Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS) ที่เข้าถึงได้จากอินเทอร์เน็ต

Fernando Mercês ผู้เชี่ยวชาญจาก Trend Micro ได้รายงานถึงการพบ DeadBolt ransomware รูปแบบใหม่ซึ่งต่างจาก Ransomware อื่นๆที่มักจะมีเป้าหมายไปยังอุปกรณ์ต่างๆขององค์กร

แต่ในครั้งนี้เป้าหมายคือระบบ Network Attached Storage (NAS) ที่มีการที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) สาเหตุเกิดจากปัจจัยหลายประการ เช่น ระบบมีความปลอดภัยที่ต่ำ ความพร้อมใช้งานสูง มูลค่าของข้อมูลสูง และเป็นระบบปฏิบัติการที่ใช้อย่างแพร่หลายทั่วไปอย่าง Linux โดยเป้าหมายในครั้งนี้เป็นทั้งผู้ให้บริการ และผู้รับบริการ NAS นอกจากนี้ Script ของ Ransomware เป็นรูปแบบใหม่ที่สามารถเข้ารหัสไฟล์ให้ตรงกับ Vendor บนระบบ NAS ได้ ซึ่งอาจจะเป็นมาตรฐานของ Ransomware อื่นๆต่อไปที่จะเกิดขึ้นในอนาคต

โดยในเดือนพฤษภาคมที่ผ่านมา QNAP ได้ออกมาเตือนผู้ใช้งาน NAS ให้ระวังการถูกโจมตีจาก DeadBolt ransomware และในเดือนมกราคม รายงานจาก Censys.

เมื่อวันที่ 6 มิถุนายนที่ผ่านมา กลุ่ม LockBit ransomware ได้เผยแพร่ข้อมูลลงบนเว็บไซต์รายงานข้อมูลรั่วไหล ในเนื้อหากล่าวว่าจะมีการเผยแพร่ข้อมูลกว่า 356,841 ไฟล์ ของบริษัท Mandiant ที่เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาในอีก 3 ชั่วโมงข้างหน้า

ซึ่งทาง LockBit ยังไม่ได้เปิดเผยว่าเป็นไฟล์ชนิดใด พบเพียงตัวอย่างเป็นไฟล์ชื่อ 'mandiantyellowpress.

กลุ่มแรนซัมแวร์กำลังพัฒนาการโจมตีเพิ่มขึ้นอีกระดับด้วยการแฮ็คเว็บไซต์ของบริษัท เพื่อที่จะแสดงข้อมูลการเรียกค่าไถ่ออกสู่สาธารณะ กลยุทธ์การโจมตีครั้งใหม่นี้ดำเนินการโดย Industrial Spy เป็นกลุ่มที่เพิ่งเริ่มใช้แรนซัมแวร์ในการโจมตี

ส่วนหนึ่งของการโจมตีของ Industrial Spy จะโจมตีเครือข่าย, ขโมยข้อมูล และติดตั้งแรนซัมแวร์บนอุปกรณ์ต่างๆ จากนั้นจะทำการขู่เหยื่อว่าจะขายข้อมูลที่ขโมยมาได้ใน Tor marketplace หากเหยื่อไม่ยอมจ่ายค่าไถ่

ทาง Industrial Spy เริ่มขายข้อมูลที่พวกเขาอ้างว่าได้ขโมยมาจาก SATT Sud-Est ซึ่งเป็นบริษัทจากฝรั่งเศส ในราคา 500,000 ดอลลาร์

นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบว่าการโจมตีครั้งนี้ค่อนข้างแปลกจากที่ผ่านมา เพราะผู้โจมตียังมีการแฮ็คเว็บไซต์ของบริษัท เพื่อแสดงข้อความเตือนว่าข้อมูล 200GB ถูกขโมยไป และในไม่ช้าจะถูกขายหากเหยื่อไม่ยอมจ่ายค่าไถ่

(more…)

หลังจากการหยุดปฏิบัติการไปหลายเดือนตั้งแต่ช่วงเดือนพฤศจิกายนจนถึงกุมภาพันธ์ ตอนนี้ Clop ransomware กลับมาแล้ว จากรายงานของนักจัยจาก NCC Group

"CL0P กลับมาอยู่ในระดับแนวหน้าของภัยคุกคามจากแรนซัมแวร์ โดยเพิ่มขึ้นจากการที่มีความเคลื่อนไหวน้อยที่สุดในเดือนมีนาคม มาเป็นมีความเคลื่อนไหวมากที่สุดลำดับที่สี่ในเดือนเมษายน"

ปฏิบัติการที่เพิ่มขึ้นนี้ถูกพบหลังจากกลุ่ม CL0P เพิ่มรายการเหยื่อรายใหม่กว่า 21 รายภายในเดือนเมษายนเพียงเดือนเดียว บนไซต์ที่ใช้รายงานข้อมูลรั่วไหลของเหยื่อของพวกเขา

"มีความเปลี่ยนแปลงที่น่าสนใจในการรายงานในเดือนเมษายน ในขณะที่ Lockbit 2.0 มีเหยื่อ 103 ราย และ Conti มีเหยื่อ 45 ราย ซึ่งยังคงเป็นกลุ่มผู้โจมตีที่มากที่สุด กลุ่มเป้าหมายที่ตกเป็นเหยื่อจากการโจมตีของ CL0P กลับเพิ่มขึ้นอย่างมากจาก 1 รายเป็น 21 ราย" กลุ่ม NCC กล่าว

โดยเป้าหมายมากที่สุดของกลุ่ม CL0P คือภาคอุตสาหกรรม โดยคิดเป็น 45% จากการโจมตี และอีก 27% คือกลุ่มเป้าหมายบริษัทเทคโนโลยี ด้วยเหตุนี้ NCC Group จึงแจ้งเตือนองค์กรต่างๆ ที่อยู่ในกลุ่มเป้าหมายของกลุ่ม ransomware ให้เฝ้าระวัง และเตรียมความพร้อม

อย่างไรก็ตาม กลุ่ม CL0P ransomware กลับดูเหมือนจะไม่มีการเคลื่อนไหวมากนักหลังจากที่ปล่อยรายชื่อเหยื่อรวดเดียวกว่า 21 รายดังกล่าว

ในขณะที่เหยื่อรายล่าสุดได้รับการยืนยันว่าเป็นการโจมตีครั้งใหม่ แต่ในอีกทฤษฎีหนึ่งก็คือกลุ่ม CL0P อาจยุติปฏิบัติการแล้วจริงๆหลังจากที่หยุดปฏิบัติการไปหลายเดือน โดยการเผยแพร่ข้อมูลของเหยื่อล่าสุด คือเหยื่อที่ยังไม่ได้ถูกปล่อยข้อมูลออกมาก่อนหน้านี้ ซึ่งก็คล้ายกันกับกลุ่ม Conti ที่กำลังทำอยู่ซึ่งเป็นส่วนหนึ่งของการยุติปฏิบัติการ

ในขณะที่มุ่งเป้าโจมตีไปที่เหยื่อทั่วโลกตั้งแต่ปี 2019 (เหยื่อบางราย ได้แก่ Maastricht University, Software AG IT, ExecuPharm และ Indiabulls) กลุ่ม CL0P ก็ยังถูกเชื่อมโยงเข้ากับการโจมตี Accellion ในการโจมตี Accellion กลุ่ม CL0P ได้ทำการขโมยข้อมูลจำนวนมากจากหลายบริษัทที่มีชื่อเสียงโดยใช้ File Transfer Appliance (FTA) ของ Accellion

ต่อมา CL0P ใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่กับบริษัท โดยบีบให้ต้องจ่ายค่าไถ่จำนวนมากเพื่อไม่ให้ข้อมูลถูกเผยแพร่ รายชื่อบริษัทที่ถูกขโมยข้อมูลจาก Accellion FTA ได้แก่ บริษัทพลังงานยักษ์ใหญ่อย่าง Shell, บริษัทรักษาความปลอดภัยทางไซเบอร์ Qualys, ซูเปอร์มาร์เก็ตยักษ์ใหญ่ Kroger และมหาวิทยาลัยหลายแห่งทั่วโลก( University of Colorado, University of Miami, Stanford Medicine, University of Maryland บัลติมอร์ (UMB) และมหาวิทยาลัยแคลิฟอร์เนีย)

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญจาก Trend Micro ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ที่มีชื่อว่า Cheers ซึ่งมีเป้าหมายหลัก ๆ คือ VMware ESXi Server ที่เป็นแพลตฟอร์มที่นิยมใช้กันอย่างแพร่หลายทั่วโลก

ระบบสำคัญของหลายองค์กรต่างอยู่ในแพลตฟอร์มนี้ ซึ่งหากโจมตีได้สำเร็จจนทำให้ระบบหยุดทำงาน ก็จะส่งผลต่อการดำเนินธุรกิจรวมไปถึงกระทบต่อชื่อเสียงขององค์กรอีกด้วย

ลักษณะการทำงาน

เมื่อเซิร์ฟเวอร์ VMware ESXi ถูกโจมตีได้สำเร็จ แรนซัมแวร์จะทำการสแกนหาไฟล์ที่มีนามสกุล .log, .vmdk, .vmem, .vswp, และไฟล์ extensions ที่นามสกุล .vmsn
ซึ่งเป็นไฟล์สำคัญของ ESXi ทั้งหมด เช่นไฟล์ Snapshot หรือ log files จากนั้นจะทำการเปลี่ยนนามสกุลไฟเหล่านั้นล์เป็น “.Cheers” แล้วทำการเข้ารหัสไฟล์โดยใช้ SOSEMANUK stream cipher และลบคีย์ในการกู้คืนออก ซึ่งระหว่างแรนซัมแวร์ทำการสแกนโฟลเดอร์เพื่อเข้ารหัส มันก็จะทำการสร้าง Text ไฟล์ที่ชื่อ ‘How To Restore Your Files.

SpiceJet สายการบินราคาประหยัดของอินเดียได้แจ้งลูกค้าในวันนี้ถึงการถูกโจมตีจาก ransomware ซึ่งส่งผลกระทบต่อระบบบางระบบ และทำให้เที่ยวบินออกเดินทางล่าช้า

ซึ่งจากประกาศที่เผยแพร่บนช่องทางโซเชียลมีเดียของสายการบินอ้างว่า ทีมไอทีสามารถขัดขวางการโจมตีได้ ดังนั้นทุกอย่างจึงกลับสู่สถานะการทำงานปกติ

อย่างไรก็ตามพบว่าลูกค้าหลายรายของสายการบินออกมาแจ้งปัญหาอย่างต่อเนื่องบน Twitter และ Facebook โดยส่วนใหญ่เป็นเรื่องของความล่าช้าของเที่ยวบิน โดยระบุว่าไม่สามารถติดต่อฝ่ายบริการลูกค้าทางโทรศัพท์ได้ และระบบการจองยังคงใช้งานไม่ได้

BleepingComputer ได้ยืนยันว่าปัจจุบัน(ในขณะที่กำลังเขียนบทความ) มีเพียงหน้าแรกของ SpiceJet เท่านั้นที่ใช้งานได้ ในขณะที่ระบบ และหน้าเว็บอื่นๆส่วนใหญ่ไม่สามารถโหลดได้

อย่างไรก็ตาม ยังสามารถตรวจสอบตารางสถานะเที่ยวบินได้ และพบว่าเกิดความล่าช้าในทุกจุดหมายปลายทางที่เราตรวจสอบ ตั้งแต่สองถึงห้าชั่วโมง

ประกาศแจ้งเตือนเที่ยวบินล่าช้าบนเว็บไซต์ SpiceJet

จากข้อมูล SpiceJet เป็นสายการบินที่ใหญ่เป็นอันดับสองในอินเดีย ให้บริการเครื่องบิน 102 ลำเพื่อให้บริการจุดหมายปลายทางกว่า 60 แห่ง บริษัทมีพนักงานมากกว่า 14,000 คน และถือหุ้นประมาณ 15% ของส่วนแบ่งการตลาดในท้องถิ่น

ด้วยเหตุนี้ การโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อการดำเนินงานจึงส่งผลกระทบต่อผู้โดยสารจำนวนมากทั่วอินเดีย และปลายทางระหว่างประเทศ และความล่าช้าหลายชั่วโมงเหล่านี้ส่งผลให้เกิดความสูญเสียทางการเงินอย่างมาก

BleepingComputer ได้ติดต่อ SpiceJet เพื่อขอรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีจาก ransomware และโฆษกของบริษัทได้ให้ข้อมูลดังต่อไปนี้:

“ระบบ SpiceJet บางระบบเผชิญกับการโจมตีด้วยแรนซัมแวร์ที่พยายามโจมตีเมื่อคืนที่ผ่านมา ซึ่งส่งผลกระทบต่อการปฏิบัติการบินของเรา แม้ว่าทีมไอทีของเราจะควบคุม และแก้ไขสถานการณ์ได้ แต่ก็ยังส่งผลกระทบต่อเที่ยวบินของเรา ซึ่งนำไปสู่ความล่าช้าของเที่ยวบินไปยังสนามบิน หรือบางเที่ยวบินที่มีข้อจำกัดในการดำเนินการช่วงกลางคืนถูกยกเลิก SpiceJet กำลังติดต่อกับผู้เชี่ยวชาญ และหน่วยงานด้านอาชญากรรมทางไซเบอร์ในประเด็นนี้”

ความผิดพลาดก่อนหน้านี้

ในเดือนมกราคม 2020 SpiceJet ยืนยันเหตุการณ์การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตบนฐานข้อมูลสำรองของสายการบิน ซึ่งไม่มีการป้องกันที่เข้มงวดมากพอ

ไฟล์ดังกล่าวมีข้อมูลที่ไม่ได้เข้ารหัสของผู้โดยสาร 1,200,000 คนที่เคยใช้บริการของ SpiceJet ในเดือนก่อนหน้า รวมถึงชื่อนามสกุล ข้อมูลเที่ยวบิน หมายเลขโทรศัพท์ ที่อยู่อีเมล และวันเกิด

ในปี พ.ศ. 2564 SpiceJet ประสบปัญหาทางการเงินอย่างรุนแรงจากการหยุดให้บริการเนื่องจากข้อจำกัดด้านโควิด-19 โดยรายงานการสูญเสียรายได้ต่อปี 28% ซึ่งส่งผลโดยตรงต่อความมั่นคงของธุรกิจ

สถานการณ์ทางการเงินที่เกิดขึ้น อาจทำให้บริษัทไม่ได้ลงทุนในด้านความปลอดภัยทางไซเบอร์ และการตอบสนองต่อเหตุการณ์มากนัก ซึ่งอาจทำให้การโจมตีด้วยแรนซัมแวร์ประสบความสำเร็จได้ง่ายขึ้น

ที่มา :bleepingcomputer

RedPacket Security ได้ออกมาให้ข่าวเรื่องการถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ของบริษัท เอฟเอ็น แฟคตอรี่เอาท์เล็ท จำกัด (มหาชน) ซึ่งเป็นบริษัทผลิต และจำหน่ายเครื่องแต่งกาย ประกอบกิจการจำหน่ายเครื่องหนัง เสื้อผ้า เฟอร์นิเจอร์ และเครื่องใช้ภายในบ้าน

LockBit ระบุว่าได้ข้อมูลออกไปทั้งหมด 2236 ไฟล์ และหากเหยื่อไม่จ่ายค่าไถ่ก็เตรียมจะเผยแพร่ข้อมูลทั้งหมดในบล็อกของ LockBit ภายในวันที่ 13 พ.ค. 2565 เวลา 00:00:00

ที่มา : redpacketsecurity

เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)