H0lyGh0st Ransomware
H0lyGh0st Ransomware เป็นภัยคุกคามที่น่าเป็นห่วงซึ่งถูกใช้ในการโจมตี SME (วิสาหกิจขนาดกลางและขนาดย่อม) เชื่อกันว่าผู้ปฏิบัติการของภัยคุกคามเป็นกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือซึ่งมีการติดตามกิจกรรมเป็น DEV-0530 โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Microsoft Threat Intelligence Center (MSTIC) จากการค้นพบของพวกเขา ชุดแฮ็กเกอร์เปิดใช้งานตั้งแต่อย่างน้อยเดือนมิถุนายน 2564 และสามารถแพร่ระบาดในธุรกิจต่างๆ จากหลายประเทศ
ภัยคุกคาม H0lyGh0st (หรือที่รู้จักในชื่อ HolyGhost) ได้รับการออกแบบมาเพื่อเข้ารหัสข้อมูลที่พบในอุปกรณ์ที่ถูกละเมิดและทำให้ใช้งานไม่ได้โดยสิ้นเชิง ไฟล์ที่ถูกล็อคแต่ละไฟล์จะถูกทำเครื่องหมายด้วยการเพิ่ม '.h0lyenc' ในชื่อเดิมเป็นนามสกุลใหม่ ภัยคุกคามจะสร้างไฟล์ HTML ชื่อ 'FOR_DECRYPT.html' บนระบบที่ติดไวรัส การเปิดไฟล์จะแสดงบันทึกค่าไถ่พร้อมคำแนะนำสำหรับผู้ที่ตกเป็นเหยื่อ
ข้อความที่ H0lyGh0st Ransomware ทิ้งไว้จะแนะนำเป้าหมายที่ได้รับผลกระทบเกี่ยวกับวิธีการติดต่อแฮกเกอร์เป็นหลัก มีการกล่าวถึงที่อยู่อีเมลที่ 'H0lyGh0st@mail2tor.com' แต่ช่องทางการสื่อสารหลักดูเหมือนจะเป็นเว็บไซต์เฉพาะที่โฮสต์บนเครือข่าย TOR โดยทั่วไปแล้ว ผู้ดำเนินการภัยคุกคามจะยอมรับการชำระเงินด้วย Bitcoin เท่านั้น และดำเนินแผนการกรรโชกสองครั้ง ซึ่งหมายความว่านอกจากการล็อคข้อมูลของเหยื่อแล้ว อาชญากรไซเบอร์ยังเก็บรวบรวมข้อมูลที่ละเอียดอ่อนซึ่งพวกเขาจะขู่ว่าจะเปิดเผยต่อสาธารณะหากความต้องการของพวกเขาไม่เป็นไปตามที่ต้องการ
ข้อความทั้งหมดของ H0lyGh0st Ransomware คือ:
'H0lyGh0st
โปรดอ่านข้อความนี้เพื่อถอดรหัสไฟล์ทั้งหมดที่เข้ารหัส
ไม่ต้องกังวล คุณสามารถส่งคืนไฟล์ทั้งหมดของคุณได้
หากคุณต้องการกู้คืนไฟล์ทั้งหมดของคุณ ให้ส่งอีเมลไปที่ H0lyGh0st@mail2tor.com พร้อมรหัสของคุณ ID ของคุณคือ
หรือติดตั้ง Tor browser และติดต่อเราด้วย ID หรือชื่อบริษัทของคุณ (หากทุกเครื่องในบริษัทของคุณถูกเข้ารหัส)เว็บไซต์ของเรา : H0lyGh0stWebsite
บริการของเรา
หลังจากที่คุณชำระเงิน เราจะส่งตัวปลดล็อกพร้อมรหัสถอดรหัส
ความสนใจ!
อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์ของบุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือของบุคคลที่สามอาจทำให้ราคาสูงขึ้น
โปรแกรมป้องกันไวรัสอาจบล็อกตัวปลดล็อกของเรา ดังนั้นให้ปิดใช้งานโปรแกรมป้องกันไวรัสก่อนและเรียกใช้ตัวปลดล็อกด้วยคีย์ถอดรหัส"