Venus Ransomware โจมตีระบบ Remote Desktop
#SecurityUpdate | ตรวจพบผู้คุกคามที่อยู่เบื้องหลัง Venus Ransomware
ทำการโจมตีระบบ Remote Desktop เพื่อเข้ารหัสอุปกรณ์บน Windows
ช่วงเวลาประมาณ 11.00 น. ของวันที่ 16 ต.ค. 2565 เว็บไซต์ BleepingComputer รายงานว่ามีการตรวจพบแรนซัมแวร์ตัวนี้จาก MalwareHunterTeam ซึ่งได้รับการติดต่อจาก linuxct นักวิเคราะห์ด้านความปลอดภัย ว่าผู้คุกคามได้เข้าถึงเครือข่ายองค์กรของเหยื่อผ่านโปรโตคอล Windows Remote Desktop
ทั้งนี้ BleepingComputer ได้ให้ข้อมูลเพิ่มเติมที่น่าสนใจว่า Venus Ransomware เริ่มดำเนินการในกลางเดือนสิงหาคม 2022 โดยใช้วิธีการหลอกให้เหยื่ออนุญาตให้เข้าถึงระบบ Venus ransomware จะพยายามยุติกระบวนการสาม 19 กระบวนการที่เกี่ยวข้องกับเซิร์ฟเวอร์ฐานข้อมูล และแอปพลิเคชัน Microsoft Office ทันที จากนั้นจะลบบันทึกเหตุการณ์ Shadow Copy Volumes รวมไปถึงการปิดการใช้งาน Data Execution Prevention ด้วย
หลังจากนั้น Venus ransomware จึงจะเริ่มเข้ารหัสไฟล์ต่าง ๆ ที่อยู่ภายในเครื่องของเหยื่อ และผนวกนามสกุล .venus เข้าไปด้านหลังไฟล์ ทำให้เข้าใช้งานไม่ได้ จากนั้นจะสร้างบันทึกเรียกค่าไถ่ HTA ในโฟลเดอร์ %Temp% ที่จะแสดงโดยอัตโนมัติเมื่อแรนซัมแวร์เสร็จสิ้นการเข้ารหัสอุปกรณ์
ที่สำคัญ "วีนัส แรนซัมแวร์" ได้มีการแชร์ที่อยู่ และที่อยู่อีเมลที่สามารถใช้ติดต่อผู้โจมตีเพื่อเจรจาค่าไถ่ไว้ให้ในบันทึกเรียกค่าไถ่อีกด้วย หากเหยื่อที่ถูกโจมตีต้องการเจรจาต่อรองกับแฮ็กเกอร์
ที่มา : MalwareHunterTeam, BleepingComputer