Cerber Ransomware เวอร์ชัน 6 ต่อให้มี Antivirus หรือ Sandboxing ก็ตรวจจับไม่ได้

นักวิจัยด้านความมั่นคงปลอดภัยหลายท่านออกมาเปิดเผยถึงการค้นพบ Cerber Ransomware เวอร์ชันใหม่ ซึ่งเป็นเวอร์ชันที่ 6 ตั้งแต่ช่วงปลายเดือนมีนาคมที่ผ่านมา โดยระบุว่าแฮ็คเกอร์ได้ต่อยอดพัฒนามัลแวร์และเพิ่มฟีเจอร์ใหม่หลายรายการ ไม่ว่าจะเป็นการเปลี่ยนวิธีการเข้ารหัส การเพิ่มระบบป้องกัน Anti-AV และ Anti-sandboxing เพื่อหลีกเลี่ยงการตรวจจับ เป็นต้น

Credti: ShutterStock.com

Cerber Ransomware เวอร์ชัน 6 นี้ยังคงใช้วิธีการแพร่กระจายตัวผ่านแคมเปญอีเมลสแปมเป็นหลัก โดยเริ่มจากไฟล์ ZIP ปกติ จากนั้นสั่งรัน JavaScript แล้วใช้ PowerShell ในการลอบส่งมัลแวร์เข้ามาติดตั้ง อย่างไรก็ตาม ช่วงหลังเริ่มพบว่า Cerber แฝงตัวมากับไฟล์แนบอีเมลรูปแบบอื่นด้วยเช่นกัน และเริ่มมีการลอบส่งมัลแวร์เข้ามาผ่านทางการ Exploit ช่องโหว่

ล่าสุดเมื่อเดือนมีนาคมที่ผ่านมา Cerber Ransomware เริ่มให้บริการแบบ Ransomware-as-a-Service ผ่านทาง Dark Web และมีการพัฒนาตัวเองเป็นเวอร์ชัน 6 โดยมีการเพิ่มฟีเจอร์ใหม่เข้าไป ดังนี้

  • เปลี่ยนวิธีการเข้ารหัสข้อมูลแบบใหม่ โดยใช้ Cryptographic Application Programming Interface (CryptoAPI) ของ Microsoft แทน
  • เพิ่มคุณสมบัติ Anti-VM และ Anti-sandboxing เพื่อตรวจจับว่าระบบรักษาคความมั่นคงปลอดภัยของเหยื่อพยายามระบุการติด Cerber Ransomware หรือไม่
  • เพิ่มการหน่วงเวลาก่อนที่จะเริ่มการทำงานของ Payload เพื่อให้ตรวจจับได้ยากขึ้น
  • เพิ่มคุณสมบัติ Anti-AV โดยเลี่ยงการเข้ารหัสไฟล์ข้อมูลของโปรแกรม Antivirus และบล็อกการรันไฟล์ EXE ของซอฟต์แวร์รักษาความมั่นคงปลอดภัยโดยใช้ Windows Firewall Rules

ตารางด้านล่างแสดงข้อมูลเปรียบเทียบ Cerber Ransomware ในแต่ละเวอร์ชันจนถึงปัจจุบัน

จะเห็นว่า Cerber Ransomware ถูกพัฒนามาไกลมาก และกลายเป็นหนึ่งใน Ransomware ที่มีความแยบยล (Sophisticated) มากที่สุดในปัจจุบัน ซึ่งจนถึงตอนนี้ ยังไม่มี Decrypter สำหรับปลดรหัสไฟล์ข้อมูลที่ถูก Cerber Ransomware เวอร์ชัน 6 โจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/cerber-ransomware-version-6-gets-anti-vm-and-anti-sandboxing-features/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tuskira เปิดตัวพร้อมทุน 28.5 ล้านดอลลาร์ ยกระดับความมั่นคงปลอดภัยไซเบอร์ด้วย AI

สตาร์ทอัพด้านการตรวจจับภัยคุกคาม Tuskira เปิดตัวพร้อมระดมทุน 28.5 ล้านดอลลาร์จากกลุ่มนักลงทุนที่นำโดย Intel Capital และ SYN Ventures มุ่งเร่งนวัตกรรม AI การผสานระบบ และยกระดับการรักษาความมั่นคงปลอดภัยไซเบอร์ขององค์กรด้วยกลยุทธ์เชิงรุกที่รวมเครื่องมือเข้าด้วยกันและลดความเสี่ยงแบบเรียลไทม์

Sumo Logic เปิดตัว Mo Copilot พลิกโฉม DevSecOps ด้วย AI

ในงาน Re:Invent ของ Amazon Web Services บริษัท Sumo Logic ได้ประกาศเปิดตัว Mo Copilot เครื่องมือสำหรับ DevSecOps ที่ช่วยลดเวลาตอบสนองในการแก้ปัญหาสำคัญด้วยการใช้ …