Ransomware

TorrentLocker: Crypto-ransomware ยังไม่ไปไหนและยังใช้ลูกเล่นเดิม

ไม่ทราบ's avatar
โดย Worapon H.

ย้อนกลับไปเมื่อปี 2014 TorrentLocker หนึ่งในสมาชิกครอบครัว crypto-ransomware ที่แพร่กระจายผ่านอีเมล์ขยะ หรือข้อความ ที่ปลอมตัวเป็นไปรษณีย์ พลังงาน หรือองค์การโทรศัพท์ แผนการแพร่กระจายของ TorrentLocker มีพื้นฐานเป็นเครือข่ายโปรโตคอล และมีส่วนคล้ายกับโทรจันธุรกรรมอย่าง Hesperbot

ไม่กี่เดือนที่ผ่านมาเราลองมองหาตัวอย่างใหม่ๆ ของมัลแวร์ตัวนี้ ที่จริงแล้ว TorrentLocker เป็นที่รู้จักในชื่อ “CryptoLocker” และในปี 2015 มีคนบางกลุ่มเปลี่ยนชื่อมันเป็น “Crypt0l0cker” แต่โครงสร้างของมันยังคงเดิม แต่เพื่อความไม่สับสนเราขอเรียกมันว่า TorrentLocker ละกัน

รูปแบบการแพร่กระจาย

ณ เวอร์ชันปัจจุบันของมันยังคงใช้วิธีการเดิมเหมือนในปี 2014 ด้วยข้อความในอีเมล์ที่มีลิงก์เข้าไปยังหน้าที่บอกว่าเป็นเอกสาร (โดยมากมักจะเป็นบิล หรือเลขพัสดุ) ที่ต้องดาวน์โหลด และเมื่อไหร่ที่เปิดมันขึ้นก็ถือเป็นการเริ่มทำงานของ TorrentLocker ทันที หลังจากนั้นมันก็จะเชื่อมต่อกับเซิร์ฟเวอร์ C&C และเข้ารหัสไฟล์ของเหยื่อ

เรามีรายชื่อของบริษัท หรือองค์กรที่ TorrentLocker อ้างชื่อ:

  • A1 Telekom (Austria)
  • AGL (Australia)
  • Australia Post (Australia)
  • Australian Federal Police (Australia)
  • British Gas (United Kingdom)
  • Correos (Spain)
  • Endesa (Spain)
  • Enel (Italy)
  • Österreichische Post (Austria)
  • New Zealand Post (New Zealand)
  • PGE Polska (Poland)
  • PostNord (Sweden)
  • PostNL (Netherlands)
  • Telia (Sweden)
  • Turkcell (Turkey)
  • Verbund (Austria)
  • Vodafone Italia (Italy)

โดยลิงก์ปลอมที่ให้มาจะสามารถเข้าได้ในประเทศนั้นๆ ทำให้นักวิจัยที่อยู่นอกเขตพื้นที่ทำการตรวจสอบได้ยาก ซึ่งวิธีการนี้เหมือนเดิมกับก่อนหน้านี้เป๊ะๆ แต่อาชญากรก็เพิ่มขั้นตอนนิดๆหน่อย แต่ท้ายที่สุดก็นำไปยังการดาวน์โหลดไฟล์เหมือนเดิม

เลียนแบบพฤติกรรมท้องถิ่น

คุณสมบัติเด่นของ TorrentLocker ก็คือความกลมกลืนกับท้องที่ เหยื่อจะได้รับข้อมูลเป็นภาษาของตัวเอง ในสกุลเงินของตัวเอง เพื่อการวิเคราะห์เราจึงรวบรวมรายชื่อประเทศที่รับข้อมูลรายละเอียดในภาษาของตัวเอง

เพื่อที่จะทำแบบนั้นเราใช้เครื่องที่ถูกเข้ารหัสส่งรายงานผ่านเครือข่าย Tor เราจึงสามารถส่งในนามของแต่ละประเทศได้ ดังนั้นเราจึงพบ 22 ประเทศที่ได้รับข้อความเป็นภาษาท้องถิ่น

  • Australia
  • Austria
  • Belgium
  • Czech Republic
  • Denmark
  • France
  • Germany
  • Italy
  • Japan
  • Martinique
  • Netherlands
  • Norway
  • Poland
  • Portugal
  • Republic of Korea
  • Spain
  • Sweden
  • Switzerland
  • Taiwan
  • Thailand
  • Turkey
  • United Kingdom

นอกจากนี้เรายังพบว่า TorrentLocker เลือกที่จะไม่โจมตีในบางประเทศ

  • China
  • Russia
  • Ukraine
  • US

เรายังคงพบว่า TorrentLocker ยังคงวนเวียนอยู่ในโลกออนไลน์ด้วยการสุ่มเลือกเป้าหมาย กับอีเมล์สแปม หรืออีเมล์ขยะ เพราะฉะนั้นก่อนจะดาวน์โหลดหรือคลิกลิงก์อะไรต้องอ่านให้ละเอียดถี่ถ้วนอยู่เสมอ และถ้ารู้สึกว่ามีอะไรน่าสงสัย ให้ติดต่อกับทางองค์กรโดยตรงจะเป็นการปลอดภัยที่สุด