News Update

News Update

พบมัลแวร์เรียกค่าไถ่ VanHelsing ตัวใหม่โจมตีระบบ Windows, ARM และ ESXi พร้อมกัน

ผู้เชี่ยวชาญด้านความปลอดภัยค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ชื่อ VanHelsing ที่ออกแบบมาให้ทำงานได้หลายแพลตฟอร์มทั้ง Windows, Linux, BSD, ARM และ ESXi โดยเป็นการให้บริการในรูปแบบ Ransomware-as-a-Service (RaaS)

VanHelsing เริ่มปรากฏบนแพลตฟอร์มอาชญากรรมไซเบอร์ใต้ดินตั้งแต่วันที่ 7 มีนาคม 2025 โดยเสนอให้แฮกเกอร์ที่มีประสบการณ์เข้าร่วมได้ฟรี ขณะที่ผู้ไม่มีประสบการณ์ต้องวางเงินมัดจำ 5,000 ดอลลาร์ ตามรายงานจาก CYFIRMA และ Check Point Research พบว่าเป็นโครงการอาชญากรรมไซเบอร์จากรัสเซียที่ห้ามโจมตีระบบในประเทศกลุ่ม CIS (Commonwealth of Independent States) ผู้ร่วมโครงการจะได้รับส่วนแบ่ง 80% จากค่าไถ่ที่ได้รับ ส่วนผู้ให้บริการรับ 20% การชำระเงินจะดำเนินการผ่านระบบ Escrow อัตโนมัติที่ใช้การยืนยันบล็อกเชนสองครั้งเพื่อความปลอดภัย ผู้ร่วมโครงการจะเข้าถึงส่วนควบคุมที่มีระบบอัตโนมัติเต็มรูปแบบ พร้อมการสนับสนุนโดยตรงจากทีมพัฒนา และไฟล์ที่ถูกขโมยจะถูกจัดเก็บโดยตรงบนเซิร์ฟเวอร์ของ VanHelsing


ปัจจุบันพบว่า VanHelsing ได้เผยแพร่รายชื่อเหยื่อสามรายบน dark web ประกอบด้วยสององค์กรในสหรัฐอเมริกาและหนึ่งในฝรั่งเศส โดยหนึ่งในนั้นเป็นเมืองในรัฐเท็กซัส ส่วนอีกสององค์กรเป็นบริษัทเทคโนโลยี ผู้โจมตีขู่ว่าจะเผยแพร่ไฟล์ที่ขโมยมาในอีกไม่กี่วันข้างหน้าหากไม่ได้รับการชำระเงินตามที่เรียกร้อง ซึ่งจากการสืบสวนของ Check Point พบว่าเรียกค่าไถ่สูงถึง 500,000 ดอลลาร์ VanHelsing เขียนด้วยภาษา C++ และมีหลักฐานบ่งชี้ว่าถูกปล่อยใช้งานครั้งแรกเมื่อวันที่ 16 มีนาคม มัลแวร์นี้ใช้อัลกอริทึม ChaCha20 สำหรับการเข้ารหัสไฟล์ โดยสร้างคีย์แบบสมมาตร 32 ไบต์ (256 บิต) และ nonce 12 ไบต์สำหรับแต่ละไฟล์ จากนั้นค่าเหล่านี้จะถูกเข้ารหัสด้วย public key แบบ Curve25519 ที่ฝังอยู่ และคู่คีย์/nonce ที่เข้ารหัสแล้วจะถูกเก็บไว้ในไฟล์ที่เข้ารหัส

ที่น่าสนใจคือ มัลแวร์นี้มีความสามารถในการทำงานแบบ “Stealth Mode” ที่แยกกระบวนการเข้ารหัสออกจากการเปลี่ยนชื่อไฟล์ ทำให้ยากต่อการตรวจจับเนื่องจากรูปแบบการเข้า/ออกของไฟล์จะเลียนแบบพฤติกรรมปกติของระบบ แม้ว่าเครื่องมือรักษาความปลอดภัยจะตรวจพบและตอบสนองเมื่อเริ่มเปลี่ยนชื่อไฟล์ แต่ข้อมูลทั้งหมดจะถูกเข้ารหัสไปแล้ว อย่างไรก็ตาม Check Point ยังพบข้อบกพร่องบางประการที่แสดงให้เห็นถึงความไม่สมบูรณ์ของโค้ด เช่น ความไม่ตรงกันของนามสกุลไฟล์ ข้อผิดพลาดใน logic รายการยกเว้นที่อาจทำให้เกิดการเข้ารหัสซ้ำซ้อน และตัวเลือกคำสั่งหลายรายการที่ยังไม่ได้ถูกนำไปใช้งาน

ที่มา: https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/

share :

This website Collects

To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions

Accept