25/11/2565

Ransomware Gang "Donut extortion" กำหนดเป้าหมายในการโจมตีด้วย Ransomware อีกครั้งหนึ่ง


    มีการยืนยันแล้วว่า Ransomware Gang Donut extortion ถึงการโจมตีของพวกเขาว่าได้กำหนดการโจมตีที่เป้าหมายเป็น องค์กร ด้วย ransomware
    BleepingComputer ได้มีการรายงานเกี่ยวกับ Donut extortion เมื่อเดือนสิงหาคม ว่าพวกเขามีความเกี่ยวข้องกับ การโจมตี บริษัทแก๊ซธรรมชาติของกรีก ในชื่อ DESFA บริษัทก่อสร้างแห่งหนึ่งในสหราชอาณาจักร ในชื่อ Sheppard Robson และบริษัทก่อสร้างข้ามชาติ ในชื่อ Sando
    น่าแปลกใจที่ข้อมูลของ Sando และ DESFA ถูกนำไปไปโพสต์ในกลุ่มปฏิบัติการ Ransomware หลายแห่ง ข้อมูลของที่ได้จากการโจมตี Sanda ถูกอ้างโดย Hive ransomware และข้อมูลของ DESFA ถูกอ้างโดย Ragnar Locker ผู้เชี่ยวชาญด้านความปลอดภัยจาก 42 Doel Santos ได้ออกมาเผยว่า TOX ID ที่ตรวจพบใน Log ของ Directory เป็นลักษณะคล้ายกับ HelloXD Ransomware การโพสต์ข้อมูลที่ถูกขโมยข้ามกันไปมาและมีการร่วมมือกัน ทำให้เชื่อว่าเบื้องหลังการโจมตีของ Donut Leak เป็นการร่วมมือกันหลายกลุ่ม
เพื่อพยายามที่จะทำเงินจากข้อมูลจากการกระทำของพวกเขา

The Donut Ransomware
    BleepingComputer ได้ตรวจสอบพบโดย VirusTotal ถึงการโจมตีด้วยการเข้ารหัสของ Donut ได้แสดงให้เห็นว่ากลุ่มนี้ได้ทำการปรับแต่ง ransomware แบบ Custome เพื่อเป็นการขโมยข้อมูลแบบการเรียกค่าไถ่แบบ 2 ขั้น Ransomware นี้เมื่อมีการแตกไฟล์ มันจะสแกนหาไฟล์ที่มีนามสกุลเฉพาะเพื่อที่จะเข้ารหัสไฟล์ที่มีนามสกุลที่แปลกไป เมื่อเข้ารหัสไฟล์แล้ว ransomware จะหลีกเลี่ยงไฟล์และโฟเดอร์ ที่มีอักษรตามนี้
  • Edge
  • ntldr
  • Opera
  • Bootsect.bak
  • Chrom
  • BOOTSTAT.DAT
  • boot.ini
  • AllUsers
  • Chromium
  • bootmgr
  • Windows
  • thumbs.db
  • ntuser.ini
  • ntuser.dat
  • desktop.ini
  • bootmgr.efi
  • autorun.inf
    เมื่อไฟล์ถูกเข้ารหัส Donut ransomware จะสร้าง .d0nut เพิ่มที่ไฟล์ที่ถูกเข้ารหัส ตัวอย่างเช่น 1.jpg เมื่อถูกเข้ารหัส จะถูกเปลี่ยนเป็น 1.jpg.d0nut


    กลุ่ม Donut Leaks มีการเพิ่มความน่าสนใจในการใช้การแสดงภาพนี่น่าสนใจ และเสนอการสร้างช่องทางของการใช้งานการแสดงภาพศิลปะเป็นโดนัทหมุนโชว์บน ransom notes


    Ranson note จะทำให้สับสนมากขึ้นเพื่อเลี่ยงการตรวจจับ โดยจะมีการเข้ารหัสตัวอักษรทั้งหมด และจะถอดรหัส JavaScript ransomware notes พวกนี้ยังให้ช่องต่างติดต่อที่แต่ต่างกันออกไป เช่น TOX และ Tor ในการติดต่อ


    Donut ransomware จะมีตัว "builder" ในแหล่งที่มีการรั่วไหลของข้อมูล ซึ่งจะมีองค์ประกอบของ a bash script (Commands ที่จะเขียนอยู่ในไฟล์ โดยจะถูกอ่านทีละบรรทัด) เพื่อสร้าง Windows, Linux Electron app (เป็นframwork ไว้สร้าง desktop application) โดยจะพ่วงมาด้วย กับ Tor เพื่อที่จะได้เข้าถึงแหล่งที่ข้อมูลรั่วไหล


    อย่างไรก็ตาม นี่เป็นกลุ่มที่ที่น่าจับตามอง ไม่ใช่เพียงแค่มีความสามารถที่โดดเด่น แต่ยังมีความสามารถในการสร้างตลาดซื้อขายของพวกเขาเอง

ที่
ป้ายกำกับ:

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)