Scarab Ransomware ใช้งาน Necurs Botnet เพื่อกระจายตัวเองผ่านทางอีเมล

Forcepoint ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้พบพฤติกรรมดังกล่าวครั้งแรกเมื่อวัน 23 พฤจิกายนว่า Scarab Ransomware ได้ถูกส่งออกไปยังโดเมน .com ตามมาด้วย .uk ตามลำดับ ด้วยอีเมลกว่า 12.5 ล้านฉบับภาย 4 ชั่วโมงแรกเท่านั้น

โดยอีเมล์ขยะดังกล่าวจะใช้ชื่อเรื่องว่า “Scanned from {ชื่อปริ้นเตอร์ของบบริษัท}” และพร้อมกับแนบไฟล์ 7zip ที่มี VBScript Downloader อยู่ภายใน ซึ่งนักวิจัยพบว่าโดเมนที่ใช้เพื่อดาวน์โหลดเคยถูกใช้ในการโจมตีของ Necurs และ Forcepoint ได้อธิบายเพิ่มเติมว่า “เมื่อ Ransomware ถูกติดตั้งแต่แล้วมันจะต่อท้ายไฟล์ที่เข้ารหัสด้วยชื่อ ‘.[suuport@protonmail.com].scarab’  พร้อมกับทิ้งไฟล์ชื่อ’IF YOU WANT TO GET ALL YOUR FILES BACK, PLEASE READ THIS.TXT’ ไว้ในโฟลเดอร์ที่ได้รับผลกระทบ โดยชื่อ ‘support’ ที่ถูกเขียนผิดนั้นปรากฏอยู่ในชื่อไฟล์และข้อความ ดังนั้นมันอาจจะเป็นไปได้ว่าอีเมลนั้นมีอยู่จริงบนบริการอีเมลของ Protonmail”

นอกจากนี้มัลแวร์ตัวนี้ไม่ได้ทิ้งข้อความเรียกร้องจำนวนเงินที่ต้องการเอาไว้เพียงแต่บอกว่าราคาขึ้นกับว่าเหยื่อจะติดต่อกับผู้โจมตีมาเร็วแค่ไหน แม้ว่าการจ่ายเงินจะผ่านทาง Bitcoins เช่นเดิมและใช้อีเมลเพื่อการติดต่อเป็นช่องทางหลัก แต่มันก็มี BitMessage สำรองเอาไว้ในกรณีที่โดเมนดังกล่าวถูกปิดไป

อย่างไรก็ตามโชคดีที่ Anti-malware ของหลายเจ้าสามารถตรวจจับ Scarab ได้และแม้ว่ามันจะดูเหมือนมีความซับซ้อนน้อยกว่า Locky แต่การเรียกค่าไถ่ผ่านทางอีเมลมันดูง่ายและขัดแย้งกับการกระจายตัวในวงกว้างของมัน ดังนั้นเพื่อความปลอดภัยผู้ใช้งานก็อย่านิ่งนอนใจด้วยการใช้งานซอฟต์แวร์เพื่อป้องกันเครื่องให้ปลอดภัยรวมถึงอัปเดทให้ล่าสุดอยู่เสมอและระมัดระวังการใช้งานอีเมลให้มากขึ้นด้วย

ที่มา : https://www.infosecurity-magazine.com/news/scarab-ransomware-necurs-spread/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Twitter เชื่อ มีหน่วยงานรัฐอยู่เบื้องหลังเหตุ Data Breach ที่เพิ่งเกิดขึ้น

Twitter ออกแถลงการณ์ หลังจากทำการแพตช์ช่องโหว่บนแบบฟอร์มสำหรับสนับสนุนผู้ใช้ และทำการตรวจสอบเบื้องต้น พบมีผู้ไม่ประสงค์ดีใช้ประโยชน์จากช่องโหว่ดังกล่าวในการขโมยข้อมูลของผู้ใช้ เชื่อว่าเหตุการณ์นี้เป็นการโจมตีแบบ State-sponsored ซึ่งมีหน่วยงานรัฐของบางประเทศอยู่เบื้องหลัง

ผู้เชี่ยวชาญเตือนมีเซิร์ฟเวอร์ Jenkins จำนวนมากยังไม่แพตช์ช่องโหว่ร้ายแรง

ผู้เชี่ยวชาญจาก CyberArk ที่ค้นพบช่องโหว่ 2 รายการบน Jenkins ได้เตือนว่ายังมีเซิร์ฟเวอร์อีกจำนวนมากที่ยังไม่ได้รับการแพทช์แก้ไขช่องโหว่ของเมื่อหลายเดือนก่อนที่ถูกจัดอยู่ในระดับร้ายแรงซึ่งทำให้แฮ็กเกอร์สามารถเข้าควบคุมเครื่องได้แบบเบ็ดเสร็จ