อนของปี 2018 ได้กลับมาปรากฏตัวอีกครั้งในรูปแบบสายพันธุ์ใหม่เรียกว่า Zorro Ransomware ปัจจุบันยังไม่แน่ชัดว่า Ransomware นี้มีการกระจายอย่างไร แต่มีข้อบ่งชี้ว่าอาจถูกติดตั้งโดยการแฮ็กเข้าสู่คอมพิวเตอร์ที่ใช้ Remote Desktop Service และคอมพิวเตอร์ที่มีการเปิดให้เข้าถึงจาก Internet ซึ่งแฮกเกอร์จะสุ่มรหัสผ่านบัญชี RDP เพื่อเข้าถึงคอมพิวเตอร์และติดตั้ง Ransomware ลงบนเครื่อง

ข่าวดีก็คือ Michael Gillespie และ Francesco Muroni ได้ค้นพบวิธีถอดรหัส Ransomware ตัวนี้แล้ว
จากการตรวจสอบ wallet ที่ถูกใช้ในการจ่ายเงิน ปัจจุบันมีธุรกรรม 105 รายการ ตั้งแต่ปลายเดือนกันยายน โดยได้เงินไป 2.7 bitcoins ซึ่งเท่ากับ 12,000 ดอลลาร์สหรัฐฯ

เมื่อติดตั้ง Ransomware แล้ว จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่ง (C&C) เพื่อรับข้อมูลและใช้ในการเข้ารหัสไฟล์ของเหยื่อ จากนั้นจะเชื่อมต่อกับ http://www.

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือด้วยข้อหาแฮกบริษัท Sony และแพร่กระจาย WannaCry

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือชื่อ Pak Jin Hyok ด้วยความผิดในการแฮกบริษัท Sony Picture ในปี 2014 และการแพร่กระจาย WannaCry ransomware ในปี 2017ทั้งนี้นาย Pak Jin Hyok ตกเป็นผู้ต้องสงสัยว่าเป็นสมาชิกในกลุ่ม Lazarus ที่ทำการโจมตีทางไซเบอร์อีกหลายรายการทั้วโลกอีกด้วย

IBM รายงานว่า WannaCry ในปี 2017 น่าจะทำให้เกิดความสูญเสียกว่า 8 พันล้านดอลลาร์สหรัฐใน 150 ประเทศทั่วโลก ซึ่งเจ้าหน้าที่ได้ใช้เวลากว่า 4 ปีในการเชื่อมโยงนาย Pak Jin Hyok เข้ากับการโจมตีผ่านมัลแวร์ที่ใช้โจมตี โดเมน อีเมล และบัญชีโซเชียลต่างๆ โดยระบุรายละเอียดไว้ที่ https://www.