BitDefender แจกฟรีตัวถอดรหัสแรนซัมแวร์ ‘Darkside’

ไม่รู้ว่าจะทันเวลาหรือไม่แต่อย่างน้อยสำหรับผู้ที่โดนโจมตีด้วยแรนซัมแวร์ตระกูล Darkside วันนี้ทีมงาน BitDefender ได้ปล่อยเครื่องมือช่วยถอดรหัสออกมาให้แล้ว

credit : BleepingComputer

แรนซัมแวร์ตระกูล Darkside เริ่มปฏิบัติการตั้งแต่เมื่อกลางปีก่อน โดยคนร้ายเบื้องหลังนั้นยังทำธุรกิจประเภท Ransomware-as-a-Service (RaaS) ซึ่งพฤติกรรมคือพยายามเข้าไปโจมตีระบบองค์กร และลอบขโมยข้อมูลมาขู่เหยื่อให้ยอมจ่ายเงิน มิเช่นนั้นจะเปิดเผยข้อมูลต่อสาธารณะ 

ล่าสุดทีมงาน BitDefender ได้ปล่อยเครื่องมือช่วยเหลือไว้ที่ https://labs.bitdefender.com/2021/01/darkside-ransomware-decryption-tool/ โดยรองรับมัลแวร์ Darkside ในทุกเวอร์ชัน อย่างไรก็ดีถึงแม้ว่ามัลแวร์จะออกปฏิบัติการมาระยะใหญ่แล้วแต่ประโยชน์ของเครื่องมือแก้ไขก็ยังมีดังนี้

• หากบริษัทไหนยังเก็บไฟล์ที่ถูกเข้ารหัสไว้ก็กู้คืนได้
• คนร้ายต้องมาอัปเดตวิธีการเข้ารหัสใหม่
• ลดทอนชื่อเสียงของบริการ RaaS ซึ่งมีตัวอย่างว่ากลุ่มคนร้ายแรนซัมแวร์หลายตัวต้องยุติปฏิบัติการเมื่อมีเครื่องมือที่แก้ไขได้ออกมา

ที่มา : https://www.bleepingcomputer.com/news/security/darkside-ransomware-decryptor-recovers-victims-files-for-free/ และ https://www.zdnet.com/article/free-decrypter-released-for-victims-of-darkside-ransomware/

from:https://www.techtalkthai.com/bitdefender-released-a-darkside-ransomware-decryptor-tool/

5 ประเด็นที่น่าสนใจจากรายงาน Fortinet Threat Landscape ประจำ Q3 2019

FortiGuard Labs ทีม Threat Intelligence ของ Fortinet ได้ออกรายงาน Fortinet Threat Landscape ประจำไตรมาสที่ 3 ปี 2019 โดยเก็บข้อมูล Threat Events หลายพันล้านรายการจาก Network Sensor ที่กระจายอยู่ทั่วโลก ซึ่งสามารถสรุปประเด็นที่น่าสนใจได้ 5 ข้อ ดังนี้

1. แฮ็กเกอร์มุ่งโจมตี Edge Services

มากกว่า 90% ของมัลแวร์มาทางอีเมล ส่งผลให้องค์กรอบรมพนักงานให้มีความรู้ด้าน Email Phishing และใช้โซลูชัน Email Security มากขึ้น ทำให้แฮ็กเกอร์เริ่มหันไปโฟกัสการโจมตีที่จุดอื่นที่ไม่ค่อยได้รับความสนใจแทน หน่ึงในที่นิยมคือ Edge Services เพื่อใช้เป็นช่องทางส่งมัลแวร์เข้าระบบเครือข่ายต่อไป

2. Adblocker ถูกใช้เพื่อบายพาสสู่เว็บไซต์ของแฮ็กเกอร์

Adblocker เป็น Browser Extension สำหรับทำ Content Filtering และบล็อกโฆษณาต่างๆ ซึ่งสามารถใส่ Whitelists สำหรับเว็บโฆษณาที่ได้รับการตรวจสอบแล้ว อย่างไรก็ตาม พบว่าแฮ็กเกอร์ได้เจาะระบบ Adblocker เหล่านี้เพื่อใส่เว็บของตนลงไปใน Whitelists ส่งผลให้สามารถลอบส่งโฆษณาที่แฝงมัลแวร์หรือส่งผู้ใช้ไปยัง Phishing Web ได้

3. Ransomware as a Service ใหม่ๆ พบบน Dark Web มากขึ้น

ปีที่ผ่านมา GrandCrap Ransomware และบริการ Ransomware as a Service (RaaS) ได้ทำเงินไปกว่า $2,000 ล้านแก่แฮ็กเกอร์ ส่งผลให้ Ransomware หลายตัว เช่น Sodinokibi และ Nemty ถูกปรับมาให้บริการแบบ RaaS มากขึ้น

4. Emotet Banking Trojan เริ่มให้บริการแบบ Malware as a Service

เช่นเดียวกับ Ransomware มัลแวร์ Emotet ซึ่งเป็น Banking Trojan ชื่อดังก็ถูกปรับไปใช้โมเดล Malware as a Service พร้อมเพิ่มความสามารถในการส่ง Malicioud Payload เข้าไปในระบบเครือข่าย เช่น Trickbot Trojan, Ryuk Ransomware และอื่นๆ นอกจากนี้ Emotet ยังถููกแพร่กระจายผ่านทางการโจมตีแบบ Phishing อีกด้วย

5. การโจมตีเก่าๆ ยังเป็นที่นิยม

ในช่วงไตรมาสที่ 3 ที่ผ่านมานี้ FortiGuard Labs พบความพยายามในการโจมตีช่องโหว่เก่าๆ เช่น ปี 2007 มากการโจมตีผ่านช่องโหว่ใหม่ในปี 2018 และ 2019 รวมกัน แสดงให้เห็นว่ายังคงมีหลายองค์กรที่ไม่เคยแพตช์ช่องโหว่เลย แม้ว่าช่องโหว่เหล่านั้นจะมีอายุนานมากแล้วก็ตาม

รายละเอียดเพิ่มเติม: https://www.fortinet.com/blog/threat-research/fortinet-q3-threat-landscape-report.html

ที่มา: Fortinet Thailand User Group

from:https://www.techtalkthai.com/5-key-messages-from-fortinet-threat-landscape-q3-2019/

เตือน DBGer Ransomware ใช้ EternalBlue และ Mimikats แพร่กระจายใส่เป้าหมาย

MalwareHunter เผย Satan Ransomware ชื่อดังรีแบรนด์ตัวเองใหม่ ใช้ชื่อ “DBGer Ransomware” พร้อมเปลี่ยนวิธีดำเนินการ ใช้ช่องโหว่ EternalBlue และ Mimikatz เครื่องมือสำหรับแคร็กรหัสผ่านในการแพร่กระจายตัวเองไปยังคอมพิวเตอร์เป้าหมายบนระบบเครือข่าย

Credit: Zephyr_p/ShutterStock.com

Satan Ransomware ปรากฏโฉมครั้งแรกเมื่อเดือนมกราคม 2017 โดยเปิดให้บริการในรูปของ Ransomware-as-a-Service (RaaS) ช่วยให้เหล่าอาชญากรไซเบอร์สามารถลงทะเบียนและสร้าง Satan Ransomware เวอร์ชันเฉพาะตัวไปใช้โจมตีผู้อื่นได้

Satan Ransomware ถูกพัฒนามาอย่างต่อเนื่อง และเริ่มมีชื่อเสียงในวงการใต้ดิน ส่งผลให้แฮ็กเกอร์ที่อยู่เบื้องหลัง Ransowmare ดังกล่าวพยายามพัฒนา Ransomware ไปอีกขั้นโดยใช้แนวคิดของ WannaCry Ransomware ที่สามารถแพร่กระจายตัวเองบนเครือข่ายระดับโลกได้มาเป็นต้นแบบ โดยทำการเพิ่ม EternalBlue SMB Exploit ลงไปในตัวมัลแวร์ส่งผลให้เมื่อคอมพิวเตอร์ติดมัลแวร์แล้ว มันจะใช้ EternalBlue ในการสแกนคอมพิวเตอร์ในระบบเครือข่าย แล้วเจาะผ่านช่องโหว่ SMB เพื่อแพร่กระจายตัวต่อไป

เท่านั้นยังไม่พอ ล่าสุด Satan Ransomware ได้เพิ่มความสามารถในการทำ Lateral Movement ลงไปโดยใช้ Mimikatz ซึ่งเป็นซอฟต์แวร์แบบ Open-source สำหรับขโมยรหัสผ่านของคอมพิวเตอร์ในระบบเครือข่าย และใช้รหัสผ่านเหล่านั้นในการเข้าถึงและแพร่กระจายตัวต่อ รวมไปถึงเปลี่ยนชื่อตัวเองใหม่เป็น DBGer Ransomware เพื่อแสดงให้เห็นว่า Ransomware ของตนยังมีการพัฒนาและให้บริการอย่างไม่หยุดยั้ง เพื่อให้เหล่าอาชญากรไซเบอร์สามารถทำเงินได้ไม่แพ้การทำ Cryptocurrency Mining

ที่มา: https://www.bleepingcomputer.com/news/security/dbger-ransomware-uses-eternalblue-and-mimikats-to-spread-across-networks/

from:https://www.techtalkthai.com/dbger-ransomware-uses-eternalblue-and-mimikatz-to-infect-users/

เทรนด์ใหม่ Ransomware เริ่มให้บริการแบบ as-a-Service ฟรีบน Dark Web

McAfee ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบบูรณาการ ออกมาแจ้งเตือน Ransomware-as-a-Service แบบใหม่ที่เปิดให้บริการฟรีบนตลาดมืดออนไลน์โดยที่ไม่ต้องลงทะเบียนใดๆ ชี้อาจเป็นแนวโน้วใหม่ที่ช่วยให้ตลาด Ransomware ขยายตัวมากยิ่งขึ้น

Ransomware ดังกล่าวปรากฏตัวขึ้นเป็นครั้งแรกเมื่อเดือนกรกฎาคม 2017 โดยมีนามสกุลไฟล์เป็น .shifr หลังจากนั้นได้เปลี่ยนมาเป็นนามสกุล .cypher ในปัจจุบัน ให้บริการในรูปของ Ransomware-as-a-Service กล่าวคือ แฮ็กเกอร์จะเป็นผู้พัฒนา Ransomware แล้วเปิดให้เหล่าอาชญากรไซเบอร์ที่ไม่มีความรู้ด้านเทคนิคนำ Ransomware ดังกล่าวไปเผยแพร่ต่อ และนำค่าไถ่ที่ได้มาหารแบ่งกัน

โมเดลของ Ransomware-as-a-Service อย่างเช่น RaaSberry จะเป็นบริการในรูปของ Subscription รายเดือน ในขณะที่ Ransomware อื่นๆ ผู้ใช้จะต้องทำการลงทะเบียน ก่อนที่จะนำ Ransomware ไปปรับแต่งข้อความและจำนวนเงินที่เรียกค่าไถ่เพื่อนำไปแพร่กระจายต่อ อย่างไรก็ตาม ล่าสุด McAfee พบว่ามี Ransomware-as-a-Service ที่เปิดให้บริการฟรีโดยที่ไม่ต้องลงทะเบียนใดๆ อาชญากรไซเบอร์เพียงแค่ใส่ Bitcoin Wallet Address และจำนวนเงินที่ต้องการเรียกค่าไถ่ ก็สามารถสร้าง Ransomware เป็นของตนเองแล้วนำไปใช้ได้ทันที โดยที่แฮ็กเกอร์ผู้พัฒนาคิดส่วนแบ่งเพียงแค่ 10% จากค่าไถ่ที่ได้เท่านั้น

เมื่อ Ransomware ดังกล่าวถูกแพร่กระจายเข้าคอมพิวเตอร์ของเหยื่อ มันจะเริ่มต้นด้วยการตรวจสอบการเชื่อมต่ออินเทอร์เน็ต ถ้าเหยื่อกำลังต่อเน็ตอยู่ Ransomware จะติดต่อไปยัง C&C Server เพื่อดาวน์โหลดกุญแจที่จะใช้เข้ารหัสข้อมูล หลังจากที่เข้ารหัสไฟล์บนเครื่องแล้ว จะต่อท้ายนามสกุลไฟล์ด้วย .cypher พร้อมแสดงข้อความเรียกค่าไถ่ดังรูปด้านล่าง

ที่น่าสนใจคือ Ransomware นี้จะรันบนคอมพิวเตอร์แบบ 64 bits เท่านั้น และถูกพัฒนาโดยภาษา Golang (Go Language จาก Google) ซึ่งไม่ได้ค้นพบบ่อยนักสำหรับมัลแวร์ในปัจจุบัน นอกจากนี้ไฟล์มัลแวร์ยังมีขนาดใหญ่ถึง 5.5 MB คาดว่าทำให้การวิเคราะห์ทำได้ยาก และช่วยให้มัลแวร์สามารถลบเลี่ยงระบบป้องกันมัลแวร์บางประเภทได้

จากการที่ Ransomware-as-a-Service เปิดให้บริการฟรีโดยไม่จำเป็นต้องลงทะเบียนใดๆ และมีขั้นตอนในการสร้างมัลแวร์ที่ง่าย ในขณะที่แฮ็กเกอร์นักพัฒนาหักค่าส่วนแบ่งต่ำ อาจเป็นตัวจุดกระแสให้อาชญากรไซเบอร์หันมาใช้บริการ Ransomware-as-a-Service มากขึ้นได้ในอนาคต ทังองค์กรและผู้ใช้ทั่วไปควรหามาตรการควบคุมเพื่อรับมือ Ransomware ให้ดี

รายละเอียดเชิงเทคนิค: https://securingtomorrow.mcafee.com/mcafee-labs/free-ransomware-available-dark-web/

from:https://www.techtalkthai.com/free-ransomware-as-a-service-on-dark-web/

พบแอพบน Android ใช้สร้าง Ransomware ได้ภายในไม่กี่นาที

Ransomware-as-a-Service หรือบริการการสร้างและปรับแต่ง Ransomware เป็นของตนเองและแชร์ค่าไถ่ร่วมกันกับแฮ็คเกอร์เจ้าของบริการ เป็นเซอร์วิสที่เริ่มเป็นที่นิยมมากขึ้นเรื่อยๆ ล่าสุดทาง Symantec ค้นพบแอพพลิเคชันบน Android ซึ่งช่วยให้เหล่าแฮ็คเกอร์วอนนาบีสามารถดาวน์โหลดและใช้ Trojan Development Kits (TDKs) เพื่อสร้าง Ransomware เป็นของตัวเองได้

Symantec ระบุว่า พบแอพพลิเคชันสำหรับสร้าง Ransomware เหล่านี้จากการโฆษณาผ่านทางบริการ Social Network Messaging ชื่อดังของจีน และบนเว็บบอร์ดเกี่ยวกับการแฮ็ค ซึ่งแอพพลิเคชันนี้มีจุดเด่นตรงที่มีหน้าต่าง GUI ที่ใช้งานได้ง่าย พร้อมช่วยให้เหล่าวอนนาบีสามารถสร้าง Ransowmare สำหรับอุปกรณ์ Android ได้ทันทีโดยที่แทบไม่ต้องใช้ความรู้ด้านการเขียนโปรแกรมเลย

เมื่อดาวน์โหลดแอพพลิเคชันมาติดตั้ง หลังเปิดใช้งานแอพพลิเคชันจะให้ใส่ข้อมูลสำหรับสร้าง Ransomware เป็นของตัวเอง ได้แก่

• กุญแจที่ใช้เพื่อปลดล็อกอุปกรณ์ที่ติด Ransomware นี้
• ไอคอนที่ต้องการใช้สื่อถึง Ransomware
• กระบวนการเชิงคณิตศาสต์สำหรับการปรับแต่งโค้ดแบบสุ่ม
• ประเภทของอนิเมชันที่จะให้แสดงผลบนหน้าจอของเครื่องที่ติด Ransomware

หลังจากกรอกข้อมูลเสร็จเรียบร้อยแล้วกดปุ่ม “Create” แอพพลิเคชันจะแสดงหน้าจอบริการ Subscription สำหรับให้เหล่าวอนนาบีติดต่อกับแฮ็คเกอร์เข้าของบริการเพื่อต่อรองค่าใช้จ่ายและส่วนแบ่ง เมื่อตกลงกันเสร็จเรียบร้อย Ransomware จะถูกเก็บไว้ใน Storage ภายในสำหรับรอนำไปแพร่กระจายต่อไป

จากการตรวจสอบพบว่า Ransomware ที่ถูกสร้างขึ้นมานี้จะมีพฤติกรรมคล้ายกับ Lockdroid Ransomware คือจะทำการล็อกอุปกรณ์ไม่ให้ผู้ใช้สามารถใช้งานได้ เปลี่ยนรหัส PIN และลบข้อมูลของผู้ใช้ผ่านการทำ Factory Reset รวมไปถึงมีฟีเจอร์ในการป้องกันไม่ให้ผู้ใช้ Uninstall Ransomware ออก

Symantec ยังระบุเพิ่มเติมอีกว่า แอพพลิเคชันสำหรับใช้สร้าง Android Ransomware นี้ไม่ได้มีเพียงแอพพลิเคชันเดียว แต่มีเป็นจำนวนมาก จึงแนะนำให้ผู้ใช้อุปกรณ์ Android ระวังการแพร่กระจายของ Ransomware ที่จะมาถึงในอนาคตอันใกล้นี้ให้ดี

รายละเอียดเพิ่มเติม: https://www.symantec.com/connect/blogs/mobile-malware-factories-android-apps-creating-ransomware

ที่มาและเครดิตรูปภาพ: http://thehackernews.com/2017/08/create-android-ransomware.html

from:https://www.techtalkthai.com/android-ransomware-as-a-service/

เผยรายงาน Cisco 2017 Midyear Cybersecurity Report นิยามเป้าหมายการโจมตีใหม่ Destruction of Service

Cisco ได้ออกมาเปิดเผยรายงาน 2017 Midyear Cybersecurity Report (NCR) ที่อัปเดตข้อมูลจากทีม Security Research ของ Cisco เอง โดยทาง Cisco ได้พบว่าเป้าประสงค์ในการโจมตีระบบ IT ในทุกวันนี้เปลี่ยนยไปค่อนข้างมาก โดยการโจมตีนั้นๆ ไม่ได้หวังผลเพียงแค่สร้างความเสียหายอีกต่อไป แต่มุ่งเป้าไปที่การทำลายระบบเพื่อไม่ให้ผู้ถูกโจมตีสามารถกู้คืนระบบหรือกู้คืนข้อมูลได้ และตั้งชื่อเป้าหมายในการโจมตีนี้ว่า Destruction of Service (DeOS)

Credit: Cisco

 

สิ่งที่ชี้ชัดว่าเกิดการโจมตีแบบ DeOS นี้ คือการที่เหล่าผู้โจมตีพยายามมองหาวิธีการในการโจมตีที่จะทำให้เหยื่อไม่สามารถแก้ไขปัญหาต่างๆ ด้วตนเองได้ ไม่ว่าจะเป็นการพัฒนา Ransomware หรือการโจมตีด้วย DDoS อย่างต่อเนื่องไม่หยุดยั้ง ในขณะเดียวกันเพื่อไม่ให้ถูกตรวจจับและยับยั้งการโจมตีได้ทัน เหล่าผู้โจมตีเองก็ต้องมองหาแนวทางใหม่ๆ ในการโจมตีอยู่เสมอ และเปลี่ยนแปลงการโจมตีอยู่ตลอดเวลาเมื่อวิธีการที่ใช้งานอยู่เดิมเริ่มไม่ได้ผล ทำให้เหล่าองค์กรเองก็ต้องปรับตัวรับมือให้ทันด้วยเช่นกัน

นอกจากนี้ Cisco เองยังได้เสนอประเด็นน่าสนใจด้านความมั่นคงปลอดภัยเอาไว้อีก 3 ประเด็น ได้แก่

1. ความสัมพันธ์ระหว่าง IoT และ DDoS ที่เกิดขึ้นจากช่องโหว่ปริมาณมหาศาลบนอุปกรณ์ IoT ที่ผู้โจมตีสามารถเจาะช่องโหว่เพื่อเข้ายึดอุปกรณ์และนำมาใช้โจมตี DDoS ได้ ซึ่ง Cisco กล่าวว่าเรากำลังเข้าสู่ยุคที่การโจมตีแบบ 1-TBps DDoS กลายเป็นเรื่องธรรมดาไปแล้ว
2. วิวัฒนาการใหม่ของ Malware ที่นอกจากจะหลีกเลี่ยงการตรวจจับได้ด้วยเทคนิคที่หากหลายมากขึ้น และยังมีบริการ Ransomware-as-a-Service (RaaS) ให้ใครๆ ก็สามารถเรียกค่าไถ่คนอื่นได้
3. Time to Detection (TTD) ที่ใช้ตรวจจับ Malware นั้นลดลงจากแต่ก่อนเป็นอย่างมาก จากสถิติของ Cisco เองที่เคยใช้เวลาเกินกว่า 39 ชั่วโมงในการตรวจจับภัยคุกคามได้โดยเฉลี่ย การสำรวจล่าสุดตั้งแต่พฤศจิกายน 2016 – พฤษภาคม 2017 นี้สถิติก็ลดเหลือเพียง 3.5 ชั่วโมงเท่านั้น

สำหรับรายงานฉบับเต็ม สามารถอ่านได้ที่ Cisco 2017 Midyear Cybersecurity Report ครับ

 

ที่มา: https://blogs.cisco.com/security/cisco-2017-midyear-cybersecurity-report

from:https://www.techtalkthai.com/cisco-2017-midyear-cybersecurity-report-is-released-with-deos-meaning/

เจาะลึกมัลแวร์เรียกค่าไถ่ Satan พร้อมให้บริการแบบ Ransomware-as-a-Service

นักวิจัยด้านความมั่นคงปลอดภัยนาม Xylitol ออกมาแจ้งเตือนถึง Ransomware ตัวใหม่ ชื่อว่า Satan ให้บริการแบบ Ransomware-as-a-Service (RaaS) ช่วยให้อาชญากรไซเบอร์สามารถสร้าง Ransomware เป็นของตัวเอง พร้อมแพร่กระจายเรียกค่าไถ่เหยื่อทั่วโลก

Satan เป็น Ransomware-as-a-Service ที่ช่วยให้ผู้ไม่ประสงค์ดีที่ถึงแม้จะไม่มีความรู้เชิงเทคนิค สามารถสร้างและปรับแต่ง Ransomware เป็นของตัวเองได้ ในขณะที่ RaaS จะเป็นตัวจัดการการชำระเงินค่าไถ่และคอยอัปเดตฟีเจอร์ใหม่ๆ ให้ ค่าไถ่ที่ได้รับแต่ละครั้งจะถูกหักออก 30% เพื่อเป็นค่าบริการของ RaaS แต่ถ้าสามารถหาเหยื่อจ่ายค่าไถ่ได้มากเท่าไหร่ ค่าบริการที่หักออกมานี้ก็จะลดลงมากเท่านั้น

ภาพด้านล่างแสดงหน้า Homepage ของ Satan SaaS ซึ่งจะแนะนำ Ransomware อธิบายถึงบริการ และวิธีที่ผู้ไม่ประสงค์จะใช้ Satan เพื่อทำเงิน

เมื่อผู้ไม่ประสงค์ดีลงทะเบียนและล็อกอินเข้าสู่หน้าหลัก พวกเขาจะเจอหน้า Console ซึ่งประกอบด้วย Page จำนวนมากสำหรับช่วยสร้าง ปรับแต่ง และแพร่กระจาย Ransomware ไม่ว่าจะเป็น Malwares, Droppers, Translate, Account, Notices และ Messages

หน้า Malwares ด้านล่าง เป็นหน้าแรกหลังจากที่ล็อกอินเข้ามา สำหรับให้ผู้ไม่ประสงค์ดีตั้งค่าต่างๆ ของ Ransomware ให้เป็นเวอร์ชันสำหรับตัวเอง โดยสามารถระบุจำนวนเงินที่จะเรียกค่าไถ่ ระยะเวลาที่จะให้เริ่มทำงานหลังติดต่อ และจำนวนวันที่เหยื่อต้องจ่ายค่าไถ่ก่อนที่ค่าไถ่จะเพิ่มจำนวนขึ้น เป็นต้น

หน้า Droppers เป็นโค้ดที่ช่วยให้ผู้ไม่ประสงค์ดีในการสร้าง Microsoft Word Macros หรือ CHM Installers แปลกปลอม เพื่อใช้ในการแพร่กระจายมัลแวร์ผ่านทาง SPAM หรือช่องทางอื่นๆ ได้

หน้า Translate ช่วยให้ผู้ไม่ประสงค์ดีสามารถแปลและเพิ่มภาษาท้องถิ่นของตนหรือภาษาอื่นๆ บนข้อความเรียกค่าไถ่ของ Satan ได้

หน้า Account ด้านล่างถูกใช้เพื่อแสดงจำนวนคนที่ติดมัลแวร์ Satan ที่ได้แพร่กระจายออกไป จำนวนเงินค่าไถ่ที่ได้รับ และข้อมูลอื่นๆ

สุดท้ายคือหน้า Notices สำหรับรับข้อมูลข่าวสารจากแฮ้คเกอร์ผู้พัฒนา Satan Raas และหน้า Messages สำหรับร้องขอ “Customer Service”

หลังจากที่แพร่กระจาย Satan Ransowmare ไปแล้ว เมื่อเหยื่อเผลอดาวน์โหลดและเปิดไฟล์ที่มี Ransomware ฝังอยู่ Satan จะตรวจสอบก่อนว่าตัวมันเองรันอยู่บน Virtual Machine หรือไม่ ถ้ารันอยู่ ก็จะปิดการทำงานของตัวเอง เพื่อหลบเลี่ยงระบบป้องกันภัยคุกคามแบบ Sandboxing แต่ถ้ารันอยู่บนคอมพิวเตอร์ มันจะแทรกตัวเองเข้าไปใน TaskHost.exe และเริ่มเข้ารหัสข้อมูลทั้งหมดบนคอมพิวเตอร์ ไม่ว่าจะเป็นไฟล์ข้อมูลเอกสาร วิดีโอ รูปภาพ เพลง และอื่นๆ ซึ่งขณะนี้ยังไม่ทราบแน่กชัดว่าอัลกอริธึมที่ใช้เข้ารหัสข้อมูลคืออะไร

จากนั้น Satan จะเปลี่ยนชื่อและต่อท้ายนามสกุลไฟล์ด้วย .stn เช่น test.jpg ไปเป็น ahasd.stn และสร้างข้อความเรียกค่าไถ่ภายใต้ไฟล์ที่ชื่อ HELP_DECRYPT_FILES.html ในแต่ละโฟลเดอร์ที่มีไฟล์ถูกเข้ารหัส หลังจากที่เข้ารหัสข้อมูลทั้งเครื่องเสร็จเรียบร้อย Satan จะรันคำสั่ง C:\Windows\System32\cipher.exe” /W:C เพื่อล้างข้อมูลทั้งหมดบนพื้นที่ที่ไม่ได้ใช้ของไดรฟ์ C

ข้อความเรียกค่าไถ่แสดงดังรูปด้านล่าง ซึ่งระบุ Victim ID และ URL สำหรับเชื่อมโยงไปยังเครือข่าย Tor เพื่อชำระค่าไถ่

จนถึงตอนนี้ ยังไม่มี Decrypter สำหรับปลดรหัส Ransomware ดังกล่าว

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/new-satan-ransomware-available-through-a-ransomware-as-a-service-/

from:https://www.techtalkthai.com/satan-ransomware-review/

ปรับแต่ง Ransomware ด้วยตัวคุณเองแบบง่ายๆ ผ่านทาง Shark Ransomware Project

David Montenegro นักวิจัยด้านความมั่นคงปลอดภัย ออกมาเปิดเผยถึงโปรเจ็คท์ Ransomware-as-a-Service ใหม่ ชื่อว่า Shark Ransomware ซึ่งช่วยให้ผู้ไม่ประสงค์ดีสามารถสร้างและปรับแต่ง Ransomware ด้วยตนเองแบบง่ายๆ เพียงแค่กรอกแบบฟอร์มและกดปุ่มคลิก โดยไม่จำเป็นต้องมีทักษะเชิงเทคนิคแต่อย่างใด ที่สำคัญคือ เจ้าของ Shark RaaS คิดส่วนแบ่งให้ตนเองเพียง 20% เท่านั้น

Shark RaaS เริ่มให้บริการเมื่อช่วงเดือนกรกฎาคม 2016 ที่ผ่านมา โดยสามารถเข้าถึงได้ผ่านเว็บไซต์ทั่วไปแทนที่จะเป็นเครือข่าย TOR เหมือน RaaS อื่นๆ ผู้ที่ต้องการเป็น Ransomware Distributor สามารถดาวน์โหลด PayloadBundle.zip เพื่อเริ่มสร้างและปรับแต่ง Ransomware ได้ทันที

ไฟล์ ZIP ที่โหลดมานี้จะประกอบด้วย Ransomware Configuration Builder ชื่อว่า Payload Builder.exe, ข้อความแจ้งเตือน Readme.txt และตัวไฟล์ Ransomware ชื่อว่า Shark.exe ตรงจุดนี้เอง ถ้าผู้ใช้เผลอกดรัน Shark.exe จะส่งผลให้ผู้ใช้คนดังกล่าวติด Ransomware ทันที

RaaS ส่วนใหญ่จะอนุญาตให้ Distributor ทำการปรับแต่ง Ransomware บนเว็บไซต์ของนักพัฒนา ก่อนที่จะดาวน์โหลดตัว Ransomware ไปแพร่กระจายต่อ แต่ Shart RaaS ต่างออกไป กล่าวคือ ใช้วิธีการรัน Payload Builder.exe เพื่อเริ่มการปรับแต่ง Ransomware ซึ่งสามารถเลือกโฟลเดอร์ที่ต้องการเข้ารหัส ประเภทไฟล์ที่เป็นเป้าหมาย ประเทศที่ต้องการโจมตี จำนวนเงินค่าไถ่ และอีเมลสำหรับใช้แจ้งเตือนเมื่อ Ransomware ถูกติดตั้งลงบนเครื่องของเหยื่อ จากนั้น Distributor สามารถใช้ Shark.exe ในการแพร่กระจายไปยังเป้าหมายที่ต้องการได้ทันที

ขณะนี้ทาง Bleeping Computer กำลังวิเคราะห์ Ransowmare ดังกล่าวอยู่ จากการตรวจสอบเบื้องต้นพบว่า หลังจากที่ไฟล์ข้อมูลถูกเข้ารหัสแล้ว จะมีนามสกุลเป็น .locked จากนั้นจะแสดงข้อความเรียกค่าไถ่ ระบุว่า “Data on this device were locked. Follow the instructions to unlock your data.” พร้อมแสดงวิธีการจ่ายค่าไถ่เพื่อปลดรหัสผ่านทาง Bitcoin เหยื่อสามารถเลือกภาษาตามที่ตนต้องการได้มากถึง 30 ภาษา

ที่มา: http://www.bleepingcomputer.com/news/security/the-shark-ransomware-project-allows-to-create-your-own-customized-ransomware/

from:https://www.techtalkthai.com/shark-ransomware-project/

Petya และ Mischa พร้อมให้บริการ Ransomware-as-a-Service

ทีมแฮ็คเกอร์ Petya และ Mischa Ransomware เปิดโอกาสธุรกิจมืดแนวใหม่ พร้อมให้เหล่าแฮ็คเกอร์ทั้งมือสมัครเล่นและมืออาชีพเป็นตัวแทนกระจาย Ransomware ชื่อดังผ่านบริการ Ransomware-as-a-Service ซึ่งค่าไถ่ที่ได้จะถูกแบ่งให้ทางทีมแฮ็คเกอร์และตัวแทนกระจายตามอัตราส่วนที่ตกลงกันไว้

ส่วนแบ่งของจำนวนเงินที่ทางตัวแทนกระจาย Ransomware จะได้ขึ้นอยู่กับจำนวนค่าไถ่ทั้งหมดที่ได้รับ ยกตัวอย่างจากแผนภาพด้านล่าง ถ้าค่าไถ่ที่ได้น้อยกว่า 5 bitcoins ทีมแฮ็คเกอร์จะหักส่วนแบ่งออกมาเพียง 25% แต่ถ้าได้ค่าไถ่เพิ่มมากขึ้น ส่วนแบ่งที่หักออกก็จะเพิ่มขึ้นตาม เช่น ถ้าได้ค่าไถ่มากกว่า 125 bitcoins ต่อสัปดาห์ ส่วนแบ่งจะถูกหักให้ทีมแฮ็คเกอร์สูงถึง 85%

Petya และ Mischa Ransomware-as-a-Service ต่างจากบริการ Ransomware อื่นๆ ตรงที่ค่าลงทะเบียนเริ่มต้นต่ำมาก คิดเป็นเงินประมาณ $1 หรือ 35 บาทเท่านั้น เพื่อดึงดูดให้อาชญากรไซเบอร์ที่สนใจเข้ามาเป็นตัวแทนกระจาย Ransomware นอกจากนี้ ค่าลงทะเบียนจะได้รับคืนพร้อมกับส่วนแบ่งครั้งแรกอีกด้วย

จากการที่ Ransomware ชื่อดังทั้งสองเปิดให้บริการเป็น Ransomware-as-a-Service คาดว่าจะส่งผลให้ธุรกิจ Ransomware มีการเจริญเติบโตแบบก้าวกระโดด และ Ransomware จะแพร่กระจายในอนาคตมากขึ้น

ที่มา: http://www.bleepingcomputer.com/news/security/petya-and-mischa-ransomware-affiliate-system-publicly-released/

from:https://www.techtalkthai.com/petya-and-mischa-ransomware-as-a-service/

พบ Stampado Ransomware วางขายใน Dark Web ราคาเพียง 1,400 บาท

ตลาด Ransomware เริ่มกลายเป็นที่น่าสนใจสำหรับทั้งแฮ็คเกอร์มือฉบังหรือแฮ็คเกอร์มือใหม่ เนื่องจากไม่ต้องลงแรงมาก เพียงแค่แพร่กระจายมัลแวร์ออกไปแล้วรอให้เหยื่อติดกับและจ่ายค่าไถ่เท่านั้น ล่าสุด มีการค้นพบ Ransomware พร้อมใช้ชื่อ Stampado วางขายบน Dark Web หรือตลาดมืดออนไลน์ในราคาเพียง $39 หรือประมาณ 1,400 บาทเท่านั้น

Stampado กลายเป็น Ransomware-as-a-Service ล่าสุดในตลาดมืด สนนราคาเพียง $39 แลกกับการใช้งานได้ตลอดชีพ โดยมีการโฆษณาบน Dark Web และระบุคำบรรยายไว้อย่างชัดเจนว่า

Newest Ransomware in market!
———————————
Stampado Ransomware
———————————
You always wanted a Ransomware but never wanted two pay Hundreds of dollars for it?
– This list is for you!
——————————————————————————————————-
Stampado is a cheap and easy-to-manage ransomware, developed by me and my team.
It’s meant two be really easy-to-use. You’ll not need a host. All you will need is an email account.

จุดเด่นของ Ransomware นี้คือ มีความยืดหยุ่นสูง โดยสามารถแพร่กระจายได้หลาย Format เช่น exe, bat, dll, scr และ cmd หลังจากที่มัลแวร์นี้ถูกติดตั้งลงบนเครื่องแล้ว จะทำการเข้ารหัสไฟล์ข้อมูลแบบ Asymmetric (ใช้ Public Key เข้ารหัสข้อมูล และถอดรหัสข้อมูลด้วย Private Key) แล้วต่อท้ายนามสกุลเป็น .locked จากนั้นจะแสดงข้อความเรียกค่าไถ่ให้เหยื่อรีบโอนเงินภายใน 96 ชั่วโมง มิเช่นนั้นจะลบกุญแจสำหรับปลดรหัสทิ้ง นอกจากนี้ Stampado จะทำการลบไฟล์ข้อมูลแบบสุ่มทุกๆ 6 ชั่วโมงอีกด้วย

ขณะนี้ยังไม่มี Decrypter สำหรับปลดล็อคไฟล์ที่ถูกเข้ารหัสด้วย Ransomware ดังกล่าว

ที่มา: https://heimdalsecurity.com/blog/security-alert-stampado-ransomware-on-sale/ และ https://www.pcrisk.com/removal-guides/10235-stampado-ransomware

from:https://www.techtalkthai.com/stampado-ransomware-sold-on-dark-web/