พบการจ่ายเงินให้กับแรนซัมแวร์บางส่วนถูกส่งต่อไปยังเว็บไซต์ร้านนวดเฉพาะจุด

นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบความเชื่อมโยงของเงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ (Ransomware) ที่แพร่ระบาดในประเทศอิสราเอล เชื่อมโยงกับเว็บไซต์ร้านนวดเฉพาะจุด

การโจมตีในครั้งนี้เกิดขึ้นโดยมัลแวร์เรียกค่าไถ่ในปฏิบัติการชื่อ Ever101 ซึ่งโจมตีผู้ให้บริการคอมพิวเตอร์สัญชาติอิสราเอลด้วยการเข้ารหัสข้อมูลบนอุปกรณ์ทำให้ไม่สามารถใช้งานได้

จากรายงานที่เผยแพร่โดย Profero และ Security Joes ซึ่งเป็นบริษัทด้านความปลอดภัยทางไซเบอสัญชาติอิสราเอล และเป็นผู้ที่เข้ารับมือเหตุการณ์โจมตีครั้งนี้ แสดงให้เห็นว่า Ever101 เป็นมัลแวร์เรียกค่าไถ่สายพันธ์เดียวกันกับ Everbe และ Payment45

เมื่อเริ่มทำการเข้ารหัสไฟล์ นามสกุลไฟล์จะถูกต่อท้ายด้วยคำว่า ".ever101" และทำการสร้างไฟล์ชื่อ """=READMY="".txt" สำหรับข่มขู่เรียกค่าไถ่เอาไว้ในทุกๆ โฟลเดอร์บนเครื่องคอมพิวเตอร์

ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี นักวิจัยพบว่าโฟลเดอร์ชื่อ “Music” ถูกใช้เป็นที่เก็บไฟล์สำหรับใช้เป็นเครื่องมือในการโจมตีจำนวนมาก ซึ่งเผยให้เห็นถึง Tactics, Techniques, Procedures (TTPs) ของผู้โจมตี

ตามรายงานของ Profero และ Security Joe กล่าวไว้ว่า “ในระหว่างการตรวจสอบเครื่องคอมพิวเตอร์ที่ถูกโจมตี เราพบข้อมูลที่สำคัญเก็บไว้ภายในโฟลเดอร์ Music โดยภายในนั้นมีไฟล์ไบนารี่ของมัลแวร์เรียกค่าไถ่รวมถึงไฟล์อีกจำนวนหนึ่งที่เข้ารหัสไว้ และที่ยังไม่ได้เข้ารหัสซึ่งเราเชื่อว่าผู้โจมตีใช้เครื่องมือเหล่านี้ในการรวบรวมข้อมูล และโจมตีไปยังเครือข่ายต่อไป”

เครื่องมือที่ถูกใช้โดยกลุ่ม Ever101 เช่น

xDedicLogCleaner - ใช้เพื่อกลบร่องรอยใน Windows event logs, system logs, และโฟลเดอร์ Temp

PH64.exe - โปรแกรม Process Hacker (64-bit) ที่ถูกเปลี่ยนชื่อเพื่อหลีกเลี่ยงการตรวจจับ

Cobalt Strike - ใช้เพื่อให้สามารถเข้าถึงเครื่องได้จากระยะไกล โดยในการโจมตีครั้งนี้ Cobalt Strike Beacon ถูกฝังอยู่ในไฟล์ชื่อ WEXTRACT.exe

SystemBC - ใช้เพื่อซ่อนข้อมูลการเชื่อมต่อของ Cobalt Strike บน SOCKS5 Proxy เพื่อหลีกเลี่ยงการตรวจจับ

ไฟล์เครื่องมือที่เหลือถูกเข้ารหัสจากการทำงานของมัลแวร์เรียกค่าไถ่แต่ทว่าสามารถคาดเดาลักษณะการทำงานได้จากชื่อของไฟล์ได้ เช่น

SoftPerfect Network Scanner - ใช้เพื่อสแกน IPv4/IPv6 network

shadow.