กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ประกาศการโจมตีระบบของบริษัท G-Able ส่งผลให้ข้อมูลในระบบถูกเข้ารหัสเพื่อเรียกค่าไถ่ และมีการนำข้อมูลออกมาจากระบบเพื่อเรียกค่าไถ่เพิ่มเติมอีกด้วย
จากการตรวจสอบที่เว็บไซต์ของกลุ่ม BlackMatter เบื้องต้น กลุ่ม BlackMatter อ้างว่าได้นำไฟล์ข้อมูลออกมาจากระบบ G-Able มากกว่า 100 GB รวมไปถึงได้มีการปล่อยไฟล์จำนวน 650 MB ออกมาก่อนเพื่อเป็นหลักฐานยืนยันว่า BlackMatter มีการครอบครองไฟล์ข้อมูลอยู่จริง
update: แถลงจาก G-Able
ที่มา: การติดตามข่าวจากผู้เขียนด้วยตนเอง
กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ถูกจัดอยู่ในกลุ่มที่มีโมเดลการเรียกค่าไถ่แบบสองขั้น (double extortion) โดยการนำไฟล์ของเหยื่อออกจากระบบจะเกิดขึ้นก่อนการเข้ารหัสไฟล์เพื่อสร้างเงื่อนไขในการเรียกค่าไถ่แรก จากนั้นไฟล์ที่ถูกนำออกมาจะถูกนำมาสร้างเงื่อนไขที่สองโดยผู้โจมตีจะทำการข่มขู่ว่าหากไม่มีการจ่ายค่าไถ่ตามระยะเวลาที่กำหนด ไฟล์ที่ถูกนำออกมาทั้งหมดจะถูกเผยแพร่สู่สาธารณะ หรืออาจมีการขายต่อให้กับผู้ที่ต้องการซื้อข้อมูล
พฤติกรรมของมัลแวร์เรียกค่าไถ่ BlackMatter ที่เป็นจุดสังเกตมีดังนี้
VICTIM_ID
) ตามด้วย .README.txt
ในขณะที่ไฟล์ที่ถูกเข้ารหัสจะมีรูปแบบเป็น ORIGINAL_FILENAME.VICTIM_ID
อ้างอิง: Cyble, Malpedia, RecordedFuture, Group-IB
Comments
ตั้งตารอ ข้อมูลพฤติกรรมที่ใช้ในการบุกรุก ยกระดับสิทธิ์ เข้าถึงไฟล์และนำไฟล์ออกจากระบบ เลยครับ จะได้หาทางป้องกัน