Tyrant Ransomware ระบาดผ่านแอปพลิเคชัน VPN ยอดฮิต

ศูนย์เตือนภัยฉุกเฉินด้านคอมพิวเตอร์ของอิหร่านหรือ (Iran CERTCC) ได้ออกมาแจ้งเตือนการกระจายของ Tyrant Ransomware โดยผู้ร้ายได้ฝัง Ransomware ไปในแอปพลิเคชันที่ได้รับความนิยมอย่าง Phisphon VPN

รายงานระบุว่าเหยื่อมีเวลา 24 ชั่วโมงเพื่อจ่ายค่าไถ่ $15 โดย Ransomware ตัวนี้มุ่งโจมตีในประเทศอิหร่านเนื่องจากแสดงภาษาเป็น Farsi และกระบวนการจ่ายเงินที่ใช้ภายในประเทศเท่านั้นคือ exchanging.ir และ webmoney724.ir นอกจากนี้จดหมายเรียกค่าไถ่ยังแสดงช่องทางการติดต่อไว้ 2 วิธีคือ rastakhiz@protonmail และ Telagram ชื่อผู้ใช้งานคือ @Ttyperns

Tyrant Ransomware คือส่วนหนึ่งใน ‘Dumb Family’ โดยที่นิยามคำว่า Dumb ว่าเป็นมัลแวร์แบบโง่ๆ หรือขำๆ เพราะ Ramsomware ตระกูลนี้บางตัวมีพฤติกรรมที่ไม่ค่อยฉลาด เช่น ใช้ XOR ในการเข้ารหัสแบบง่ายๆ และเก็บ Key ไว้ในไฟล์ที่เข้ารหัสเอง หรือกรณีเมื่อผู้ใช้งานปิดหน้าต่างข้อความเรียกค่าไถ่ไฟล์จะหายเป็นปกติ

Tyrant Ransomware มีการแก้ไขโค้ดอย่างหยาบๆ จากต้นแบบ โดยทาง CERTCC วิเคราะห์เจอโค้ดคุณภาพแย่ “จากการวิเคราะห์เบื้องต้นพบว่านี่ต้องเป็นเวอร์ชันแรก หรือเป็นการทดลอง ก่อนยกระดับการโจมตีแน่นอน เพราะบางครั้งการเข้ารหัสไฟล์เหยื่อก็ทำไม่สำเร็จ มันไม่สามารถรักษาการทำงานของมันไว้ได้เมื่อถูกรีบูตทั้งๆ ที่สามารถการแก้ไข Registry ได้หลายจุด” นอกจากนี้ CERTCC ได้เตือนถึงการใช้งาน RDP ที่มี Credential ที่อ่อนแอว่าระวังตกเป็นเหยื่อของ Ransomware ต่างๆ ได้

ที่มา : https://www.bleepingcomputer.com/news/security/tyrant-ransomware-spreads-in-iran-disguised-as-popular-vpn-app/