Gilbert Sison และ Janus Agcaoili นักวิจัยด้านความปลอดภัยจาก Trend Micro พบ Cerber ransomware Version ใหม่ ขโมย Bitcoin Wallet และ Password ใน Browser
ransomware ตัวนี้จะค้นหาไฟล์ข้อมูลที่เกี่ยวข้องกับ Bitcoin Wallet ไม่ว่าจะเป็น wallet.

นักวิจัยด้านความปลอดภัยของ Emsisoft ที่ใช้นามแฝงว่า xXToffeeXx ได้ค้นพบ Ransomware ใหม่ชื่อว่า Reyptson ซึ่งกำลังมุ่งเป้าไปที่เหยื่อชาวสเปน และสังเกตเห็นว่า Reyptson มีความสามารถในการแจกจ่ายตัวเองผ่าน Spam Email ที่ปล่อยออกมาจากคอมพิวเตอร์ของเหยื่อ โดยการตรวจสอบว่ามี Thunderbird ติดตั้งอยู่หรือไม่และถ้ามีอยู่ก็จะพยายามอ่านข้อมูลประจำตัวผู้ใช้และรายชื่อผู้ติดต่อของเหยื่อ ซึ่งฟีเจอร์นี้นักวิจัยกล่าวว่าไม่เคยพบมาก่อนใน Ransomware
Email ที่ Reyptson ส่งออกไปจะมีหัวข้อ subject ว่า Folcan S.L. Facturación ที่มาพร้อมกลับไฟล์ factura.

Dubaker LeakerLocker เป็น Ransomware ที่ไม่ได้เข้ารหัสไฟล์ของผู้ใช้ แต่มีการเรียกร้องเงิน โดยอ้างว่ามีการสำเนาข้อมูลของผู้ใช้รวมถึงข้อมูลที่เป็นความลับต่างๆ ไม่ว่าจะเป็น ภาพถ่ายส่วนตัว, หมายเลขโทรศัพท์, ข้อความ SMS, ประวัติการการโทร, ข้อความ Facebook, ข้อมูล E-mail, และข้อมูลอื่นๆ

พบ Malware ใน Applications สองตัวบน Google Play Store คือ Wallpapers Blur HD และ Booster & Cleaner Pro โดย Applications ดังกล่าวมีการขอสิทธิ์ที่น่าสงสัย ถึงแม้ Applications ทั้งสองจะมีลักษณะปกติเมื่อติดตั้ง แต่พวกเข้าได้ซ่อนส่วนที่เป็นอันตรายไว้ นอกจากนี้ LeakerLocker ยังทำการล็อกหน้าจอหลักและขอรับการแจ้งเตือนด้วยข้อความ โดยเมื่อเหยื่อตัดสินใจเลือกที่จะจ่าย รหัสจะส่งคำขอไปยัง URL ของการชำระเงินที่มีหมายเลขการชำระเงินที่มีหมายเลขบัตร หากการชำระเงินสำเร็จจะแสดงข้อมูลว่า "ข้อมูลส่วนบุคคลของเราได้ถูกลบออกจากเซิร์ฟเวอร์ของเราแล้วและความเป็นส่วนตัวของคุณมีความปลอดภัย" หากไม่ประสบความสำเร็จจะแสดงว่า "ยังไม่ได้ชำระเงิน ข้อมูลส่วนบุคคลของคุณตกอยู่ในอันตราย”

Mcafee ได้แจ้งเกี่ยวกับ Applications ที่เป็นอันตรายแล้วและในขณะที่เผยแพร่บทความนี้ Applications ทั้งสองถูกนำออกจาก Google Play Store เป็นที่เรียบร้อยแล้ว อย่างไรก็ตามคำถามยังคงไม่ได้รับการตอบว่า Applications เหล่านี้เลี่ยงการรักษาความปลอดภัยของ Google และนำไปใช้ได้อย่างไร

ที่มา : hackread

AV-TEST สถาบันวิจัยอิสระทางด้านความปลอดภัยของระบบ IT ออกรายงาน Security Report 2016/2017 ระบุว่า Ransomware เป็นเพียง “ปรากฏการณ์เกือบตกขอบ” ชี้แพร่ระบาดเพียงแค่ 0.94% ของมัลแวร์ทั้งหมดในปี 2016 เท่านั้น ดังนั้นแล้วจึงไม่ควรเรียกปี 2016 ว่า “ปีแห่ง Ransomware”

อย่างไรก็ตาม มีหลายเหตุผลที่ทำให้ Ransomware ได้รับความสนใจเป็นอย่างมากในช่วงปีที่ผ่านมา ถึงจะมีอัตราการแพร่กระจายเพียงเล็กน้อยมาก เมื่อเทียบกับมัลแวร์ประเภทอื่น ยกตัวอย่างเช่น ผู้ใช้สามารถถูก Banking Trojan หรือ Rootkit โจมตีนานเป็นปีๆ โดยที่ผู้ใช้ไม่รู้ตัว ในขณะที่ถ้าถูก Ransomware โจมตีแล้ว ผู้ใช้จะรู้ตัว ณ เดี๋ยวนั้นเลย เนื่องจาก Ransomware จะทำการเปลี่ยนหน้าเดสก์ท็อปและล็อกการเข้าถึงไฟล์ข้อมูล นอกจากนี้ เมื่อผู้ใช้รู้ตัวก็ย่อมก่อให้เกิดกระแสตอบรับเป็นอย่างมาก ทำให้เห็นพาดหัวข่าวในสื่อต่างๆ ไม่เว้นในแต่ละมัน เมื่อเทียบกับมัลแวร์ประเภทอื่นที่ถึงแม้จะแพร่กระจายมากกว่าแต่ก็พยายามปกปิดตัวเองไม่ให้คนอื่นรู้

ที่มา : Techtalkthai

Malware as a Service เป็นบริการสำหรับที่ใครอยากจะเป็นเจ้าของ malware โดยไม่สามารถเขียนเองได้ โดยบริการดังกล่าวจะมีให้ทั้ง panel ในการควบคุม malware, วิธีการส่ง spam, วิธีการสร้าง malware และอื่นๆ ซึ่งได้รับความนิยมมาหลายปีแล้ว

นักวิจัยได้พบ webiste ที่ชื่อว่า MacSpy มีการให้บริการแบบ Malware as a Service สำหรับการสร้าง malware ใน MacOS และอีกเว็บไซด์หนึ่งคือ MacRansom โดยเป็นการให้บริการแบบ Ransomware as a Service ใน MacOS เช่นกัน โดยทั้ง 2 เว็บไซด์เป็นการให้บริการอยู่ใน Dark Web ซึ่งเป็นเว็บไซด์ที่ล้วนแล้วแต่เป็นแหล่งหาที่มาไม่ได้

เว็บไซด์ทั้ง 2 เปิดให้บริการมาตั้งแต่วันที่ 25 พค. 2017 และถูกพบโดย reporter ขณะทำการ scan Dark Web โดยเว็บไซด์ทั้ง 2 เป็นผู้พัฒนาเดียวกัน โดยดูจากเว็บไซด์ที่ถูกสร้างขึ้นนั้นเหมือนกันมาก
ตอนนี้ทาง Fortinet และ ClientVault ได้ทำการแงะ malware จากเว็บไซด์ทั้ง 2 เรียบร้อยแล้ว โดยจากการวิเคราะห์สรุปเป็นดังนี้

MacRansom
- ผู้เขียน MacRansom จำเป็นต้องอนุญาต client แต่ละคนเอง, ทั้งต้องต่อรองค่าธรรมเนียมเอง และต้องทำ ransomware sample ให้เองในแต่ละครั้ง ซึ่งดูไม่ตรงจุดประสงค์ของการให้บริการแบบ RaaS ซักเท่าไหร่
- Ransomware เป็นการใช้งาน symmetric key ในการเข้ารหัส ซึ่งมีการฝัง key สำหรับการเข้ารหัสอยู่ใน source code ด้วย
- หนึ่งใน key ที่ใช้ในการเข้ารหัสเป็นการทำงานด้วยเลขที่สุ่มมาและถูกทิ้งไว้ใน memory หลังจากที่เข้ารหัสเสร็จ
- Ransomware ไม่มีการคุยกับ C&C Server นั่นหมายความว่าผู้เขียน Ransomware ไม่สามารถถอดรหัสไฟล์ได้
- Ransomware ไม่มีการใช้งานหน้าเว็บเพจการจ่ายเงินผ่าน Tor ซึ่งทำให้ user จำเป็นต้องติดต่อกับคนให้บริการเพื่อจ่ายเงินและรับ key การถอดรหัสผ่าน email แทน
- Ransomware file ไม่มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

MacSpy
- ผู้เขียน MacSpy มีการ copy code มาจาก Stack Overflow
- Spyware payload ไม่ได้มีการใช้ signed ใดๆ นั่นหมายความว่าจะมีการแจ้งเตือน เมื่อมีการรัน MacOS Installation

จากทั้งหมดทั้งมวล MacSpy น่าจะเขียนได้ดีกว่านี้ แต่ user น่าจะกลัว MacRansom มากกว่า เพราะ Ransomware มีผลกระทบกับไฟล์ของ user ทั้งนี้ยังไม่พบว่ามีการนำไฟล์ malware ทั้ง 2 ไปใช้ในการโจมตีเหตุการณ์ใดๆ
Ruben Dodge ซึ่งเป็นนักข่าวทางด้านความปลอดภัยกล่าวว่า Malware นั้นไม่ดูซับซ้อนแต่อย่างใด สามารถเช็คได้จาก Virtual Machine แต่จากงานวิจัยพบว่าตลาดของ Malware ใน Mac นั้นโตขึ้นอย่างต่อเนื่อง

ที่มา : bleepingcomputer

ตำรวจญี่ปุ่นสร้างผลงานตามจับผู้เขียน Ransomware ได้เป็นคนแรกโดยผู้เขียนนั้นมีอายุเพียง 14 ปีเท่านั้น โดยผู้เขียนได้ทำการ upload code ขึ้น internet เป็นที่เรียบร้อยแล้ว

จากสื่อญี่ปุ่นได้กล่าวว่าทางตำรวจได้จับผู้เขียน "cyberpatrolling" Ransomware ตัวที่มีคนติดในญี่ปุ่นได้ ซึ่งพบว่าเป็นเยาวชนอายุ 14 ปีเท่านั้น อาศัยอยู่ที่ Takatsuki ทางผู้ต้องหาเล่าว่าเรียนรู้การเขียนโค้ดดังกล่าวด้วยการนำ project open source online แล้วนำมาเขียนเพิ่มด้วยตัวเอง และทำไปเพราะความอยากรู้อยากเห็นเท่านั้น หลังจากที่เขียนเสร็จ เค้าไม่ได้เป็นคนกระจาย ransomware นี้ด้วยการ spam หรือผ่าน exploit kit แต่อย่างใด เพียงแต่ upload ขึ้น internet เท่านั้น

โดยทางผู้ต้องหาได้มีการทำโฆษณาผ่านทาง Social Network ต่างๆ เช่น Twitter เป็นต้น โดยใช้คำโฆษณาว่า "ผมสร้าง Ransomware ขึ้นมา, อยากใช้ก็โหลดไปใช้ได้เลย" ผู้ต้องหาบอกว่ากระทำไปเพราะอยากดังเท่านั้นเอง

ที่มา: bleepingcomputer

โชคดีสำหรับผู้โดน Crysis Ransomware!!! ตอนนี้ถอดรหัสได้แล้ว
Crysis Ransomware ถือเป็น Ransomware อีกตัวที่โดนกันมากในปี 2016 เนื่องด้วยการแพร่กระจายทำหลายทางไม่ว่าจะเป็นการแนบไปกับ email หรือการโจมตีไปยัง Remote Desktop ที่สามารถเข้าถึงได้จากภายนอกก็ตาม
Key ที่ใช้เข้ารหัสถูก Upload ขึ้น pastebin(เว็บไซต์สำหรับการแปะ code หรือข้อความใดๆตามที่ต้องการ) โดยไม่ทราบว่าใครเป็นผู้กระทำ เมื่อ security researcher ของทาง ESET ไปพบเข้าก็ได้นำ key เหล่านั้นมาทำการทดสอบถอดรหัสไฟล์ที่ถูกเข้ารหัสโดย Crysis Ransomware ดู ซึ่งปรากฏว่าสามารถถอดรหัสได้
ESET จึงได้ทำการสร้างเครื่องมือสำหรับการถอดรหัสไฟล์ใดๆ ที่ถูกเข้ารหัสโดย Crysis Ransomware โดยผู้อ่านสามารถ Download ได้จาก Link ด้านล่าง
https://www.

คล้ายๆกับการดูหนัง series ก็ว่าได้ เมื่อมีการเปิดเผยจาก Proofpoint ว่าเจอ malware ที่โจมตีโดยใช้
MS17-010 ไม่มีผิด แต่เป็นการฝังตัวของ Application เพื่อขุดเงิน cryptocurrency (ประมาณ Bitcoin) ให้กับ Hacker ก่อนที่จะเริ่มมีการระบาด WannaCry ด้วยซำ้ โดย malware ตัวนั้นมีชื่อว่า Adylkuzz

Adylkuzz เป็น Malware ที่โจมตีและแพร่กระจายตัวเหมือนกับ WannaCry คือการโจมตีไปเป็น MS17-010 แต่แตกต่างกันที่ Adylkuzz จะไม่ได้มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่จะเน้นเรื่องการแอบรันโปรแกรมขุดเงิน cryptocurrency แบบเงียบๆในเครื่องของเหยื่อแทน โดย Proofpoint เชื่อว่า Adylkuzz เริ่มกระจายตัวตั้งแต่วันที่ 2 พค. 2017 เผลอๆอาจจะเป็นวันที่ 24 เมษายน 2017 ซึ่งก่อน WannaCry แพร่กระจายถึง 2 สัปดาห์
การพบ Adylkuzz ถือเป็นเรื่องบังเอิญด้วยซ้ำ หลังจากที่ WannaCry เริ่มแพร่กระจาย, Proofpoint พยายามตั้ง Honeypot ดักล่อ WannaCry เพื่อนำมาวิเคราะห์แต่กลับกลายเป็นได้ Malware ที่พฤติกรรมการแพร่กระจายคล้ายๆกับ WannaCry แทน ซึ่งนั่นก็คือ Adylkuzz

เมื่อ Adylkuzz ถูกติดตั้งลงไปในเครื่องของเหยื่อเรียบร้อยแล้วก็จะติดต่อไปยังเครื่อง C&C ของ Hacker เพื่อดึงตัวเครื่องมือขุด cryptocurrency และดึงขั้นตอนการขุดมา โดยในตัวอย่างที่พบจะเป็นการขุด cryptocurrency ที่ชื่อว่า Monero (คล้ายๆกับ Bitcoin) โดย ณ เวลาตอนนี้ 7.58 Monero จะมีค่าประมาณ 205$

ซึ่งบ่งบอกว่า ไม่ใช่แค่มี WannaCry เท่านั้นที่พยายามโจมตีและแพร่กระจายไปย้ง 445 (SMBv1) ดังนั้นหากเป็นไปได้ก็รีบ patch รีบป้องกันให้เร็วที่สุดเท่าที่จะได้ทำได้นะครับ

ที่มา: proofpoint

พบความเกี่ยวโยงระหว่าง WannaCry และ Malware ที่ถูกสร้างโดยเกาหลีเหนือ
Neel Mehta ซึ่งเป็นหนึ่งในบุคคลแรกๆ ของโลก(เป็น Google Researcher)ที่ทำการวิจัยและวิเคราะ Ransomware ที่ดังที่สุดในโลกในขณะนี้ นั่นคือ WannaCry นั่นเอง โดย Neel พบว่ามีโค้ดบางส่วนของ WannaCry คล้ายกับ Malware ที่ชื่อว่า Contopee ซึ่งถูกพบตั้งแต่ปี 2015 และกลุ่มที่อยู่เบื้องหลัง Contopee ก็คือ Lazarus Group ซึ่งคือกลุ่มที่เชื่อว่าเป็นกลุ่มของเกาหลีเหนือและอยู่เบื้องหลังการโจมตีเกาหลีใต้มาตั้งแต่ปี 2007 นั่นเอง
Neel Mehta พบความน่าสงสัยเกี่ยวกับ WannaCry ว่ามีส่วนฟังก์ชั่นการทำงานที่ค่อนข้างคล้ายคลึงกับ Contopee ซึ่งทั้งทาง Kaspersky และ Symantec ก็ให้ความเห็นไปในทางเดียวกันว่าน่าจะเป็นการนำฟังก์ชั่นของ Contopee มาใช้งาน
ซึ่งหากไม่ใช่กลุ่มพัฒนาเดียวกัน ก็น่าจะเป็นไปได้ยากที่โค้ดจะเหมือนกันขนาดนี้ และหากเป็นจริง WannaCry จะถือว่าเป็น Ransomware ตัวแรกที่ได้รับการสนับสนุนที่เป็นอาวุธการโจมตี Cyber ของประเทศใดๆตัวแรกของโลกเลยทีเดียว

ที่มา: blog.

พบตัว Customize WannaCrypt0r ชื่อว่า Aron WanaCrypt0r 2.0 Generator
หลังจากที่มีการปล่อย WannaCry ให้อาละวาดมาตั้งแต่วันศุกร์ (12/05/2017) ที่ผ่านมา ก็ได้มีการพบว่า Ransomware Developer ต่างๆเริ่มสร้างของตัวเองขึ้นมา แต่ครั้งจะไปเขียนเองก็เสียเวลาก็เลยกลายเป็นนำ WannaCry มาดัดแปลงแทน โดยใช้เครื่องมือที่ชื่อว่า Aron WanaCrypt0r 2.0 Generator 1.0
Aron WanaCrypt0r 2.0 Generator v1.0 เป็นเครื่องมือที่นำเอา WannaCry มาแก้ไขหน้าตาให้กลายเป็น version ใหม่ขึ้นมา ซึ่งโปรแกรมนี้จะทำให้ผู้ใช้งานสามารถที่จะเปลี่ยนแปลงหน้าตาของ WannaCry lock screen ดัดแปลงได้ทั้งข้อความที่จะแสดง, รูปภาพ, และสีของ lock screen
ทั้งนี้ Aron WanaCrypt0r 2.0 Generator v1.0 ยังไม่สามารถดัดแปลงส่วน execute ของ WannaCry ได้ครับ ดังนั้น algorithm ในการเข้ารหัส หรือลักษณะการทำงานใดๆ ยังไม่สามารถเปลี่ยนแปลงได้นั่นเอง กล่าวคือถึงแม้ว่าจะเปลี่ยนภาษาหรือว่าเปลี่ยนเลข version ของตัว lock screen แต่ก็ยังคงทำงานเหมือนๆกับ WannaCry นั่นเอง
ทั้งนี้มีการเปลี่ยน text การขู่เป็นภาษาไทยด้วย แต่ version ดังกล่าวยังไม่มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่นั่นหมายความว่าอาจจะมีคนที่เป็นคนไทยได้เครื่องมือ generator ดังกล่าวไปแล้วก็เป็นได้

ที่มา : bleepingcomputer