จากข้อมูลของนักวิจัย บริการเดสก์ท็อประยะไกลที่เปิดเผยต่อสาธารณะกำลังถูกใช้เพื่อปรับใช้แรนซัมแวร์ใหม่บนอุปกรณ์เป้าหมาย
เมื่อเร็ว ๆ นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ชื่อ linuxct ได้ติดต่อ MalwareHunterTeam เพื่อพยายามขอข้อมูลเพิ่มเติมเกี่ยวกับแรนซั่มแวร์สายพันธุ์ที่พวกเขาค้นพบชื่อ Venus
ทีมงานค้นพบในเวลาต่อมาว่าผู้ให้บริการแรนซัมแวร์เริ่มทำงานตั้งแต่กลางเดือนสิงหาคม 2022 โดยกำหนดเป้าหมายไปที่เหยื่อทั่วโลกโดยการเข้าถึงเครือข่ายขององค์กรผ่าน Windows Remote Desktop Protocol แม้ว่าองค์กรจะใช้หมายเลขพอร์ตที่ผิดปกติสำหรับบริการก็ตาม
ซ่อนอยู่หลังไฟร์วอลล์
นักวิจัยสรุปว่าวิธีที่ดีที่สุดในการป้องกันการโจมตีดังกล่าวคือการวางบริการเหล่านี้ไว้หลังไฟร์วอลล์ นอกจากนี้ ไม่ควรเปิดเผยบริการเดสก์ท็อประยะไกลต่อสาธารณะ และควรเข้าถึงได้ผ่านเครือข่ายส่วนตัวเสมือน (VPN) เท่านั้น
สำหรับแรนซัมแวร์ Venus นั้น วิธีการทำงานนั้นไม่มีอะไรพิเศษสำหรับมัลแวร์ประเภทนี้ เมื่อการทำแผนที่เครือข่าย การระบุตำแหน่งปลายทาง และงานลาดตระเวนอื่นๆ เสร็จสิ้น มัลแวร์จะฆ่ากระบวนการ 39 รายการที่ใช้โดยเซิร์ฟเวอร์ฐานข้อมูลและแอปพลิเคชัน Office บันทึกเหตุการณ์และปริมาณสแนปช็อตจะถูกลบ การป้องกันการดำเนินการข้อมูลจะถูกปิดใช้งาน และไฟล์ทั้งหมดจะถูกเข้ารหัสให้มีนามสกุล .venus
สุดท้าย แรนซั่มแวร์จะสร้างบันทึกเรียกค่าไถ่ โดยเรียกร้องให้ชำระเงินเป็นสกุลเงินดิจิทัลเพื่อแลกกับคีย์ถอดรหัส โดยทั่วไป Venus ต้องการการชำระเงินเป็น bitcoin และข้อมูลล่าสุดระบุว่ากลุ่มต้องการคีย์ถอดรหัส 0.02 BTC หรือประมาณ 380 ยูโร
ส่วนท้ายของบันทึกเรียกค่าไถ่มีหยดที่เข้ารหัสด้วยเลขฐาน 64 ซึ่งนักวิจัยเชื่อว่าน่าจะเป็นคีย์ถอดรหัสที่เข้ารหัสไว้ และการส่งใหม่จะถูกอัปโหลดทุกวันไปยัง ID Ransomware
ปีที่แล้ว แรนซัมแวร์สายพันธุ์อื่นใช้นามสกุลไฟล์เข้ารหัสเดียวกัน แต่นักวิจัยไม่แน่ใจว่าเป็นแรนซัมแวร์สายพันธุ์เดียวกันหรือไม่
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)