แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)

PharMerica ผู้ให้บริการด้านเภสัชกรรม ยืนยันการถูกละเมิดข้อมูลจำนวนมากที่ส่งผลกระทบต่อผู้ป่วยกว่า 5.8 ล้านคน

โดย PharMarica เป็นผู้ให้บริการร้านขายยาใน 50 รัฐของสหรัฐอเมริกา ดำเนินการร้านขายยาในพื้นที่ 180 แห่ง และร้านขายยาสำรอง 70,000 แห่ง และให้บริการสถานพยาบาล 3,100 แห่งทั่วประเทศ (more…)

กลุ่มอาชญากรทางไซเบอร์ RTM (Read The Manual) มีการดำเนินการมาตั้งแต่ปี 2015 โดยการใช้โทรจันเพื่อขโมยเงินจากธนาคารของผู้ที่ตกเป็นเหยื่อ

ในเดือนธันวาคม 2022 MalwareHunterTeam นักวิจัยด้านความปลอดภัยระบุว่า RTM ให้บริการ Ransomware-as-a-Service (RaaS) ซึ่งมีการให้บริการมาแล้วอย่างน้อยห้าเดือน ในขณะนั้นพบเพียงตัวเข้ารหัสแรนซัมแวร์บน Windows เท่านั้น แต่รายงานจาก Uptycs เมื่อวันที่ 26 เมษายน 2023 RTM ได้เปิดตัวบริการ RaaS รูปแบบใหม่ ซึ่งขยายเป้าหมายไปยังเซิร์ฟเวอร์ Linux และ VMware ESXi

ตามรายงานของ Uptycs ตัวเข้ารหัสของ RTM Locker บน Linux ถูกสร้างขึ้นสำหรับการโจมตีระบบ VMware ESXi เนื่องจากมีคำสั่งจำนวนมากที่ใช้ในการจัดการ Virtual Machines

เมื่อเปิดใช้งาน ตัวเข้ารหัสจะพยายามเข้ารหัส VMware ESXi Virtual Machines ทั้งหมดก่อน โดยรวบรวมรายการ VM ที่รันอยู่โดยใช้ Command "esxcli vm process list >> vmlist.

MSI บริษัทผู้จัดจำหน่ายคอมพิวเตอร์สัญชาติไต้หวัน (ย่อมาจาก Micro-Star International) ออกมาประกาศว่าได้ถูกโจมตีทางไซเบอร์ โดยบริษัทตรวจพบการโจมตี และเริ่มตอบสนองต่อเหตุการณ์ทันที ภายหลังจากพบการทำงานที่ผิดปกติบนระบบ Network นอกจากนี้ยังได้แจ้งไปยังหน่วยงานทางด้านกฎหมายที่เกี่ยวข้อง ซึ่งทางบริษัท MSI ยังไม่ได้ให้ข้อมูลเกี่ยวกับรายละเอียดของวันที่ และเวลาที่ถูกโจมตี หรือข้อมูลเกี่ยวกับรูปแบบการโจมตี รวมถึงมีข้อมูล หรือ source code ที่อาจจะถูกขโมยออกไปด้วยหรือไม่ (more…)

นักวิจัยของ SentinelOne บริษัทด้านความปลอดภัยทางไซเบอร์ เปิดเผยเทคนิคการหลบหลีกการตรวจับจากอุปกรณ์ป้องกันด้านความปลอดภัย และสามารถเรียกใช้งานเพย์โหลดที่เป็นอันตรายของกลุ่ม CatB Ransomware โดยใช้เทคนิคที่มีชื่อว่า DLL search order hijacking

CatB Ransomware หรือ CatB99 และ Baxtoy ถูกพบครั้งแรกเมื่อปลายปี 2022 ซึ่งคาดว่าเป็นการพัฒนาต่อยอดมาจากกลุ่ม Pandora Ransomware โดยจากการวิเคราะห์ code-level พบว่ามีความคล้ายกัน ซึ่งพบว่า Pandora นั้นมีที่มาจาก ronze Starlight (หรือ DEV-0401 หรือ Emperor Dragonfly) โดยเป็นกลุ่ม Hacker ชาวจีนที่ใช้ Ransomware สายพันธุ์ที่มีช่วงเวลาที่ถูกใช้ในการโจมตีต่ำ เพื่ออำพรางเป้าหมายที่แท้จริงของการโจมตี

การโจมตีของ CatB Ransomware

CatB Ransomware จะโจมตีด้วยวิธีการ DLL hijacking ผ่าน Microsoft Distributed Transaction Coordinator (MSDTC) ที่เป็น service จริง ๆ ของ Microsoft เพื่อติดตั้ง และเรียกใช้งานเพย์โหลดของแรนซัมแวร์ เช่น versions.

กลุ่ม ransomware ชื่อ BianLian ได้เปลี่ยนเป้าหมายการโจมตีจากการเข้ารหัสไฟล์ของเหยื่อ ไปเป็นการขโมยข้อมูลสำคัญที่พบบนเครือข่ายที่ถูกโจมตี และใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่

บริษัทด้านความปลอดภัยทางไซเบอร์ Redacted ได้รายงานเกี่ยวกับการพัฒนาของกลุ่ม BianLian โดยพบว่ากลุ่มดังกล่าวกำลังพยายามเปลี่ยนรูปแบบในการเรียกค่าไถ่ และการเพิ่มแรงกดดันต่อเหยื่อ

BianLian เป็นกลุ่ม ransomware ที่ถูกพบครั้งแรกในเดือนกรกฎาคม 2022 และได้โจมตีองค์กรชื่อดังหลายแห่งได้สำเร็จ

โดยในเดือนมกราคม 2023 บริษัท Avast พึ่งปล่อยตัวถอดรหัสฟรีเพื่อช่วยเหลือเหยื่อที่ถูกเข้ารหัสไฟล์จาก BianLian ransomware ให้สามารถกู้คืนไฟล์ได้

การโจมตีล่าสุดของกลุ่ม BianLian

รายงานล่าสุดระบุว่ากลุ่ม BianLian ยังคงใช้เทคนิคการโจมตีในขั้นตอนแรก และการโจมตีไปยังระบบต่าง ๆ บนเครือข่ายของเหยื่อเช่นเดิม และยังคงใช้ backdoor ที่พัฒนาด้วยภาษา Go เพื่อให้สามารถเข้าถึงเครื่องที่ถูกโจมตีจาก C2 Server แม้ว่าจะเป็นเวอร์ชันที่ได้รับการปรับปรุงเล็กน้อยก็ตาม

ภายหลังการโจมตี จะมีการโพสต์ข้อมูลของเหยื่อในรูปแบบการปิดบังข้อมูลบางส่วน (masked form) ลงบนเว็บไซต์ โดยใช้เวลาหลังจากการโจมตีสำเร็จเพียง 48 ชั่วโมง และให้เวลาในการชำระเงินค่าไถ่ไว้ประมาณ 10 วัน

ตั้งแต่วันที่ 13 มีนาคม 2023 แหล่งข่าวรายงานว่า BianLian ได้ระบุรายชื่อองค์กรของเหยื่อทั้งหมด 118 องค์กร บนเว็บไซต์ที่ใช้สำหรับการเรียกค่าไถ่ โดยมีข้อมูลองค์กรจากสหรัฐอเมริกาเป็นส่วนใหญ่อยู่ที่ 71% ของรายชื่อทั้งหมด

ความแตกต่างที่พบในการโจมตีครั้งล่าสุดคือ BianLian พยายามทำเงินจากการโจมตีระบบโดยไม่เข้ารหัสไฟล์ของเหยื่อ แต่จะใช้วิธีการขโมยข้อมูล และข่มขู่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมาของเหยื่อเป็นหลัก

ในรายงานล่าสุดระบุว่า "กลุ่มผู้โจมตีมีการสัญญาว่าภายหลังจากได้รับเงินค่าไถ่แล้ว พวกเขาจะไม่เผยแพร่ข้อมูลที่ถูกขโมยมา หรือเปิดเผยว่าองค์กรของเหยื่อถูกโจมตี โดยอ้างอิงจากข้อเท็จจริงที่ว่าการดำเนินงานของพวกเขาเป็นไปในลักษณะธุรกิจที่ชื่อเสียงของพวกเขาต้องมีความน่าเชื่อถือ"

"ในหลายกรณี BianLian ได้อ้างอิงถึงความเกี่ยวข้องกับบทลงโทษทางกฎหมาย และกฎระเบียบต่าง ๆ ที่องค์กรของเหยื่อจะต้องเผชิญหน้าหากพบเหตุการณ์ข้อมูลรั่วไหลเกิดขึ้น"

การอ้างอิงถึงกฎหมายจากกลุ่ม BianLian เป็นไปตามกฎหมายที่ใช้บังคับในพื้นที่ของเหยื่ออีกด้วย ซึ่งแสดงให้เห็นว่าผู้โจมตีมีการศึกษาข้อมูลเพื่อขู่เรียกค่าไถ่ได้อย่างมีประสิทธิภาพ โดยวิเคราะห์ความเสี่ยงทางกฎหมายของเหยื่อในแต่ละพื้นที่ เพื่อจัดรูปแบบข้อแนะนำที่แม่นยำมากขึ้น

ปัจจุบันยังไม่มีข้อมูลที่แน่ชัดว่า BianLian ได้ยกเลิกการใช้วิธีการเข้ารหัสเนื่องจากบริษัท Avast สามารถถอดรหัส ransomware ของพวกเขาได้ หรือเพราะเหตุการณ์นี้ช่วยให้พวกเขารับรู้ว่าไม่จำเป็นต้องมีเทคนิคส่วนนี้ในการโจมตีเพื่อขู่เรียกค่าไถ่

การขู่เรียกค่าไถ่โดยไม่มีการเข้ารหัส

การเข้ารหัสไฟล์ การขโมยข้อมูล และการขู่เรียกค่าไถ่ว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมานั้นถูกเรียกว่า "double extortion" ซึ่งเป็นกลยุทธ์ที่ใช้โดยกลุ่ม ransomware ต่าง ๆ เพื่อเพิ่มแรงกดดันต่อเหยื่อ

อย่างไรก็ตามการต่อรองระหว่างผู้โจมตี และเหยื่อ ทำให้กลุ่ม ransomware ได้ตระหนักว่าในหลายกรณี การรั่วไหลข้อมูลที่เป็นความลับอาจเป็นแรงกดดันสำหรับการขู่เรียกค่าไถ่มากกว่าการเข้ารหัสไฟล์

จึงทำให้เกิดการขู่เรียกค่าไถ่โดยไม่มีการเข้ารหัสไฟล์มากขึ้น เช่น Babuk, และ SnapMC รวมไปถึง RansomHouse, Donut, และ Karakurt

แต่ในความเป็นจริงส่วนใหญ่ของกลุ่ม Ransomware ยังคงใช้วิธีการเข้ารหัสข้อมูลในการโจมตี เนื่องจากการขัดขวางการดำเนินธุรกิจที่เกิดขึ้นจากการเข้ารหัสอุปกรณ์นั้น ยังทำให้เกิดความกดดันต่อผู้เสียหายได้เช่นเดียวกัน

 

ที่มา : bleepingcomputer

ผู้โจมตีได้มุ่งเป้าหมายการโจมตีไปยังหน่วยงานรัฐบาลด้วยมัลแวร์ PureCrypter ซึ่งพบว่าถูกใช้เพื่อเป็นมัลแวร์สำหรับดาวน์โหลดมัลแวร์ขโมยข้อมูล และแรนซัมแวร์หลายสายพันธุ์

โดยนักวิจัยที่ Menlo Security พบว่าแฮ็กเกอร์ใช้ Discord เป็นโฮสต์สำหรับ payload เริ่มต้น และโจมตีองค์กรไม่แสวงหาผลกำไร เพื่อทำเป็นโฮสต์เพิ่มเติมที่ใช้ในแคมเปญ

แคมเปญนี้มีการโจมตีโดยการใช้มัลแวร์หลายประเภท ได้แก่ Redline Stealer, AgentTesla, Eternity, Blackmoon และ Philadelphia Ransomware และได้กำหนดเป้าหมายไปยังองค์กรรัฐบาลหลายแห่งในภูมิภาคเอเชียแปซิฟิก (APAC) และอเมริกาเหนือ

การโจมตี

การโจมตีเริ่มต้นด้วยอีเมลที่มี URL ของแอป Discord สำหรับดาวน์โหลด PureCrypter ซึ่งอยู่ในไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งเมื่อเปิดใช้งาน มันจะทำการดาวน์โหลดเพย์โหลดต่อไปจากเซิร์ฟเวอร์ภายนอก ซึ่งในกรณีนี้เป็นเซิร์ฟเวอร์ที่ถูกโจมตีขององค์กรไม่แสวงหาผลกำไรแห่งหนึ่ง

โดยตัวอย่างที่นักวิจัยจาก Menlo Security วิเคราะห์คือ AgentTesla ซึ่งจะสร้างการเชื่อมต่อกับเซิร์ฟเวอร์ FTP ที่ตั้งอยู่ในปากีสถาน เพื่อใช้ในการรับส่งข้อมูลที่ขโมยมา โดยแฮ็กเกอร์จะใช้ข้อมูล credentials ที่มีการรั่วไหลออกมาในการโจมตีเพื่อเข้าควบคุมเซิร์ฟเวอร์ FTP แทนที่จะตั้งเซิร์ฟเวอร์ขึ้นมาเอง เพื่อลดความเสี่ยงจากการถูกระบุตัวตน

AgentTesla เป็นกลุ่มมัลแวร์ .NET ที่ถูกใช้ในกลุ่มผู้โจมตีในช่วง 8 ปีที่ผ่านมา โดยมีการใช้งานสูงสุดในช่วงปลายปี 2020 และต้นปี 2021 แต่ Agent Tesla ยังถือว่าเป็น backdoor ที่มีความสามารถสูง ซึ่งได้รับการพัฒนา และปรับปรุงอย่างต่อเนื่องตลอดหลายปีที่ผ่านมา

โดยพฤติกรรม keylogging ของ AgentTesla คิดเป็นประมาณหนึ่งในสามของรายงาน Keylogger ทั้งหมดที่ Cofense Intelligence บันทึกไว้ในปี 2022

ความสามารถของมัลแวร์ มีดังนี้ :

บันทึกการกดแป้นพิมพ์ของเหยื่อเพื่อเก็บข้อมูลที่มีความสำคัญ เช่น รหัสผ่าน
ขโมยรหัสผ่านที่บันทึกไว้ในเว็บเบราว์เซอร์, email clients หรือ FTP clients
จับภาพหน้าจอของเดสก์ท็อปที่อาจมีข้อมูลที่มีความสำคัญ
ดักจับข้อมูลที่คัดลอกไปยังคลิปบอร์ด รวมถึงข้อความ รหัสผ่าน และรายละเอียดบัตรเครดิ
ส่งข้อมูลที่ถูกขโมยไปยัง C2 ผ่าน FTP หรือ SMTP

ในการโจมตีที่ถูกตรวจสอบโดย Menlo Labs พบว่าแฮ็กเกอร์ใช้ process hollowing เพื่อแทรก Payload ของ AgentTesla เข้าสู่ proces (“cvtres.

Citrix Systems ออกแพตซ์อัปเดตแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งพบในผลิตภัณฑ์ Virtual Apps and Desktops และ Workspace Apps

โดยช่องโหว่ที่ได้รับการอัปเดต เป็นช่องโหว่ที่อาจทำให้ผู้โจมตีสามารถเข้าถึงเป้าหมายในแบบ local access เพื่อยกระดับสิทธิ์ และเข้าควบคุมระบบที่ได้รับผลกระทบได้

การยกระดับสิทธิ์เป็นหนึ่งในขั้นตอนที่สำคัญของการโจมตีทางไซเบอร์ เนื่องจากผู้โจมตีจำเป็นต้องได้รับสิทธิ์ที่สูงขึ้นสำหรับการขโมยข้อมูล, การปิดใช้งานซอฟต์แวร์รักษาความปลอดภัย หรือแพร่กระจายไปยังระบบอื่น ๆ ของเป้าหมายเพื่อโจมตีด้วยแรนซัมแวร์

ช่องโหว่ที่ Citrix ได้ออกประกาศให้ทำการอัปเดต

CVE-2023-24483 : ช่องโหว่ในการจัดการสิทธิ์ที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ไปยัง NT AUTHORITY\SYSTEM ส่งผลกระทบต่อ Citrix Virtual Apps and Desktops เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24484 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมทำให้สามารถเขียน log files ไปยังไดเร็กทอรีที่ผู้ใช้ทั่วไปไม่ควรเข้าถึง ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24485 : ช่องโหว่ในการการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยกระดับสิทธิ์ ส่งผลกระทบต่อ Citrix Workspace App สำหรับ Windows เวอร์ชันก่อน 2212, 2203 LTSR ก่อน CU2 และ 1912 LTSR ก่อน CU6
CVE-2023-24486 : ช่องโหว่ในการควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งนำไปสู่การยึดครองเซสชัน ส่งผลกระทบต่อแอป Citrix Workspace สำหรับ Linux เวอร์ชันก่อน 2302

โดย CVE-2023-24483 ถือได้ว่าเป็นช่องโหว่ที่รุนแรงที่สุดที่ได้รับการแก้ไขในครั้งนี้ โดย NT AUTHORITY\SYSTEM คือสิทธิ์การเข้าถึงระดับสูงสุดบน Windows ทำให้สามารถสั่งรันคำสั่งได้ตามที่ต้องการ สามารถเข้าถึงข้อมูลที่มีความสำคัญ และแก้ไขการกำหนดค่าระบบโดยไม่มีข้อจำกัด รวมไปถึงสามารถโจมตีไปยังระบบอื่น ๆ ที่อยู่ภายในเครือข่ายเดียวกันได้

การป้องกัน

Citrix แนะนำให้เร่งทำการอัปเดตผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ โดยอัปเดตไปยังเวอร์ชันดังต่อไปนี้

Citrix Virtual Apps และ Desktops 2212 และ version ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Virtual Apps and Desktops 1912 LTSR CU6 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 2212 และ version ที่ใหม่กว่า
Citrix Workspace App 2203 LTSR CU2 และ cumulative updates ที่ใหม่กว่า
Citrix Workspace App 1912 LTSR CU7 Hotfix 2 (19.12.7002) และ cumulative updates ที่ใหม่กว่า
แอป Citrix Workspace สำหรับ Linux 2302 และ version ที่ใหม่กว่า

ที่มา : bleepingcomputer

การโจมตีด้วยแรนซัมแวร์ ESXiArgs ตัวใหม่กำลังปฏิบัติการเข้ารหัสข้อมูลจำนวนมาก และยังทำให้การกู้คืนเครื่อง VMware ESXi ที่ถูกเข้ารหัสทำได้ยากขึ้นมาก

เมื่อวันศุกร์ที่ผ่านมา พบการโจมตีด้วยแรนซัมแวร์ที่เข้ารหัสเซิร์ฟเวอร์ VMware ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 3,000 เครื่อง โดยการใช้แรนซัมแวร์ ESXiArgs ตัวใหม่

ในรายงานเบื้องต้นระบุว่าอุปกรณ์ถูกโจมตีผ่านทางช่องโหว่เก่าของ VMware SLP อย่างไรก็ตามเหยื่อบางรายระบุว่าถึงแม้มีการปิดการใช้งาน SLP บนอุปกรณ์ไปแล้ว ก็ยังคงถูกโจมตี และเข้ารหัสได้อยู่ดี

เมื่อโจมตีสำเร็จ สคริปต์ encrypt.

Cyble บริษัทวิจัยด้านความปลอดภัยทางไซเบอร์ เปิดเผยการพบ Medusa DDoS (distributed denial of service) botnet เวอร์ชันใหม่ ที่พัฒนาจาก Mirai code based ซึ่งประกอบไปด้วยความสามารถของ ransomware และ Telnet brute-forcer ซึ่งสามารถกำหนดเป้าหมายบน Linux และสามารถโจมตี DDoS ได้หลากหลายรูปแบบ

และในตอนนี้ Medusa ได้กลายเป็น MaaS (malware-as-a-service) สำหรับการโจมตีในรูปแบบ DDoS หรือการขุดเหรียญคริปโต โดยได้รับประกันความเสถียรของบริการ รวมทั้งการไม่เปิดเผยตัวตนของลูกค้า มี API ที่ใช้งานได้ง่าย และค่าใช้จ่ายที่ปรับได้ตามความต้องการของผู้ใช้บริการ

Medusa เป็นมัลแวร์ที่มีมาอย่างยาวนาน ซึ่งมีการโฆษณาขายในตลาดมืดตั้งแต่ปี 2015 และต่อมาได้เพิ่มความสามารถในการโจมตี DDoS ผ่าน HTTP protocol ในปี 2017

ฟังก์ชันของ Ransomware

สิ่งที่น่าสนใจสำหรับ Medusa รูปแบบใหม่นี้คือฟังก์ชันของ Ransomware ที่ช่วยให้สามารถค้นหาไดเร็กทอรีทั้งหมดสำหรับประเภทไฟล์ที่กำหนดสำหรับการเข้ารหัสข้อมูล โดยรายการประเภทไฟล์เป้าหมายนั้นประกอบด้วยไฟล์เอกสาร และไฟล์ vector design เป็นหลัก

โดยไฟล์ที่เป็นเป้าหมายจะถูกเข้ารหัสด้วย AES 256 บิต และนามสกุล .medusastealer ต่อท้ายชื่อไฟล์ที่ถูกเข้ารหัส

ซึ่งพบว่ามันไม่เพียงแต่เข้ารหัสข้อมูลเท่านั้น แต่ยังเป็น data wiper ที่มุ่งทำลายข้อมูลบนเครื่องที่ถูกโจมตีอีกด้วย โดยพบว่าหลังจากเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว มัลแวร์จะเข้าสู่โหมดสลีปเป็นเวลา 86,400 วินาที (24 ชั่วโมง) หลังจากนั้นจะทำการลบไฟล์ทั้งหมดในไดรฟ์บนระบบ หลังจากลบไฟล์แล้ว มันจะแสดงข้อความเรียกค่าไถ่ที่ขอให้ชำระเงิน 0.5 BTC ($11,400)

Cyble วิเคราะห์ว่า การที่ Medusa ทำการลบข้อมูลทิ้งหลังจากการเข้ารหัสข้อมูลเป็นข้อผิดพลาดของคำสั่งการ เนื่องจากทำลายข้อมูลบนเครื่องที่ถูกโจมตี จะทำให้เหยื่อไม่สามารถใช้งานระบบของตน รวมถึงการเปิดอ่านข้อความเรียกเหตุค่าไถ่ได้ ซึ่งข้อผิดพลาดนี้แสดงให้เห็นว่า Medusa รูปแบบใหม่ หรืออย่างน้อยฟีเจอร์นี้ยังอยู่ในระหว่างการพัฒนา

รวมไปถึงจุดสังเกตุที่พบว่า ถึงแม้ Medusa รูปแบบใหม่จะมีเครื่องมือในการขโมยข้อมูล แต่มันกลับไม่ขโมยไฟล์ข้อมูลของเหยื่อก่อนทำการเข้ารหัส แต่จะมุ่งเน้นไปที่การรวบรวมข้อมูลระบบพื้นฐานที่ช่วยในการระบุตัวตนของเหยื่อ และประเมินทรัพยากรของเครื่องสำหรับการขุดเหรียญคริปโต และการโจมตี DDoS

การโจมตีด้วย Telnet

Medusa รูปแบบใหม่ยังมีฟังก์ชั่น brute force ในการสุ่มชื่อ และรหัสผ่านที่ใช้ทั่วไป ซึ่งหาก brute force สำเร็จ ก็จะทำการดาวน์โหลดเพย์โหลดที่เป็นอันตรายเพิ่มเติม

รวมถึงการใช้คำสั่ง "zmap" เพื่อค้นหาอุปกรณ์อื่นที่มีบริการ Telnet ที่ทำงานบน port 23 จากนั้นจะพยายามเชื่อมต่อกับอุปกรณ์เหล่านั้นโดยใช้ที่อยู่ IP, ชื่อผู้ใช้ และรหัสผ่านที่ดึงออกมาจากเครื่องที่ถูกโจมตี

สุดท้ายเมื่อสามารถเชื่อมต่อผ่าน Telnet ได้สำเร็จ ก็จะทำการเรียกใช้งานเพย์โหลด ("infection_medusa_stealer") อีกทั้งพบว่าเพย์โหลดสุดท้ายของ Medusa ยังคงรองรับคำสั่ง "FivemBackdoor" และ "sshlogin" ได้ไม่สมบูรณ์ เนื่องจากยังอยู่ในระหว่างการพัฒนา

IOC

ที่มา :

bleepingcomputer

blog.