Scarab Ransomware ใช้งาน Necurs Botnet เพื่อกระจายตัวเองผ่านทางอีเมล

Forcepoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้พบพฤติกรรมดังกล่าวครั้งแรกเมื่อวัน 23 พฤจิกายนว่า Scarab Ransomware ได้ถูกส่งออกไปยังโดเมน .com ตามมาด้วย .uk ตามลำดับ ด้วยอีเมลกว่า 12.5 ล้านฉบับภาย 4 ชั่วโมงแรกเท่านั้น

โดยอีเมล์ขยะดังกล่าวจะใช้ชื่อเรื่องว่า “Scanned from {ชื่อปริ้นเตอร์ของบบริษัท}” และพร้อมกับแนบไฟล์ 7zip ที่มี VBScript Downloader อยู่ภายใน ซึ่งนักวิจัยพบว่าโดเมนที่ใช้เพื่อดาวน์โหลดเคยถูกใช้ในการโจมตีของ Necurs และ Forcepoint ได้อธิบายเพิ่มเติมว่า “เมื่อ Ransomware ถูกติดตั้งแต่แล้วมันจะต่อท้ายไฟล์ที่เข้ารหัสด้วยชื่อ ‘.[suuport@protonmail.com].scarab’  พร้อมกับทิ้งไฟล์ชื่อ’IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ ไว้ในโฟลเดอร์ที่ได้รับผลกระทบ โดยชื่อ ‘support’ ที่ถูกเขียนผิดนั้นปรากฏอยู่ในชื่อไฟล์และข้อความ ดังนั้นมันอาจจะเป็นไปได้ว่าอีเมลนั้นมีอยู่จริงบนบริการอีเมลของ Protonmail”

นอกจากนี้มัลแวร์ตัวนี้ไม่ได้ทิ้งข้อความเรียกร้องจำนวนเงินที่ต้องการเอาไว้เพียงแต่บอกว่าราคาขึ้นกับว่าเหยื่อจะติดต่อกับผู้โจมตีมาเร็วแค่ไหน แม้ว่าการจ่ายเงินจะผ่านทาง Bitcoins เช่นเดิมและใช้อีเมลเพื่อการติดต่อเป็นช่องทางหลัก แต่มันก็มี BitMessage สำรองเอาไว้ในกรณีที่โดเมนดังกล่าวถูกปิดไป

อย่างไรก็ตามโชคดีที่ Anti-malware ของหลายเจ้าสามารถตรวจจับ Scarab ได้และแม้ว่ามันจะดูเหมือนมีความซับซ้อนน้อยกว่า Locky แต่การเรียกค่าไถ่ผ่านทางอีเมลมันดูง่ายและขัดแย้งกับการกระจายตัวในวงกว้างของมัน ดังนั้นเพื่อความปลอดภัยผู้ใช้งานก็อย่านิ่งนอนใจด้วยการใช้งานซอฟต์แวร์เพื่อป้องกันเครื่องให้ปลอดภัยรวมถึงอัปเดทให้ล่าสุดอยู่เสมอและระมัดระวังการใช้งานอีเมลให้มากขึ้นด้วย

ที่มา : https://www.infosecurity-magazine.com/news/scarab-ransomware-necurs-spread/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เจ้าของ LeakedSource ถูกจับ หลังเปิดขายรหัสผ่านกว่า 3,000 ล้านรายการ

ตำรวจแคนาดา (Royal Canadian Mounted Police: RCMP) เข้าควบคุมตัว Jordan Evan Bloom ผู้ก่อตั้งเว็บไซต์ LeakedSource.com หลังเปิดบริการขายข้อมูล Credential ของผู้ใช้ที่ถูกขโมยจากเหตุการณ์ …

เตือนแคมเปญ Phishing ล่าสุด หลอกขโมยรหัสผ่านและบัตรเครดิตของผู้ใช้ Netflix

Sophos ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยแบบวงจรจากสหราชอาณาจักร ออกมาแจ้งเตือนถึงแคมเปญ Phishing ใหม่ ที่พุ่งเป้าโจมตีผู้ใช้ Netflix เพื่อหลอกขโมยข้อมูลล็อกอิน ข้อมูลบัตรเดรดิต รูปถ่าย และข้อมูลบัตรประชาชน