SunCrypt เข้าร่วมกับพันธมิตรของ Maze ร่วมปล่อย ransomware

SunCrypt  ได้ค้นพบตัวอย่างของ SunCrypt ransomware ว่ามันถูกติดตั้งผ่าน obfuscated PowerShell script เมื่อ ransomware ถูก executed มันจะทำการเชื่อมต่อไปที่ URL http[:]//91[.]218[.]114[.]31 และทำการส่งข้อมูลการโจมตีและข้อมูลเหยื่อ  

กลุ่ม Maze ได้ hosting data leak site และปล่อยการโจมตีโดยใช้ public IP address ในขณะนี้เอง service ของพวกเขาก็ยังทำงานอยู่ โดยที่ยังไม่ถูกจัดการด้วยการบังคับใช้กฏหมาย ซึ่งเกิดเป็นแง่มุมที่มองออกได้ก็คือ พวกเขากำลังแชร์ข้อมูลร่วมกันกับกลุ่มภายในสมาชิก 

กลุ่ม SunCrypt พวกใช้ DLL เมื่อทำการ execute มันจะทำการ encrypt computer’s files ในทุกๆ folder ransome เป็น YOUR_FILES_ARE_ENCRYPTED[.]HTML link ไปยัง Tor payment site 

IOC : dsauth[.]dll, wiashext[.]dll, msctfmig[.]dll, mll_qic[.]dll, tsmigplugin[.]dll, http[:]//91[.]218[.]114[.]31 

อ้างอิง: https://www.bleepingcomputer.com/news/security/suncrypt-ransomware-sheds-light-on-the-maze-ransomware-cartel/ 

Share

Add Your Comments

Your email address will not be published. Required fields are marked *