นักวิจัยของ ESET ค้นพบแรนซัมแวร์ที่กำหนดเป้าหมาย SMB ในยุโรปและเอเชีย เบื้องหลังการโจมตีทางไซเบอร์ที่เกิดจาก ScRansom คือกลุ่มแฮ็กเกอร์ CosmicBeetle ใช้งานมาตั้งแต่ปี 2020 โดยใช้ประโยชน์จากช่องโหว่ที่ไม่ได้รับการติดตั้งเพื่อแทรกซึมระบบที่มีช่องโหว่และรีดไถเงิน รวมถึงจากบริษัทในฝรั่งเศส
นักวิจัยของ ESET ได้ค้นพบร่องรอยของแรนซัมแวร์ตัวใหม่ เรียกว่า ScRansom การโจมตีของมัลแวร์ธุรกิจขนาดเล็กและขนาดกลาง(พีเอ็มอี)“ส่วนใหญ่อยู่ในยุโรปและเอเชีย”- เหยื่อที่ได้รับสิทธิพิเศษของ ScRansom ทำงานในภาคการผลิต เภสัชกรรม การศึกษา สุขภาพ เทคโนโลยี การพักผ่อนในโรงแรม หรือภาคการบริหาร
ดังที่แสดงในแผนที่เหยื่อที่เผยแพร่โดย ESET ไวรัสมีรีดไถเงินจากบริษัทที่ตั้งอยู่ในฝรั่งเศส- บนเว็บไซต์มืด ScRansom ที่แสดงรายการข้อมูลของเหยื่อที่ปฏิเสธที่จะร่วมมือ ยังมีบริษัทแห่งหนึ่งที่ตั้งอยู่ในโมนาโก เปิดให้บริการตั้งแต่เดือนสิงหาคม 2567
อ่านเพิ่มเติม:เหตุใดอาชญากรไซเบอร์จึงโลภมากขึ้น
แคมเปญโดย CosmicBeetle
เราพบเบื้องหลังการโจมตีระลอกนี้ด้วงจักรวาลซึ่งเป็นแก๊งที่เปิดใช้งานมาตั้งแต่ปี 2020 และได้รับความสนใจเมื่อปีที่แล้วด้วยการใช้เครื่องมือมัลแวร์แบบกำหนดเองที่พัฒนาในภาษาการเขียนโปรแกรม Delphi ในคลังแสงของกลุ่มเล็กๆ ESET ได้ระบุ ScHackTool ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อหลีกเลี่ยงความปลอดภัยของระบบ หรือ ScInstaller ซึ่งสามารถติดตั้งซอฟต์แวร์ที่เป็นอันตรายบนเครื่องได้ เครื่องมือเหล่านี้จำเป็นสำหรับการโจมตีแรนซัมแวร์
แก๊งค์เริ่มปฏิบัติการโดยใช้เครื่องมือจากLockBit แก๊งค์หลักที่เชี่ยวชาญเรื่องการขู่กรรโชก- โดยเฉพาะโจรสลัดแรนซั่มแวร์ Lockbit ที่รีไซเคิลแล้ว-ซึ่งมีซอร์สโค้ดอยู่ในเว็บมืดหลังจากมีการรั่วไหล ดังที่ Jakub Souček นักวิจัยของ ESET อธิบายว่า แก๊งค์นี้ต้องการขี่ตามความอื้อฉาวของ Lockbit:
“น่าจะเนื่องมาจากอุปสรรคในการเขียนแรนซัมแวร์แบบกำหนดเองตั้งแต่เริ่มต้น CosmicBeetle พยายามใช้ประโยชน์จากชื่อเสียงของ LockBit บางทีอาจปกปิดปัญหาของแรนซัมแวร์ดั้งเดิม และเพิ่มโอกาสที่เหยื่อจะต้องจ่ายเงิน »-
ตามที่นักวิจัยระบุ CosmicBeetle ได้ขยับเข้าใกล้มากขึ้นในเวลาต่อมาRansomHubซึ่งเป็นเครือข่ายแรนซัมแวร์ในรูปแบบบริการที่กำลังเติบโต จากนั้นแก๊งค์ก็เริ่มใช้ ScRansom ซึ่งเป็นแรนซัมแวร์ที่มีการพัฒนาอย่างต่อเนื่อง
ข้อบกพร่องที่ยังไม่ได้แก้ไข ซึ่งเป็นประโยชน์สำหรับ CosmicBeetle
เพื่อแทรกซึมไวรัสไปยังระบบเป้าหมาย แก๊งค์จึงต้องอาศัยการโจมตีแบบดุร้าย เห็นได้ชัดว่าแฮกเกอร์จะทดสอบชุดค่าผสมต่างๆ มากมายก่อนที่จะได้รับรหัสผ่านที่ถูกต้อง ESET เสริมว่า CosmicBeetle ก็ทำงานเช่นกันการละเมิดความปลอดภัยเปิดเผยและแก้ไขเรียบร้อยแล้ว จริงๆ แล้วแก๊งนี้มุ่งเป้าไปที่ SMEs ที่ยังไม่ใส่ใจที่จะติดตั้งแพตช์ ซึ่งเปิดประตูสู่การโจมตีทางไซเบอร์:
“ธุรกิจขนาดเล็กและขนาดกลางในทุกอุตสาหกรรม (ทั่วโลก) มักจะตกเป็นเหยื่อของนักแสดงรายนี้ เนื่องจากเป็นกลุ่มที่มีแนวโน้มมากที่สุดที่จะใช้ซอฟต์แวร์ที่ล้าสมัยและขาดกระบวนการจัดการข้อมูลที่มีประสิทธิภาพ”
แม้ว่า RansomHub จะมีความพยายามในการพัฒนา แต่ ScRansom กลับไม่เป็นเช่นนั้น“แรนซัมแวร์ที่ไม่ซับซ้อนมากนัก”- ในความเป็นจริงมันเกิดขึ้นอย่างนั้นการถอดรหัสไฟล์ไม่เกิดขึ้นตามที่คาดไว้- คีย์ถอดรหัสที่ CosmicBeetle มอบให้นั้นไม่ได้ผลเสมอไป ซึ่งอาจส่งผลให้เกิดการทำลายล้างได้“ไฟล์บางไฟล์”- แม้ว่าบริษัทจะจ่ายค่าไถ่ แต่ไฟล์ที่เข้ารหัสก็อาจสูญหายได้“แก้ไขไม่ได้”- และแม้ว่าทุกอย่างจะเป็นไปด้วยดี“การถอดรหัสนั้นยาวและซับซ้อน”- นี่เป็นอีกเหตุผลหนึ่งที่จะไม่จ่ายค่าไถ่ที่อาชญากรไซเบอร์เรียกร้อง
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
