ansomware ในรูปแบบใหม่ซึ่งทำงานภายใต้ Java
Microsoft ได้ออกคำแนะนำให้แต่ละองค์กรตระหนักถึงการป้องกันจาก ransomware ในรูปแบบใหม่ซึ่งทำงานภายใต้ Java เพื่อการเจาะเข้าเครื่อข่ายภายในองค์กรและปรับเปลี่ยนรูปแบบได้ตามสถานะได้
สิ่งที่พิเศษกว่า Ransomware ตัวอื่นๆคือเปลี่ยนช่องทางการแผร่กระจาย โดยที่ไม่ใช้วิธีการส่ง Mail Phishing ในการหลอกวงให้ เหยื่อทำการกด Payload
ขั้นตอนการโจมตี
- ทำการโจมตีผ่านทางเซิร์ฟเวอร์ระบบการจัดการ (Systems Management Server) ด้วยเทคนิค Brute-Force.
- หลังจาก Brute-Force สำเร็จจะทำการใช้สคริปต์ เพื่อทำการ Reverse Shell เพื่อถ่ายโอนและขโมยข้อมูล นอกจากนี้ทำการฝัง Backdoor โดยควบคุมจากระยะไกล
- หลังจากฝัง Backdoor ไว้แล้ว จะทำการ Leteral Movement ไปยังระบบอื่นในเครือข่าย โดยผู้โจมตีเลือกเป้าหมายที่มีการ Install Java Runtime Environment (JRE) ไว้เพื่ออาศัยช่องโหว่ของ JRE ทำการแพร่กระจาย Ransomware
- เครื่องเหยื่อที่ติด Ransomware PonyFinal จะโดนล๊อคไฟล์ด้วยนามสกุล “.enc” พร้อมทั้งมีไฟล์ “README_files.txt” โดยเนื้อหาจะเป็นวิธีการจ่ายเงินเพื่อปลดล๊อกไฟล์
ที่มา : https://www.zdnet.com/article/microsoft-warns-about-attacks-with-the-ponyfinal-ransomware/