Scarab Ransomware ใช้งาน Necurs Botnet เพื่อกระจายตัวเองผ่านทางอีเมล

Forcepoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้พบพฤติกรรมดังกล่าวครั้งแรกเมื่อวัน 23 พฤจิกายนว่า Scarab Ransomware ได้ถูกส่งออกไปยังโดเมน .com ตามมาด้วย .uk ตามลำดับ ด้วยอีเมลกว่า 12.5 ล้านฉบับภาย 4 ชั่วโมงแรกเท่านั้น

โดยอีเมล์ขยะดังกล่าวจะใช้ชื่อเรื่องว่า “Scanned from {ชื่อปริ้นเตอร์ของบบริษัท}” และพร้อมกับแนบไฟล์ 7zip ที่มี VBScript Downloader อยู่ภายใน ซึ่งนักวิจัยพบว่าโดเมนที่ใช้เพื่อดาวน์โหลดเคยถูกใช้ในการโจมตีของ Necurs และ Forcepoint ได้อธิบายเพิ่มเติมว่า “เมื่อ Ransomware ถูกติดตั้งแต่แล้วมันจะต่อท้ายไฟล์ที่เข้ารหัสด้วยชื่อ ‘.[suuport@protonmail.com].scarab’  พร้อมกับทิ้งไฟล์ชื่อ’IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ ไว้ในโฟลเดอร์ที่ได้รับผลกระทบ โดยชื่อ ‘support’ ที่ถูกเขียนผิดนั้นปรากฏอยู่ในชื่อไฟล์และข้อความ ดังนั้นมันอาจจะเป็นไปได้ว่าอีเมลนั้นมีอยู่จริงบนบริการอีเมลของ Protonmail”

นอกจากนี้มัลแวร์ตัวนี้ไม่ได้ทิ้งข้อความเรียกร้องจำนวนเงินที่ต้องการเอาไว้เพียงแต่บอกว่าราคาขึ้นกับว่าเหยื่อจะติดต่อกับผู้โจมตีมาเร็วแค่ไหน แม้ว่าการจ่ายเงินจะผ่านทาง Bitcoins เช่นเดิมและใช้อีเมลเพื่อการติดต่อเป็นช่องทางหลัก แต่มันก็มี BitMessage สำรองเอาไว้ในกรณีที่โดเมนดังกล่าวถูกปิดไป

อย่างไรก็ตามโชคดีที่ Anti-malware ของหลายเจ้าสามารถตรวจจับ Scarab ได้และแม้ว่ามันจะดูเหมือนมีความซับซ้อนน้อยกว่า Locky แต่การเรียกค่าไถ่ผ่านทางอีเมลมันดูง่ายและขัดแย้งกับการกระจายตัวในวงกว้างของมัน ดังนั้นเพื่อความปลอดภัยผู้ใช้งานก็อย่านิ่งนอนใจด้วยการใช้งานซอฟต์แวร์เพื่อป้องกันเครื่องให้ปลอดภัยรวมถึงอัปเดทให้ล่าสุดอยู่เสมอและระมัดระวังการใช้งานอีเมลให้มากขึ้นด้วย

ที่มา : https://www.infosecurity-magazine.com/news/scarab-ransomware-necurs-spread/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

แก๊งแฮ็กเกอร์จีนถูกจับนับสิบ หลังลอบวาง Cryptominer บนอินเทอร์เน็ตคาเฟ่กว่า 30 แห่ง

เว็บไซต์หนังสือพิมพ์จีน Hangzhou ออกมาเปิดเผย สัปดาห์ที่ผ่านมา ตำรวจจีนได้จับกุมตัวแก๊งแฮ็กเกอร์จำนวน 16 คนซึ่งทำงานในบริษัท IT แห่งหนึ่ง หลังลอบวาง Cryptocurrency Miner ในร้านอินเทอร์เน็ตคาเฟ่รวมแล้วถึง 30 แห่งทั่วประเทศจีน

เตือนช่องโหว่ Wavethrough บนเบราว์เซอร์ เสี่ยงถูกขโมยข้อมูลความลับ

Jake Archibald นักวิจัยและนักพัฒนาจาก Google ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูงบนเว็บเบราว์เซอร์สมัยใหม่อย่าง Microsoft Edge และ Mozilla Firefox ซึ่งช่วยให้เว็บไซต์ที่ผู้ใช้เข้าถึงสามารถขโมยข้อมูลจากเว็บไซต์อื่นๆ เช่น ข้อมูลล็อกอิน ที่เปิดใช้บนเบราว์เซอร์เดียวกันได้