Cerber Ransomware เวอร์ชันใหม่พุ่งเป้าโจมตีฐานข้อมูล

เว็บไซต์ BleepingComputer.com ออกมาเปิดเผยถึง Cerber Ransomware เวอร์ชันใหม่ล่าสุด ที่นอกจากจะค้นหาไฟล์เพื่อเข้ารหัสข้อมูลปกติแล้ว ยังพุ่งเป้าโจมตีฐานข้อมูล เช่น MySQL, Oracle และ MsSQL เพื่อเข้ารหัสข้อมูลในฐานข้อมูลอีกด้วย

Cerber Ransomware เวอร์ชันใหม่นี้ มีจุดแตกต่างที่เห็นได้ชัดจากเวอร์ชันก่อนหน้านี้อยู่ 4 จุด ได้แก่

• นามสกุลไฟล์หลังเข้ารหัส เปลี่ยนจาก .cerber3 ไปเป็นนามสกุลสุ่ม 4 ตัวอักษร เช่น 1xQHJgozZM.b71c
• ข้อความเรียกค่าไถ่จะอยู่บนไฟล์ HTA คือ README.hta ซึ่งเมื่อเปิดขึ้นมาจะเป็นหน้าต่างแอพพลิเคชันแสดงข้อความเรียกค่าไถ่เหมือนปกติ

• เพิ่มฟีเจอร์การโจมตีฐานข้อมูล โดย Cerber จะทำการ Kill Process ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล เนื่องจากโดยปกติแล้ว ระบบปฏิบัติการจะไม่ยอมให้ Process ใดๆ มีสิทธิ์ในการเขียนฐานข้อมูล ในกรณีที่มี Process อื่นกำลังเชื่อมต่อกับฐานข้อมูลอยู่ Cerber จึงต้องจัดการกับ Process เหล่านั้นทิ้งก่อนจึงจะสามารถเข้ารหัสข้อมูลในฐานข้อมูลได้

• มีการส่ง UDP Packets ไปยังชุดหมายเลข IP: 31.184.234.0/24 ด้วยจุดประสงค์บางอย่าง

Cerber เป็นหนึ่งในมัลแวร์เรียกค่าไถ่ประเภท Ransomware-as-a-Service ที่อาชญากรไซเบอร์สามารถซื้อใช้บริการได้ใน Dark Web โดยจ่ายค่าตอบแทนส่วนหนึ่งให้แก่แฮ็คเกอร์ผู้พัฒนามัลแวร์ตามจำนวนค่าไถ่ที่เก็บได้ นักวิจัยด้านความมั่นคงปลอดภัยวิเคราะห์ว่า แฮ็คเกอร์เจ้าของ Cerber Ransomware นี้จะสามารถทำรายได้ได้สูงกว่า $1,000,000 (ประมาณ 35 ล้านบาท) ในระยะเวลา 1 ปี

ที่มา: http://www.bleepingcomputer.com/news/security/cerber-ransomware-switches-to-a-random-extension-and-ends-database-processes/