พบ Matrix Ransomware แบบใหม่แพร่ผ่านการแฮ็ก Remote Desktop

นักวิจัยจาก MalwareHunterTeam ได้ค้นพบ Ransomware ตระกูล Matrix 2 ตัวที่ถูกติดตั้งหลังจากโจมตี Remote Desktop ที่เชื่อมต่อผ่านอินเทอร์เน็ตด้วยวิธีการ Brute-force รหัสผ่าน อีกทั้ง Ransomware ทั้งสองตัวนี้ไม่สามารถถอดรหัสข้อมูลแบบฟรีๆ ได้

credit : Bleepingcomputer.com

พฤติกรรมที่เหมือนกันของทั้งสองตัวคือแฮ็กเกอร์จะต้องแฮ็กผ่านบริการ Remote Desktop เสียก่อนเพื่อเข้าไปติดตั้งและรันมัลแวร์ หลังจากนั้นมันจะทำการเข้ารหัส Network share ที่ไม่ได้ถูก Map  แสดงหน้าต่างสถานะการเข้ารหัส ทำลาย Shadow volume copy สุดท้ายคือเข้ารหัสชื่อไฟล์ รวมถึงมีการเปลี่ยนพื้นหลังด้วย

สายพันธุ์แรก : Files4463@tuta.io

  • มีการแสดงหน้าต่าง 2 หน้าต่างคือ ข้อความแสดงสถานะของการเข้ารหัส และ ข้อมูลเกี่ยวกับการสแกนหา Network Share
  • เข้ารหัสชื่อไฟล์ต่อท้ายด้วย Files4463@tuta.io
  • ทิ้งโน๊ตไว้ในแต่ละโฟลเดอร์ที่ถูกสแกนชื่อ !ReadMe_To_Decrypt_Files!.rtf ซึ่งมีอีเมลติดต่อของแฮ็กเกอร์คือ File4463@gmail.com,  File4463@tuta.io และ  File4463@protonmail.ch
credit : Bleepingcomputer.com

สายพันธ์ุสอง : RestorFile@tutanota.com

ลักษณะคล้ายกับสายพันธุ์แรกที่แตกต่างกันคือ
  • มีข้อความ Debug ดีกว่าแบบแรก
  • เข้ารหัสข้อมูลด้วยชื่อ RestorFile@tutanota.com
  • ใช้คำสั่ง Cipher.exe /w:c เพื่อเขียนทับพื้นที่ว่างบนคอมพิวเตอร์ในไดร์ฟ C:\ หลังเข้ารหัสเสร็จ (ปกติแล้วคำสั่งนี้เป็นเครื่องมือ Build-in ใน Windows สามารถใช้เพื่อการลบข้อมูลอย่างถาวรโดยการเขียนข้อมูลทับเพื่อป้องกันเครื่องมือกู้คืนข้อมูล)
  • ทิ้งโน๊ตไว้ชื่อ #Decrypt_Files_ReadMe#.rtf อีเมลติดต่อของแฮ็กเกอร์คือ RestorFile@tutanota.com, RestorFile@protonmail.com และ RestorFile@qq.com

ผู้เชี่ยวชาญแนะวิธีการป้องกันดังนี้

  • มีการ Backup ข้อมูลที่น่าเชื่อถือพร้อมทั้งทำการทดสอบการกู้ข้อมูลในกรณีฉุกเฉินเช่น Ransomware เป็นต้น
  • ตรวจสอบให้แน่ใจว่าไม่มีคอมพิวเตอร์ในองค์กรหรือเครือข่ายที่สามารถทำการ Remote Desktop จากภายนอกได้ หากจำเป็นจริงๆ ให้วางไว้หลัง VPN
  • วางนโนบายการล็อกบัญชีเพื่อให้ทำการ Brute-force ได้ยากขึ้น
  • อย่าลืมติดตั้งซอฟต์แวร์ด้านความมั่นคงปลอดภัยที่มีประสิทธิภาพด้วย
  • ฝึกฝนนิสัยการใช้งาน อย่าเปิดไฟล์แนบที่ไม่น่าไว้ใจ จนกว่าจะสามารถยืนยันได้ว่าผู้ส่งน่าเชื่อถือและตั้งใจส่งมาจริง
  • อัปเดต Windows และโปรแกรมเสริมอื่นๆ อย่างสม่ำเสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Oracle ออกแพตช์ 254 ช่องโหว่ประจำเดือนเมษายน แนะผู้ใช้ควรอัปเดต

Oracle แพตช์ช่องโหว่กว่า 254 รายการซึ่ง 153 รายการ กระทบกับฝั่งผลิตภัณฑ์ที่สำคัญต่อธุรกิจ เช่น E-Business Suite, Fusion Middleware, Financial Service Application, …

Microsoft นำเทคโนโลยี Anti-Phishing ให้ใช้งานผ่าน Chrome Extension

Microsoft ได้ออก Chrome Extension ที่ชื่อ ‘Windows Defender Browser Protection’ ซึ่งภายในมีเทคโนโลยีเพื่อป้องกันการล่อลวงผู้ใช้งานเข้าเพจอันตรายด้วยการแสดงผลหน้าเพจเป็นสีแดงเมื่อกำลังเข้าสู่ลิ้งก์ที่ไม่น่าวางใจ