“DragonForce Ransomware โจมตีโรงงาน – ขโมยข้อมูลผ่าน SSH ก่อนเข้ารหัสเรียกค่าไถ่”
ลองจินตนาการว่าเครือข่ายของโรงงานคุณถูกแฮกโดยไม่รู้ตัว…ข้อมูลสำคัญถูกส่งออกไปยังเซิร์ฟเวอร์ในรัสเซีย แล้วไฟล์ทั้งหมดถูกเข้ารหัสพร้อมทิ้งโน้ตเรียกค่าไถ่ไว้! นี่คือสิ่งที่เกิดขึ้นจริงจากการโจมตีของกลุ่ม DragonForce ซึ่งถูกเปิดโปงโดยบริษัท Darktrace
DragonForce เป็นกลุ่มแรนซัมแวร์แบบ Ransomware-as-a-Service (RaaS) ที่เปิดให้แฮกเกอร์รายอื่นเช่าใช้แพลตฟอร์มโจมตี โดยมีส่วนแบ่งรายได้เพียง 20% เพื่อเน้นปริมาณการโจมตีมากกว่าความพิเศษเฉพาะกลุ่ม
ในกรณีล่าสุด กลุ่มนี้ใช้เทคนิคหลายขั้นตอน เริ่มจากการสแกนเครือข่ายภายในและ brute-force รหัสผ่านผู้ดูแลระบบ จากนั้นแฝงตัวเงียบ ๆ ก่อนกลับมาอีกครั้งเพื่อขโมยข้อมูลผ่าน SSH ไปยังเซิร์ฟเวอร์ในรัสเซีย และสุดท้ายเข้ารหัสไฟล์ทั้งหมด พร้อมทิ้งโน้ตเรียกค่าไถ่ชื่อ “readme.txt” ที่อ้างว่าเป็น DragonForce
Darktrace พบว่าเครื่องที่ถูกโจมตีมีการเปลี่ยนค่า Registry เพื่อควบคุม WMI และ Task Scheduler เพื่อให้มัลแวร์ทำงานต่อเนื่องโดยไม่ถูกตรวจจับ และยังพบการใช้เครื่องมือสแกนช่องโหว่อย่าง OpenVAS และ NetScan ในกระบวนการโจมตี
DragonForce เป็นกลุ่ม Ransomware-as-a-Service ที่เปิดให้เช่าโจมตี
เริ่มต้นในปลายปี 2023 และเติบโตอย่างรวดเร็ว
มีส่วนแบ่งรายได้ต่ำเพียง 20% เพื่อดึงดูดผู้ใช้จำนวนมาก
การโจมตีโรงงานล่าสุดมีหลายขั้นตอน
เริ่มจากการสแกนเครือข่ายและ brute-force รหัสผ่าน
ขโมยข้อมูลผ่าน SSH ไปยังเซิร์ฟเวอร์ Proton66 ในรัสเซีย
เข้ารหัสไฟล์และทิ้งโน้ตเรียกค่าไถ่ “readme.txt”
Darktrace ตรวจพบพฤติกรรมผิดปกติในระบบ
พบการเปลี่ยนค่า Registry ที่เกี่ยวข้องกับ WMI และ Task Scheduler
พบการใช้ OpenVAS และ NetScan เพื่อสแกนช่องโหว่
ข้อมูลเสริมจากภายนอก
RaaS เป็นโมเดลธุรกิจที่ทำให้แรนซัมแวร์แพร่หลายง่ายขึ้น
การใช้ SSH ในการขโมยข้อมูลช่วยหลบเลี่ยงการตรวจจับได้ดี
การเปลี่ยนค่า Registry เป็นเทคนิคที่ใช้เพื่อสร้าง persistence ในระบบ
https://securityonline.info/dragonforce-ransomware-strikes-manufacturing-sector-with-brute-force-exfiltrating-data-over-ssh-to-russian-host/
ลองจินตนาการว่าเครือข่ายของโรงงานคุณถูกแฮกโดยไม่รู้ตัว…ข้อมูลสำคัญถูกส่งออกไปยังเซิร์ฟเวอร์ในรัสเซีย แล้วไฟล์ทั้งหมดถูกเข้ารหัสพร้อมทิ้งโน้ตเรียกค่าไถ่ไว้! นี่คือสิ่งที่เกิดขึ้นจริงจากการโจมตีของกลุ่ม DragonForce ซึ่งถูกเปิดโปงโดยบริษัท Darktrace
DragonForce เป็นกลุ่มแรนซัมแวร์แบบ Ransomware-as-a-Service (RaaS) ที่เปิดให้แฮกเกอร์รายอื่นเช่าใช้แพลตฟอร์มโจมตี โดยมีส่วนแบ่งรายได้เพียง 20% เพื่อเน้นปริมาณการโจมตีมากกว่าความพิเศษเฉพาะกลุ่ม
ในกรณีล่าสุด กลุ่มนี้ใช้เทคนิคหลายขั้นตอน เริ่มจากการสแกนเครือข่ายภายในและ brute-force รหัสผ่านผู้ดูแลระบบ จากนั้นแฝงตัวเงียบ ๆ ก่อนกลับมาอีกครั้งเพื่อขโมยข้อมูลผ่าน SSH ไปยังเซิร์ฟเวอร์ในรัสเซีย และสุดท้ายเข้ารหัสไฟล์ทั้งหมด พร้อมทิ้งโน้ตเรียกค่าไถ่ชื่อ “readme.txt” ที่อ้างว่าเป็น DragonForce
Darktrace พบว่าเครื่องที่ถูกโจมตีมีการเปลี่ยนค่า Registry เพื่อควบคุม WMI และ Task Scheduler เพื่อให้มัลแวร์ทำงานต่อเนื่องโดยไม่ถูกตรวจจับ และยังพบการใช้เครื่องมือสแกนช่องโหว่อย่าง OpenVAS และ NetScan ในกระบวนการโจมตี
DragonForce เป็นกลุ่ม Ransomware-as-a-Service ที่เปิดให้เช่าโจมตี
เริ่มต้นในปลายปี 2023 และเติบโตอย่างรวดเร็ว
มีส่วนแบ่งรายได้ต่ำเพียง 20% เพื่อดึงดูดผู้ใช้จำนวนมาก
การโจมตีโรงงานล่าสุดมีหลายขั้นตอน
เริ่มจากการสแกนเครือข่ายและ brute-force รหัสผ่าน
ขโมยข้อมูลผ่าน SSH ไปยังเซิร์ฟเวอร์ Proton66 ในรัสเซีย
เข้ารหัสไฟล์และทิ้งโน้ตเรียกค่าไถ่ “readme.txt”
Darktrace ตรวจพบพฤติกรรมผิดปกติในระบบ
พบการเปลี่ยนค่า Registry ที่เกี่ยวข้องกับ WMI และ Task Scheduler
พบการใช้ OpenVAS และ NetScan เพื่อสแกนช่องโหว่
ข้อมูลเสริมจากภายนอก
RaaS เป็นโมเดลธุรกิจที่ทำให้แรนซัมแวร์แพร่หลายง่ายขึ้น
การใช้ SSH ในการขโมยข้อมูลช่วยหลบเลี่ยงการตรวจจับได้ดี
การเปลี่ยนค่า Registry เป็นเทคนิคที่ใช้เพื่อสร้าง persistence ในระบบ
https://securityonline.info/dragonforce-ransomware-strikes-manufacturing-sector-with-brute-force-exfiltrating-data-over-ssh-to-russian-host/
🐉 “DragonForce Ransomware โจมตีโรงงาน – ขโมยข้อมูลผ่าน SSH ก่อนเข้ารหัสเรียกค่าไถ่”
ลองจินตนาการว่าเครือข่ายของโรงงานคุณถูกแฮกโดยไม่รู้ตัว…ข้อมูลสำคัญถูกส่งออกไปยังเซิร์ฟเวอร์ในรัสเซีย แล้วไฟล์ทั้งหมดถูกเข้ารหัสพร้อมทิ้งโน้ตเรียกค่าไถ่ไว้! นี่คือสิ่งที่เกิดขึ้นจริงจากการโจมตีของกลุ่ม DragonForce ซึ่งถูกเปิดโปงโดยบริษัท Darktrace
DragonForce เป็นกลุ่มแรนซัมแวร์แบบ Ransomware-as-a-Service (RaaS) ที่เปิดให้แฮกเกอร์รายอื่นเช่าใช้แพลตฟอร์มโจมตี โดยมีส่วนแบ่งรายได้เพียง 20% เพื่อเน้นปริมาณการโจมตีมากกว่าความพิเศษเฉพาะกลุ่ม
ในกรณีล่าสุด กลุ่มนี้ใช้เทคนิคหลายขั้นตอน เริ่มจากการสแกนเครือข่ายภายในและ brute-force รหัสผ่านผู้ดูแลระบบ จากนั้นแฝงตัวเงียบ ๆ ก่อนกลับมาอีกครั้งเพื่อขโมยข้อมูลผ่าน SSH ไปยังเซิร์ฟเวอร์ในรัสเซีย และสุดท้ายเข้ารหัสไฟล์ทั้งหมด พร้อมทิ้งโน้ตเรียกค่าไถ่ชื่อ “readme.txt” ที่อ้างว่าเป็น DragonForce
Darktrace พบว่าเครื่องที่ถูกโจมตีมีการเปลี่ยนค่า Registry เพื่อควบคุม WMI และ Task Scheduler เพื่อให้มัลแวร์ทำงานต่อเนื่องโดยไม่ถูกตรวจจับ และยังพบการใช้เครื่องมือสแกนช่องโหว่อย่าง OpenVAS และ NetScan ในกระบวนการโจมตี
✅ DragonForce เป็นกลุ่ม Ransomware-as-a-Service ที่เปิดให้เช่าโจมตี
➡️ เริ่มต้นในปลายปี 2023 และเติบโตอย่างรวดเร็ว
➡️ มีส่วนแบ่งรายได้ต่ำเพียง 20% เพื่อดึงดูดผู้ใช้จำนวนมาก
✅ การโจมตีโรงงานล่าสุดมีหลายขั้นตอน
➡️ เริ่มจากการสแกนเครือข่ายและ brute-force รหัสผ่าน
➡️ ขโมยข้อมูลผ่าน SSH ไปยังเซิร์ฟเวอร์ Proton66 ในรัสเซีย
➡️ เข้ารหัสไฟล์และทิ้งโน้ตเรียกค่าไถ่ “readme.txt”
✅ Darktrace ตรวจพบพฤติกรรมผิดปกติในระบบ
➡️ พบการเปลี่ยนค่า Registry ที่เกี่ยวข้องกับ WMI และ Task Scheduler
➡️ พบการใช้ OpenVAS และ NetScan เพื่อสแกนช่องโหว่
✅ ข้อมูลเสริมจากภายนอก
➡️ RaaS เป็นโมเดลธุรกิจที่ทำให้แรนซัมแวร์แพร่หลายง่ายขึ้น
➡️ การใช้ SSH ในการขโมยข้อมูลช่วยหลบเลี่ยงการตรวจจับได้ดี
➡️ การเปลี่ยนค่า Registry เป็นเทคนิคที่ใช้เพื่อสร้าง persistence ในระบบ
https://securityonline.info/dragonforce-ransomware-strikes-manufacturing-sector-with-brute-force-exfiltrating-data-over-ssh-to-russian-host/
0 Comments
0 Shares
17 Views
0 Reviews
Thai