HelloKitty ransomware อยู่เบื้องหลังการขโมยข้อมูล CD Projekt Red

Ransomware ที่ได้ทำการโจมตี CD Projekt Red มาจากกลุ่มที่ใช้ชื่อว่า “HelloKitty” 

CD Project ได้ออกมาเปิดเผยว่าถูกโจมตีโดย ransomware ซึ่งได้ทำการเข้ารหัสเครื่องบนเครือข่ายและขโมยข้อมูลจากไฟล์บนเครื่อง 

ข้อความจาก CD Projekt Red ransomware 

ข้อมูลเกี่ยวกับกลุ่ม HelloKitty 

          HelloKitty ransomware ได้ชื่อมาจาก mutex (Mutual Exclusive) ที่ชื่อ HelloKittyMutex ซึ่งถูกเรียกใช้งานเวลามัลแวร์ทำงาน 

โปรเซส HelloKittyMutex mutex บน Process Explorer 

  เมื่อเริ่มทำการโจมตี HelloKitty จะเรียกใช้งาน taskkill.exe เพื่อทำการหยุดโปรเซสที่เกี่ยวข้องกับโปรแกรมรักษาความปลอดภัย เซิร์ฟเวอร์อีเมลล์ เซิร์ฟเวอร์ฐานข้อมูล โปรแกรมสำรองข้อมูล และโปรแกรมบัญชี ตัวอย่างคำสั่งของ taskkill.exe : “C:\Windows\System32\taskkill.exe” /f /im postg* Ransomware ยังพยายามที่จะปิดวินโดวส์เซอร์วิสโดยใช้คำสั่ง net stop : “C:\Windows\System32\net.exe” stop MSSQLServerADHelper100 

หลังจากที่ทำการปิดโปรเซสที่เกี่ยวข้องแล้วจะเริ่มทำการเข้ารหัสข้อมูลในเครื่อง เมื่อทำการเข้ารหัสจะทำการเพิ่ม .crypted ต่อเข้าไปที่ชื่อไฟล์ 

ไฟล์ที่ถูกเข้ารหัสโดย HelloKitty 

 โน้ตของ ransomware จะถูกเปลี่ยนไปทุกๆครั้งขึ้นอยู่กับผู้ที่ตกเป็นเหยื่อ ในโน้ตจะแสดงข้อความจำนวนข้อมูลที่ถูกขโมย และบางครั้งยังรวมถึงชื่อบริษัท ซึ่งแสดงให้เห็นว่ากลุ่มผู้คุกคามได้เข้ามาสอดส่องในระบบเครือข่ายก่อนที่จะทำการโจมตี 

          ในโน้ตจะมี URL ไว้สำหรับให้ติดต่อเพื่อเจรจาต่อรองกับผู้คุกคามซึ่งจะถูกเปลี่ยนไปในทุกครั้ง 

เว็บไซต์ไว้สำหรับพูดคุยเพื่อต่อรองกับผู้คุกคาม 

ณ เวลานี้ยังไม่มีวิธีที่จะถอดรหัสไฟล์ที่โดนเข้ารหัสจาก HelloKitty โดยไม่มีค่าใช้จ่ายได้ 

คำแนะนำ 

– อัปเดตข้อมูลแอนตี้ไวรัสให้เป็นเวอร์ชั่นล่าสุดแล้วทำการสแกนเครื่อง 

– ทำการสำรองข้อมูลแบบออฟไลน์เพื่อลดความเสียหายหากเครื่องติด ramsomware 

– หากเป็นไปได้ให้ทำการจำกัดโปรแกรมที่สามารถใช้งานได้ (whitelisting) เพื่อป้องกันการเรียกใช้งานโปรแกรมแปลกปลอม 

ที่มา : https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-behind-cd-projekt-red-cyberattack-data-theft/

Share