แรนซัมแวร์ของคิวบาเน้นย้ำถึงการกระทำผิดของตน ด้วยคลังแสงมัลแวร์ แฮกเกอร์สามารถรีดไถเงินมากกว่า 130 ล้านดอลลาร์จากเหยื่อของพวกเขา การสืบสวนเผยให้เห็นถึงวิธีการทำงานของอาชญากรไซเบอร์
ณ สิ้นปี 2563 นักวิจัยด้านความปลอดภัยคอมพิวเตอร์จากสำนักพิมพ์โปรแกรมป้องกันไวรัสKaspersky ระบุตัวแก๊งใหม่ที่เชี่ยวชาญด้านการโจมตีด้วยแรนซัมแวร์ได้ นั่นคือคิวบา อย่างไรก็ตาม ในช่วงแรกๆ แก๊งที่พูดภาษารัสเซียเรียกตัวเองว่า Tropical Scorpius โปรดทราบว่ากลุ่มนี้รู้จักกันในชื่อนามแฝง Fidel โดยอ้างอิงถึง Fidel Castro เผด็จการคิวบา ColdDraw หรือ V for Vendetta
เพื่อทำกำไร แฮกเกอร์ชาวคิวบาโจมตีบริษัทน้ำมัน บริการทางการเงิน หน่วยงานของรัฐ และผู้ให้บริการด้านสุขภาพ โดยส่วนใหญ่ในสหรัฐอเมริกา แคนาดา และยุโรป เพื่อที่จะแทรกซึมไวรัสบนคอมพิวเตอร์เป้าหมาย แฮกเกอร์จึงหาประโยชน์เป็นหลักการละเมิดความปลอดภัยซอฟต์แวร์ที่รู้จัก
อ่านเพิ่มเติม:แฮกเกอร์ 8Base หว่านความสับสนวุ่นวาย
วิธีการดำเนินการของคิวบา
เมื่อมาถึงเครื่องแล้ว แรนซัมแวร์จะเข้ารหัสข้อมูลทั้งหมด ไม่น่าแปลกใจเลยที่พวกเขาจะเรียกร้องค่าไถ่อย่างรวดเร็วในสกุลเงินดิจิทัลเพื่อแลกกับคีย์ถอดรหัส น่าเสียดายที่อาชญากรไซเบอร์ไม่ได้หยุดอยู่แค่นั้น พวกเขาพึ่งพากลยุทธ์ที่เรียกว่า "การขู่กรรโชกสองครั้ง" สิ่งนี้เกี่ยวข้องกับการขโมยข้อมูลที่ละเอียดอ่อนซึ่งมีแนวโน้มที่จะทำลายธุรกิจก่อนที่จะเข้ารหัส แฮกเกอร์ส่วนใหญ่มองหาข้อมูลทางการเงิน เช่น ใบแจ้งยอดธนาคาร หรือแม้แต่ซอร์สโค้ด นักต้มตุ๋นจึงข่มขู่เหยื่อให้เปิดเผยต่อสาธารณะ นี่เป็นการลงโทษสองเท่าสำหรับบริษัทเป้าหมาย ซึ่งถูกแฮกเกอร์กดดัน
ด้วยกลยุทธ์นี้ ซึ่งแพร่หลายมากในโลกอาชญากร คิวบาขู่กรรโชกมากกว่า 3,600 bitcoins เช่นมากกว่า 130 ล้านเหรียญสหรัฐตั้งแต่การโจมตีครั้งแรก เพื่อหลบเลี่ยงเจ้าหน้าที่ แฮกเกอร์ใช้โฮสต์ของที่อยู่บล็อกเชนที่แตกต่างกันและเครื่องผสม cryptocurrency- สิ่งเหล่านี้เรียกอีกอย่างว่ามิกเซอร์ ทำธุรกรรม cryptoasset (เกือบ) โดยไม่เปิดเผยตัวตนโดยสมบูรณ์
เพื่อเพิ่มผลกำไรสูงสุด คิวบายังเสนอแรนซัมแวร์ให้กับอาชญากรรุ่นใหม่อีกด้วย เพื่อแลกกับรายได้ส่วนหนึ่ง แฮกเกอร์สามารถใช้โครงสร้างพื้นฐานและโค้ดของมัลแวร์เพื่อเตรียมการโจมตีได้ เช่นดาร์กเกตคิวบาเป็นส่วนหนึ่งของเทรนด์ที่มีชื่อเสียงของ RaaS (Ransomware-as-a-Service) ซึ่งมาพร้อมกับการแฮ็กระเบิด
อาวุธใหม่สำหรับโจรสลัดคิวบา
เมื่อเดือนธันวาคมปีที่แล้ว Kaspersky ตระหนักว่าคิวบากำลังแสวงหาผลประโยชน์ประตูหลังที่ซับซ้อนมีชื่อว่า Bughatch นักวิจัยค้นพบไฟล์ที่น่าสงสัยสามไฟล์บนเซิร์ฟเวอร์ของลูกค้าเป็นครั้งแรก ไฟล์เหล่านี้ส่งผลให้มีการโหลดไลบรารี komar65 ไปยังเซิร์ฟเวอร์ สิ่งนี้ได้รับชื่อเล่นว่า Bughatch โดยนักวิจัยจากบริษัท Mandiant ซึ่งได้ตรวจสอบเหตุการณ์ที่คล้ายกันแล้ว โปรดทราบว่า "komar" หมายถึง "ยุง" ในภาษารัสเซีย
แบ็คดอร์นี้ซึ่งซ่อนอยู่ในหน่วยความจำกระบวนการ จะดำเนินการบล็อกของเชลล์โค้ด ซึ่งก็คือส่วนของโค้ดที่เป็นอันตราย ในพื้นที่หน่วยความจำที่จัดสรรด้วยความช่วยเหลือของอินเทอร์เฟซการเขียนโปรแกรม Windows จากนั้นซอฟต์แวร์จะเชื่อมต่อกับเซิร์ฟเวอร์คำสั่งและควบคุมระยะไกล ผ่านเซิร์ฟเวอร์แฮกเกอร์สามารถสั่งการได้การติดตั้งไวรัสเช่น Cobalt Strike Beacon สปายแวร์ที่แพร่หลาย หรือ Metasploit ซึ่งเป็นเฟรมเวิร์กที่ช่วยให้สามารถใช้ประโยชน์จากช่องโหว่ในระบบคอมพิวเตอร์ได้ ในกระบวนการนี้ โมดูลบางตัวที่ติดตั้งโดยแฮกเกอร์จะรวบรวมข้อมูลเกี่ยวกับระบบเป้าหมาย
ตามแคสเปอร์สกี้,คิวบาได้เป็นอย่างมากเสริมคลังแสงของมันโดยใช้ประโยชน์จากเครื่องมือใหม่ๆ มากมาย รวมถึง Bughatch หรือมัลแวร์ Burntcigar ซึ่งปรากฏในรูปแบบใหม่ ตัวอย่างมัลแวร์ใหม่ที่เกิดจากคิวบาได้รับการระบุโดยผู้สืบสวนแล้ว สำหรับกลุ่มแคสเปอร์สกี้“ยังคงความเคลื่อนไหวและปรับแต่งเทคนิคของคุณอย่างต่อเนื่อง”-
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : แคสเปอร์สกี้
