Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

Cerber Ransomware เวอร์ชันใหม่พุ่งเป้าโจมตีฐานข้อมูล

เว็บไซต์ BleepingComputer.com ออกมาเปิดเผยถึง Cerber Ransomware เวอร์ชันใหม่ล่าสุด ที่นอกจากจะค้นหาไฟล์เพื่อเข้ารหัสข้อมูลปกติแล้ว ยังพุ่งเป้าโจมตีฐานข้อมูล เช่น MySQL, Oracle และ MsSQL เพื่อเข้ารหัสข้อมูลในฐานข้อมูลอีกด้วย

Cerber Ransomware เวอร์ชันใหม่นี้ มีจุดแตกต่างที่เห็นได้ชัดจากเวอร์ชันก่อนหน้านี้อยู่ 4 จุด ได้แก่

  • นามสกุลไฟล์หลังเข้ารหัส เปลี่ยนจาก .cerber3 ไปเป็นนามสกุลสุ่ม 4 ตัวอักษร เช่น 1xQHJgozZM.b71c
  • ข้อความเรียกค่าไถ่จะอยู่บนไฟล์ HTA คือ README.hta ซึ่งเมื่อเปิดขึ้นมาจะเป็นหน้าต่างแอพพลิเคชันแสดงข้อความเรียกค่าไถ่เหมือนปกติ

cerber_db_attack_2

  • เพิ่มฟีเจอร์การโจมตีฐานข้อมูล โดย Cerber จะทำการ Kill Process ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล เนื่องจากโดยปกติแล้ว ระบบปฏิบัติการจะไม่ยอมให้ Process ใดๆ มีสิทธิ์ในการเขียนฐานข้อมูล ในกรณีที่มี Process อื่นกำลังเชื่อมต่อกับฐานข้อมูลอยู่ Cerber จึงต้องจัดการกับ Process เหล่านั้นทิ้งก่อนจึงจะสามารถเข้ารหัสข้อมูลในฐานข้อมูลได้

cerber_db_attack_1

  • มีการส่ง UDP Packets ไปยังชุดหมายเลข IP: 31.184.234.0/24 ด้วยจุดประสงค์บางอย่าง

Cerber เป็นหนึ่งในมัลแวร์เรียกค่าไถ่ประเภท Ransomware-as-a-Service ที่อาชญากรไซเบอร์สามารถซื้อใช้บริการได้ใน Dark Web โดยจ่ายค่าตอบแทนส่วนหนึ่งให้แก่แฮ็คเกอร์ผู้พัฒนามัลแวร์ตามจำนวนค่าไถ่ที่เก็บได้ นักวิจัยด้านความมั่นคงปลอดภัยวิเคราะห์ว่า แฮ็คเกอร์เจ้าของ Cerber Ransomware นี้จะสามารถทำรายได้ได้สูงกว่า $1,000,000 (ประมาณ 35 ล้านบาท) ในระยะเวลา 1 ปี

ที่มา: http://www.bleepingcomputer.com/news/security/cerber-ransomware-switches-to-a-random-extension-and-ends-database-processes/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Aveva ให้ความสำคัญแก่กลยุทธ์ระบบคลาวด์ เพื่อตอบสนองต่อความต้องการในช่วง New Normal

AVEVA ผู้นำระดับโลกในด้านวิศวกรรมและซอฟต์แวร์อุตสาหกรรมเปิดตัว ‘Cloud-First’ ซึ่งเป็นองค์ประกอบสำคัญของกลยุทธ์พอร์ตโฟลิโอซอฟต์แวร์ระยะยาว เพื่อมุ่งเน้นการให้บริการหลักในระบบคลาวด์ เพื่อให้แน่ใจว่ามีพร้อมใช้งานได้และความพร้อมใช้งานสูง มีการจัดการผู้ใช้และความยืดหยุ่นในการทดลองใช้โซลูชันใหม่ๆ กลยุทธ์ดังกล่าวนั้นรวมถึงการแนะนำการผสมผสานที่ขับเคลื่อนด้วยสถานการณ์ระหว่างผลิตภัณฑ์เพื่อให้เกิดมูลค่าอย่างรวดเร็ว

Microsoft เตือนพบการโจมตีช่องโหว่ Zerologon แล้ว ผู้ใช้งานควรอัปเดตด่วน

Zerologon เป็นช่องโหว่ร้ายแรงระดับ 10/10 ในโปรโตคอล Netlogon ซึ่งถูกแพตช์ตั้งแต่สิงหาคมที่ผ่านมา และหลังจากหน่วยงานสำคัญต่างระดมแจ้งเตือนถึงความอันตราย วันนี้ Microsoft เองก็ประกาศอย่างทางการแล้วว่าพบการโจมตีจริงแล้ว จึงเตือนกันมาให้ผู้ดูแลระบบสำรวจตัวเองกันอีกครั้งครับ