Black Hat Asia 2023

FireCrypt: Ransomware ตัวใหม่ มาพร้อมกับโมดูล DDoS

MalwareHunterTeam ออกมาเปิดถึง Ransomware ตัวใหม่ ชื่อว่า FireCrypt ซึ่งนอกจากจะเข้ารหัสไฟล์ข้อมูลของเหยื่อแล้ว ยังพยายามโจมตีแบบ DDoS ไปยังเป้าหมาย URL ที่ได้ Hardcode ไว้ในซอร์สโค้ดอีกด้วย

จากการตรวจสอบโดย Bleeping Computer พบว่า FireCrypt Ransomware ถูกออกแบบโดยแฮ็คเกอร์ที่มีประสบการณ์ในการเขียนมัลแวร์ โดยใส่คุณสมบัติ Polymorphic ส่งผลให้ซอฟต์แวร์แอนตี้ไวรัสตรวจจับ Ransomware ได้ยากขึ้น FireCrypt แพร่กระจายตัวผ่านทางไฟล์ EXE เมื่อเหยื่อเผลอเปิดไฟล์ดังกล่าว FireCrypt จะปิดการทำงาน Task Manager (taskmgr.exe) และเริ่มเข้ารหัสไฟล์รวม 20 ประเภท เช่น ไฟล์เอกสาร รูปภาพ และเพลง โดยใช้อัลกอริธึมเข้ารหัสข้อมูลแบบ AES จากนั้นต่อท้ายไฟล์ด้วยนามสกุล “.firecrypt”

หลังจากเข้ารหัสเสร็จเรียบร้อย FireCrypt จะแสดงหน้าจอเรียกค่าไถ่ดังรูปด้านล่าง จากการตรวจสอบพบว่า ข้อความเรียกค่าไถ่ดังกล่าวเหมือนกับ Ransomware ที่ชื่อว่า “Deadly for a Good Purpose” ที่ค้นพบเมื่อเดือนตุลาคม 2016 ต่างกันตรงแค่ FireCrypt ไม่มีโลโก้ด้านบน อย่างไรก็ตาม เมื่อดูซอร์สโค้ดภายใน พบว่า Ransomware ทั้งสองใช้อีเมลและชื่อบัญชี Bitcoin เดียวกัน จึงเป็นไปได้สูงมากว่า Deadly for a Good Purpose ถูกปรับปรุงและเปลี่ยนชื่อใหม่เป็น FireCrypt

ข้อความเรียกค่าไถ่ของ FireCrypt Ransomware
ข้อความเรียกค่าไถ่ของ Deadly for a Good Purpose Ransomware

นอกจากเข้ารหัสไฟล์ข้อมูลแล้ว ซอร์สโค้ดของ FireCrypt ยังประกอบด้วยฟังก์ชันที่จะคอยเชื่อมต่อกับ URL ของสำนักงานโทรคมนาคมแห่งชาติปากีสถาน (http://www.pta.gov.pk/index.php) ตลอดเวลา เพื่อทำการดาวน์โหลด Content และบันทึกลงบนฮาร์ดดิสก์ภายในโฟลเดอร์ %Temp% โดยตั้งชื่อว่า [RANDOM_CHARS]-{CONNECT_NUMBER].html ส่งผลให้โฟลเดอร์ %Temp% ของเหยื่อจะมีไฟล์ขยะโผล่ขึ้นมาเป็นจำนวนมาก

แฮ็คเกอร์ผู้พัฒนา FireCrypt เรียกฟีเจอร์นี้ว่า “DDoSer” แต่อาจจำเป็นต้องแพร่มัลแวร์ไปยังคอมพิวเตอร์หลายพันเครื่องแล้วสั่งโจมตีพร้อมกันถึงจะรุนแรงพอที่จะทำให้เว็บไซต์ของสำนักโทรคมนาคมหยุดชะงักการให้บริการได้

จนถึงตอนนี้ยังไม่มีโปรแกรม Decrypter สำหรับถอดรหัสข้อมูลของ FireCrypt แต่อย่างใด

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/firecrypt-ransomware-comes-with-a-ddos-component/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เรื่องใกล้ตัวกว่าที่คิด! “รู้ทันภัยไซเบอร์” ป้องกันอย่างไร..ไม่ให้ตกเป็นเหยื่อ [Guest Post]

ปัจจุบัน Cybercrime หรือ อาชญากรรมไซเบอร์เกิดขึ้นทุกวันและมีอัตราการการโจมตีเพิ่มขึ้น ทำให้องค์กรในยุคปัจจุบันต้องเผชิญกับความเสี่ยงด้านความปลอดภัยมากกว่าในอดีต อีกทั้งอาชญากรรมไซเบอร์มีการพัฒนารูปแบบการจู่โจม เทคนิคและซับซ้อนมากยิ่งขึ้น พร้อมแทรกซึมเข้าสู่องค์กรเป้าหมายอยู่ตลอดเวลา แล้วจะทำอย่างไร? ให้องค์กรของคุณ…สามารถดำเนินการธุรกิจได้อย่างปอลดภัย และสามารถป้องกันพร้อมรับมือกับอาชญากรรมไซเบอร์ที่อาจจะเกิดขึ้นในอนาคตได้ “Attackers are adapting and …

Microsoft OneNote เตรียมบล็อกไฟล์แนบกว่า 120 นามสกุล เพื่อเพิ่มความปลอดภัย

Microsoft OneNote เตรียมบล็อกไฟล์แนบกว่า 120 นามสกุล เพื่อเพิ่มความปลอดภัยในการใช้งาน