Microsoft มีการแจ้งเตือนการโจมตี Ransomware “PonyFinal”

ansomware ในรูปแบบใหม่ซึ่งทำงานภายใต้ Java

Microsoft ได้ออกคำแนะนำให้แต่ละองค์กรตระหนักถึงการป้องกันจาก ransomware ในรูปแบบใหม่ซึ่งทำงานภายใต้ Java เพื่อการเจาะเข้าเครื่อข่ายภายในองค์กรและปรับเปลี่ยนรูปแบบได้ตามสถานะได้ 

สิ่งที่พิเศษกว่า Ransomware ตัวอื่นๆคือเปลี่ยนช่องทางการแผร่กระจาย โดยที่ไม่ใช้วิธีการส่ง Mail Phishing ในการหลอกวงให้ เหยื่อทำการกด Payload

ขั้นตอนการโจมตี

  1. ทำการโจมตีผ่านทางเซิร์ฟเวอร์ระบบการจัดการ (Systems Management Server) ด้วยเทคนิค Brute-Force.
  2. หลังจาก Brute-Force สำเร็จจะทำการใช้สคริปต์ เพื่อทำการ Reverse Shell เพื่อถ่ายโอนและขโมยข้อมูล นอกจากนี้ทำการฝัง Backdoor โดยควบคุมจากระยะไกล
  3. หลังจากฝัง Backdoor ไว้แล้ว จะทำการ Leteral Movement ไปยังระบบอื่นในเครือข่าย โดยผู้โจมตีเลือกเป้าหมายที่มีการ Install Java Runtime Environment (JRE) ไว้เพื่ออาศัยช่องโหว่ของ JRE ทำการแพร่กระจาย Ransomware
  4. เครื่องเหยื่อที่ติด Ransomware PonyFinal จะโดนล๊อคไฟล์ด้วยนามสกุล “.enc” พร้อมทั้งมีไฟล์ “README_files.txt” โดยเนื้อหาจะเป็นวิธีการจ่ายเงินเพื่อปลดล๊อกไฟล์

     
    ที่มา :  https://www.zdnet.com/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/

 

Share