คลังเก็บป้ายกำกับ: แรนซั่มแวร์

[VDO] กรณีศึกษา – ออริจิน พร็อพเพอร์ตี้ จัดการแรนซั่มแวร์ด้วยเทคโนโลยีจาก HPE Cohesity

ทุกวันนี้เราจะได้ยินข่าวเกี่ยวกับเรื่องของภัยคุกคามทางไซเบอร์โดยเฉพาะอย่างยิ่งกับภัยคุกคามจากเจ้าตัวแรนซั่มแวร์ ทำให้บ่อยครั้งเราต้องตั้งคำถามว่า องค์กรทั้งหลายเตรียมตัวรับมือกับภัยคุกคามทางไซเบอร์ อย่างเจ้าตัวแรนซั่มแวร์ได้ดีเพียงพอแล้วหรือยัง?

บทความในครั้งนี้เราจะมาลองพูดคุยกันทาง คุณศิรวุฒิ จันทแสงสว่าง Senior vice president of system information technology บริษัท ออริจิน พร็อพเพอร์ตี้ จำกัด มหาชน เกี่ยวกับแนวทางที่ทาง ออริจิน ได้มีประสบการณ์กับแรนซั่มแวร์ตลอดจน การใช้แบ็กอัพจากของ Cohesity

สำหรับ ออริจิน พร็อพเพอร์ตี้ นั้นเป็นบริษัทที่ดำเนินธุรกิจอสังหาริมทรัพย์เป็นหลัก ประกอบด้วย คอนโดมีเนี่ยม, บ้าน, โรงแรม นอกจากนี้ยังมีธุรกิจอาหาร และโลจิสติกส์ รวมถึงการมีค่ายเพลงด้วยเช่นกัน เนื่องจากทางบริษัทมีข้อมูลไหลเวียนเข้ามาเป็นจำนวนมาก ไม่ว่าจะเป็นข้อมูลจากภายนอกเช่นข้อมูลที่สำคัญของลูกค้า รวมถึงข้อมูลของการดำเนินธุรกิจและระบบแอปพคิเชั่นของบริษัทเอง ซึ่งข้อมูลต่างๆ เหล่านี้จัดได้ว่าเป็นสิ่งที่ช่วยขับเคลื่อนการดำเนินธุรกิจของบริษัทฯ เป็นอย่างมาก ทำให้ระบบไอทีส่วนใหญ่ที่คุณศิรวุฒิดูแลนั้นจะเข้ามาเกี่ยวข้องกับข้อมูลเป็นหลัก

HPE Cohesity ช่วยแก้ปัญหาแรนซั่มแวร์

ในช่วงที่ผ่านมา ออริจิน พร็อพเพอร์ตี้ ได้มีการใช้งานผลิตภัณฑ์ด้านแบ็กอัพจาก HPE Cohesity เพื่อทำการปกป้องและสำรองข้อมูลของบริษัทควบคู่กันไป ซึ่งเป็นหนึ่งในแผนดำเนินการธุรกิจอย่างต่อเนื่องหรือ Business continuity planning (BCP Plan) และล่าสุดทาง ออริจิน พร็อพเพอร์ตี้ ได้ตรวจพบว่ามีมัลแวร์ประเภทแรนซั่มแวร์เข้ามาโจมตี โดยการลบข้อมูลของบริษัททิ้งไปและซอฟต์แวร์แบ็กอัพดั้งเดิมก็โดนเข้ารหัสไปด้วยก่อให้เกิดปัญหาแก่การทำงาน

แต่อย่างไรก็ตามก่อนหน้านั้นทางทีมงานได้มีการสำรองข้อมูลทั้งหมดไว้บน HPE Cohesity ทางคุณศิรวุฒิและทีมงานของ ออริจิน พร็อพเพอร์ตี้ ก็สามารถดึงข้อมูลที่สำรองไว้เอาไว้กลับขึ้นมาเพื่อใช้งานได้อย่างปกติ และที่สำคัญการกู้คืนยังใช้เวลาไม่นานอีกด้วย (จากต้องใช้เวลาถึง 2 วันในการกู้คืนระบบทั้งหมดลดลงเหลือแค่ 3 ชั่วโมงเท่านั้น) และก็สามารถกลับมารันระบบได้ปกติ แทบจะไม่มีผลกระทบใดๆ ต่อโปรดักส์ชั่นของธุรกิจเลย

จะเห็นได้ว่า การเตรียมรับมือกับภัยคุกคามทางไซเบอร์ เป็นเรื่องที่องค์กรควรให้ความสำคัญเป็นอย่างมาก การวางแผนระบบ BCP นับเป็นหนึ่งในความจำเป็นขององค์กรที่ไม่ควรละเลย รวมไปถึงการเลือกใช้เทคโนโลยีที่ประสิทธิภาพก็จะช่วยในการบริหารจัดการงานต่างๆ ได้ดียิ่งขึ้น

from:https://www.enterpriseitpro.net/case-stud-origin-properties-and-hpe-cohesity/

แก๊งค์แรนซั่มแวร์ขโมยข้อมูลจากเจ้าของ KFC, Pizza Hut, และ Taco Bell

Yum! Brands เจ้าของเชนแบรนด์ฟาสต์ฟู้ดชื่อดังอย่างเช่น KFC, Pizza Hut, Taco Bell, และ The Habit Burger Grill กำลังตกเป็นเหยื่อการโจมตีของแรนซั่มแวร์ ที่สร้างความเสียหายมากจนทำให้ต้องปิดร้านทั่วอังกฤษถึง 300 แห่งเลยทีเดียว

บริษัท Yum! นี้เปิดร้านอาหารมากกว่า 53,000 แห่งในกว่า 155 ประเทศที่รวมถึงในไทยด้วยทั้งสามแบรนด์ใหญ่เกือบ 900 สาขา รวมทรัพย์สินมูลค่ากว่า 5 พันล้านดอลลาร์สหรัฐฯ และมีผลกำไรสุทธิต่อปีประมาณ 1.3 พันล้านดอลลาร์ฯ

สำหรับกรณีนี้ บริษัทแถลงว่าได้ดำเนินมาตรการจัดการปัญหาดังกล่าวแล้ว ไม่ว่าจะเป็นการจำกัดวงความเสียหายด้วยการตัดการเชื่อมต่อบางระบบ การติดตั้งเทคโนโลยีตรวจสอบเพิ่มเติม เป็นต้น รวมทั้งมีการสืบสวนจากบริการความปลอดภัยไซเบอร์ภายนอก พร้อมทั้งแจ้งหน่วยงานภาครัฐให้ทราบ

ล่าสุด ร้านในอังกฤษสามารถกลับมาเปิดได้ตามปกติ และดูเหมือนไม่ได้มีผลกระทบจากการโจมตีครั้งนี้มากมาย ซึ่งจากสถิติที่แก๊งค์แรนซั่มแวร์มักดูดข้อมูลไปเรียกขู่เหยื่อซ้ำนั้น ทาง Yum! ก็ยอมรับว่ามีการจารกรรมข้อมูลจริง แต่ไม่มีหลักฐานว่าเป็นข้อมูลส่วนของลูกค้า

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/ransomware-gang-steals-data-from-kfc-taco-bell-and-pizza-hut-brand-owner/

โรงพยาบาลหลุยเซียน่าโดนแรนซั่มแวร์โจมตี กระทบผู้ป่วยเกือบสามแสนราย

ศูนย์การแพทย์ Lake Charles Memorial Health System (LCMHS) ออกประกาศเรื่องที่ตัวเองโดนโจมตีที่กระทบกับข้อมูลของผู้ป่วยที่เข้ารับการรักษาในสถานพยาบาลในสังกัด ทั้งนี้ LCMHS เป็นศูนย์การแพทย์ที่ใหญ่ที่สุดในเมือง Lake Charles รัฐหลุยเซียน่า

มีโรงพยาบาลในสังกัดขนาด 314 เตียงหนึ่งแห่ง, ขนาด 54 เตียงที่เป็นโรงพยาบาลสำหรับผู้หญิงหนึ่งแห่ง, และโรงพยาบาลบำบัดพฤติกรรมขนาด 42 เตียง, รวมไปถึงคลินิกที่ให้บริการหลักสำหรับประชาชนที่ไม่ได้ทำประกันด้วย

อ้างอิงจากประกาศหน้าเว็บ LCMHS นั้น เหตุการณ์เกิดขึ้นเมื่อวันที่ 21 ตุลาคม 2022 เมื่อทีมด้านความปลอดภัยตรวจจับความเคลื่อนไหวที่ผิดปกติบนเครือข่าย หลังจากสืบสวนภายในเสร็จวันที่ 25 ตุลาคม ก็พบว่าแฮ็กเกอร์เข้ามาบนเครือข่ายจริง

พร้อมทั้งจารกรรมไฟล์ข้อมูลความลับของผู้ป่วยที่ประกอบไปด้วยชื่อสกุล ที่อยู่ไปรษณีย์ วันเกิด ประวัติการรักษา เลขประจำตัวผู้ป่วย ข้อมูลประกันสุขภาพ ข้อมูลการชำระเงิน ข้อมูลจำเพาะทางคลินิก ไปจนถึงเลขประจำตัวประกันสังคมในบางราย

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/ransomware-attack-at-louisiana-hospital/

คาดว่าการโจมตี Rackspace ด้วยแรนซั่มแวร์เกิดจากไม่ได้แพ็ตช์เซิร์ฟเวอร์ Exchange

การโจมตีด้วยแรนซั่มแวร์ที่ทางบริษัทด้านคลาวด์คอมพิวติ้ง Rackspace ยืนยันเมื่อวันที่ 6 ธันวาคมที่ผ่านมานี้เองนั้น อาจเป็นผลมาจากการที่แฮ็กเกอร์ใช้ช่องโหว่บนระบบ Exchange ที่ไม่ได้รับการอัพเดท กระทบกับระบบที่โฮสต์ Microsoft Exchange ของตนเอง

เหตุการณ์ดังกล่าวทำให้ลูกค้าผู้ใช้บริการได้รับผลกระทบพอสมควร ล่าสุดมีนักวิจัยด้านความปลอดภัย Kevin Beaumont ออกมาชี้ว่า ที่อาชญากรไซเบอร์สามารถโจมตีได้ เพราะกลุ่มเซิร์ฟเวอร์ Exchange ที่โดนเจาะเหมือนไม่ได้แพ็ตช์มาหลายเดือนตั้งแต่สิงหาคม 2022

ซึ่งเวลาดังกล่าวก่อนหน้าจะพบข้อมูลช่องโหว่ ProxyNotShell เสียอีก แต่เขาก็เสริมว่าเลข log เวอร์ชั่นของ Exchange ก็เชื่อถือไม่ได้เสมอไป การโดนแฮ็กครั้งนี้อาจมาจากสาเหตุอื่นๆ ด้วยก็ได้ ทั้งนี้ไมโครซอฟท์ออกแพ็ตช์สำหรับช่องโหว่ดังกล่าวเมื่อต้นเดือนพฤศจิกายน

แพ็ตช์ดังกล่าวแก้ปัญหาด้านความปลอดภัยสองรายการที่กระทบกับ Microsoft Exchange Server 2013, 2016, และ 2019 โดยผู้โจมตีสามารถยกระดับสิทธิ์ตัวเองเพื่อรันพาวเวอร์เชลล์ สำหรับรันโค้ดอันตรายทั้งบนเครื่องปัจจุบันและจากระยะไกลได้

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/unpatched-exchange-servers-could-be-behind-rackspace-ransomware-attack/

เตือนภัย! แรนซั่มแวร์ “Royal” กำลังเล่นงานระบบสาธารณสุขสหรัฐฯ

สำนักบริการสุขภาพและบริการมนุษย์ของสหรัฐฯ (HHS) ได้ประกาศเตือนการโจมตีของแรนซั่มแวร์ชื่อ Royal ที่กำลังระบาดในวงการแพทย์ในประเทศอยู่ตอนนี้ ซึ่งทางศูนย์ประสานงานด้านความปลอดภัยทางไซเบอร์ในด้านการแพทย์ (HC3) กล่าวว่า

“ขณะที่ขบวนการแรนซั่มแวร์ที่รู้จักกันตอนนี้เป็นพวกให้บริการคนอื่นในรูป Ransomware-as-a-Service แต่ Royal ดูเป็นกลุ่มเอกเทศที่ไม่ได้มีใครสนับสนุนชัดเจน มีเป้าหมายในการเงินเป็นหลัก อ้างว่าตัวเองจารกรรมข้อมูลด้วยการรีดไถสองชั้น (Double-Extortion)”

ทาง Fortinet FortiGuard Labs กล่าวว่ากลุ่ม Royal นี้มีความเคลื่อนไหวตั้งแต่ต้นปี 2022 โดยใช้มัลแวร์ในรูปไฟล์ Executable บนวินโดวส์แบบ 64 บิท เขียนด้วยภาษา C++ รันการทำงานผ่านคอมมานด์ไลน์ นั่นคือต้องอาศัยมนุษย์ในการเปิดการทำงานหลังจากเข้าถึงระบบเหยื่อแล้ว

แรนซั่มแวร์ตัวนี้นอกจากจะลบสำเนาแบ๊กอัพบนระบบแล้ว ยังใช้ไลบรารีเข้ารหัส OpenSSL เพื่อล็อกไฟล์ด้วยมาตรฐาน AES พร้อมเปลี่ยนสกุลไฟล์เป็น “.royal” และเมื่อเดือนที่แล้ว ไมโครซอฟท์เผยพบกลุ่มภายใต้ชื่อ DEV-0569 ติดตั้งแรนซั่มแวร์กลุ่มเดียวกันนี้ด้วยวิธีที่หลากหลายด้วย

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/royal-ransomware-threat-takes-aim-at-u-s-healthcare-system/

แก๊งค์แรนซั่มแวร์ Daixin จารกรรมข้อมูลลูกค้าและพนักงาน AirAsia ไปมากถึง 5 ล้านรายการ

กลุ่มอาชญากรไซเบอร์ชื่อ Daixin Team ได้ปล่อยตัวอย่างข้อมูลที่เป็นของบริษัทแอร์เอเชีย สายการบินโลว์คอสสัญชาติมาเลเซียที่เรารู้จักกันดี บนพอทัลเว็บมืดของตัวเอง หลังจากที่บริษัทตกเป็นเหยื่อแรนซั่มแวร์เมื่อประมาณวันที่ 11 – 12 พฤศจิกายน อ้างอิงตาม DataBreaches.net

กลุ่มนี้อ้างว่าได้ข้อมูลส่วนตัวของผู้โดยสารและพนักงานบริษัทมากกว่า 5 ล้านคน ซึ่งตัวอย่างข้อมูลหลุดที่อัพโหลดขึ้นมานั้นเป็นรายละเอียดของผู้โดยสารพร้อมรหัสบุ๊กกิ้ง รวมทั้งข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าหน้าที่แอร์เอเชียด้วย

ประเด็นคือนางจั่วหัวว่า AirAsia Group (MY, ID, “TH”) ที่ส่อว่าน่าจะมีข้อมูลของไทยด้วยสิ ทั้งนี้โฆษกของแก๊งค์ไดซินได้ให้ข่าวกับ DataBreaches.net ว่าสามารถเจาะระบบได้ง่ายๆ เพราะระบบแอร์เอเชียไม่ได้รัดกุม

และ “เป็นเครือข่ายองค์กรที่ยุ่งเหยิง ไม่เป็นระบบ” สำหรับกลุ่ม Daixin Team นี้กำลังเป็นที่หมายตาของหน่วยงานด้านข่าวกรองและความมั่นคงทางไซเบอร์ของสหรัฐฯ จากการออกประกาศเตือนการโจมตีโดยเฉพาะในกลุ่มบริการทางการแพทย์

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/daixin-ransomware-gang-steals-5-million-airasia-passengers/

Medibank ปฏิเสธจ่ายค่าไถ่ ยอมให้ข้อมูลลูกค้า 9.7 ล้านรายถูกแก๊งแรนซั่มแวร์เปิดเผย

บริษัทประกันสุขภาพสัญชาติออสเตรเลีย Medibank ออกมายอมรับว่า ข้อมูลส่วนตัวของลูกค้าทั้งในอดีตและปัจจุบันรวมกันกว่า 9.7 ล้านรายการได้ถูกเข้าถึงหลังจากโดนโจมตีด้วยแรนซั่มแวร์ ที่บริษัทอ้างว่าตรวจพบความเคลื่อนไหวบนเครือข่ายเมื่อวันที่ 12 ตุลาคม

แม้จะรีบแยกส่วนระบบดังกล่าว แต่ผู้โจมตีก็สามารถดึงข้อมูลออกไปก่อนหน้าแล้ว โดยแบ่งเป็นข้อมูลลูกค้า Medibank เองกว่า 5.1 ล้านรายการ ข้อมูลลูกค้า ahm 2.8 ล้านรายการ และอีกกว่า 1.8 ล้านรายการเป็นของลูกค้าในประเทศอื่นๆ ทั่วโลก

ข้อมูลเหล่านี้ประกอบด้วยชื่อ วันเดือนปีเกิด ที่อยู่ เบอร์โทรศัพท์ และอีเมล รวมทั้งเลขสมาชิก Medicare สำหรับลูกค้า ahm และเลขพาสปอร์ต (ไม่รวมวันหมดอายุ) และข้อมูลเกี่ยวกับวีซ่าสำหรับลูกค้าที่เป็นนักศึกษาต่างชาติ แต่ไม่รวมข้อมูลทางการเงิน และข้อมูลเอกสารยืนยันตนอย่างใบขับขี่

อีกทั้งไม่พบความเคลื่อนไหวที่ผิดปกติบนเครือข่ายหลังวันที่ 12 ตุลาคม ในคำแถลงการณ์ถึงนักลงทุนล่าสุด ทางบริษัทจึงระบุว่า ตนเองจะไม่จ่ายค่าไถ่ใดๆ แก่ผู้โจมตี เพื่อไม่ให้เป็นการส่งเสริมให้ผู้ไม่หวังดีรีดไถจากลูกค้าต่อ แพร่กระจายจนทำให้ออสเตรเลียกลายเป็นประเทศเป้าหมายของการโจมตีลักษณะนี้

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/medibank-refuses-to-pay-ransom-after-9-7-million-customers-exposed-in-ransomware-hack/

ไมโครซอฟท์ระบุ “มันยากไป” ที่พวกเราจะล้มล้างขบวนการแรนซั่มแวร์ให้เกลี้ยง

ผู้บริหารระดับสูงด้านความปลอดภัยของไมโครซอฟท์ออกมากล่าวว่า ความพยายามของหน่วยงานภาครัฐทั้งหลายที่พยายามไล่จับไล่ปราบปรามแก๊งแรนซั่มแวร์ทั้งหลายนั้น ยังไม่เพียงพอที่จะสามารถสกัดกั้นภัยมืดที่มาแรงนี้ได้จริง

โดย Tom Burt ตำแหน่ง CVP ด้านความปลอดภัยและความเชื่อมั่นลูกค้าของไมโครซอฟท์จะยกย่องความร่วมมือที่ดีเยี่ยมที่ผ่านมาในการไล่จัดการกับขบวนการเหล่านี้อย่างเช่น REvil ในช่วงไม่กี่ปีก่อน แต่ปริมาณและความเข้มข้นของการไล่จับก็ยังไม่พอจะหยุดภัยนี้ได้

เขาได้ให้สัมภาษณ์ในงานแถลงข่าวเมื่อปลายสัปดาห์ก่อนระหว่างการเปิดตัวรายงานด้านการป้องกันภัยคุกคามทางดิจิตอลประจำปีของไมโครซอฟท์ว่า “เป็นเพราะธรรมชาติการโจมตีที่เป็นแบบข้ามชาติ จนพ้นขอบเขตการบังคับใช้กฎหมายของประเทศใดประเทศหนึ่ง”

แถมเทคนิคปัจจุบันอัพเกรดขึ้นเป็นแบบรีดไถสามชั้น (Triple Extortion) เมื่อพิจารณาถึงหลักการโจมตีในแง่กลยุทธ์ เทคนิค และวิธีการหรือ TTP แล้ว ตอนนี้กำลังพัฒนาเรื่องหลบเลี่ยงการตรวจจับดีขึ้นอย่างต่อเนื่อง โดยเฉพาะกับบริการรับจ้างอย่าง Ransomware as a Service (RaaS) ที่ได้รับความนิยมอย่างต่อเนื่อง

อ่านเพิ่มเติมที่นี่ 

from:https://www.enterpriseitpro.net/microsoft-says-its-just-too-difficult-to-effectively-disrupt-ransomware/

ยืนยันแล้วว่าเครือโรงแรม InterContinental โดนโจมตี ผู้เชี่ยวชาญคาดว่าเป็นแรนซั่มแวร์

เครือโรงแรม InterContinental Hotels Group (IHG) ที่เป็นเจ้าของโรงแรมชื่อดังไม่ว่าจะเป็น Holiday Inn, Holiday Express, Regent, Crowne Plaza, Kimpton, และ Six Senses ได้ออกมายอมรับว่า โดนโจมตีทางไซเบอร์ ซึ่งเหล่าผู้เชี่ยวชาญมองว่าน่าจะเป็นการโจมตีแบบแรนซั่มแวร์

โดยทาง IHG ได้ระบุไว้ในรายงานที่ส่งให้สำนักงานตลาดหลักทรัพย์ลอนดอน (LSE) เมื่อวันอังคารที่ผ่านมา พร้อมทั้งเน้นว่า IHG กำลังทำงานอย่างหนักเพื่อกู้ระบบทั้งหมดกลับมาให้เร็วที่สุดเท่าที่เป็นไปได้ ซึ่งคำพูดนี้เองที่คนต้องนึกถึงฝีมือแรนซั่มแวร์

อย่างผู้เชี่ยวชาญทางความปลอดภัยทางไซเบอร์บางรายทวีตเองว่าการโจมตีนี้เป็นแรนซั่มแวร์แน่ๆ บางคนลงลึกไปถึงขั้นว่าน่าจะเป็นตัว LockBit ที่เคยออกตัวว่าอยู่เบื้องหลังการโจมตีโรงแรมฮอลิเดย์อินน์สาขากรุงอิสตันบูลเมื่อเดือนที่แล้ว

ในรายงานนี้ยังระบุด้วยว่า ระบบที่ได้รับผลกระทบคือระบบการจองห้องและ “แอพพลิเคชั่นอื่นๆ” ที่ “ค่อนข้างมีปัญหา” ตั้งแต่เมื่อวันจันทร์ ลูกค้า IHG เองก็คอมเพลนบนโซเชียลเกี่ยวกับปัญหาการจองห้อง แม้แต่พนักงานก็ยังบ่นออกมาว่า “เป็นวันที่นรกมาก”

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/intercontinental-hotels-group-confirms-cyber-attack/

แคสเปอร์สกี้ โว! มีตัวถอดรหัส Yanluowang และช่วยกู้คืนข้อมูลได้

นายยานิส ซินเชนโก ผู้เชี่ยวชาญความปลอดภัยอาวุโส แคสเปอร์สกี้ กล่าวถึงเหตุการณ์การโจมตีล่าสุดของกลุ่มแรนซัมแวร์ Yanluowang ว่า “เมื่อเร็วๆ นี้ Cisco ได้ยืนยันว่ากลุ่มแรนซัมแวร์ Yanluowang ละเมิดเครือข่ายองค์กรและขู่กรรโชกโดยใช้ไฟล์ที่รั่วไหลจากการถูกขโมยทางออนไลน์ ซึ่งนี่ไม่ใช่กรณีแรกของการจู่โจมของกลุ่ม Yanluowang ที่เราสังเกตุเห็นตลอดทั้งปี

Yanluowang เป็นแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งผู้โจมตีที่ยังไม่เป็นที่รู้จักนำมาใช้เพื่อกำหนดเป้าหมายบริษัทขนาดใหญ่ แรนซัมแวร์นี้ได้ถูกรายงานครั้งแรกเมื่อปลายปีที่แล้ว แต่แม้ว่าจะเพิ่งปรากฏตัวในเวลาไม่นาน แต่ Yanluowang ก็สามารถกำหนดเป้าหมายเป็นบริษัทจากทั่วทุกมุมโลก โดยมีเหยื่อในสหรัฐอเมริกา บราซิล เยอรมนี สหรัฐอาหรับเอมิเรตส์ จีน ตุรกี และประเทศอื่นๆ อีกมากมาย

ในขณะที่กลุ่มผู้โจมตีประกาศข่าวการละเมิด Cisco ในเว็บไซต์ข้อมูลรั่วไหลของตน บริษัทระบุว่าไม่พบหลักฐานเพย์โหลดของแรนซัมแวร์ระหว่างการโจมตี การกระทำนี้เป็นเรื่องปกติสำหรับผู้ดำเนินการแรนซัมแวร์จำนวนมาก เพราะผู้ดำเนินการจะพยายามฉวยโอกาสทุกวิถีทางเพื่อรีดไถเงินและทำลายชื่อเสียงของเหยื่อ เราขอแนะนำให้ไม่จ่ายค่าไถ่เพื่อสนับสนุนผู้โจมตีแรนซัมแวร์ เพราะไม่มีการรับประกันว่าผู้โจมตีจะส่งคืนข้อมูลหรือจะหยุดการโจมตีไม่ให้เกิดขึ้นอีก เรา – แคสเปอร์สกี้กำลังทำงานอย่างหนักเพื่อช่วยให้บริษัทต่างๆ หลีกเลี่ยงเหตุการณ์ดังกล่าว และสำคัญอย่างยิ่งที่องค์กรธุรกิจจะต้องปฏิบัติตามหลักการรักษาความปลอดภัยขั้นพื้นฐาน เพื่อให้ได้รับการปกป้องและลดความสูญเสียทางการเงินและชื่อเสียงที่อาจเกิดขึ้นจากการโจมตีของแรนซัมแวร์ให้เหลือน้อยที่สุด

ขณะที่วิเคราะห์มัลแวร์ Yanluowang ในเดือนเมษายน เราพบว่าโค้ดที่เป็นอันตรายนั้นไม่สมบูรณ์แบบ ช่องโหว่ที่ค้นพบในโค้ดทำให้เราสร้างตัวถอดรหัสไฟล์โดยใช้การโจมตีแบบธรรมดา ตัวถอดรหัส Rannoh Decryptor ของเราสามารถวิเคราะห์ไฟล์ที่เข้ารหัสและช่วยกู้คืนข้อมูลเหยื่อ Yanluowang ได้”

from:https://www.enterpriseitpro.net/yanluowang-decrypt-from-kaspersky/