Highlight
- MegaCortex แรนซัมแวร์สายพันธุ์ใหม่
- เริ่มต้นการโจมตีด้วยการสร้างฐานบัญชาการจากคอมเครื่องใดเครื่องหนึ่งจาก Power Shell Script
- ใช้โปรแกรม PsExec เข้าควบคุมเครื่องอื่น ๆ ที่อยุ่ในวง Lan และลบซอฟท์แวร์รักษาความปลอดภัยทิ้ง
- ปล่อย MegaCortex เข้ายืดเครื่อง
- ติดตามข่าวอื่น ๆ ได้ที่ The-eLeader.com
แรนซัมแวร์สายพันธุ์ายพันธุ์ใหม่ MegaCortex ใช้ประโยชน์จากการสร้างคอมเครื่องหนึ่งเป็นฐานบัญชาการแล้วใช้โปรแกรมเข้าควบคุมเครื่องอิ่น ๆ และทำการลบโปรแกรมรักษาความปลอดภัยออกไป
มีผู้ที่ตกเป็นเหยื่อจำนวนมากทั่วโลกรวมถึงอิตาลี สหรัฐอเมริกา แคนาดา เนเธอร์แลนด์ ไอร์แลนด์และฝรั่งเศส ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก Sophos โดยตรวจพบว่ามีเครือข่ายองค์กรจำนวนมากติดแรนซัมแวร์ชนิดนี้เมื่อวันพุธที่ผ่านมา
ตามรายงานของ Sophos ผู้โจมตีใช้สคริปต์เครื่องมือโจมตีที่เรียกว่า “common red-team attack tool” เพื่อส่งมัลแวร์เข้าไปควบคุมเครื่องของเหยื่อและใช้เป็นฐานแพร่กระจายแรนซัมแวร์ไปยังที่อื่น ๆ
การโจมตีเริ่มต้นด้วยการเข้าควบคุมโดเมนที่อยู่ในเครือข่ายขององค์กร ผู้โจมตีจะเรียกใช้สคริปต์ PowerShell (PowerShell คือ ภาษา Shell Script ที่ Microsoft สร้างขึ้นมาให้ผู้ดูแลระบบงานบน Windows) ที่มีความซับซ้อนสูง
ผู้โจมตีจะใช้โดเมนคอนโทรลเลอร์ที่ถูกบุกรุก ส่งมัลแวร์หลักและไฟล์แบตช์ไปยังเครื่องอื่นในเครือข่ายและดำเนินการจากระยะไกลผ่านทาง PsExec (โปรแกรมที่สามารถทำ Remote Command ในเครื่องอื่นที่อยู่ในเครือข่าย lan ได้) และไฟล์แบตช์จะมีรายการคำสั่งที่ใช้กำจัดซอฟต์แวร์รักษาความปลอดภัยออกไป และทำให้เกิดการแพร่กระจายแรนซัมแวร์ไปในวงกว้าง
ปัจจุบันมีการโจมตีที่ได้รับการยืนยันแล้วถึง 76 ครั้งโดย Intercept X ตั้งแต่เดือนกุมภาพันธ์โดยมี 47 เหตุการณ์ (หรือประมาณสองในสามของเหตุการณ์ที่เกิดขึ้น) ที่เกิดขึ้นใน 48 ชั่วโมงที่ผ่านมา การโจมตีแต่ละครั้งกำหนดเป้าหมายเครือข่ายองค์กรและอาจมีเครื่องหลายร้อยเครื่อง
Source : gbHack
