FBI พบ Hive Ransomware มัลแวร์ตัวใหม่มุ่งโจมตีบริษัทในสหรัฐฯ

สำนักงานสอบสวนกลาง (FBI) ประกาศพบหลักฐานเกี่ยวกับการโจมตีโดย Hive Ransomware ที่กำลังมุ่งโจมตีบริษัทต่าง ๆ ในสหรัฐอเมริกา

โดย Ransomware นี้มีเทคนิคในการโจมตีที่อาศัย Email Phishing ในการแนบไฟล์อันตราย เพื่อใช้ Remote Desktop Protocol (RDP) เข้าไปยังระบบเครือข่ายเหยื่อ จากนั้นล็อคไฟล์และกดดันเหยื่อให้ยอมจ่ายเงินค่าไถ่ภายใน 2-6 วัน

ซึ่ง FBI ยังกล่าวเพิ่มเติมอีกว่า Hive Ransomware มีวิธีหลบเลี่ยงการตรวจจับจากโปรแกรมรักษาความปลอดภัยที่ยากต่อการตรวจจับได้ วิธีการคือ เมื่อเข้าสู่ระบบเครือข่ายภายในแล้ว จะทำการ คัดลอกไฟล์ จากนั้นจะทิ้งสคริปต์ hive.bat เพื่อลบตัวเองออกจากโฮสต์ที่ถูกบุกรุก โดยมีตัวอย่างไฟล์การโจมตี Hive ransomware มีดังต่อไปนี้:

  1. Winlo.exe – ใช้เพื่อวาง 7zG.exe ซึ่งเป็นเวอร์ชันที่ถูกต้องของไฟล์เก็บถาวร 7-Zip
  2. 7zG.exe – ตัวเก็บไฟล์ 7-Zip เวอร์ชัน 19.0.0
  3. Winlo_dump_64_SCY.exe – ใช้ในการเข้ารหัสไฟล์ที่มีนามสกุล .KEY และปล่อยหมายเหตุเรียกค่าไถ่HOW_TO_DECRYPT.txt

ภาพ: ตัวอย่างไฟล์ที่ตรวจพบในการโจมตี Hive ransomware

สำหรับ Hive Ransomware ตรวจพบครั้งแรกเมื่อปลายเดือนมิถุนายน 2564 และมีบริษัทที่ตกเป็นเหยื่อไปแล้วกว่า 30 ราย และมีโรงพยาบาล คลินิก ที่ตกเป็นเหยื่อกว่า 64 แห่ง  ดังนั้น ขอให้ทุกบริษัท หน่วยงานทั่วโลกควรระมัดระวัง และทำการสำรองข้อมูลสม่ำเสมอ อย่าเลี่ยงการคลิกลิงก์ที่มาจากเมลที่ไม่น่าเชื่อถือ

ที่มา: https://www.bleepingcomputer.com/news/security/fbi-shares-technical-details-for-hive-ransomware/