TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Check Point และ Avast 2 บริษัทด้านความมั่นคงปลอดภัยชื่อดัง ออกรายงานเกี่ยวกับมัลแวร์ ล่าสุดพบว่า Locky Ransomware มีอัตราการแพร่กระจายผ่าน Spam ลดลงถึง 81% คาดสาเหตุมาจากการที่ Necurs Botnet ที่ใช้แพร่มัลแวร์หยุดให้บริการเนื่องจากแฮ็คเกอร์ฉลองปีใหม่
รายงาน Global Threat Index ของ Check Point ฉบับล่าสุดระบุว่า อัตราการแพร่กระจายของ Locky Ransomware ลดลงถึง 81% ในเดือนธันวาคมที่ผ่านมา เมื่อเทียบกับช่วงเดือนตุลาคมที่ Locky ยังติด 1 ใน 10 อันดับมัลแวร์ยอดนิยมจากทั่วโลก เช่นเดียวกับรายงานจาก Avast ก็จะเห็นได้ว่าอัตราการเปิดอีเมล Spam ที่มี Locky Ransomware แฝงอยู่ลดปริมาณลงอย่างเห็นได้ชัดในช่วงหลังวันคริสต์มาส จากการตรวจสอบคาดว่าสาเหตุมาจาก Necurs Botnet ที่อยู่เบื้องหลังการกระจายอีเมล Spam ปิดตัวลงชั่วคราว
Necurs เป็นมัลแวร์ Bootkit ชนิดหนึ่ง ที่เมื่อติดเข้าไปยังอุปกรณ์คอมพิวเตอร์แล้ว จะเปลี่ยนคอมพิวเตอร์เป็น Necurs Botnet สำหรับใช้ส่งอีเมล Spam เพื่อแพร่กระจายมัลแวร์ ซึ่งก่อนหน้านี้ในปี 2015 Necurs Botnet ถูกใช้เพื่อแพร่กระจาย Dridex Banking Trojan แต่พอเข้าสู่ปี 2016 Dridex ได้ถูกเปลี่ยนไปเป็น Locky Ransomware เนื่องจากให้ผลตอบแทนที่ดีกว่า
MalwareTech อธิบายว่า สาเหตุที่กิจการของ Locky Ransowmare ซบเซาลงเนื่องมาจากการที่ C&C Server ของ Necurs ออฟไลน์ลงชั่วคราว ซึ่งเป็นช่วงเดียวกันกับปีที่ผ่านมา คาดว่าแฮ็คเกอร์คงหยุดพักผ่อนเพื่อฉลองวันคริสต์มาสและปีใหม่ และเป็นไปได้สูงที่ Necurs จะกลับมาแพร่กระจายมัลแวร์อีกครั้งในช่วงเร็วๆ นี้
@campuscodi @lorenzoFB Locky is still spreading, just not via Necurs (because C2s are offline).
— MalwareTech (@MalwareTechBlog) January 17, 2017
อย่างไรก็ตาม นอกจาก Necurs Botnet แล้ว Locky Ransomware ยังแพร่กระจายตัวผ่านอีกหนึ่งช่องทาง คือ Kovter ซึ่งเป็นมัลแวร์ประเภท Click-fraud คอมพิวเตอร์ที่ติดมัลแวร์ดังกล่าวจะแอบคลิกโฆษณาเพื่อสร้างรายได้ให้แก่แฮ็คเกอร์โดยที่ผู้ใช้ไม่รู้ตัว แต่หลังจากเดือนตุลาคมที่ผ่านมา Kovter ได้เริ่มลอบส่ง Locky Ransowmare เข้าสู่คอมพิวเตอร์ด้วยเช่นกัน
ที่มา: https://www.bleepingcomputer.com/news/security/locky-ransomware-activity-goes-down-by-81-percent/
