Tokio Marine Holdings เป็นบริษัทประกันภัยข้ามชาติในญี่ปุ่น ได้ประกาศว่า Tokio Marine Insurance Singapore (TMiS) ที่เป็นสาขาในสิงคโปร์ ได้ถูกโจมตีด้วย Ransomware เมื่อวันที่ 31 กรกฎาคม 2564 ที่ผ่านมา ทาง Tokio Marine ได้ให้ข้อมูลเพิ่มเติมว่าการโจมตีนี้ได้ส่งผลกระทบต่อ Marine Insurance Singapore เท่านั้น บริษัทในเครืออื่น ๆ ไม่ได้รับความเสียหาย เนื่องจากทาง TMiS ได้ยืนยันว่าได้แยกเครือข่ายทันทีหลังจากตรวจพบการโจมตี พร้อมทั้งแจ้งไปยังหน่วยงานรัฐบาลท้องถิ่น และได้ยืนยันว่าไม่มีข้อบ่งชี้ว่ามีการเข้าถึงข้อมูลของลูกค้า

แต่ยังไม่ชัดเจนว่าการโจมตีเกิดขึ้นได้อย่างไร และเมื่อไร และมีความเสียหายอะไรที่เกิดขึ้นบ้าง โดยทาง Tokio Marine ได้ทำการติดต่อ Vendor ภายนอกมาเพื่อทำการวิเคราะห์ระบบและเพื่อตรวจสอบขอบเขตของความเสียหายแล้ว

Ryan Specialty Group ได้เปิดเผยว่าเมื่อเดือนเมษายน บริษัทได้ตรวจพบการเข้าถึงบัญชีของพนักงานบางบัญชีโดยไม่ได้รับอนุญาต และภายในเดือนมิถุนายน บริษัทพบว่ามีการเข้าถึงข้อมูลส่วนบุคคลบางส่วน แต่ไม่สามารถระบุได้ว่ามีการเข้าถึงข้อมูลที่มีความสำคัญเช่น หมายเลขประกันสังคม หรือไม่

โดยตั้งแต่ต้นปีที่ผ่านมี มีบริษัทประกันภัยรายใหญ่อย่างน้อย 3 ราย ที่ถูกโจมตีโดย Ransomware ซึ่งประกอบไปด้วย CNA, AXA และ Tokio Marine เป็นรายที่ 3

ที่มา: BleepingComputer Cyberscoop

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

เมื่อวันศุกร์ที่ 7 พฤษภาคม 2021 ที่ผ่านมานั้น กลุ่มในเครือของ DarkSide Ransomware ได้โจมตี Colonial Pipeline ซึ่งเป็นท่อส่งเชื้อเพลิงของอเมริกา การโจมตีดังกล่าวนั้นส่งผลให้การขนส่งน้ำมันหยุดชะงัก และส่งผลกระทบเป็นวงกว้าง ทำให้เป็นพาดหัวข่าวไปทั่วโลก จากการกดดัน และตรวจสอบอย่างเข้มงวดของหน่วยงานระดับชาติในหนึ่งสัปดาห์ต่อมา DarkSide ได้ประกาศปิดตัวลง รวมถึง REvil ที่เป็นผู้อยู่เบื้องหลังการโจมตี KASEYA และ JBS ก็หยุดเคลื่อนไหวไปเช่นเดียวกัน (more…)

เราจะพามารู้จักกับ BlackMatter: กลุ่ม Ransomware มาแรง ที่เรียนรู้จากความผิดพลาดในอดีตของ Darkside และ REvil

ในเดือนกรกฎาคม กลุ่ม Ransomware กลุ่มใหม่เริ่มโพสต์โฆษณาบนฟอรัมเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตต่างๆ โดยประกาศว่ากำลังพยายามหาพันธมิตร และอ้างว่าได้รวมคุณลักษณะของกลุ่ม Ransomware ที่มีชื่อเสียงมาก่อนหน้าเช่น REvil และ DarkSide นั่นคือ BlackMatter (more…)

LockBit 2.0 Ransomware กำลังหาคนภายในองค์กรต่าง ๆ เพื่อช่วยพวกเขาในการเจาะ และเข้ารหัสเครือข่ายขององค์กรนั้นๆ และสัญญากับผู้ที่ให้ข้อมูลขององค์กรตัวเองว่าจะจ่ายเงินให้ 1 ล้านเหรียญ

ในเดือนมิถุนายน 2021 LockBit ได้ประกาศเปิดตัวเวอร์ชั่นใหม่ของ LockBit 2.0 ransomware-as-a-service ในการเปิดตัวใหม่นี้รวมถึงเว็บไซต์ TOR ที่ออกแบบใหม่และคุณสมบัติขั้นสูงต่างๆ รวมถึงอุปกรณ์เข้ารหัสอัตโนมัติบนเครือข่ายผ่าน Group policy และด้วยการเปิดตัวใหม่นี้ LockBit ได้เปลี่ยน Windows wallpaper บนอุปกรณ์ที่ถูกเข้ารหัสเพื่อเสนอว่า “ล้านดอลลาร์ สำหรับบุคคลภายในองค์กรที่ให้ข้อมูล account ที่สามารถเข้าถึงเครือข่ายขององค์กร”

ข้อความเต็มๆเขียนไว้ว่า LockBit กำลังมองหา RDP, VPN, Credentials อีเมลขององค์กรที่สามารถใช้เข้าถึงเครือข่ายได้ และยังบอกด้วยว่าจะส่ง Virus ให้กับคนภายในที่จะดำเนินการบนคอมพิวเตอร์ ซึ่งจะทำให้กลุ่ม Ransomware เข้าถึงเครือข่ายจากระยะไกลได้ และยังได้ทิ้งช่องทางการติดต่อเป็น ToxID:xxxx เพื่อติดต่อกับทางแฮกเกอร์เกี่ยวกับรายละเอียดต่าง ๆ

ยังไงก็ตาม ดูเหมือนว่าข้อความนี้มีแนวโน้มที่จะมุ่งเป้าไปที่บุคคลที่สามจากภายนอกที่เป็นที่ปรึกษาด้าน IT ที่เห็นข้อความนี้ในขณะที่กำลังทำการตอบสนองต่อการโจมตี และแม้ว่าวิธีนี้อาจจะฟังดูยาก แต่ว่าก็ไม่ใช่ครั้งแรกที่แฮกเกอร์พยายามหาพนักงานภายในองค์กร หรือบุคคลที่สาม เพื่อเข้ารหัสเครือข่ายของบริษัท ยกตัวอย่างเช่นในเดือนสิงหาคม 2020 FBI ได้จับกุมชาวรัสเซียคนหนึ่งในข้อหาพยายามจ้างพนักงานของเทสลาเพื่อวางมัลแวร์บนเครือข่ายภายใน Tesla Neveda Gigafactory ด้วยเช่นกัน

ที่มา : bleepingcomputer.

บริษัท Accenture ยักษ์ใหญ่แห่งวงการที่ปรึกษาด้านไอทีระดับโลก ซึ่งเป็นที่รู้จักในการให้บริการในอุตสาหกรรมที่หลากหลาย ทั้งธุรกิจยานยนต์ ธนาคาร รัฐบาล เทคโนโลยี พลังงาน โทรคมนาคม และอื่นๆ อีกมากมาย โดยมีข่าวออกมาว่าบริษัท Accenture ถูกโดนโจมตีโดย LockBit Ransomware

โดยกลุ่ม Ransomware ที่รู้จักกันในชื่อ LockBit 2.0 ได้ทำการขู่ว่าจะทำการเผยแพร่ข้อมูลที่ได้อ้างว่าได้มาจากการโจมตี Accenture ในครั้งล่าสุด หากยังไม่มีการจ่ายค่าไถ่ภายในวันนี้ (11 สิงหาคม) และถึงแม้ว่าทาง LockBit จะยังไม่ได้แสดงหลักฐานการขโมยข้อมูลออกมา แต่พวกเขาได้บอกว่าพร้อมที่จะขายข้อมูลให้กับผู้ที่ได้ประโยชน์จากข้อมูลที่ขโมยมา โดยทาง LockBit ได้กล่าวใน Data leak site ว่า “ผู้ใช้งานไม่ได้มีความปลอดภัย หรือความเป็นส่วนตัวเลย จากที่พวกเราเข้าถึงระบบได้ในแบบเดียวกับคนภายในบริษัท พวกเราคิดว่าบริการของพวกเขา (Accenture) จะปลอดภัยกว่านี้ซะอีก ดังนั้นถ้าคณสนใจที่จะซื้อข้อมูลของพวกเขา ติดต่อเราได้เลย”

ส่วนทาง Accenture ได้บอกกับ BleepingComputer ว่า “ระบบที่ได้รับผลกระทบนั้นได้รับการกู้คืนจากข้อมูลที่สำรองไว้แล้ว และด้วยการควบคุมความปลอดภัย และวิธีการรับมือของเรา ทำให้สามารถระบุเหตุการณ์ที่ผิดปกติภายในองค์กร และได้ทำการแยก Server ที่ได้รับผลกระทบออกจากระบบทันที พร้อมกู้คืนระบบที่ได้รับผลกระทบอย่างเต็มที่จากการที่ได้สำรองข้อมูลไว้ และไม่ได้มีผลกระทบกับการดำเนินงานของ Accenture หรือระบบของลูกค้าแต่อย่างใด”

ซึ่งเมื่อดูจากข้อความที่มีการติดต่อกันระหว่างกลุ่มแฮ็กเกอร์กับทีมผู้เชี่ยวชาญของ Cyble กล่าวว่ากลุ่ม LockBit Ransomware อ้างว่าได้ขโมยข้อมูลจำนวน 6 TB จาก Accenture และได้เรียกค่าไถ่จำนวน 50 ล้านดอลลาร์ พร้อมทั้งบอกถึงวิธีการเข้าถึงเครือข่ายของ Accenture ว่าผ่านคนภายในขององค์กรเอง พร้อมทั้งมีแหล่งข่าวที่ไม่ได้มีการเปิดเผยได้บอกกับ BleepingComputer ว่า Accenture ได้ยืนยันการถูกโจมตีโดย Ransomware กับผู้ให้บริการ CTI(Cyber Threat Intelligence) อย่างน้อยหนึ่งราย และทาง Accenture ก็กำลังดำเนินการแจ้งลูกค้าเพิ่มเติมต่อไป และนอกจากนี้ Hudson Rock บริษัทด้านข่าวกรองอาชญากรรมทางอินเทอร์เน็ตได้เปิดเผยว่า Accenture มีคอมพิวเตอร์ถูกบุกรุกกว่า 2,500 เครื่อง ซึ่งเป็นของพนักงานและพาร์ทเนอร์

ที่มา : bleepingcomputer.

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

กลุ่ม BlackMatter ได้เข้าร่วมกลุ่มปฏิบัติการแรนซัมแวร์เพื่อพัฒนาตัวเข้ารหัสเวอร์ชัน Linux ที่กำหนดเป้าหมายไปยัง VMWare ESXi
องค์กรมีการเปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ของตนมากขึ้นเรื่อยๆ เพื่อการจัดการทรัพยากรที่ดีขึ้นและการกู้คืนระบบจากความเสียหาย เนื่องจาก VMware ESXi เป็นแพลตฟอร์ม Virtual Machine ที่ได้รับความนิยมมากที่สุด ทำให้ Ransomware ส่วนใหญ่เริ่มพัฒนาตัวเข้ารหัสที่มุ่งเป้าโจมตีไปที่ Virtual Machine กันมากขึ้น

BlackMatter มุ่งเป้าไปที่ VMware ESXi
เมื่อวันที่ 4 สิงหาคมที่ผ่านมา นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบตัวเข้ารหัส Linux ELF64 [VirusTotal] ของกลุ่มแรนซัมแวร์ BlackMatter ที่กำหนดเป้าหมายเซิร์ฟเวอร์ไปยัง VMware ESXi โดยเฉพาะ โดยดูจากฟังก์ชันของการทำงาน

BlackMatter เป็นปฏิบัติการแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งเริ่มต้นเมื่อเดือนที่แล้ว และเชื่อว่าเป็นการรีแบรนด์ของ DarkSide หลังจากที่นักวิจัยพบตัวอย่าง ก็พบว่าการทำงานเข้ารหัสที่ใช้โดย Ransomware นั้นเป็นแบบเดียวกับที่ใช้ใน DarkSide

DarkSide ปิดตัวลงหลังจากโจมตี และปิดระบบท่อส่งน้ำมันโคโลเนียล จึงทำให้ถูกกดดัน และไล่ล่าอย่างหนักจากการบังคับใช้กฎหมายระหว่างประเทศ และรัฐบาลสหรัฐฯ

จากตัวอย่างตัวเข้ารหัส Linux ของ BlackMatter ที่ BleepingComputer ได้รับมา เป็นที่ชัดเจนว่าได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi

Vitali Kremez ผู้เชี่ยวชาญของบริษัท Intel ซึ่งได้ลองทดสอบด้วยการ Reverse Engineering ได้ให้ข้อมูลกับทาง BleepingComputer ว่าผู้โจมตีได้สร้างไลบรารี 'esxi_utils' ที่ใช้ในการดำเนินการต่างๆ บนเซิร์ฟเวอร์ VMware ESXiรูปที่ 1.1 ตัวอย่าง แต่ละฟังก์ชัน

รูปที่ 1.2 ตัวอย่าง ฟังก์ชัน stop_firewall()

ในขณะที่ฟังก์ชัน stop_vm() จะดำเนินการคำสั่ง esxcli ต่อไปนี้ รูปที่ 1.3 ตัวอย่าง ฟังก์ชัน stop_vm()

Ransomware ทั้งหมดที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi พยายามปิดเครื่องเสมือนก่อนที่จะเข้ารหัสไดรฟ์ เพื่อป้องกันข้อมูลเสียหายขณะเข้ารหัส

เมื่อ VM ทั้งหมดถูกปิด มันจะเข้ารหัสไฟล์ที่ตรงกับนามสกุลไฟล์เฉพาะตามการกำหนดค่าที่มาพร้อมกับ Ransomware

การกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi นั้นมีประสิทธิภาพมากเมื่อทำการโจมตีโดยใช้ Ransomware เนื่องจากช่วยให้ผู้คุกคามสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากพร้อมกันด้วยคำสั่งเดียว

เมื่อมีธุรกิจจำนวนมากที่ย้ายไปยังแพลตฟอร์มประเภทนี้สำหรับเซิร์ฟเวอร์ เราจะยังคงเห็นนักพัฒนาแรนซัมแวร์มุ่งเน้นไปที่เครื่อง Windows เป็นหลัก แต่ยังสร้างตัวเข้ารหัสเวอร์ชัน Linux โดยเฉพาะซึ่งมุ่งเป้าไปยัง ESXi

Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่าปฏิบัติการ Ransomware อื่นๆ เช่น REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle ได้สร้างตัวเข้ารหัสเวอร์ชัน Linux เพื่อจุดประสงค์นี้เช่นกัน

ที่มา : Bleepingcomputer

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการเพิ่มราคาค่าไถ่จากเหยื่อในเหตุการณ์การโจมตี "Kaseya" ในลักษณะ Supply Chain Attack เมื่อวันที่ 2 ก.ค.64 ที่ผ่านมา

เป็นเรื่องปกติที่กลุ่ม REvil จะทำการศึกษาข้อมูลขององค์กรที่ตกเป็นเหยื่อในการโจมตีด้วยการวิเคราะห์ข้อมูลที่ขโมยมาได้ รวมถึงข้อมูลขององค์กรที่เผยแพร่ต่อสาธารณะ เช่น ข้อมูลทางการเงิน นโยบายการประกันภัยทางไซเบอร์ รวมถึงข้อมูลอื่น ๆ ที่เกี่ยวข้อง เมื่อนำมาประกอบกับจำนวนของเครื่องคอมพิวเตอร์ที่ถูกเข้ารหัสและปริมาณของข้อมูลที่ถูกขโมยออกมาก่อนหน้า กลุ่มอาชญากรจะสามารถประมาณการณ์ราคาค่าไถ่สูงสุดที่เป็นไปได้เท่าที่เหยื่อจะจ่ายไหวสำหรับใช้ในการเจรจาต่อรอง

แต่อย่างไรก็ตามในเหตุการณ์การโจมตี Kaseya VSA Server นั้น ทางกลุ่มอาชญากร REvil มุ่งเป้าโจมตีไปที่ Kaseya ในฐานะที่เป็น Managed Service Providers (MSP) เป็นหลัก ไม่ได้พุ่งเป้าโจมตีไปที่กลุ่มลูกค้าของ MSP เพราะฉะนั้นในตอนแรกกลุ่มอาชญากรจึงยังตัดสินใจไม่ได้ว่าควรจะกำหนดราคาค่าไถ่ที่จำนวนเท่าไหร่ในกรณีที่เหยื่อคือกลุ่มลูกค้าของ MSP

ผลปรากฏว่ากลุ่มอาชญากรกำหนดราคากลางสำหรับราคาค่าไถ่ดังนี้

5 ล้านดอลล่าสหรัฐ หรือประมาณ 160,500,000 บาท สำหรับ MSP
44,999 ดอลล่าสหรัฐ หรือประมาณ 1,444,467 บาท สำหรับกลุ่มลูกค้าของ MSP

แต่ทว่ากลุ่มอาชญากรเริ่มไม่ซื่อสัตย์ และไม่ยอมใช้ราคากลางของค่าไถ่ดังกล่าวในการเจรจาต่อรอง ซึ่งเห็นได้จากบทสนทนาในการเจรจาต่อรองค่าไถ่ที่มีการแชร์ไปยัง BleepingComputer

สิ่งที่เกิดขึ้นในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ REvil นั้น ตัวมัลแวร์ฯจะทำเข้ารหัสไฟล์ต่างๆ และสามารถสร้างนามสกุลไฟล์ขึ้นมาได้หลายชนิด ซึ่งโดยปกติแล้วเครื่องมือสำหรับถอดรหัสข้อมูลที่กลุ่มอาชญากรส่งมอบให้เหยื่อหลังจ่ายค่าไถ่เรียบร้อยแล้ว จะสามารถใช้ในการถอดรหัสไฟล์ได้ทุกชนิด

แต่ในกรณีของเหยื่อจากเหตุการณ์การโจมตี Supply Chain Attack Kaseya กลับแตกต่างออกไป เพราะกลุ่ม REvil คิดราคาค่าไถ่ 40,000 - 45,000 ดอลล่าสหรัฐ ต่อนามสกุลไฟล์ที่ถูกเข้ารหัสบนระบบของเหยื่อ

หนึ่งในเหตุการณ์ตัวอย่างคือ เหยื่อแจ้งว่าในระบบของตัวเองมีนามสกุลไฟล์ที่ถูกเข้ารหัสอยู่เกือบ 12 ชนิด ซึ่งทางกลุ่มอาชญากรได้แจ้งกลับมาว่าต้องการค่าไถ่จำนวน 500,000 ดอลล่าสหรัฐ แลกกับการถอดรหัสไฟล์ทั้งหมด

อย่างไรก็ตามยังมีข่าวดีอยู่บ้างเมื่อตัวแทนของกลุ่ม REvil ได้บอกกับเหยื่อรายนี้ว่า การโจมตีมีเพียงการเข้ารหัสไฟล์เท่านั้น และไม่มีอะไรอย่างอื่นนอกเหนือจากนี้ นั่นหมายความว่า มีความเป็นไปได้ที่กลุ่ม REvil จะไม่ได้ขโมยข้อมูลขององค์กรของเหยื่อรายนี้ออกไป ซึ่งเป็นที่ทราบกันดีว่าข้อมูลดังกล่าวมักจะถูกนำมาใช้ในการข่มขู่เรียกค่าไถ่ที่เพิ่มขึ้น

แสดงให้เห็นว่าในการโจมตีที่เกิดขึ้น กลุ่ม REvil ยังไม่สามารถเข้าถึงระบบเครือข่ายขององค์กรอื่นๆได้ คาดว่าน่าจะทำได้เพียงแค่การใช้เทคนิคสั่งการจากระยะไกล (Remotely Exploited) ในการโจมตีช่องโหว่ Kaseya VSA เพื่อส่งเครื่องมือเข้ารหัสเข้าไปยังระบบของเหยื่อและทำการเรียกใช้งานเครื่องมือดังกล่าว

สถานการณ์หลังเหตุโจมตี

หลังเหตุการณ์โจมตีในลักษณะ Supply Chain Attack กับ Kaseya โดยกลุ่ม REvil ที่เกิดขึ้นในวันที่ 2 ก.ค.64 ทางผู้ผลิตซอฟต์แวร์ Kaseya ได้ทำการปล่อยแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่เกิดขึ้น

ช่องโหว่ zero-day ดังกล่าวถูกค้นพบโดยนักวิจัยจาก DIVD ซึ่งมีส่วนช่วยในการทดสอบแพตช์ดังกล่าวอีกด้วย แต่เป็นที่น่าเสียดายเมื่อกลุ่ม REvil ก็ค้นพบช่องโหว่ดังกล่าวในเวลาไล่เลี่ยกันและนำมาใช้ในการโจมตีก่อนที่แพตช์จะถูกปล่อยออกมาก่อนหน้าวันหยุดยาวซึ่งเป็นวันชาติของประเทศสหรัฐอเมริกา

จากการโจมตีที่เกิดขึ้น เชื่อว่ามีธุรกิจมากกว่า 1,000 แห่ง ได้รับผลกระทบ เช่น บริษัทยายักษ์ใหญ่สัญชาติสวีเดน, บริษัทระบบขนส่ง SJ และรวมไปถึงบริษัท Coop ซึ่งเป็นผู้ให้บริการซุปเปอร์มาร์เก็ตยักษ์ใหญ่สัญชาติสวีเดน ทำให้ต้องปิดการให้บริการไปมากกว่า 500 สาขา ซึ่งเป็นผลมาจากการโจมตีดังกล่าว

โจ ไบเดน ประธานาธิบดีสหรัฐ ได้สั่งการให้หน่วยข่าวกรองสหรัฐทำการสืบสวนเหตุการณ์โจมตีที่เกิดขึ้น แต่ปัจจุบันยังไม่ถึงขั้นที่จะบอกได้ว่ารัสเซียเป็นผู้อยู่เบื้องหลังในการโจมตีครั้งนี้

Federal Bureau of Investigation (FBI) ได้ออกประกาศเมื่อวันที่ 4 ก.ค.64 ว่ากำลังสืบสวนเรื่องนี้และทำงานร่วมกับ Cybersecurity and Infrastructure Security Agency (CISA) รวมถึงหน่วยงานอื่นๆ อย่างใกล้ชิด ซึ่งคำประกาศมีรายละเอียดดังนี้

"FBI กำลังสืบสวนเหตุการณ์การโจมตี Kaseya ด้วยมัลแวร์เรียกค่าไถ่ และทำงานร่วมกับ CISA อย่างใกล้ชิด รวมถึงร่วมมือกับหน่วยงานอื่นๆ เพื่อทำความเข้าใจขอบเขตของภัยคุกคามดังกล่าว"

"ถ้าหากคุณเชื่อว่าระบบของตนถูกโจมตีจากเหตุการณ์นี้ เราขอให้คุณทำตามคำแนะนำในรับมือ ด้วยการปฏิบัติตามขั้นตอนของ Kaseya ในการปิดเครื่องแม่ข่าย VSA โดยทันทีและรีบรายงานมายัง FBI ที่เว็บไซต์ ic3.gov"

ที่มา :  bleepingcomputer

นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบความเชื่อมโยงของเงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ (Ransomware) ที่แพร่ระบาดในประเทศอิสราเอล เชื่อมโยงกับเว็บไซต์ร้านนวดเฉพาะจุด

การโจมตีในครั้งนี้เกิดขึ้นโดยมัลแวร์เรียกค่าไถ่ในปฏิบัติการชื่อ Ever101 ซึ่งโจมตีผู้ให้บริการคอมพิวเตอร์สัญชาติอิสราเอลด้วยการเข้ารหัสข้อมูลบนอุปกรณ์ทำให้ไม่สามารถใช้งานได้

จากรายงานที่เผยแพร่โดย Profero และ Security Joes ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอสัญชาติอิสราเอล และเป็นผู้ที่เข้ารับมือเหตุการณ์โจมตีครั้งนี้ แสดงให้เห็นว่า Ever101 เป็นมัลแวร์เรียกค่าไถ่สายพันธ์เดียวกันกับ Everbe และ Payment45

เมื่อเริ่มทำการเข้ารหัสไฟล์ นามสกุลไฟล์จะถูกต่อท้ายด้วยคำว่า ".ever101" และทำการสร้างไฟล์ชื่อ """=READMY="".txt" สำหรับข่มขู่เรียกค่าไถ่เอาไว้ในทุกๆ โฟลเดอร์บนเครื่องคอมพิวเตอร์

ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี นักวิจัยพบว่าโฟลเดอร์ชื่อ “Music” ถูกใช้เป็นที่เก็บไฟล์สำหรับใช้เป็นเครื่องมือในการโจมตีจำนวนมาก ซึ่งเผยให้เห็นถึง Tactics, Techniques, Procedures (TTPs) ของผู้โจมตี

ตามรายงานของ Profero และ Security Joe กล่าวไว้ว่า “ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี เราพบข้อมูลที่สำคัญเก็บไว้ภายในโฟลเดอร์ Music โดยภายในนั้นมีไฟล์ไบนารี่ของมัลแวร์เรียกค่าไถ่รวมถึงไฟล์อีกจำนวนหนึ่งที่เข้ารหัสไว้ และที่ยังไม่ได้เข้ารหัสซึ่งเราเชื่อว่าผู้โจมตีใช้เครื่องมือเหล่านี้ในการรวบรวมข้อมูล และโจมตีไปยังเครือข่ายต่อไป”

เครื่องมือที่ถูกใช้โดยกลุ่ม Ever101 เช่น

xDedicLogCleaner - ใช้เพื่อกลบร่องรอยใน Windows event logs, system logs, และโฟลเดอร์ Temp

PH64.exe - โปรแกรม Process Hacker (64-bit) ที่ถูกเปลี่ยนชื่อเพื่อหลีกเลี่ยงการตรวจจับ

Cobalt Strike - ใช้เพื่อให้สามารถเข้าถึงเครื่องได้จากระยะไกล โดยในการโจมตีครั้งนี้ Cobalt Strike Beacon ถูกฝังอยู่ในไฟล์ชื่อ WEXTRACT.exe

SystemBC - ใช้เพื่อซ่อนข้อมูลการเชื่อมต่อของ Cobalt Strike บน SOCKS5 Proxy เพื่อหลีกเลี่ยงการตรวจจับ

ไฟล์เครื่องมือที่เหลือถูกเข้ารหัสจากการทำงานของมัลแวร์เรียกค่าไถ่แต่ทว่าสามารถคาดเดาลักษณะการทำงานได้จากชื่อของไฟล์ได้ เช่น

SoftPerfect Network Scanner - ใช้เพื่อสแกน IPv4/IPv6 network

shadow.

กลุ่ม PYSA ransomware ได้ใช้ remote access trojan (RAT) ที่ชื่อว่า ChaChi ในการฝัง Backdoor บนระบบขององค์กรด้านสุขภาพ และด้านการศึกษาเพื่อขโมยข้อมูล และเข้ารหัสเครือข่ายของเหยื่อในลักษณะการโจมตีที่ถูกเรียกว่า double extortion (นอกจากเรียกค่าไถ่จากการเข้ารหัสไฟล์ด้วย ransomware แล้ว ยังมีการเรียกค่าไถ่จากข้อมูลที่ถูกขโมยออกไป โดยการข่มขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะ) (more…)

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัท Edward Don ได้รับความเสียหายจากการโจมตีด้วย ransomware ทำให้ทั้งบริษัทต้องปิดเครือข่ายบางส่วนเพื่อป้องกันการแพร่กระจายของ ransomware โดย Edward Don เป็นหนึ่งในผู้จัดจำหน่ายและให้บริการด้านอาหารรายใหญ่ที่สุด เช่น อุปกรณ์ในครัวหรือบาร์ และเครื่องใช้บนโต๊ะอาหาร เป็นต้น (more…)