เปิดข้อมูลแรนซัมแวร์ Yanluowang มุ้งเป้าโจมตีบริษัทขนาดใหญ่
นายยานิส ซินเชนโก ผู้เชี่ยวชาญความปลอดภัยอาวุโส แคสเปอร์สกี้ กล่าวถึงเหตุการณ์การโจมตีล่าสุดของกลุ่มแรนซัมแวร์ Yanluowang ดังนี้
“เมื่อเร็วๆ นี้ Cisco ได้ยืนยันว่ากลุ่มแรนซัมแวร์ Yanluowang ละเมิดเครือข่ายองค์กรและขู่กรรโชกโดยใช้ไฟล์ที่รั่วไหลจากการถูกขโมยทางออนไลน์ ซึ่งนี่ไม่ใช่กรณีแรกของการจู่โจมของกลุ่ม Yanluowang ที่เราสังเกตุเห็นตลอดทั้งปี
Yanluowang เป็นแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งผู้โจมตีที่ยังไม่เป็นที่รู้จักนำมาใช้เพื่อกำหนดเป้าหมายบริษัทขนาดใหญ่ แรนซัมแวร์นี้ได้ถูกรายงานครั้งแรกเมื่อปลายปีที่แล้ว แต่แม้ว่าจะเพิ่งปรากฏตัวในเวลาไม่นาน แต่ Yanluowang ก็สามารถกำหนดเป้าหมายเป็นบริษัทจากทั่วทุกมุมโลก โดยมีเหยื่อในสหรัฐอเมริกา บราซิล เยอรมนี สหรัฐอาหรับเอมิเรตส์ จีน ตุรกี และประเทศอื่นๆ อีกมากมาย
ในขณะที่กลุ่มผู้โจมตีประกาศข่าวการละเมิด Cisco ในเว็บไซต์ข้อมูลรั่วไหลของตน บริษัทระบุว่าไม่พบหลักฐานเพย์โหลดของแรนซัมแวร์ระหว่างการโจมตี การกระทำนี้เป็นเรื่องปกติสำหรับผู้ดำเนินการแรนซัมแวร์จำนวนมาก เพราะผู้ดำเนินการจะพยายามฉวยโอกาสทุกวิถีทางเพื่อรีดไถเงินและทำลายชื่อเสียงของเหยื่อ เราขอแนะนำให้ไม่จ่ายค่าไถ่เพื่อสนับสนุนผู้โจมตีแรนซัมแวร์ เพราะไม่มีการรับประกันว่าผู้โจมตีจะส่งคืนข้อมูลหรือจะหยุดการโจมตีไม่ให้เกิดขึ้นอีก เรา – แคสเปอร์สกี้กำลังทำงานอย่างหนักเพื่อช่วยให้บริษัทต่างๆ หลีกเลี่ยงเหตุการณ์ดังกล่าว และสำคัญอย่างยิ่งที่องค์กรธุรกิจจะต้องปฏิบัติตามหลักการรักษาความปลอดภัยขั้นพื้นฐาน เพื่อให้ได้รับการปกป้องและลดความสูญเสียทางการเงินและชื่อเสียงที่อาจเกิดขึ้นจากการโจมตีของแรนซัมแวร์ให้เหลือน้อยที่สุด
ขณะที่วิเคราะห์มัลแวร์ Yanluowang ในเดือนเมษายน เราพบว่าโค้ดที่เป็นอันตรายนั้นไม่สมบูรณ์แบบ ช่องโหว่ที่ค้นพบในโค้ดทำให้เราสร้างตัวถอดรหัสไฟล์โดยใช้การโจมตีแบบธรรมดา ตัวถอดรหัส Rannoh Decryptor ของเราสามารถวิเคราะห์ไฟล์ที่เข้ารหัสและช่วยกู้คืนข้อมูลเหยื่อ Yanluowang ได้”