Cybercrime Malware Ransomware

รัสเซียถูกโจมตีด้วยสแปมโปรแกรมเรียกค่าไถ่ Shade

โปรแกรมเรียกค่าไถ่ Shade หรือ Troldesh ถูกแพร่กระจายซ้ำในประเทศรัสเซีย

จากการสำรวจเมื่อเดือนมกราคม 2019 ที่ผ่านมาจำนวนไฟล์แนบ Javascript อันตรายในอีเมลเพิ่มขึ้น นักวิจัย ESET พบคลื่นโปรแกรมเรียกค่าไถ่ที่มีเป้าหมายเป็นผู้ใช้ชาวรัสเซีย โปรแกรมเรียกค่าไถ่ Shade หรือ Troldesh ถูกโปรแกรมของ ESET ตรวจจับในชื่อ Win32/Filecoder.Shade

เชื่อว่าแผนการนี้เป็นตามมาจากการแพร่กระจายโปรแกรมเรียกค่าไถ่ Shade Ransomware เมื่อเดือนตุลาคม 2018

การตรวจจับเมื่อปี 2018 พบว่าแผนการดำเนินมาอย่างต่อเนื่องและพักในช่วงธันวาคม 2018 แล้วกลับมาสูงขั้นเป็นสองเท่าในช่วงต้นปี 2019 ซึ่งจากการวิเคราะห์พฤติกรรมพบว่าอีเมลเป้าหมายส่วนมากเป็นองค์กรและหยุดในช่วงสุดสัปดาห์

ส่วนมาก Shade Ransomware แพร่กระจายในประเทศรัสเซียเป็นส่วนมาก (52%) และประเทศอื่นๆรองลงมาอย่าง ยูเครน ฝรั่งเศส เยอรมนี และญี่ปุ่น

ตัวอย่างของอีเมล

ในอีเมลแนบไฟล์ชื่อว่า “Информация.js“ หรือในภาษาอังกฤษว่า “Information” เมื่อแตกไฟล์ออกมาและเริ่มทำงานไฟล์ Javascript จะดาวน์โหลด loader อันตรายที่ ESET ตรวจจับได้ในชื่อ Win32/Injector เพื่อเริ่มทำงานขั้นตอนสุดท้ายเป็น Shade Ransomware

วิธีการป้องกัน

  • ตรวจสอบผู้ส่งให้แน่ใจ หากไม่แน่ใจให้ติดต่อจากต้นทางที่ส่งมา ว่าพวกเขาได้ส่งอีเมลดังกล่าวมาหรือไม่
  • ตั้งค่าอีเมลไม่ให้รับอีเมลที่แนบไฟล์ Javascript
  • ติดตั้งโปรแกรมรักษาความปลอดภัย
  • ใช้รหัสผ่านที่ซับซ้อนและเปิดฟีเจอร์ Two-factor authentication (2FA)

Indicators of Compromise (IoCs)

Example hashes of the malicious ZIP attachments

0A76B1761EFB5AE9B70AF7850EFB77C740C26F82
D072C6C25FEDB2DDF5582FA705255834D9BC9955
80FDB89B5293C4426AD4D6C32CDC7E5AE32E969A
5DD83A36DDA8C12AE77F8F65A1BEA804A1DF8E8B
6EA6A1F6CA1B0573C139239C41B8820AED24F6AC
43FD3999FB78C1C3ED9DE4BD41BCF206B74D2C76
ESET detection name: JS/Danger.ScriptAttachment

Example hashes of JavaScript downloaders

37A70B19934A71DC3E44201A451C89E8FF485009
08C8649E0B7ED2F393A3A9E3ECED89581E0F9C9E
E6A7DAF3B1348AB376A6840FF12F36A137D74202
1F1D2EEC68BBEC77AFAE4631419E900C30E09C2F
CC4BD14B5C6085CFF623A6244E0CAEE2F0EBAF8C
ESET detection name: Win32/Injector

Example hashes of the Shade ransomware

FEB458152108F81B3525B9AED2F6EB0F22AF0866
7AB40CD49B54427C607327FFF7AD879F926F685F
441CFA1600E771AA8A78482963EBF278C297F81A
9023B108989B61223C9DC23A8FB1EF7CD82EA66B
D8418DF846E93DA657312ACD64A671887E8D0FA7
ESET detection name: Win32/Filecoder.Shade

Campaign-specific string in URLs hosting the Shade ransomware

hxxp://[redacted]/ssj.jpg

Author: Juraj Jánošík
Source:
https://www.welivesecurity.com/2019/01/28/russia-hit-new-wave-ransomware-spam/
Translated by: Worapon H.

%d bloggers like this: