Acer ยักษ์ใหญ่พีซีของไต้หวันได้รับผลกระทบจากการโจมตีแบบแรนซัมแวร์
เมื่อวันที่ 18 มีนาคมเว็บไซต์รั่วไหลของ Dark ของ Revil "Happy Blog" เผยแพร่การรั่วไหลที่ถูกกล่าวหาโดยอ้างว่าพวกเขาละเมิดอิเล็กทรอนิกส์ไต้หวันและผู้ผลิตคอมพิวเตอร์
กลุ่มแบ่งปันรูปภาพบางส่วนของไฟล์ที่ถูกขโมยไปเพื่อเป็นหลักฐานและเรียกร้อง $ 50 ล้านเพื่อไม่ให้ข้อมูลของ Acer รั่วไหลบนเว็บมืดและถอดรหัสคอมพิวเตอร์ของ บริษัท
ตาม BleepingComputer'sรายงานไฟล์ที่รั่วไหลออกมารวมถึงสเปรดชีตการเงินยอดคงเหลือของธนาคารและการสื่อสารของธนาคาร
การตอบสนองของ Acer
Acer ไม่ได้ยืนยันว่า Revil ransomware ได้โจมตีพวกเขาจริง ๆ หรือไม่ แต่บอกว่าพวกเขา "รายงานสถานการณ์ที่ผิดปกติเมื่อเร็ว ๆ นี้" กับ LEAs และ DPAs ที่เกี่ยวข้อง
บริษัท ไต้หวันมั่นใจว่าพวกเขาตรวจสอบระบบไอทีของพวกเขาอย่างต่อเนื่องและสร้างการป้องกันการโจมตีทางไซเบอร์ส่วนใหญ่
พวกเขากล่าวต่อว่าการโจมตีดังกล่าวกำหนดเป้าหมาย บริษัท อย่างต่อเนื่องเช่นพวกเขาและพวกเขาเพิ่งสังเกตเห็นสถานการณ์ที่ผิดปกติ
นอกจากนี้ บริษัท ได้รายงานปัญหานี้ไปยังหน่วยงานบังคับใช้กฎหมายและหน่วยงานคุ้มครองข้อมูลที่เกี่ยวข้องในหลายประเทศ
เมื่อ BleepingComputer ขอรายละเอียดเพิ่มเติม Acer ตอบว่า "มีการสอบสวนอย่างต่อเนื่องและเพื่อความปลอดภัยเราไม่สามารถแสดงรายละเอียดได้"
การโจมตีไม่ได้ขัดขวางระบบการผลิตของ บริษัท เช่นกันเนื่องจากเป็นเพียงเครือข่ายแบ็คออฟฟิศของ บริษัท
ตามบันทึกรายงานชื่อของ Acer ปรากฏในรายชื่อ บริษัท ของ Revil Ransomware Group ที่ไม่จ่ายค่าธรรมเนียมการกรรโชก
ด้วยความช่วยเหลือของ Marcelo Rivero นักวิเคราะห์ Malware Intelligence นักวิเคราะห์บันทึกการติดตามการติดตามพอร์ทัลเว็บมืดอื่น ๆ ของแก๊งค์
พอร์ทัลแสดงค่าไถ่ $ 50 ล้านที่แก๊งค์ต้องการจาก Acer และการแชทออนไลน์แก๊งค์ใช้เพื่อพูดคุยกับตัวแทนของ บริษัท
Revil คือใคร?
CRNชื่อRevil "เป็นหนึ่งในผู้ให้บริการ ransomware ที่น่าอับอายที่สุด" ซึ่งถูกกล่าวหาว่าปลดปล่อยการโจมตี ransomware ที่ร้ายแรงใน 22 เมืองและมณฑลเท็กซัสในปี 2562
คอมพิวเตอร์ทุกสัปดาห์รายงานนอกจากนี้ยังได้รับการยกย่องว่าเป็น "หนึ่งในภัยคุกคาม ransomware ที่กระตือรือร้นและอันตรายที่สุดในป่า"
เมื่อวันที่ 5 มีนาคม CRN รายงานว่าแก๊งค์อ้างว่าได้โจมตี Standley Systems ซึ่งเป็นโครงสร้างพื้นฐานด้านไอทีและ บริษัท ที่มีการจัดการ - และรับข้อมูลที่ละเอียดอ่อนรวมถึงหมายเลขประกันสังคมมากกว่า 1,000 หมายเลข
Revil หรือที่รู้จักกันในชื่อ Sodinokibi ถูกค้นพบครั้งแรกในปี 2562 โดย Cisco Talos
ทีมงานวิจัยภัยคุกคามขั้นสูงของ McAfee (ATR) ได้แบ่งปันข้อมูลเชิงลึกเกี่ยวกับวิธีการของ บริษัท ในเครือโดยใช้ Revil รวมถึงการแจกจ่าย ransomware ผ่านเอกสารหอก-ฟิชชิ่งและเอกสารอาวุธ
เอกสารเหล่านี้ - ไฟล์แบตช์ที่ดาวน์โหลด payloads จาก pastebin ไปยังกระบวนการบนระบบปฏิบัติการเป้าหมาย - ประนีประนอมโปรโตคอลเดสก์ท็อประยะไกล (RDPS) และใช้ไฟล์สคริปต์และเครื่องมือแคร็กรหัสผ่านเพื่อแจกจ่ายผ่านเครือข่ายเป้าหมาย
ทีม ATR สังเกตว่าหลายกลุ่มประนีประนอมและติดตาม RDP Honeypots ที่พวกเขาวิ่งระหว่างเดือนมิถุนายนถึงกันยายน 2019
ฮันนีพ็อตเหล่านี้ดึงนักแสดงจากที่อยู่ IP ทั่วโลก แต่เล่ห์เหลี่ยมจะไม่ดำเนินการหากตรวจพบทั้งภาษาเปอร์เซีย (ฟาร์ซี) และภาษาโรมาเนียที่ติดตั้งบนเครื่องของเหยื่อ
McAfee สังเกตว่า Revil มักจะเรียกร้องค่าไถ่ระหว่าง 0.44 และ 0.45 bitcoin ซึ่งอยู่ที่ประมาณ $ 4,000
บทความนี้เป็นเจ้าของโดย Tech Times
เขียนโดย Lee Mercado
