เมนู

LockBit ransomware ใช้วิธีการใหม่เพื่อให้ผู้ใช้ติดแรนซัมแวร์ โดยการปลอมแปลงอีเมลการแจ้งเตือน และการละเมิดลิขสิทธิ์ 

lock bit (1040)

LockBit ransomware 

29 มิถุนายน 2565

📌 บริษัทในเครือของ LockBit ransomware ใช้วิธีการใหม่เพื่อให้ผู้ใช้ติดแรนซัมแวร์ โดยการปลอมแปลงอีเมลการแจ้งเตือน และการละเมิดลิขสิทธิ์ 🔑
 
✉️ ผู้รับอีเมลจะได้รับการแจ้งเตือนเกี่ยวกับการละเมิดลิขสิทธิ์ และถูกกล่าวหาว่ามีการใช้ไฟล์สื่อที่ไม่ได้รับอนุญาตจากเจ้าของลิขสิทธิ์ อีเมลเหล่านี้จะแจ้งให้ผู้รับทราบ และให้ทำการลบเนื้อหาที่ละเมิดลิขสิทธิ์ออกจากเว็บไซต์ มิเช่นนั้นถูกดำเนินคดีทางกฏหมาย 🧑‍✈️
 
🔎 โดยนักวิเคราะห์ที่ประเทศเกาหลี (AhnLab) ไม่ได้ระบุว่าไฟล์ใดถูกนำไปใช้ แต่เป็นการแจ้งให้ผู้รับทราบว่าเป็นการละเมิดลิขสิทธิ์ถ้าหากทำการดาวน์โหลดไฟล์ หรือเปิดไฟล์ที่แนบ โดยไฟล์ที่ถูกแนบมานั้นจะเป็นไฟล์ ZIP ที่มีการใส่รหัสผ่าน ซึ่งภายในไฟล์ที่ถูกบีบอัดมานั้นเป็นไฟล์คำสั่งที่ถูกปลอมแปลงมาในรูปแบบไฟล์ PDF แต่ความจริงแล้วคือไฟล์ NSIS installer

เหตุผลที่ไฟล์ถูกใส่รหัสเพื่อเป็นการหลีกเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัย หากผู้ใช้ทำการเปิดไฟล์ PDF เพื่อดูรูปภาพหรือข้อมูล เจ้าตัวมัลแวร์จะทำการดาวน์โหลด และเข้ารหัสอุปกรณ์ด้วย LockBit 2.0 ransomware 🦠

การเรียกร้องลิขสิทธิ์ และมัลแวร์  🤔

📝 แม้ว่าการอ้างสิทธิ์ หรือการละเมิดลิขสิทธิ์จะเป็นเรื่องที่น่าสนใจแต่ก็ไม่ใช่เรื่องแปลกใหม่เพราะมีแค่กลุ่ม LockBit เท่านั้นที่ใช้วิธีการนี้ ในการใช้มัลแวร์จำนวนมากในการโจมตี เมื่อไม่นานมานี้ทาง BleeppingComputer ก็ได้รับอีเมลประเภทนี้เป็นจำนวนมาก ซึ่งจากการวิเคราะห์เพิ่มเติมพบ distributing BazarLoader และ Bumblebee malware loader 

🔥 Bumblebee ถูกใช้สำหรับส่ง Payloads ขั้นที่สอง รวมถึงแรนซัมแวร์ ดังนั้นในการเปิดไฟล์ข้อมูลเหล่านี้บนอุปกรณ์คอมพิวเตอร์ของผู้ใช้อาจจะนำไปสู่การโจมตีที่รวดเร็ว และรุนแรงได้ 

🧑‍💻 ในเรื่องของลิขสิทธิ์เป็นเรื่องที่ผู้เผยแพร่ต้องมีการพิจารณาอย่างจริงจัง เพราะถ้าการอ้างสิทธิ์นั้นไม่เป็นความจริง เมื่อผู้รับทำการเปิดไฟล์ข้อมูลก็ไม่ถือว่าเป็นการละเมิด และไม่จำเป็นต้องลบข้อมูลแต่อย่างใด 

LockBit at the top 🔗

🖥 จากรายงานประจำเดือนพฤษภาคม “Threat Pulse” ของ NCC Group’s พบว่า LockBit 2.0 ถูกคิดเป็น 40% ของการโจมตีด้วยแรนซัมแวร์ทั้งหมด 236 ครั้ง ในรายงานประจำเดือน โดยเหยื่อที่ถูกโจมตีมีจำนวน 95 รายเพียงในเดือนเดียว ในส่วนของ Conti, BlackBasta, Hive และ BlackCAT มีทั้งหมด 65 ราย 

 

อ้างอิง1: https://www.bleepingcomputer.com/news/security/fake-copyright-infringement-emails-install-lockbit-ransomware/ 

อ้างอิง2: https://asec.ahnlab.com/en/35822/ 

อ้างอิง3: https://newsroom.nccgroup.com/news/ncc-group-monthly-threat-pulse-may-2022-450133