กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ประกาศการโจมตีระบบของบริษัท G-Able ส่งผลให้ข้อมูลในระบบถูกเข้ารหัสเพื่อเรียกค่าไถ่ และมีการนำข้อมูลออกมาจากระบบเพื่อเรียกค่าไถ่เพิ่มเติมอีกด้วย
จากการตรวจสอบที่เว็บไซต์ของกลุ่ม BlackMatter เบื้องต้น กลุ่ม BlackMatter อ้างว่าได้นำไฟล์ข้อมูลออกมาจากระบบ G-Able มากกว่า 100 GB รวมไปถึงได้มีการปล่อยไฟล์จำนวน 650 MB ออกมาก่อนเพื่อเป็นหลักฐานยืนยันว่า BlackMatter มีการครอบครองไฟล์ข้อมูลอยู่จริง
update: แถลงจาก G-Able
ที่มา: การติดตามข่าวจากผู้เขียนด้วยตนเอง
ข้อมูลเพิ่มเติมของกลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter
กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ถูกจัดอยู่ในกลุ่มที่มีโมเดลการเรียกค่าไถ่แบบสองขั้น (double extortion) โดยการนำไฟล์ของเหยื่อออกจากระบบจะเกิดขึ้นก่อนการเข้ารหัสไฟล์เพื่อสร้างเงื่อนไขในการเรียกค่าไถ่แรก จากนั้นไฟล์ที่ถูกนำออกมาจะถูกนำมาสร้างเงื่อนไขที่สองโดยผู้โจมตีจะทำการข่มขู่ว่าหากไม่มีการจ่ายค่าไถ่ตามระยะเวลาที่กำหนด ไฟล์ที่ถูกนำออกมาทั้งหมดจะถูกเผยแพร่สู่สาธารณะ หรืออาจมีการขายต่อให้กับผู้ที่ต้องการซื้อข้อมูล
พฤติกรรมของมัลแวร์เรียกค่าไถ่ BlackMatter ที่เป็นจุดสังเกตมีดังนี้
- BlackMatter เมื่อเข้ารหัสข้อมูลในระบบแล้วจะเปลี่ยนภาพพื้นหลังของระบบเพื่อแจ้งว่า BlackMatter ได้ทำการเข้ารหัสไฟล์แล้ว และจะแนะนำให้ผู้ใช้งานอ่านข้อมูลเพิ่มเติมจากไฟล์ ransom note หรือโน้ตอธิบายการเรียกค่าไถ่
- ไฟล์ ransom note ของ BlackMatter จะถูกตั้งใช้ด้วยรหัสเฉพาะของเหยื่อซึ่งเป็นค่าสุ่ม (
VICTIM_ID) ตามด้วย.README.txtในขณะที่ไฟล์ที่ถูกเข้ารหัสจะมีรูปแบบเป็นORIGINAL_FILENAME.VICTIM_ID - โปรแกรมของมัลแวร์เรียกค่าไถ่จะมีการนำข้อมูลที่เกี่ยวข้องกับระบบออก ยกตัวอย่างเช่น ชื่อของระบบ, รุ่นของระบบปฏิบัติการและขนาดพื้นที่และการใช้งานดิสก์ อย่างไรก็ตามการตรวจสอบว่ามีข้อมูลอื่นใดถูกนำออกไปด้วยหรือไม่ต้องทำการตรวจสอบที่ระบบที่ได้รับผลกระทบเอง เนื่องจากกระบวนการนำไฟล์ออกนั้นไม่ได้เกิดจากโปรแกรมของมัลแวร์เรียกค่าไถ่ แต่เกิดจากผู้โจมตีที่ดำเนินการด้วยตัวเอง
- มัลแวร์เรียกค่าไถ่รองรับการทำงานใน Windows, Linux, VMware ESXi, ผลิตภัณฑ์ NAS ในกลุ่ม Synology, OpenMediaVault, FreeNAS (TrueNAS)
- ยังไม่มีวิธีการในการถอดรหัสไฟล์โดยไม่จ่ายค่าไถ่ในขณะนี้
- ยังไม่มีข้อมูลที่ชัดเจนถึงพฤติกรรมที่ใช้ในการบุกรุก ยกระดับสิทธิ์ เข้าถึงไฟล์และนำไฟล์ออกจากระบบในขณะนี้
อ้างอิง: Cyble , Malpedia , RecordedFuture , Group-IB
Comments
ตั้งตารอ ข้อมูลพฤติกรรมที่ใช้ในการบุกรุก ยกระดับสิทธิ์ เข้าถึงไฟล์และนำไฟล์ออกจากระบบ เลยครับ จะได้หาทางป้องกัน