Malware Ransomware

FriedEx: โปรแกรมเรียกค่าไถ่ BitPaymer ผลงานจากผู้เขียน Dridex

โปรแกรมเรียกค่าไถ่ FriedEx หรือ BitPaymer ผลงานจากผู้พัฒนามัลแวร์ Dridex

Dridex เป็นฝันร้ายผู้ใช้ องค์กร และสถาบันการเงินมานานหลายปี ด้วยโทรจันธุรกรรมการเงิน

จากงานวิจัยของ ESET ชี้ว่าผู้เขียนหรือผู้พัฒนามัลแวร์ Dridex เป็นผู้อยู่เบื้องหลังอีกสายพันธุ์ของมัลแวร์ที่มีเป้าหมายเป็นองค์กรใหญ่ๆนั่นก็คือ โปรแกรมเรียกค่าไถ่ที่ผลิตภัณฑ์ของ ESET ในชื่อ Win32/Filecoder.FriedEx และ Win64/Filecoder.FriedEx หรือในชื่อเล่นว่า BitPaymer

Dridex

Dridex เป็นโทรจันธุรกรรมการเงินที่ปรากฏตัวครั้งแรกในปี 2014 เป็นโปรเจคที่ได้แรงบันดาลใจมากจากโปรเจคเก่า ก่อนที่จะกลายเป็นโทรจันธุรกรรมที่ซับซ้อนที่สุดตัวหนึ่งในตลาด และได้รับการพัฒนาอย่างต่อเนื่อง แทบจะทุกสัปดาห์เลยก็ว่าได้

เวอร์ชั่นของ Dridex เวลาที่เขียนบทความนี้คือเวอร์ชั่น 4.80 ถูกปล่อยออกมาเมื่อวันที่ 14 ธันวาคม 2017 อัพเดตฟีเจอร์ล่าสุดคือ Webinjects สำหรับ Google Chrome เวอร์ชั่น 63

FriedEx

FriedEx หรือ BitPaymer ชื่อที่ได้มาจากข้อความในเว็บไซต์เรียกค่าไถ่ โปรแรกมเรียกค่าไถ่ตัวนี้ถูกพบโดย นาย Michael Gillespie เมื่อช่วงต้นเดือนกรกฎาคม 2017 และกลายมาเป็นหัวข้อข่าวใหญ่เมื่อโรงพยาบาล NHS ของสก็อตแลนด์โดนเรียกค่าไถ่

FriedEx เน้นเป้าหมายเป็นองค์กรที่มีชื่อเสียง มากกว่าผู้ใช้ทั่วไป โดยใช้วิธีการ RDP Brute Force หรือการแฮกรหัสผ่านระบบรีโมต RDP (Remote Desktop Protocal) กระบวนการเข้ารหัสใช้คีย์ RC4 แล้วเข้ารหัส Hardcode ด้วย 1024-bit RSA public key และเซฟใน .readme_txt file

ในเดือนธันวาคม 2017 เราทำการวิเคราะห์ตัวอย่างของ FriedEx และพบว่าโค้ดของมันมีความคล้ายคลึงกับของ Dridex และเมื่อวิเคราะห์เจาะลึกลงไปก็พบอีกว่าเทคนิคการซ่อนตัวและพฤติกรรมของ 2 สายพันธุ์นี้เหมือนกัน

ความใกล้เคียงของโค้ด

Fig1-768x888

สรุป

จากหลักฐานที่พบทำให้เรามั่นใจได้ว่า FriedEx เป็นฝีมือของผู้พัฒนา Dridex แน่นอน ซึ่งข้อมูลนี้ทำให้เราเห็นกิจกรรมที่คนกลุ่มนี้กำลังทำชัดเจนขึ้นคือ พวกเขาไม่ได้ทำแค่อัพเดตความสามารถของโทรจันธุรกรรมไปวันๆ แต่มีแผนการอื่นๆตามกระแสของแฮกเกอร์อย่าง โปรแกรมเรียกค่าไถ่ (Ransomware)

เราไม่อาจบอกได้ว่าในอนาคต พวกเราจะต้องเจอกับอะไรจากกลุ่มนี้ แต่ที่แน่ๆก็คือพวกเขาคงไม่ได้จากเราไปไหนไกลแน่นอน และพวกเขากำลังพัฒนาของเก่า และผลิตของใหม่ให้เราต้องเตรียมตัวรับมือ

โปรแกรมเรียกค่าไถ่นี้ถือเป็นการเปลี่ยนบทบาทของกลุ่ม Dridex เลยก็ว่าได้ หลังจากที่พวกเขาอยู่เบื้องหลังโทรจันธุรกรรมมานาน และนี่เป็นสัญญาณที่บอกว่าพวกเขากำลังจะสร้างผลงานใหม่ๆที่ซับซ้อนกว่าเดิมออกมาให้เราได้เห็นกัน

Author: MICHAL POSLUŠNÝ
Source:
https://www.welivesecurity.com/2018/01/26/friedex-bitpaymer-ransomware-work-dridex-authors/
Translated by: Worapon H.

%d bloggers like this: