เมื่อวานนี้มีรายงานถึงมัลแวร์เข้ารหัสข้อมูลเรียกค่าไถ่ Bad Rabbit เริ่มระบาดในแถบรัสเซีย, เยอรมัน, ตุรกี, และยูเครน โดยอาศัยหน้าเว็บที่เผยแพร่ตัวติดตั้ง Adobe Flash ปลอม เพื่อให้เหยื่อติดตั้งมัลแวร์ด้วยตัวเอง และเมื่อติดตั้งแล้วจะเริ่มแพร่กระจายต่อไปยังเครื่องอื่นๆ ในเครือข่ายโดยอาศัยการยิงรหัสผ่านบัญชีที่ใช้งานบ่อยๆ
ตอนนี้ Bad Rabbit ยังไม่ระบาดออกนอกพื้นที่เริ่มต้นไปมากนัก บางรายงานระบุว่ามีการระบาดไปยัง บัลแกเรีย, โปแลนด์, และเกาลีใต้ โดยเว็บไซต์ที่ใช้เผยแพร่มัลแวร์ครั้งแรกๆ เป็นเว็บสื่อรัสเซียที่ถูกแฮก
เมื่อมัลแวร์ Bad Rabbit ติดในเครื่องแล้ว มันจะใช้ Mimikatz พยายามยิงรหัสผ่านเครื่องรอบๆ ตามรายชื่อบัญชีที่ระบุไว้ เช่น admin, root, admintest, boss เพื่อแพร่กระจายมัลแวร์ออกไปในเครือข่ายองค์กร ตัวมัลแวร์เรียกค่าไถ่ 0.05BTC หรือประมาณหนึ่งหมื่นบาท
ตอนนี้เหยื่อที่อาจจะถูก Bad Rabbit เล่นงาน เช่น สนามบิน Odessa, รถไฟฟ้าเมือง Kiev, และกระทรวงโครงสร้างพื้นฐานยูเครน (Ministry of Infrastructure of Ukraine)
ที่มา - Forbes, Motherboard, Securelist, ESET
Comments
Adobde Flash ---> Adobe Flash
เกาลีใต้ --> เกาหลีใต้
แสดงว่ายังมีคนใช้ Adobe Flash Viewer อยู่อีกสินะครับ ไอ้ที่ Update ถี่ ๆ น่ารำคาญ ๆ
บางเกมที่เล่นใน browser ยังใช้อยู่ครับ
หน้าตาอย่างนี้ก็เหมือน petya เน้นโจมตี MBR ตอนนี้คอมทุกเครื่องก็คงต้องลงโปรแกรมป้องกัน MBR เอาไว้
ตอนนี้ BTCware มันกลับมาแล้ว คราวนี้ใช้ *.payday ถอดรหัสยากขึ้น หลังทำงานแล้วไม่ทิ้ง key ให้เหยื่อด้วย (Oct 25, 17) ผมมีตัวอย่างไฟล์ที่ถูกเข้ารหัสให้ลองเล่นครับ สนใจทักได้
ref1 - https://www.bleepingcomputer.com/news/security/new-payday-btcware-ransomware-variant-released/
ref2 - https://twitter.com/demonslay335/status/917901735779237900