Avast และ Emsisoft ปล่อยตัวถอดรหัสฟรีสำหรับ BigBobRoss ransomware

Avast และ Emsisoft บริษัทรักษาความปลอดภัยในโลกไซเบอร์ที่รู้จักกันดีในเรื่องผลิตภัณฑ์ป้องกันไวรัส ได้ปล่อยตัวถอดรหัสที่ไม่เสียค่าใช้จ่าย ซึ่งจะสามารถช่วยเหลือผู้ที่ตกเป็นเหยื่อของ BigBobRoss ransomware ให้กู้คืนไฟล์ได้โดยไม่ต้องจ่ายค่าไถ่ ซึ่งสามาถดาวน์โหลด decrypters ได้จากเว็บไซต์ Avast และ Emsisoft

Michael Gillespie นักวิจัยด้านความปลอดภัยของ Emsisoft บอกว่าการพบ BigBobRoss ครั้งแรกเกิดขึ้นเมื่อวันที่ 14 มกราคม เมื่อเหยื่อบางรายพยายามระบุชนิด ransomware ผ่าน ID-Ransomware ซึ่งเป็นบริการที่ Gillespie สร้างขึ้นเมื่อหลายปีก่อน เพื่อช่วยให้เหยื่อสามารถระบุชนิดของ ransomware

Gillespie กล่าวว่าเขาได้รับ 35 ตัวอย่างจากผู้ใช้ใน 6 ประเทศ ซึ่งต่อมาถูกระบุว่าเป็นผู้ตกเป็นเหยื่อ BigBobRoss ซึ่งไม่ใช่เหยื่อทุกรายจะรู้จักบริการ ID-Ransomware ดังนั้นจำนวนของผู้ตกเป็นเหยื่อ BigBobRoss น่าจะมีจำนวนมากกว่านั้น

แต่ยังไม่ชัดเจนว่า BigBobRoss ดำเนินการแพร่กระจาย ransomware หรือทำให้เหยื่อติดเชื้อด้วยช่องทางใด

นอกจากการใช้บริการ ID-Ransomware แล้ว ผู้ที่ตกเป็นเหยื่อยังสามารถตรวจสอบได้ด้วยตนเองว่าติด BigBobRoss หรือไม่ โดยเมื่อเหยื่อติด BigBobRoss ไฟล์ส่วนใหญ่จะถูกเข้ารหัสและเปลี่ยนนามสกุลไฟล์เป็น ".obfuscated"

ผู้ใช้งานสามารถลดความเสี่ยงจากการจ่ายเงินค่าไถ่ ได้ด้วยการสำรองข้อมูลแบบออฟไลน์อย่างสม่ำเสมอ เพื่อให้สามารถเรียกคืนข้อมูลได้เมื่อติด ransomware โดยไม่ต้องจ่ายเงินค่าไถ่

ที่มา: www.

Phobos ปรากฏตัวครั้งแรกในเดือนธันวาคมที่ผ่านมา โดยนักวิจัยที่ CoveWare ได้ให้รายละเอียดว่า ransomware ตัวนี้จะมีหลักการทำงานคล้ายคลึงกับ Dharma ransomware โดยมีเป้าหมายการโจมตีคือธุรกิจต่างๆทั่วโลก โดยการโจมตีแบบ Phobos ransomware คืออาชญากรไซเบอร์จะใช้ประโยชน์จาก RDP Port ที่เปิดเอาไว้และมีความปลอดภัยต่ำ ทำให้ถูกผู้ไม่ประสงค์ดีแอบเข้าไปในเครือข่ายได้และทำการโจมตีโดยการเข้ารหัสไฟล์และทำการเรียกค่าไถ่ โดยอ้างว่าถ้าเหยือจ่ายเป็น bitcoin ถึงจะทำการคืนไฟล์ที่ถูกเข้ารหัสให้ Phobos ransomware จะทำให้ไฟล์ในเครื่องของเหยือถูกล็อคด้วยนามสกุลไฟล์ .PHOBOS และเพิ่มไฟล์ Phobos.

อาชญากรไซเบอร์กำลังกำหนดเป้าหมายไปยังเครื่องของเหยื่อเพื่อทำการโจมตี โดยโจมตีผ่านทางช่องโหว่ของโปรแกรมเว็บเบราว์เซอร์และส่วนเสริมก่อนที่จะติดตั้งมัลแวร์ที่สามารถขโมยข้อมูลและปล่อยแรนซัมแวร์เข้าสู่ระบบได้ อ้างอิงจากนักวิจัยของ Malwarebytes ซึ่งมีการค้นพบว่าการแพร่กระจายของมัลแวร์ในรูปแบบใหม่นั้นอาศัยทั้งการขโมยข้อมูลและเข้ารหัสในตัวด้วยมัลแวร์สองประเภทคือ Vidar และ GandCrab

Vidar คือมัลแวร์รูปแบบใหม่ซึ่งมีเป้าหมายคือการขโมยข้อมูลจำนวนมหาศาลของผู้ตกเป็นเหยื่อ เช่น รหัสผ่าน เอกสาร ภาพหน้าจอ ประวัติเบราว์เซอร์ ข้อมูลการส่งข้อความ รายละเอียดบัตรเครดิต และอื่นๆ

Vidar ยังสามารถกำหนดเป้าหมายเป็นกระเป๋าเงินเสมือนที่เก็บ Bitcoin และ Cryptocurrencies อื่นๆ ได้ มัลแวร์ตัวนี้มีความสามารถสูงในการปรับแต่งตัวเองและกำลังได้รับความนิยมในกลุ่มแฮกเกอร์ต่างๆ ด้วย สำหรับที่มาของชื่อมัลแวร์ Vidar นั้น ดูเหมือนว่าจะได้รับการตั้งชื่อตามเทพพระเจ้านอร์ส “Víðarr the Silent” ชื่อที่ผู้เขียนอาจเลือกเพื่อสะท้อนความสามารถที่ซ่อนเร้น

Vidar ได้รับการออกแบบมาให้ทำงานอย่างลับๆ ทำให้ผู้ที่ตกเป็นเหยื่อไม่ทราบว่าระบบของพวกเขาถูกโจมตีขณะที่ผู้โจมตีทำให้ข้อมูลส่วนตัวถูกส่งคำสั่งออกไปและควบคุมเครื่องเซิร์ฟเวอร์ (C&C) และยังทำให้เครื่องของเหยื่อทำงานเป็นตัวดาวโหลดมัลแวร์อื่นๆ และทำให้เกิดการแพร่กระจายของ GandCrab Ransomware อีกด้วย

ที่มา:zdnet.

มีรายงานถึงการโจมตีของ Ryuk ransomware ส่งผลกระทบต่อบริษัทที่ให้บริการพิมพ์และส่งหนังสือพิมพ์รายใหญ่ Tribune Publishing และ Los Angeles Times ในสหรัฐอเมริกา ซึ่งได้ให้บริการแก่ Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette, และ Carroll County Times ส่งผลให้การส่งหนังสือพิมพ์ล่าช้าเมื่อวันเสาร์ที่ผ่านมา

Ryuk ransomware เป็นที่รู้จักในเดือน สิงหาคม 2018 สามารถเรียกค่าไถ่ได้มากกว่า $640,000 ลักษณะการทำงานของ Ryuk ransomware มีความคล้ายคลึงกับ ransomware ที่ถูกสร้างโดยกลุ่ม Lazarus ที่เชื่อว่ามีรัฐบาลเกาหลีเหนืออยู่เบื้องหลัง อย่างไรก็ตามยังเร็วไปที่จะยืนยันได้ว่า ransomware ดังกล่าวเกี่ยวข้องกับเกาหลีเหนือ โดยผู้ไม่หวังดีจะโจมตีเหยื่อโดยการทำ phishing หรืออาจจะผ่านทาง remote desktop

ทางสำนักพิมพ์ประกาศว่า จากการโจมตีดังกล่าวไม่พบว่ามีข้อมูลส่วนบุคคลของสมาชิกออนไลน์และลูกค้าโฆษณาได้รับผลกระทบจากการถูกโจมตีในครั้งนี้แต่อย่างใด

ที่มา: bleepingcomputer

เครื่องคอมพิวเตอร์ของผู้ใช้งานที่เป็น Windows ในประเทศจีน ติด ransomware สายพันธุ์ใหม่กว่า 100,000 เครื่อง

ผู้ใช้ชาวจีนกว่า 100,000 คนที่ใช้เครื่องคอมพิวเตอร์ Windows ติด ransomware ซึ่งเข้ารหัสไฟล์ของพวกเขาและเรียกค่าไถ่เป็นเงิน 110 หยวน (ประมาณ 16 $) โดยผู้ไม่หวังดีพุ่งเป้าโจมตีเฉพาะชาวจีนเท่านั้น เนื่องจากกลุ่มที่อยู่เบื้องหลังภัยคุกคามนี้ใช้เฉพาะภาษาจีนเพื่อเรียกค่าไถ่ และแพร่กระจายผ่านทางเว็ปไซต์ท้องถิ่นและ forum ในประเทศจีนเท่านั้น นอกจากนี้ยังให้ชำระเงินค่าไถ่ผ่านทางบริการการชำระเงินของ WeChat ซึ่งถูกใช้เฉพาะในประเทศจีนและภูมิภาคที่อยู่ติดกันเท่านั้น

ตามรายงานข่าวท้องถิ่นหลายฉบับรายงานว่ามีการติด ransomware นี้หลังจากติดตั้งแอพโซเชียลมีเดียที่ชื่อ "Account Operation V3.1" ซึ่งเป็นแอพสำหรับช่วยให้ผู้ใช้สามารถจัดการบัญชี QQ หลายบัญชีได้ในเวลาเดียวกัน รายงานต่อมาอ้างว่าผู้สร้าง ransomware อาจอาศัย SDK ที่ชื่อว่า "EasyLanguage" เพื่อช่วยในการแพร่กระจายด้วยการ inject โค้ดที่อันตรายลงในแอพพลิเคชั่นของนักพัฒนาซอฟต์แวร์รายอื่น ๆ

ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำการวิเคราะห์ และกล่าวว่านอกเหนือจากการเข้ารหัสไฟล์ ransomware ยังขโมยข้อมูลการเข้าสู่ระบบสำหรับบริการออนไลน์ของจีนเช่น Alipay, Baidu Cloud, NetEase 163, Tencent QQ, Taobao, Tmall และ Jingdong อย่างไรก็ตามล่าสุดบริษัทความปลอดภัยในจีนได้ออกมาบอกว่า สามารถถอดรหัสได้แล้ว เนื่องจาก ransomware ใช้บริษัทการเข้ารหัสและถอดรหัสแบบ hardcode ทำให้สามารถหาคีย์สำหรับถอดรหัสได้จากซอร์สโค้ด และมีแผนที่จะเผยแพร่ในอีกไม่กี่วันข้างหน้า

ที่มา: zdnet

Aurora / Zorro Ransomware กำลังแพร่กระจายอย่างต่อเนื่อง

Aurora Ransomware ได้มีการกระจายตั้งแต่ช่วงฤดูร้อนของปี 2018 ได้กลับมาปรากฏตัวอีกครั้งในรูปแบบสายพันธุ์ใหม่เรียกว่า Zorro Ransomware ปัจจุบันยังไม่แน่ชัดว่า Ransomware นี้มีการกระจายอย่างไร แต่มีข้อบ่งชี้ว่าอาจถูกติดตั้งโดยการแฮ็กเข้าสู่คอมพิวเตอร์ที่ใช้ Remote Desktop Service และคอมพิวเตอร์ที่มีการเปิดให้เข้าถึงจาก Internet ซึ่งแฮกเกอร์จะสุ่มรหัสผ่านบัญชี RDP เพื่อเข้าถึงคอมพิวเตอร์และติดตั้ง Ransomware ลงบนเครื่อง

ข่าวดีก็คือ Michael Gillespie และ Francesco Muroni ได้ค้นพบวิธีถอดรหัส Ransomware ตัวนี้แล้ว
จากการตรวจสอบ wallet ที่ถูกใช้ในการจ่ายเงิน ปัจจุบันมีธุรกรรม 105 รายการ ตั้งแต่ปลายเดือนกันยายน โดยได้เงินไป 2.7 bitcoins ซึ่งเท่ากับ 12,000 ดอลลาร์สหรัฐฯ

เมื่อติดตั้ง Ransomware แล้ว จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่ง (C&C) เพื่อรับข้อมูลและใช้ในการเข้ารหัสไฟล์ของเหยื่อ จากนั้นจะเชื่อมต่อกับ http://www.

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือด้วยข้อหาแฮกบริษัท Sony และแพร่กระจาย WannaCry

กระทรวงยุติธรรมของสหรัฐฯ ตั้งข้อหาชาวเกาหลีเหนือชื่อ Pak Jin Hyok ด้วยความผิดในการแฮกบริษัท Sony Picture ในปี 2014 และการแพร่กระจาย WannaCry ransomware ในปี 2017ทั้งนี้นาย Pak Jin Hyok ตกเป็นผู้ต้องสงสัยว่าเป็นสมาชิกในกลุ่ม Lazarus ที่ทำการโจมตีทางไซเบอร์อีกหลายรายการทั้วโลกอีกด้วย

IBM รายงานว่า WannaCry ในปี 2017 น่าจะทำให้เกิดความสูญเสียกว่า 8 พันล้านดอลลาร์สหรัฐใน 150 ประเทศทั่วโลก ซึ่งเจ้าหน้าที่ได้ใช้เวลากว่า 4 ปีในการเชื่อมโยงนาย Pak Jin Hyok เข้ากับการโจมตีผ่านมัลแวร์ที่ใช้โจมตี โดเมน อีเมล และบัญชีโซเชียลต่างๆ โดยระบุรายละเอียดไว้ที่ https://www.

เมื่อสัปดาห์ที่ผ่านมานักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam ค้นพบ ransomware ตัวใหม่ชื่อว่า CryptoNar จากการตรวจสอบพบว่ามีผู้ติด ransomware ดังกล่าวเกือบ 100 คน

CryptoNar หรือ Crypto Nar Ransomware จะเข้ารหัสไฟล์ของเหยื่อ โดยจะทำการเข้ารหัสไฟล์แตกต่างกันออกไปขึ้นอยู่กับชนิดของไฟล์ที่กำลังถูกเข้ารหัส โดยไฟล์ที่เป็น .txt หรือ .md จะทำการเข้ารหัสไฟล์ทั้งหมดและเปลี่ยนนามสกุลไฟล์เป็น .fully.

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

พบการโจมตีในลักษณะ malspam ทำการหลอกลวงโดยปลอมใบแจ้งหนี้สำหรับการแจ้งยอดค้างชำระ เมื่อมีการเปิดใบแจ้งหนี้จะถูกติดตั้ง AZORult ซึ่งเป็น Trojan ขโมยข้อมูล และ Hermes 2.1 Ransomware ลงในคอมพิวเตอร์ของผู้รับ
อีเมลสแปมเหล่านี้ถูกส่งมาโดยใส่ subject เป็น "Invoice Due" และอ้างว่าเป็นข้อมูลเกี่ยวกับยอดค้างชำระ ที่มีเอกสารแนบ Word ชื่อ Invoice.