ไม่นานมานี้มีการค้นพบแรนซัมแวร์ตัวใหม่ชื่อว่า Cactus Ransomware หรือน้องกระบองเพชร มีเป้าหมายประสงค์เหมือนกับ Ransomware ทั่วไปคือการเข้าไปล็อคไฟล์ระบบ และทำการเรียกค่าไถ่ แต่ที่น่าสนใจคือวิธีการของมัน จนมันได้ชื่อว่า กระบองเพชรครับ
โดยปกติแล้วระบบป้องกันต่าง ๆ จะสามารถตรวจหา Ransomware binary หรือไฟล์ที่เป็นโค้ดที่ใช้ในการทำงานของ ransomware ได้ แต่วิธีการของ Cactus คือการใช้ช่องของผู้บริให้บริการ VPN เจ้านึงในการเข้ารหัส Ransomware binary ตัวเอง ทำให้ระบบตรวจจับไม่สามารถตรวจได้ว่าไฟล์นั้นเป็นไบนาลี่ของแรนซัมแวร์ครับ
ด้วยวิธีการนี้ มันอาจจะเป็นที่มาว่าทำไมถึงเป็นกระบองเพชร เปรียบเสมือนต้นไม้ทีมีหนามรอบตัว ทำให้เราแตะมันลำบาก นอกจากนี้ Cactus ransomware ยังพยายามใช้เครื่องมือที่ใช้กันอย่างแพร่หลายเพื่อเข้าถึงจากระยะไกลเช่น Splashtop, AnyDesk, SuperOps RMM
ในขณะนี้ยังไม่มีข้อมูลสาธารณะเกี่ยวกับค่าไถ่ที่ Cactus ต้องการจากเหยื่อนะ แต่ผู้ให้บริการ VPN ที่แฮกเกอร์ใช้ช่องโหว่อยู่คือ Fortinet และเขาน่าจะกำลังเร่งออกแพทซ์อุดช่องโหว่ดังกล่าวอยู่ครับ
ที่มาข้อมูล
bleepingcomputer
