ProLock Ransomware จำนวนเหยื่อและความรุนแรงสูงขึ้นอย่างน่ากังวล
19 พฤษภาคม 2020
จากการรายงานในเว็บไซต์ bleepingcomputer กล่าวว่าพบ Ransomware ตัวใหม่ชื่อว่า ProLock โดยพัฒนามาจาก PwndLocker ที่เริ่มโจมตีตั้งแต่เดือนมีนาคม 2020 ที่ผ่านมา ซึ่ง ProLock ถูกจับตามองอย่างรวดเร็ว เนื่องจากมีจำนวนผู้ตกเป็นเหยื่อพุ่งสูงขึ้น ถือเป็น Ransomware ที่มีความต้องการ decryption key สูงขึ้นมากในระยะเวลาอันรวดเร็ว โดยมีเป้าหมายคือ กลุ่มธุรกิจและรัฐบาลท้องถิ่น และล่าสุดมีรายงานว่า บริษัทผู้นำด้านเทคโนโลยีที่เกี่ยวกับการเงินและ E-commerce ยักษ์ใหญ่สัญชาติอเมริกันอย่าง Diebold Nixdorf ซึ่งเป็นที่รู้จักกันดีว่าเป็นผู้ให้บริการ Automatic teller machines (ATMs) ทั่วโลก ถูกโจมตีด้วย ProLock Ransomware แต่การโจมตีครั้งนี้ถูกตรวจพบ และหยุดหยั้งไว้ได้ก่อนจะเข้าสู่ encryption state จึงยังไม่มีผลกระทบต่อระบบ
Oleg Skulkin ผู้เชี่ยวชาญด้าน Digital Forensics Analyst ของบริษัทด้าน cybersecurity แห่งหนึ่งในสิงคโปร์ ออกมาให้ข้อมูลเกี่ยวกับ ProLock Ransomware ที่มักเริ่มต้นด้วยการใช้ phishing campaigns เพื่อส่งมัลแวร์ Microsoft Word documents ผ่านอีเมล ซึ่งแท้จริงแล้วเป็น QakBot (QBot) โดยเป็น banking Trojan ที่เมื่อถูกติดตั้งลงบนเครื่องของเหยื่อจะใช้คำสั่งใน PowerShell เพื่อดาวน์โหลด scripts ที่อยู่บน cloud จากนั้นจะ execute และคอยควบคุมเครื่องให้ malicious payload ทำงาน นอกจากนี้ยังพบว่า ProLock ใช้ public-facing remote desktop (RDP) server เพื่อให้การควบคุมเป็นไปอย่างต่อเนื่อง ซึ่งเมื่อเข้ารหัสเครื่องของเหยื่อได้แล้วจะทิ้ง ransom note หรือข้อความเรียกค่าไถ่เอาไว้ โดยไฟล์ที่ถูกเข้ารหัสมักมีนามสกุล .proLock, .pr0Lock, .proL0ck, .key และ .pwnd
นอกจากนั้น Skulkin ยังให้ข้อมูลอีกว่า ProLock มีเทคนิคใกล้เคียงกับ ransomware ชื่อดังอย่าง Sodinokibi และ Maze แตกต่างตรงที่ปัจจุบันยังไม่พบว่า ProLock มี Website เพื่อเปิดเผยข้อมูลของเหยื่อ แต่คาดว่าจะเกิดขึ้นในอนาคตอันใกล้นี้อย่างแน่นอน และในกรณีของ Diebold Nixdorf ตอกย้ำความจำเป็นในการเฝ้าระวังระบบได้เป็นอย่างดี เพราะหากการโจมตีครั้งนี้สำเร็จ นั่นหมายถึงตู้ ATM ทั่วโลกอาจจะตกอยู่ในความเสี่ยง ซึ่งเป็นความเสียหายทั้งตัวเงินและชื่อเสียงที่ไม่อาจประเมินค่าได้
บทความที่เกี่ยวข้อง