Bitdefender ปล่อย Ransomware Recognition Tool ใช้ระบุตัวมัลแวร์เรียกค่าไถ่เพื่อตรวจสอบว่าถอดรหัสได้หรือไม่

Bitdefender ได้มีการเผยแพร่เครื่องมือชื่อว่า Ransomware Recognition Tool โดยเป็นเครื่องมือที่สามารถช่วยให้ผู้ใช้งานและผู้ดูแลระบบสามารถใช้ในการสแกนระบบ "หลัง" จากได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่เพื่อช่วยในการระบุรุ่นและประเภทของมัลแวร์เรียกค่าไถ่ และตรวจสอบว่ามัลแวร์เรียกค่าไถ่ในรุ่นดังกล่าวมีโปรแกรมสำหรับถอดรหัสหรือไม่ได้

สิ่งที่ต้องทำคือ ผู้ใช้งานจะต้องทำการดาวโหลดโปรแกรมดังกล่าว ทำการเปิดโปรแกรมและเลือกโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสพร้อมทั้งโน๊ตที่มัลแวร์เรียกค่าไถ่ทิ้งไว้อยู่ โปรแกรมจะทำการอัพโหลดไฟล์โน๊ตดังกล่าวขึ้นระบบคลาวด์เพื่อตรวจสอบและแจ้งผลลัพธ์การตรวจสอบผ่านทางหน้าต่างโปรแกรม

ผู้ใช้งานสามารถดาวโหลดโปรแกรมและดูวิธีการใช้งานเบื้องต้นได้จากลิงค์แหล่งที่มา

ที่มา : ฺBitdefender

Shadow Brokers, กลุ่ม hacker ชื่อดังที่เคยเป็นข่าวจากการปล่อยเครื่องมือชื่อว่า EternalBlue ที่ต่อมานำไปใช้สร้าง Wannacry ransomware ที่แพร่ระบาดอย่างหนักอยู่ช่วงหนึ่ง ล่าสุดได้ทำการปล่อยเครื่องมือที่ใช้ในการ hack ของ NSA ออกมาอีกครั้ง โดยมีชื่อว่า “UNITEDRAKE” ซึ่งกลไกหลักคือทำหน้าที่เก็บรวบรวมข้อมูลจากเครื่องเหยื่อโดยควบคุมจากระยะไกล (Remotely access control) มาพร้อมกับส่วนเสริมอีกจำนวนหนึ่งเพื่อช่วยให้สามารถ remote เข้าควบคุมเครื่องได้อย่างเต็มตัว นอกจากนี้ยังมีการปล่อยไฟล์ที่ไม่ได้เข้ารหัส ซึ่งก็คือคู่มือการใช้งาน UNITEDRAKE ที่พัฒนาขึ้นมาโดย NSA ข้อมูลในคู่มือระบุว่า UNITEDRAKE เป็น malware ปรับแต่งที่มีความสามารถในการ ดักจับภาพจาก webcam และเสียงจาก microphone, จดจำแป้นที่ถูกใช้พิมพ์ (log keystrokes), การเข้าถึงข้อมูลบน external drives เพื่อสอดแนมเป้าหมาย
UNITEDRAKE ประกอบไปด้วย 5 ส่วนหลักคือ server, system management interface (SMI), database (ใช้เก็บข้อมูลที่ขโมยมาได้), plug-in modules (ใช้ปรับแต่งระบบเพื่อเพิ่มความสามารถ), client (เครื่องของเหยื่อ) UNITEDRAKE เป็นที่รู้จักครั้งแรกเมื่อปี 2014 โดยเป็นส่วนหนึ่งของข้อมูลที่รั่วไหลออกมาจากผู้ทำสัญญาเก่าของ NSA ที่ชื่อว่า Edward Snowden เนื้อหาในเอกสารที่รั่วไหลของ Edward Snowden ระบุถึงเครื่องมืออื่นๆ ที่ทาง NSA ใช้ในการสอดแนมเช่น CAPTIVATEDAUDIENCE, GUMFISH, FOGGYBOTTOM, GROK, และ SALVAGERABBIT ทาง Shadow Brokers มีข้อเรียกร้องที่เปลี่ยนไปคือให้จ่ายเงินในหน่วย ZCash (ZEC) จากเดิมที่ใช้ Monero โดยในเดือนมิถุนายนค่าข้อมูลจะอยู่ที่ 100 ZEC แต่ปัจจุบัน กลุ่ม hacker ได้เรียกร้องเพิ่มเติมเป็น 16,000 ZEC หากต้องการเข้าถึงข้อมูลดังกล่าว โดยปัจจุบัน Zcash มีอัตราแลกเปลี่ยนที่ $248 ต่อหน่วย

ที่มา : thehackernews

โรงพยาบาลบางแห่งของ NHS Lanarkshire board ถูกโจมตีด้วย Bit Paymer ransomware โดยโรงพยาบาลที่เป็นส่วนหนึ่งของ NHS Lanarkshire board นั้น เช่น Hairmyres Hospital in East Kilbride, Monklands Hospital เป็นต้น การถูกโจมตีครั้งนี้เกิดขึ้นเมื่อวันศุกร์ที่ 25 สิงหาคม 2017 และทางเจ้าหน้าของทาง NHS Lanarkshire ทราบเรื่องทันทีในวันนั้น ในวันต่อมาทางบอร์ดบริหารได้ออกให้ข่าวว่าควบคุมสถานการณ์ไว้แล้ว และกำลังกู้ระบบต่างๆกลับขึ้นมาอยู่ ซึ่งคาดการณ์ว่าจะใช้เวลาจนถึงวันจันทร์ที่ 28 สิงหาคม 2017 มีเพียงข้อมูลเรื่องของกระบวนการและกำหนดการเพียงเล็กนอยที่ถูกยกเลิกไปเนื่องจากเหตุการณ์โจมตีครั้งนี้
Bit Paymer Ransomware เริ่มเป็นที่รู้จักครั้งแรกเมื่อวันที่ 21 มิถุนายน 2017 เมื่อมีนักวิจัยทวีตข้อมูลตัวอย่างของมัลแวร์ที่เขาได้ upload ไปยัง VirusTotal (web-based file scanning service) หรือบริการการสแกนไฟล์แบบเว็บ สิ่งที่ทำให้ต่างจาก ransomware ตัวอื่นๆ ในปัจจุบันคือ Bit Paymer มีการเขียนโค้ดที่ดีมากทำให้ดูเหมือนว่าเป็นการเขียนของ programmer ที่มีประสบการณ์สูง
เจ้าหน้าที่ด้านความปลอดภัยของทาง Emsisoft เชื่อว่า ransomware ถูกลงลงไว้ในเครื่องหลังจากผู้โจมตีทำการโจมตีแบบ brute-force ไปยัง RDP endpoints ที่ไม่ได้รับการป้องกัน เมื่อผู้โจมตีเข้ามาในระบบหนึ่งได้แล้ว จะย้ายไปยังระบบอื่นเรื่อยๆ เพื่อลงตัว Bit Paymer ransomware ไว้ที่ทุกๆระบบที่สามารถเข้าไปได้ การเข้ารหัสไฟล์จะเป็นการรวมกันของ RC4 และ RSA-1024 ซึ่งทางนักวิจัยบอกว่ายังไม่มีวิธีในการถอดรหัสไฟล์ดังกล่าวได้ ไฟล์ที่ถูกเข้ารหัสจะมี ".locked" ต่อท้ายที่ชื่อไฟล์เดิม และมีการสร้างไฟล์ text ทิ้งไว้ทุกๆ จุดที่ไปเข้ารหัสไฟล์ โดยในไฟล์ text จะบอกรายละเอียดเรื่องของการจ่ายเงิน รูปแบบของการจ่ายเงินจะแปลกกว่า ransomware ตัวอื่นๆ ตรงที่จะให้ส่ง 1 Bitcoin confirmation มาสามครั้งก่อนการจ่ายเงินจริงเพื่อป้องกันการส่งเงินไปผิดที่อยู่

bleepingcomputer

Ransomware ชื่อ "Nuclear BTCWare" ค้นพบโดย Michael-Gillespie และถูกเผยแพร่โดยนักพัฒนาซอฟต์แวร์เจาะระบบ จากการ Remote จากระยะไกลไปยังเครื่องเหยื่อที่มีการตั้ง Password ที่คาดเดาได้ง่าย เมื่อแฮกเกอร์สามารถเข้าถึงเครื่องคอมพิวเตอร์เหยื่อได้จึงทำการติดตั้ง ransomware และเข้ารหัสไฟล์ของเหยื่อ

แม้ว่าวิธีการเข้ารหัสจะคล้ายกับ Ransomware อื่นๆ แต่ก็จะมีความแตกต่างบางอย่าง เช่นไฟล์เรียกค่าไถ่ชื่อ "HELP.hta" และมีคำแนะนำให้ติดต่อ black.

"SyncCrypt" Ransomware ตัวใหม่ ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Emxisoft แพร่กระจายโดยใช้ไฟล์ที่แนบมาใน SPAM ซึ่งจะไปเรียก WSF ไฟล์อีกทีนึง เมื่อผู้ใช้งานเผลอติดตั้งไฟล์ดังกล่าว เครื่องคอมพิวเตอร์จะถูกเข้ารหัส และใส่ .kk ต่อท้ายชื่อไฟล์ที่เข้ารหัส
การใช้ไฟล์ WSF ไม่ใช่เรื่องแปลกใหม่ แต่วิธีการทำงานในครั้งนี้ของมันน่าสนใจเพราะสคริปต์ WSF จะดาวน์โหลดภาพที่มีการฝังไฟล์ ZIP ซึ่งเก็บไฟล์ที่มีความจำเป็นต่อกระบวนการเข้ารหัสของ SyncCrypt ไว้ ทำให้สามารถหลบหลีกการตรวจจับของ antivirus ได้ เมื่อ SyncCrypt ทำการเข้ารหัสเครื่องคอมพิวเตอร์เสร็จแล้วโฟลเดอร์ที่ชื่อว่า README จะปรากฏบนเดสก์ท็อป โดยจะมีไฟล์ AMMOUNT.txt, key, readme.

Gilbert Sison และ Janus Agcaoili นักวิจัยด้านความปลอดภัยจาก Trend Micro พบ Cerber ransomware Version ใหม่ ขโมย Bitcoin Wallet และ Password ใน Browser
ransomware ตัวนี้จะค้นหาไฟล์ข้อมูลที่เกี่ยวข้องกับ Bitcoin Wallet ไม่ว่าจะเป็น wallet.

นักวิจัยด้านความปลอดภัยของ Emsisoft ที่ใช้นามแฝงว่า xXToffeeXx ได้ค้นพบ Ransomware ใหม่ชื่อว่า Reyptson ซึ่งกำลังมุ่งเป้าไปที่เหยื่อชาวสเปน และสังเกตเห็นว่า Reyptson มีความสามารถในการแจกจ่ายตัวเองผ่าน Spam Email ที่ปล่อยออกมาจากคอมพิวเตอร์ของเหยื่อ โดยการตรวจสอบว่ามี Thunderbird ติดตั้งอยู่หรือไม่และถ้ามีอยู่ก็จะพยายามอ่านข้อมูลประจำตัวผู้ใช้และรายชื่อผู้ติดต่อของเหยื่อ ซึ่งฟีเจอร์นี้นักวิจัยกล่าวว่าไม่เคยพบมาก่อนใน Ransomware
Email ที่ Reyptson ส่งออกไปจะมีหัวข้อ subject ว่า Folcan S.L. Facturación ที่มาพร้อมกลับไฟล์ factura.

Dubaker LeakerLocker เป็น Ransomware ที่ไม่ได้เข้ารหัสไฟล์ของผู้ใช้ แต่มีการเรียกร้องเงิน โดยอ้างว่ามีการสำเนาข้อมูลของผู้ใช้รวมถึงข้อมูลที่เป็นความลับต่างๆ ไม่ว่าจะเป็น ภาพถ่ายส่วนตัว, หมายเลขโทรศัพท์, ข้อความ SMS, ประวัติการการโทร, ข้อความ Facebook, ข้อมูล E-mail, และข้อมูลอื่นๆ

พบ Malware ใน Applications สองตัวบน Google Play Store คือ Wallpapers Blur HD และ Booster & Cleaner Pro โดย Applications ดังกล่าวมีการขอสิทธิ์ที่น่าสงสัย ถึงแม้ Applications ทั้งสองจะมีลักษณะปกติเมื่อติดตั้ง แต่พวกเข้าได้ซ่อนส่วนที่เป็นอันตรายไว้ นอกจากนี้ LeakerLocker ยังทำการล็อกหน้าจอหลักและขอรับการแจ้งเตือนด้วยข้อความ โดยเมื่อเหยื่อตัดสินใจเลือกที่จะจ่าย รหัสจะส่งคำขอไปยัง URL ของการชำระเงินที่มีหมายเลขการชำระเงินที่มีหมายเลขบัตร หากการชำระเงินสำเร็จจะแสดงข้อมูลว่า "ข้อมูลส่วนบุคคลของเราได้ถูกลบออกจากเซิร์ฟเวอร์ของเราแล้วและความเป็นส่วนตัวของคุณมีความปลอดภัย" หากไม่ประสบความสำเร็จจะแสดงว่า "ยังไม่ได้ชำระเงิน ข้อมูลส่วนบุคคลของคุณตกอยู่ในอันตราย”

Mcafee ได้แจ้งเกี่ยวกับ Applications ที่เป็นอันตรายแล้วและในขณะที่เผยแพร่บทความนี้ Applications ทั้งสองถูกนำออกจาก Google Play Store เป็นที่เรียบร้อยแล้ว อย่างไรก็ตามคำถามยังคงไม่ได้รับการตอบว่า Applications เหล่านี้เลี่ยงการรักษาความปลอดภัยของ Google และนำไปใช้ได้อย่างไร

ที่มา : hackread

AV-TEST สถาบันวิจัยอิสระทางด้านความปลอดภัยของระบบ IT ออกรายงาน Security Report 2016/2017 ระบุว่า Ransomware เป็นเพียง “ปรากฏการณ์เกือบตกขอบ” ชี้แพร่ระบาดเพียงแค่ 0.94% ของมัลแวร์ทั้งหมดในปี 2016 เท่านั้น ดังนั้นแล้วจึงไม่ควรเรียกปี 2016 ว่า “ปีแห่ง Ransomware”

อย่างไรก็ตาม มีหลายเหตุผลที่ทำให้ Ransomware ได้รับความสนใจเป็นอย่างมากในช่วงปีที่ผ่านมา ถึงจะมีอัตราการแพร่กระจายเพียงเล็กน้อยมาก เมื่อเทียบกับมัลแวร์ประเภทอื่น ยกตัวอย่างเช่น ผู้ใช้สามารถถูก Banking Trojan หรือ Rootkit โจมตีนานเป็นปีๆ โดยที่ผู้ใช้ไม่รู้ตัว ในขณะที่ถ้าถูก Ransomware โจมตีแล้ว ผู้ใช้จะรู้ตัว ณ เดี๋ยวนั้นเลย เนื่องจาก Ransomware จะทำการเปลี่ยนหน้าเดสก์ท็อปและล็อกการเข้าถึงไฟล์ข้อมูล นอกจากนี้ เมื่อผู้ใช้รู้ตัวก็ย่อมก่อให้เกิดกระแสตอบรับเป็นอย่างมาก ทำให้เห็นพาดหัวข่าวในสื่อต่างๆ ไม่เว้นในแต่ละมัน เมื่อเทียบกับมัลแวร์ประเภทอื่นที่ถึงแม้จะแพร่กระจายมากกว่าแต่ก็พยายามปกปิดตัวเองไม่ให้คนอื่นรู้

ที่มา : Techtalkthai

Malware as a Service เป็นบริการสำหรับที่ใครอยากจะเป็นเจ้าของ malware โดยไม่สามารถเขียนเองได้ โดยบริการดังกล่าวจะมีให้ทั้ง panel ในการควบคุม malware, วิธีการส่ง spam, วิธีการสร้าง malware และอื่นๆ ซึ่งได้รับความนิยมมาหลายปีแล้ว

นักวิจัยได้พบ webiste ที่ชื่อว่า MacSpy มีการให้บริการแบบ Malware as a Service สำหรับการสร้าง malware ใน MacOS และอีกเว็บไซด์หนึ่งคือ MacRansom โดยเป็นการให้บริการแบบ Ransomware as a Service ใน MacOS เช่นกัน โดยทั้ง 2 เว็บไซด์เป็นการให้บริการอยู่ใน Dark Web ซึ่งเป็นเว็บไซด์ที่ล้วนแล้วแต่เป็นแหล่งหาที่มาไม่ได้

เว็บไซด์ทั้ง 2 เปิดให้บริการมาตั้งแต่วันที่ 25 พค. 2017 และถูกพบโดย reporter ขณะทำการ scan Dark Web โดยเว็บไซด์ทั้ง 2 เป็นผู้พัฒนาเดียวกัน โดยดูจากเว็บไซด์ที่ถูกสร้างขึ้นนั้นเหมือนกันมาก
ตอนนี้ทาง Fortinet และ ClientVault ได้ทำการแงะ malware จากเว็บไซด์ทั้ง 2 เรียบร้อยแล้ว โดยจากการวิเคราะห์สรุปเป็นดังนี้

MacRansom
- ผู้เขียน MacRansom จำเป็นต้องอนุญาต client แต่ละคนเอง, ทั้งต้องต่อรองค่าธรรมเนียมเอง และต้องทำ ransomware sample ให้เองในแต่ละครั้ง ซึ่งดูไม่ตรงจุดประสงค์ของการให้บริการแบบ RaaS ซักเท่าไหร่
- Ransomware เป็นการใช้งาน symmetric key ในการเข้ารหัส ซึ่งมีการฝัง key สำหรับการเข้ารหัสอยู่ใน source code ด้วย
- หนึ่งใน key ที่ใช้ในการเข้ารหัสเป็นการทำงานด้วยเลขที่สุ่มมาและถูกทิ้งไว้ใน memory หลังจากที่เข้ารหัสเสร็จ
- Ransomware ไม่มีการคุยกับ C&C Server นั่นหมายความว่าผู้เขียน Ransomware ไม่สามารถถอดรหัสไฟล์ได้
- Ransomware ไม่มีการใช้งานหน้าเว็บเพจการจ่ายเงินผ่าน Tor ซึ่งทำให้ user จำเป็นต้องติดต่อกับคนให้บริการเพื่อจ่ายเงินและรับ key การถอดรหัสผ่าน email แทน
- Ransomware file ไม่มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

MacSpy
- ผู้เขียน MacSpy มีการ copy code มาจาก Stack Overflow
- Spyware payload ไม่ได้มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

จากทั้งหมดทั้งมวล MacSpy น่าจะเขียนได้ดีกว่านี้ แต่ user น่าจะกลัว MacRansom มากกว่า เพราะ Ransomware มีผลกระทบกับไฟล์ของ user ทั้งนี้ยังไม่พบว่ามีการนำไฟล์ malware ทั้ง 2 ไปใช้ในการโจมตีเหตุการณ์ใดๆ
Ruben Dodge ซึ่งเป็นนักข่าวทางด้านความปลอดภัยกล่าวว่า Malware นั้นไม่ดูซับซ้อนแต่อย่างใด สามารถเช็คได้จาก Virtual Machine แต่จากงานวิจัยพบว่าตลาดของ Malware ใน Mac นั้นโตขึ้นอย่างต่อเนื่อง

ที่มา : bleepingcomputer