พบ Ransomware ใหม่ ที่เรียกว่า “AxLocker Ransomware”
นักวิจัยพบ Ransomware ใหม่ ที่เรียกว่า “AxLocker Ransomware” มีความสามารถในการเข้ารหัสไฟล์ของเหยื่อและเรียกค่าไถ่ รวมถึงการขโมยบัญชี Discord ของเครื่องผู้ใช้ที่ติดไวรัสอีกด้วย
เมื่อผู้ใช้ทำการเข้าสู่ระบบ Discord แพลตฟอร์มจะส่ง Token การตรวจสอบสิทธิ์ผู้ใช้ เนื่องจาก Token นี้
ใช้ในการเข้าสู่ระบบของฐานะผู้ใช้หรือเรียกคำขอ API เพื่อทำการดึงข้อมูลที่เกี่ยวข้องกับบัญชีผู้ใช้
ซึ่งผู้ไม่ประสงค์ดีมักจะขโมย Token ดังกล่าวเพราะทำให้สามารถเข้าควบคุมบัญชีของผู้ใช้ได้หรือใช้ในการโจมตีรูปแบบอื่นๆ
เมื่อเริ่มการโจมตีผู้ไม่ประสงค์ดีจะกำหนดเป้าหมายไปยังนามสกุลไฟล์บางไฟล์ ซึ่งไม่รวมโฟลเดอร์เฉพาะ
ที่แสดงในภาพด้านล่าง
ไฟล์เป้าหมาย (ซ้าย) และไดเร็กทอรีที่ยกเว้น (ขวา)
AXLocker ได้ใช้อัลกอริทึม AES เพื่อเข้ารหัสไฟล์ของเหยื่อ จากนั้นจะทำการส่ง ID ของเหยื่อ, รายละเอียดระบบ (System Details), ข้อมูลที่เก็บไว้ในเบราว์เซอร์ และ Tokens ของ Discord ไปยัง Discord ของผู้ไม่ประสงค์ดี โดยใช้ Webhook URL
ในการขโมย Token ผู้ไม่ประสงค์ดีได้กำหนดเป้าหมายไปยังไดเร็กทอรีต่อไปนี้ :
- Discord\Local Storage\leveldb
- discordcanary\Local Storage\leveldb
- discordptb\leveldb
- Opera Software\Opera Stable\Local Storage\leveldb
- Google\Chrome\User Data\\Default\Local Storage\leveldb
- BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
- Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb
ฟังก์ชัน Grab ของ AxLocker Ransomware
AXLocker จะแสดงหน้าต่างป๊อปอัปที่มีข้อความเรียกค่าไถ่ โดยให้คำแนะนำกับเหยื่อในการติดต่อ
ผู้ไม่ประสงค์ดี เพื่อกู้คืนไฟล์ที่เข้ารหัส ซึ่งมีเวลา 48 ชั่วโมงในการติดต่อและไม่มีการระบุจำนวนเงินค่าไถ่
ไฟล์เรียกค่าไถ่ของ AXLocker Ransomware
IOCs
MD5 | SHA-1 | SHA256s |
ab2c19f4c79bc7a2527ab4df85c69559 | 60a692c6eaf34a042717f54dbec4372848d7a3e3 | d51297c4525a9ce3127500059de3596417d031916eb9a52b737a62fb159f61e0 |
07563c3b4988c221314fdab4b0500d2f | a5f53c9b0f7956790248607e4122db18ba2b8bd9 | 0225a30270e5361e410453d4fb0501eb759612f6048ad43591b559d835720224 |
a18ac3bfb1be7773182e1367c53ec854 | c3d5c1f5ece8f0cf498d4812f981116ad7667286 | c8e3c547e22ae37f9eeb37a1efd28de2bae0bfae67ce3798da9592f8579d433c |
9be47a6394a32e371869298cdf4bdd56 | ca349c0ddd6cda3a53ada634c3c1e1d6f494da8a | 9e95fcf79fac246ebb5ded254449126b7dd9ab7c26bc3238814eafb1b61ffd7a |
ad1c2d9a87ebc01fa187f2f44d9a977c | 03d871509a7369f5622e9ba0e21a14a7e813536d | d9793c24290599662adc4c9cba98a192207d9c5a18360f3a642bd9c07ef70d57 |
คำแนะนำ
- หากพบการโจมตีจาก AXLocker Ransomware ควรเปลี่ยนรหัสผ่าน Discord ทันที เนื่องจากจะทำให้ Token ที่ขโมยไปไม่สามารถใช้ได้
- ติดตั้ง Endpoint และ Update Signature ก่อนทำการ Full-Scan อย่างน้อย 1 ครั้งต่อสัปดาห์
- หมั่นทำการตรวจสอบเวอร์ชันอยู่เสมอ และรีบทำการอัปเดตแพตซ์ให้เป็นเวอร์ชันล่าสุด
- ทำการสำรองข้อมูล (Backup) เป็นประจำ
Ref : https://www.bleepingcomputer.com/news/security/new-axlocker-ransomware-encrypts-files-then-steals-your-discord-account/
Ref IOCs : https://blog.cyble.com/2022/11/18/axlocker-octocrypt-and-alice-leading-a-new-wave-of-ransomware-campaigns/