กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ประกาศการโจมตีระบบของบริษัท G-Able ส่งผลให้ข้อมูลในระบบถูกเข้ารหัสเพื่อเรียกค่าไถ่ และมีการนำข้อมูลออกมาจากระบบเพื่อเรียกค่าไถ่เพิ่มเติมอีกด้วย

จากการตรวจสอบที่เว็บไซต์ของกลุ่ม BlackMatter เบื้องต้น กลุ่ม BlackMatter อ้างว่าได้นำไฟล์ข้อมูลออกมาจากระบบ G-Able มากกว่า 100 GB รวมไปถึงได้มีการปล่อยไฟล์จำนวน 650 MB ออกมาก่อนเพื่อเป็นหลักฐานยืนยันว่า BlackMatter มีการครอบครองไฟล์ข้อมูลอยู่จริง

update: แถลงจาก G-Able

ที่มา: การติดตามข่าวจากผู้เขียนด้วยตนเอง

ข้อมูลเพิ่มเติมของกลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter

กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ถูกจัดอยู่ในกลุ่มที่มีโมเดลการเรียกค่าไถ่แบบสองขั้น (double extortion) โดยการนำไฟล์ของเหยื่อออกจากระบบจะเกิดขึ้นก่อนการเข้ารหัสไฟล์เพื่อสร้างเงื่อนไขในการเรียกค่าไถ่แรก จากนั้นไฟล์ที่ถูกนำออกมาจะถูกนำมาสร้างเงื่อนไขที่สองโดยผู้โจมตีจะทำการข่มขู่ว่าหากไม่มีการจ่ายค่าไถ่ตามระยะเวลาที่กำหนด ไฟล์ที่ถูกนำออกมาทั้งหมดจะถูกเผยแพร่สู่สาธารณะ หรืออาจมีการขายต่อให้กับผู้ที่ต้องการซื้อข้อมูล

พฤติกรรมของมัลแวร์เรียกค่าไถ่ BlackMatter ที่เป็นจุดสังเกตมีดังนี้

• BlackMatter เมื่อเข้ารหัสข้อมูลในระบบแล้วจะเปลี่ยนภาพพื้นหลังของระบบเพื่อแจ้งว่า BlackMatter ได้ทำการเข้ารหัสไฟล์แล้ว และจะแนะนำให้ผู้ใช้งานอ่านข้อมูลเพิ่มเติมจากไฟล์ ransom note หรือโน้ตอธิบายการเรียกค่าไถ่
• ไฟล์ ransom note ของ BlackMatter จะถูกตั้งใช้ด้วยรหัสเฉพาะของเหยื่อซึ่งเป็นค่าสุ่ม (VICTIM_ID) ตามด้วย .README.txt ในขณะที่ไฟล์ที่ถูกเข้ารหัสจะมีรูปแบบเป็น ORIGINAL_FILENAME.VICTIM_ID
• โปรแกรมของมัลแวร์เรียกค่าไถ่จะมีการนำข้อมูลที่เกี่ยวข้องกับระบบออก ยกตัวอย่างเช่น ชื่อของระบบ, รุ่นของระบบปฏิบัติการและขนาดพื้นที่และการใช้งานดิสก์ อย่างไรก็ตามการตรวจสอบว่ามีข้อมูลอื่นใดถูกนำออกไปด้วยหรือไม่ต้องทำการตรวจสอบที่ระบบที่ได้รับผลกระทบเอง เนื่องจากกระบวนการนำไฟล์ออกนั้นไม่ได้เกิดจากโปรแกรมของมัลแวร์เรียกค่าไถ่ แต่เกิดจากผู้โจมตีที่ดำเนินการด้วยตัวเอง
• มัลแวร์เรียกค่าไถ่รองรับการทำงานใน Windows, Linux, VMware ESXi, ผลิตภัณฑ์ NAS ในกลุ่ม Synology, OpenMediaVault, FreeNAS (TrueNAS)
• ยังไม่มีวิธีการในการถอดรหัสไฟล์โดยไม่จ่ายค่าไถ่ในขณะนี้
• ยังไม่มีข้อมูลที่ชัดเจนถึงพฤติกรรมที่ใช้ในการบุกรุก ยกระดับสิทธิ์ เข้าถึงไฟล์และนำไฟล์ออกจากระบบในขณะนี้

อ้างอิง: Cyble, Malpedia, RecordedFuture, Group-IB