TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
เว็บไซต์ BleepingComputer ออกมาแจ้งเตือนถึง Ransomware สายพันธุ์ใหม่ ชื่อว่า StorageCrypt พุ่งเป้าโจมตีอุปกรณ์ NAS เช่น Western Digital My Cloud ผ่านทางช่องโหว่ SambaCry โดยเรียกร้องค่าไถ่เป็นเงิน 0.4 – 2 Bitcoins (ประมาณ 180,000 – 900,000 บาท)
จากการตรวจสอบพบว่า อุปกรณ์ NAS ที่ติด StorageCrypt Ransomware จะมีไฟล์ Autorun.inf และไฟล์ Executable ชื่อ 美女与野兽.exe ซึ่งแปลว่า Beauty and the Beast ปรากฏขึ้นมา โดยไฟล์ Autorun.inf ดังกล่าวจะพยายามแพร่กระจายไฟล์ 美女与野兽.exe ไปยังคอมพิวเตอร์เครื่องอื่นๆ ที่เปิดเข้ามายังโฟลเดอร์ที่มีไฟล์เหล่านี้บรรจุอยู่
นอกจากนี้ Ransomware ดังกล่าวยังใช้ช่องโหว่ SambaCry เพื่อให้แฮ็กเกอร์สามารถเปิด Command Shell สำหรับดาวน์โหลดไฟล์และรันคำสั่งบนอุปกรณ์เป้าหมายได้อีกด้วย จากการวิเคราะห์เบื้องต้น พบว่าแฮ็กเกอร์ใช้ช่องโหว่นี้ในการติดตั้ง Ransomware ที่ชื่อ StorageCrypt บนอุปกรณ์คอมพิวเตอร์ โดยทำการดาวน์โหลดไฟล์ที่ชื่อว่า sambacry ไปเก็บไว้ในโฟลเดอร์ /tmp ในชื่อ apaceha จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่าไฟล์ดังกล่าวถูกใช้เพื่อติดตั้ง StorageCrypt หรือใช้เพื่อเป็น Backdoor ในการแอบเข้าถึงคอมพิวเตอร์ในภายหลัง
หลังจากที่ StorageCrypt ถูกติดตั้งบนเครื่องแล้ว มันจะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ NAS จากนั้นเปลี่ยนชื่อไฟล์แล้วต่อท้ายนามสกุลด้วย .locked หลังจากเข้ารหัสเสร็จเรียบร้อย ไฟล์เรียกค่าไถ่ชื่อว่า _READ_ME_FOR_DECRYPT.txt จะปรากฏขึ้นมา ซึ่งระบุจำนวนง่ายค่าไถ่และ Bitcoin Address ที่ต้องชำระ โดยค่าไถ่จะอยู่ที่ประมาณ 0.4 – 2 Bitcoins
ในกรณีนี้ วิธีการป้องกัน Ransomware แพร่กระจายผ่านช่องโหว่ SambaCry คือ การไม่เชื่อมต่ออุปกรณ์ NAS กับอินเทอร์เน็ต หรือใช้ Firewall ในการป้องกัน รวมไปถึงใช้ VPN ในการเข้าถึงไฟล์ที่เก็บไว้ใน NAS แทน
รายละเอียดเพิ่มเติม: https://www.bleepingcomputer.com/news/security/storagecrypt-ransomware-infecting-nas-devices-using-sambacry/
