กลุ่ม Avaddon Ransomware (ที่เคยเป็นข่าวเมื่อช่วงเดือนพฤษภาคมว่าสามารถแฮ็กข้อมูลของ AXA Group ได้) ประกาศปิดตัวลงและปล่อยคีย์ถอดรหัสให้กับ BleepingComputer.

พบกลุ่มภัยคุกคามใหม่ จากประเทศอิหร่าน หลอกว่าโจมตีเพื่อเรียกค่าไถ่ แต่ทำลายข้อมูลทิ้งทั้งหมด โดยมีเป้าหมายเป็นประเทศอิสราเอล
นักวิจัยจาก SentinelOne พบว่า วันที่ 25 May 2021 ที่ผ่านมาว่า กลุ่ม Agrius ถูกพบครั้งแรกในการโจมตีโดยมีเป้าหมายเป็นประเทศอิสราเอล ในปี 2020 โดยเครื่องมือที่ใช้พบว่ามีการใช้ Wiper malware ซึ่งเป็น มัลแวร์ที่มีเป้าหมายในการทำลายข้อมูล และ Ransomware ที่เป็นมัลแวร์ในการเรียกค่าไถ่ โดยแฮกเกอร์กลุ่มดังกล่าวจะไม่ได้มีแรงจูงใจในการโจมตีจากการเรียกค่าไถ่ แต่จะมุ่งไปที่การทำลายข้อมูลเป็นหลัก ในการติดตามการโจมตีที่ทาง SentinelOne ติดตามอยู่ พบว่า เมื่อกลุ่ม Agrius ทำการโจมตี ทางแฮกเกอร์จะแสร้งทำเป็นว่าขโมยและเข้ารหัสข้อมูลเพื่อเรียกค่าไถ่ แต่ว่าข้อมูลนั้นถูกทำลายไปแล้ว และนักวิจัยยังสงสัยอีกว่าแฮกเกอร์กลุ่มนี้อาจได้รับการสนับสนุนจากรัฐ

(more…)

เมื่อวันพฤหัสบดีที่ผ่านมา ทาง Microsoft ออกมาแจ้งเตือนถึง campaign "massive email" โดยมัลแวร์ชื่อ STRRAT ซึ่งใช้ Java-based เพื่อขโมยข้อมูลที่เป็นความลับจากระบบ ในขณะที่ปลอมตัวเป็นมัลแวร์เรียกค่าไถ่

RAT(Remote Access Trojan) ตัวนี้ จะมีพฤติกรรมคล้าย ransomware โดยจะเปลี่ยนชื่อไฟล์ ต่อท้ายด้วยนามสกุล .crimson โดยที่ไม่ได้ทำการเข้ารหัสจริง ๆ ซึ่งถ้าส่วนที่ต่อท้ายนามสกุลของไฟล์นี้ถูกลบออกไป ก็จะสามารถเปิดไฟล์ได้ตามปกติ

ทาง Microsoft พบเห็นการโจมตีเมื่อสัปดาห์ที่แล้ว จาก spam emails ซึ่งถูกส่งจาก email account ที่ถูกยึด มี subject ชื่อ "Outgoing Payments" เพื่อล่อให้ผู้รับเปิดเอกสาร PDF ที่เป็นอันตรายซึ่งอ้างว่าเป็นการโอนเงิน แต่ในความเป็นจริงแล้วเป็นการ เชื่อมต่อกับโดเมนหลอกลวงเพื่อดาวน์โหลดมัลแวร์ STRRAT และยังมีการเชื่อมต่อไปยัง command-and-control server อีกด้วย มัลแวร์ตัวนี้ยังมีคุณสมบัติที่สามารถรวบรวมรหัสผ่านของเบราว์เซอร์, บันทึกการกดแป้นพิมพ์, การเรียกใช้คำสั่งควบคุมจากระยะไกล และสคริปต์ PowerShell

STRRAT ถูกพบครั้งแรกในเดือนมิถุนายนปี 2020 โดย G Data บริษัทรักษาความปลอดภัยทางไซเบอร์ของเยอรมันที่สังเกตเห็น Windows malware (เวอร์ชัน 1.2) ในอีเมลฟิชชิ่งที่มีไฟล์แนบ Jar (หรือ Java Archive) ที่เป็นอันตราย

มัลแวร์มีเป้าหมายในการขโมยข้อมูล credentials ของเบราว์เซอร์, email clients และ passwords ผ่าน keylogging" ส่งผลกระทบกับเบราว์เซอร์และ email clients ดังต่อไปนี้ : Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird

Microsoft ตั้งข้อสังเกตว่าเวอร์ชัน 1.5 มีความซับซ้อนมากกว่าเวอร์ชันก่อนหน้า ซึ่งบ่งบอกว่าผู้ที่อยู่เบื้องหลังการโจมตี กำลังพัฒนาเครื่องมืออย่างเต็มที่ และพฤติกรรมการเข้ารหัสแบบหลอก ๆ ยังคงเป็นสัญญาณว่ากลุ่มนี้อาจมีเป้าหมายที่จะสร้างรายได้อย่างรวดเร็ว จากผู้ใช้ที่ไม่สงสัยในการข่มขู่ด้วย Ransomware

Indicators of compromise (IoCs) ที่เกี่ยวข้องกับแคมเปญสามารถเข้าถึงได้ผ่าน GitHub

ที่มา : thehackernews

Bose เป็น บริษัท อิเล็กทรอนิกส์ที่ผลิตอุปกรณ์เครื่องเสียงเพื่อความบันเทิง อุตสาหกรรมการบิน และยานยนต์
หลังจากถูกโจมตี บริษัท Bose ได้ว่าจ้างผู้เชี่ยวชาญด้านความปลอดภัย เพื่อตรวจสอบระบบที่ได้รับผลกระทบหลังจากการโจมตีของ Ransomware

โดยหลังจากการตรวจสอบพบว่า ข้อมูลส่วนบุคคลของพนักงานในปัจจุบัน และอดีตบางส่วนถูกเข้าถึงโดยผู้โจมตี รวมถึงชื่อหมายเลขประกันสังคม, ข้อมูลค่าตอบแทน และข้อมูลอื่นๆ ที่เกี่ยวข้องกับแผนก HR แต่ ไม่พบการยืนยันถึงผู้คุกคามที่อยู่เบื้องหลังเหตุการณ์ที่ทำให้ข้อมูลหลุดออกจากเครือข่าย และ ไม่มีหลักฐานการรั่วไหลของข้อมูลที่ถูกขโมยบน Dark Web

หลังจากการโจมตีของ Ransomware บริษัท Bose ใช้มาตรการต่อไปนี้เพื่อป้องกันการโจมตีในอนาคต

ปรับปรุงระบบการป้องกัน Malware/Ransomware ทั้ง Endpoints และ Server ทั้งหมดเพื่อให้สามารถรับมือกับ Malware/Ransomware ได้ในอนาคต
ดำเนินการทำ Forensics บนเครื่องที่ถูกโจมตี เพื่อวิเคราะห์ถึงผลกระทบที่อาจจะเกิดขึ้นจาก Malware/Ransomware
ทำการตรวจสอบและ Update อุปกรณ์ หรือ Software Security ให้เป็น Version ใหม่อยู่เสมอ
บล็อกไฟล์ที่เป็นอันตรายที่ใช้ในการโจมตีที่เกิดขึ้น เพื่อป้องกันการแพร่กระจายของมัลแวร์ หรือการพยายามขโมยข้อมูลออกสู่ภายนอกในอนาคต
ปรับปรุงระบบ Logging และ Monitoring เพื่อให้สามารถระบุพฤติกรรมของผู้โจมตีที่อาจจะเกิดขึ้นอีกในอนาคตได้
บล็อกเว็บไซต์และ IP ที่เป็นอันตราย ที่เชื่อมโยงกับภัยคุกคามบนไฟร์วอลล์ เพื่อป้องกันการขโมยข้อมูลออกสู่ภายนอก
เปลี่ยนรหัสผ่านสำหรับผู้ใช้ปลายทางและผู้ใช้ที่เป็น Privileged Users ทั้งหมด ให้เป็นรหัสที่คาดเดาได้ยาก
เปลี่ยน Access Keys ทุก Accounts ในทุกบริการ
อย่างไรก็ตาม ผู้อำนวยการฝ่ายสื่อสัมพันธ์ของ Bose กล่าวกับ BleepingComputer ว่า "เรากู้คืนและรักษาความปลอดภัยระบบของเราได้อย่างรวดเร็วด้วยการสนับสนุนจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์"

ที่มา: bleepingcomputer.

MountLocker เริ่มปฏิบัติการในเดือน กรกฎาคม 2020 โดยเป็น Ransomware-as-a-Service

(RaaS) จะเป็นรูปแบบแฮกเกอร์ผู้พัฒนา Ransomware เปิดให้บริการให้เช่าหรือใช้งาน Ransomware เพื่อนำไปโจมตีเป้าหมาย และนำค่าไถ่มาแบ่งกันตามเงื่อนไขที่ตกลงกันไว้ โดยจากเงื่อนไขดังกล่าวแฮกเกอร์ที่พัฒนา Ransomware จะได้รับเงินค่าไถ่ลดลง 20-30 % ในขณะที่ผู้ที่นำ Ransomware ไปใช้ในการโจมตีจะได้ส่วนที่เหลือไป

ในเดือนมีนาคม 2564 พบกลุ่ม Astro Locker Ransomware เริ่มใช้งาน MountLocker Ransomware เวอร์ชั่นที่ปรับแต่งให้ค่าไถ่และข้อมูลที่ได้ส่งไปยังกลุ่มของพวกเขาเอง โดยทาง Astro Locker ได้กล่าวกับ BleepingComputer เมื่อถามเกี่ยวกับการใช้งาน MountLocker ว่า “มันไม่ใช่การเปลี่ยนเจ้าของ แต่เราสามารถกำหนดให้เป็นพันธมิตรกันได้” และในเดือนพฤษภาคม 2564 พบกลุ่มที่สามได้ออกมาโดยใช้ชื่อว่า XingLocker ซึ่งได้ใช้ MountLocker แบบปรับแต่งเอง เช่นเดียวกัน

การแพร่กระจายของ MountLocker ไปยังอุปกรณ์อื่น ๆ
MalwareHunterTeam ได้แบ่งปันตัวอย่างที่เชื่อว่าเป็นโปรแกรมปฏิบัติการของ MountLocker ที่มีความสามารถในการแพร่กระจายและเข้ารหัสไปยังอุปกรณ์อื่น ๆ บนเครือข่ายได้ ซึ่งหลังจากติดตั้งตัวอย่างแล้ว BleepingComputer ยืนยันว่าเป็นตัวอย่างที่ปรับแต่งเองของกลุ่ม XingLocker และหลังจากแบ่งปันตัวอย่างกับ Vitali Kremez CEO ของ Advanced Intelligence พบว่า MountLocker ใช้ Windows Active Directory Service Interfaces API เป็นส่วนหนึ่งของการแพร่กระจายของ Worm

อันดับแรก Ransomware จะใช้ฟังก์ชัน NetGetDCName () เพื่อดึงชื่อของ Domain Controller จากนั้นจะดำเนินการคิวรี่ LDAP กับ ADS ของ Domain Controller โดยใช้ฟังก์ชัน ADsOpenObject () พร้อมกับ Credentials บน Command line และเมื่อเชื่อมต่อกับ Active Directory แล้ว ก็จะวนทำซ้ำ ๆ บนฐานข้อมูล ดังภาพด้านบน และสำหรับแต่ละ Object ที่ถูกพบ MountLocker จะพยายามคัดลอก Ransomware ไปยัง ‘\C$\ProgramData’ ของเป้าหมาย จากนั้น Ransomware จะสร้าง Windows Service โหลดไฟล์ Ransomware เพื่อให้สามารถเข้ารหัสอุปกรณ์ได้

เมื่อใช้ API นี้ Ransomware สามารถค้นหาเครื่องทั้งหมดที่อยู่บน Windows Domain เดียวกับเครื่องที่เข้าควบคุมได้ และสามารถเข้ารหัสโดยใช้ Credentials ที่ขโมยมากจากโดเมนได้

Kremez บอกกับ BleepingComputer เกี่ยวกับมัลแวร์ว่า “สภาพแวดล้อมขององค์กรจำนวนมากจะใช้ Active Directory Forests และในตอนนั้น MountLocker เป็น Ransomware ตัวแรกที่ใช้ประโยชน์จากข้อมูลเชิกลึกด้านสถาปัตยกรรมขององค์กรในการระบุเป้าหมายเพิ่มเติม และนี่คือการเปลี่ยนแปลงเชิงควอนตัมของการพัฒนา Ransomware แบบมืออาชีพสำหรับการแสวงหาประโยชน์จากเครือข่ายขององค์กร”

“เนื่องจากผู้ดูแลระบบเครือข่ายมักใช้ API นี้ Kremez จึงเชื่อว่าแฮกเกอร์เป็นผู้ที่มีประสบการณ์ในด้านการดูแลระบบเครือข่ายขององค์กร" และแม้ว่า API นี้จะถูกพบเห็นในมัลแวร์อื่น ๆ เช่น TrickBot แต่นี่อาจเป็น Rasomware ตัวแรกที่ใช้ API เหล่านี้เพื่อทำการสำรวจไปในตัวและแพร่กระจายตัวเองไปยังอุปกรณ์อื่น ๆ

ที่มา : Bleepingcomputer

โทรจัน Qakbot หรือที่เรียกว่า QBot หรือ Pinkslipbot เป็นโทรจันที่ถูกใช้กลุ่มผู้ไม่หวังดีที่มีเป้าหมายหลักในการโจมตีทางด้านธนาคารและการเงิน พบการใช้งานตั้งแต่ปี 2017 มีการแพร่กระจายผ่าน payload เชื่อมต่อ Server C&C และ ปัจจุบันเริ่มมีการใช้งานไปในวงกว้างมากขึ้น

นักวิจัยด้านความปลอดภัย Alien Labs สังเกตเห็นแคมเปญที่พึ่งเกิดขึ้นใหม่ซึ่งเหยื่อที่ตกเป็นเป้าหมายด้วยอีเมลล์ล่อลวงที่เป็นอันตราย จากผู้รับที่มีความน่าเชื่อถือ หรือมีการติดต่อสื่อสารระหว่างกันอยู่แล้ว

โดย email account และข้อมูลภายในเมล์ที่ถูกขโมยออกไป สามารถสร้างผลกระทบได้ตั้งแต่ขนาดเล็กไปจนถึงขนาดใหญ่ ซึ่งหลายๆองค์กรสามารถถูกกำหนดเป็นเป้าหมาย จาก email ของผู้ตกเป็นเหยื่อก่อนหน้า

เมื่อเปิดไฟล์ที่เป็นอันตราย โดยสถานะไฟล์จะถูกเรียกว่า DocuSign โดยซอฟต์แวร์ยอดนิยมที่ใช้ในการแพร่กระจาย malicious คือ Excel ใช้ประโยชน์จาก Macros Excel 4.0 (XML macros) ทำการซ่อน sheets ดาวน์โหลด QakBot และ payload จากอินเทอเน็ตเชื่อมต่อกับเซิร์ฟเวอร์ผู้โจมตี ก่อนที่จะเข้าสู่ Payload หลัก QakBot loader จะทำการทดสอบสิ่งที่เกิดขึ้นกับเครื่องที่ติดตั้งอยู่เพื่อเลือกว่าจะทำการดาวน์โหลดไฟล์อะไรมาติดตั้งบนเครื่องของเหยื่อต่อไป โดย Qakbot จะมีการเช็คสภาพแวดล้อมของเครื่องว่าเป็น Virtual Machine และหาว่าเครื่องดังกล่าวมีการลงโปรแกรม Antivirus หรือ common security researcher tools ไว้ภายในเครื่องหรือไม่

เพื่อให้การตรวจจับและวิเคราะห์ยากขึ้น QakBot จะเข้ารหัส String และถอดรหัสเมื่อมีการรันโปรเซส เมื่อดำเนินการเสร็จ จะดำเนินการลบข้อมูลออกจาก memory ทันที จุดเด่นของ โทรจัน QakBot ที่ใช้ในการ phishing ในอีเมล์ปลอมจะมีข้อมูล เช่นการจัดส่งใบสั่งงานคำขอเร่งด่วนใบแจ้งหนี้การอ้างสิทธิ์ ฯลฯ อีเมลฟิชชิ่งจะมีรูปแบบสลับกันระหว่าง ไฟล์แนบและลิงค์ QakBot มักใช้เป็นทางคล้ายกับ TrickBot หรือ Emotet ซึ่งนำไปสู่การใช้ประโยชน์ในการติดตั้ง Ransomware ต่อไป

ที่มา : ehackingnews

Cring ransomware เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ล่าสุดที่พบว่าอาศัยช่องโหว่ของ Fortinet SSL VPN (CVE-2018-13379) ที่สามารถถูกใช้เพื่อดึงข้อมูล credentials ของผู้ใช้งาน VPN ออกมาได้โดยไม่ต้องพิสูจน์ตัวตนผ่านการส่ง http request ที่ถูกดัดแปลงแล้ว (Path Traversal) และได้มีการเปิดเผย IP ของอุปกรณ์ที่มีช่องโหว่ออกมาเมื่อปลายปีที่แล้ว มัลแวร์เรียกค่าไถ่ตัวนี้เป็น human-operated ransomware นั่นคือเป็น ransomware ที่มีการปฏิบัติการและควบคุมโดยแฮ็กเกอร์อยู่เบื้องหลัง

เริ่มต้นด้วยการโจมตีช่องโหว่ของ Fortinet VPN จากนั้นจึงอาศัยข้อมูลที่ได้มาเข้าไปติดตั้ง Mimikatz ที่ถูกดัดแปลงลงบนเครื่องเหยื่อ ตามด้วย CobaltStrike และวาง ransomware ด้วยการดาวน์โหลดผ่านโปรแกรม CertUtil ของ Windows เอง เพื่อหลบหลีกการตรวจจับ Mimikatz จะถูกใช้เพื่อกวาด credentials ที่อาจหลงเหลืออยู่บนเครื่องเหยื่อ เพื่อนำไปเข้าถึงเครื่องอื่นๆ ต่อไป (Lateral movement) เช่น domain admin เป็นต้น จากนั้นจึงใช้ CobaltStrike เป็นเครื่องมือในการแพร่กระจายไฟล์ ransomware ไปยังเครื่องอื่นๆ

ถึงแม้ช่องโหว่ที่ค่อนข้างเก่า แต่ก็มีความรุนแรงสูงมาก (9.8/10) ผู้ใช้งาน Fortinet SSL VPN ที่ยังเป็น FortiOS 6.0.0 to 6.0.4, 5.6.3 to 5.6.7 และ 5.4.6 ถึง 5.4.12 ควรตรวจสอบอุปกรณ์ที่ใช้งานอยู่ และดำเนินการแพทช์โดยเร็วที่สุด สำหรับ IOCs สามารถศึกษาเพิ่มเติมได้จากรายงานของ Kaspersky ตามลิงก์ด้านล่าง : kaspersky

ที่มา: bleepingcomputer

ตำรวจเกาหลีใต้ประกาศการเข้าจับกุมผู้ต้องสงสัยวัย 20 ปีเมื่อช่วงต้นเดือนที่ผ่านมาหลังจากพบหลักฐานซึ่งบ่งชี้ว่าผู้ต้องสงสัยคนนี้มีส่วนเกี่ยวข้องกับการแพร่กระจายมัลแวร์เรียกค่าไถ่ Gandcrab ผ่านการใช้บริการ Ransomware-as-a-Service เพื่อแพร่กระจายมัลแวร์เรียกค่าไถ่ผ่านทางอีเมลกับเป้าหมายในประเทศเกาหลีใต้ กระบวนการสืบสวนถูกดำเนินการผ่านการติดตามลักษณะธุรกรรมของ cryptocurenncy ที่มีการเชื่อมโยงกับบัญชีธนาคารจริง

จากการตรวจสอบ ผู้ต้องสงสัยรายนี้มีพฤติกรรมในการส่งอีเมลกว่า 6,500 ฉบับในช่วงระหว่างเดือนกุมภาพันธ์ถึงเดือนมิถุนายน 2019 โดยปลอมแปลงเอกสารทางราชการในลักษณะต่าง ๆ พร้อมกับแนบไฟล์ของมัลแวร์ Gandcrab เมื่อกระบวนการเข้ารหัสเสร็จสิ้น มัลแวร์เรียกค่าไถ่จะเรียกเงินค่าไถ่เป็นจำนวนประมาณ 1,300 ดอลลาร์สหรัฐฯ หรือประมาณ 40,000 บาทในสกุลบิทคอยน์ การติดตามการโจมตีพบผู้เสียหายแล้วกว่า 120 ราย

แม้ลักษณะการส่งอีเมลเป็นจำนวนมาก ทางหน่วยงานเกาหลีกล่าวว่าผู้ต้องสงสัยทำเงินจากปฏิบัติการได้เพียงแค่ 12 ล้านวอน หรือประมาณ 320,000 บาทเท่านั้น เนื่องจากเขาจะได้รับเงินจากการจ่ายค่าไถ่เพียงแค่ 7% จากมูลค่าทั้งหมดที่ถูกจ่ายผ่านบริการ Ransomware-as-a-Service

ที่มา: therecord

นักวิจัยพบ ransomware ตัวใหม่ DearCry บนบริการ ยืนยันสายพันธุ์ ransomware malwarehunterteam เมื่อวันที่ 9 มีนาคม 2021 ที่ผ่านมา โดยเหยื่อได้มีการตั้งกระทู้ให้ข้อมูลเกี่ยวข้องกับการติด DearCry ว่าเขาคิดว่าเครื่อง Microsoft Exchange ของเขาที่ถูกเข้ารหัสถูกโจมตีโดยกลุ่มช่องโหว่ ProxyLogon บน Microsoft Exchange ก่อนที่จะมีการวาง DearCry เพื่อเข้ารหัส

ทีม Microsoft Security Intelligence ยืนยันการค้นพบ DearCry ดังกล่าวโดยระบุว่า DearCry เป็นการโจมตีแบบ human operated ransomware ซึ่งเป็นการโจมตีที่มีผู้โจมตีลงมือเจาะระบบเพื่อเข้าไปรันมัลแวร์ และยืนยันว่าผู้โจมตีที่อยู่เบื้องหลัง DearCry มีการใช้ช่องโหว่บน Microsoft Exchange

ผู้ดูแลระบบควรทำการอัปเดตแพตช์และควรทำการตรวจสอบระบบโดยละเอียดเพื่อหา IOC ว่าถูกโจมตีแล้วหรือไม่ เนื่องจากในกรณีที่อัปเดตแพตช์แต่ถูกโจมตีไปแล้ว จะมีโอกาสที่ผู้โจมตีฝัง web shell สามารถรันคำสั่งอันตรายบนเครื่องต่อได้

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer