Breaking News

พบ Matrix Ransomware แบบใหม่แพร่ผ่านการแฮ็ก Remote Desktop

นักวิจัยจาก MalwareHunterTeam ได้ค้นพบ Ransomware ตระกูล Matrix 2 ตัวที่ถูกติดตั้งหลังจากโจมตี Remote Desktop ที่เชื่อมต่อผ่านอินเทอร์เน็ตด้วยวิธีการ Brute-force รหัสผ่าน อีกทั้ง Ransomware ทั้งสองตัวนี้ไม่สามารถถอดรหัสข้อมูลแบบฟรีๆ ได้

credit : Bleepingcomputer.com

พฤติกรรมที่เหมือนกันของทั้งสองตัวคือแฮ็กเกอร์จะต้องแฮ็กผ่านบริการ Remote Desktop เสียก่อนเพื่อเข้าไปติดตั้งและรันมัลแวร์ หลังจากนั้นมันจะทำการเข้ารหัส Network share ที่ไม่ได้ถูก Map  แสดงหน้าต่างสถานะการเข้ารหัส ทำลาย Shadow volume copy สุดท้ายคือเข้ารหัสชื่อไฟล์ รวมถึงมีการเปลี่ยนพื้นหลังด้วย

สายพันธุ์แรก : Files4463@tuta.io

  • มีการแสดงหน้าต่าง 2 หน้าต่างคือ ข้อความแสดงสถานะของการเข้ารหัส และ ข้อมูลเกี่ยวกับการสแกนหา Network Share
  • เข้ารหัสชื่อไฟล์ต่อท้ายด้วย Files4463@tuta.io
  • ทิ้งโน๊ตไว้ในแต่ละโฟลเดอร์ที่ถูกสแกนชื่อ !ReadMe_To_Decrypt_Files!.rtf ซึ่งมีอีเมลติดต่อของแฮ็กเกอร์คือ File4463@gmail.com,  File4463@tuta.io และ  File4463@protonmail.ch
credit : Bleepingcomputer.com

สายพันธ์ุสอง : RestorFile@tutanota.com

ลักษณะคล้ายกับสายพันธุ์แรกที่แตกต่างกันคือ
  • มีข้อความ Debug ดีกว่าแบบแรก
  • เข้ารหัสข้อมูลด้วยชื่อ RestorFile@tutanota.com
  • ใช้คำสั่ง Cipher.exe /w:c เพื่อเขียนทับพื้นที่ว่างบนคอมพิวเตอร์ในไดร์ฟ C:\ หลังเข้ารหัสเสร็จ (ปกติแล้วคำสั่งนี้เป็นเครื่องมือ Build-in ใน Windows สามารถใช้เพื่อการลบข้อมูลอย่างถาวรโดยการเขียนข้อมูลทับเพื่อป้องกันเครื่องมือกู้คืนข้อมูล)
  • ทิ้งโน๊ตไว้ชื่อ #Decrypt_Files_ReadMe#.rtf อีเมลติดต่อของแฮ็กเกอร์คือ RestorFile@tutanota.com, RestorFile@protonmail.com และ RestorFile@qq.com

ผู้เชี่ยวชาญแนะวิธีการป้องกันดังนี้

  • มีการ Backup ข้อมูลที่น่าเชื่อถือพร้อมทั้งทำการทดสอบการกู้ข้อมูลในกรณีฉุกเฉินเช่น Ransomware เป็นต้น
  • ตรวจสอบให้แน่ใจว่าไม่มีคอมพิวเตอร์ในองค์กรหรือเครือข่ายที่สามารถทำการ Remote Desktop จากภายนอกได้ หากจำเป็นจริงๆ ให้วางไว้หลัง VPN
  • วางนโนบายการล็อกบัญชีเพื่อให้ทำการ Brute-force ได้ยากขึ้น
  • อย่าลืมติดตั้งซอฟต์แวร์ด้านความมั่นคงปลอดภัยที่มีประสิทธิภาพด้วย
  • ฝึกฝนนิสัยการใช้งาน อย่าเปิดไฟล์แนบที่ไม่น่าไว้ใจ จนกว่าจะสามารถยืนยันได้ว่าผู้ส่งน่าเชื่อถือและตั้งใจส่งมาจริง
  • อัปเดต Windows และโปรแกรมเสริมอื่นๆ อย่างสม่ำเสมอ

ที่มา : https://www.bleepingcomputer.com/news/security/new-matrix-ransomware-variants-installed-via-hacked-remote-desktop-services/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco แพตช์ช่องโหว่ร้ายแรงใน Firepower Management และผลิตภัณฑ์อื่นกว่า 26 รายการแนะผู้ใช้เร่งอัปเดต

Cisco ได้ประกาศ Advisory สำหรับช่องโหว่ต่างๆ กว่า 27 รายการ โดยมีช่องโหว่ร้ายแรง 1 รายการกระทบกับซอฟต์แวร์ Firepower Management Center จึงแนะนำให้ผู้ใช้งานเร่งอัปเดตครับ

Microsoft ประกาศเหตุคอนฟิค Rule ผิด เปิดเข้าถึงข้อมูลลูกค้าได้กว่า 250 ล้านรายการ

Microsoft ได้ประกาศถึงเหตุการความผิดพลาดโดยไม่ตั้งใจสาเหตุจากการคอนฟิค Security Rule ของ Azure ที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล Customer Support ส่งผลให้ข้อมูลกว่า 250 ล้านรายการสามารถถูกเข้าถึงได้ แต่ยังไม่มีรายงานพบการนำข้อมูลไปใช้ในทางที่ไม่ดี