Ransomware ဂိုဏ်းတစ်ခုသည် အာဂျင်တီးနား အင်တာနက်ဝန်ဆောင်မှုလုပ်ငန်း (ISP) ထံမှ ဒေါ်လာ ၇.၅ သန်းတောင်းဆို

Image
2

Ransomware ဂိုဏ်းတစ်ခုသည် အာဂျင်တီးနားနိုင်ငံ၏ အကြီးမားဆုံး အင်တာနက် ဝန်ဆောင်မှု လုပ်ငန်းများအနက်မှ တစ်ခုဖြစ်သည့် Telecom Argentina ၏ ကွန်ရက်အတွင်းသို့ ကူးစက်ပျံနှံ့ခဲ့ပြီး ဝှက်လိုက်သောဖိုင်များကို ပြန်လည်ရယူရန်အတွက် ဒေါ်လာ ၇.၅ သန်း တောင်းဆိုနေသည်။

၎င်းတိုက်ခိုက်ခံရမှုသည် ဇူလိုင်လ ၁၈ ရက်နေ့၊ စနေနေ့တွင် ဖြစ်ပွားခဲ့ခြင်းဖြစ်ပြီး အာဂျင်တီးနား၏ အကြီးမားဆုံး ဟက်ကာအဖွဲ့များမှ တစ်ဖွဲ့၏လက်ချက်ဟု ယူဆနိုင်သည်။

ISP အတွင်းမှ သတင်းရင်းမြစ်များအရ ဟက်ကာများသည် ISP အတွင်းရှိ Domain Admin ကို ထိန်းချုပ်ရန် စီမံထားပြီးနောက် ကုမ္ပဏီ၏ကွန်ရက်ကို ကြီးစွာပျက်စီးစေခဲ့သည်။ ၎င်းထိန်းချုပ်မှုမှတစ်ဆင့် ကွန်ပျူတာ အလုံးရေ (၁၈,၀၀၀) ကျော်ကို ပျံ့နှံ့စေခဲ့ပြီး Ransomware Payload များကို ထည့်သွင်းသွားခဲ့သည်။

အဆိုပါ တိုက်ခိုက်ခံရမှုသည် ISP ၏ သုံးစွဲသူများ အသုံးပြုနေသော အင်တာနက်၊ တယ်လီဖုန်းနှင့် ကေဘယ်တီဗွီ ဝန်ဆောင်မှုများကိုမူ ထိခိုက်မှု မရှိခဲ့ပေ။ သို့သော်ငြားလည်း Telecom Argentina ၏ တရားဝင် Website အများအပြားသည် စနေနေ့ကတည်းက ပိတ်သိမ်း သွားခဲ့ရသည်။

တိုက်ခိုက်မှု စတင်ပြီးကတည်းက Telecom ဝန်ထမ်းများစွာသည် တိုက်ခိုက်ခံရမှု အကြောင်းအသေးစိတ်နှင့် ISP မှ မည်ကဲ့သို့ ကိုင်တွယ်ဖြေရှင်းလျက်ရှိသည်ကို လူမှုကွန်ရက်များတွင် မျှဝေရေးသားလျက်ရှိသည်။

အွန်လိုင်းတွင် မျှဝေထားသည့် ပုံများအရ ISP သည် ကွန်ရက်အတွင်း ဝင်ရောက် ကျူးကျော်လာမှုကို တွေ့ရှိခဲ့ဟန်ရှိပြီး corporate ကွန်ရက်အတွင်း အချင်းချင်း ဆက်သွယ်မှုကို ကန့်သတ်ရန်၊ VPN ကွန်ရက်ကို မချိတ်ဆက်ရန်၊ Archive ဖိုင်များပါဝင်သည့် အီးမေးလ်များကို ဖွင့်မကြည့်ရန် ဝန်ထမ်းများကို သတိပေးပြောကြားထားမှုများ တွေ့ရသည်။

Ransomware ဂိုဏ်း၏ Dark Web Portal ကို ပြသသည့် တွစ်တာမှ ပိုစ့်အရ  တိုက်ခိုက်သူများသည် REvil (Sodinokibi) Ransomware အုပ်စုဖြစ်သည်ဟု သတ်မှတ်ခြင်းခံထားရသည်။ ၎င်း Web Portal သည် တိုက်ခိုက်ခံရသူများကို ငွေပေးချေရန် ညွန်ကြားထားသည့် Page ဖြစ်သည်။

၎င်း Web Page သည် 109345.35 Monero Coins ( ခန့်မှန်းချေ ဒေါ်လာ ၇.၅၃ သန်း) တောင်းဆိုလျက်ရှိပြီး နောက်သုံးရက်ကြာလျှင် နှစ်ဆ တောင်းဆိုမည်ဖြစ်သည်။ ၎င်းတောင်းဆိုမှု သည် ယခုနှစ် Ransomware တိုက်ခိုက်ခံရမှု၏ အကြီးမားဆုံးငွေတောင်းဆိုမှုများအနက်မှ တစ်ခုအဖြစ် ရပ်တည်နေသည်။

Telecom Argentina သို့ ပြည်တွင်းသတင်းဌာနများမှ ဆက်သွယ်မေးမြန်းရာ ၎င်းတိုက်ခိုက်ခံရမှုနှင့်ပတ်သက်၍ မှတ်ချက်မပေးခဲ့သလို ငွေတောင်းဆိုမှုအား ပေးချေရန် ရည်ရွယ်ချက်ရှိ၊ မရှိကိုလည်း ပြောကြားခဲ့ခြင်း မရှိပေ။

ပြည်တွင်းမီဒီယာများက ဟက်ကာများ ဝင်ရောက်လာနိုင်ခြင်းသည် ဝန်ထမ်းတစ်ဦးမှ လက်ခံရရှိသော အဖျက်အမှောင့် အီးမေးလ် Attachment ကြောင့်ဟု ISP က ယုံကြည်ကြောင်း ဖော်ပြထားကြသည်။ သို့သော်လည်း ၎င်းသည် REvil ဂိုဏ်း ၏ ပုံမှန် အသုံးပြုနေကြနည်းလမ်းနှင့် ကိုက်ညီမှုမရှိပေ။

လုံခြုံရေးကုမ္ပဏီ Advanced Intel ၏ အစီရင်ခံစာအရ လွန်ခဲ့သောနှစ်အတွင်း REvil ဂိုဏ်းသည် ကွန်ရက်မှတဆင့် ထိုးဖောက်ဝင်ရောက်မှုများ လုပ်ဆောင်ခြင်း၊ ကုမ္ပဏီ၏ကွန်ရက်တစ်ခုလုံးသို့ တိုက်ခိုက်ခြင်းမပြုခင် Patch မပြုလုပ်ရသေးသည့် Network Devices များကို ပစ်မှတ်ထားပြီး တိုက်ခိုက်မည့်အဖွဲ့အစည်းတွင်းသို့ ၎င်းတို့ ဝင်ရောက်ရန် ဝင်ပေါက်အဖြစ် အသုံးချခြင်း နည်းလမ်းများကို အဓိကထား အသုံးပြုခဲ့သည်။

ယခင်က REvil သည် Pluse Secure၊ Citrix VPN များနှင့် Enterprise Gateway System တို့ကို ၎င်းတို့ဝင်ရောက်ရန် ဝင်ပေါက်အဖြစ် ပစ်မှတ်ထားခဲ့ကြသည်။

တနင်္ဂနွေနေ့က စကားပြောဆိုမှုတစ်ခု၌ ဆိုက်ဘာတိုက်ခိုက်မှု စုံစမ်းထောက်လှမ်းရေး ကုမ္ပဏီဖြစ်သည့် Bad Packets က ZDNet သို့ ပြောကြားခဲ့ရာတွင် Telecom Argentina သည် Citrix VPN ဆာဗာများကို Run နေယုံမျှမက CVE-2019-19781 အားနည်းချက်ရှိနေသည့် Citrix Instance တစ်ခုကိုလည်း Run နေသည်ဟုဆိုသည်။

လုံခြုံရေးသုတေသီအချို့က VirusTotal Web Antivirus Scanner တွင် တင်ထားပြီးဖြစ် သည့် ဖိုင်နှစ်ဖိုင်သည် Telecom Argentina တိုက်ခိုက်မှုတွင် အသုံးပြုသွားသည့် ဖိုင်များဖြစ်သည်ဟု ပြောဆိုနေကြသည်။ သို့သော်လည်း ZDNet အနေနှင့် တပ်အပ်မပြောဆိုနိုင်သေးပေ။

REvil Ransomware ဂိုဏ်းသည် ကုမ္ပဏီများမှ ငွေပေးချေခြင်းမရှိပါက တိုက်ခိုက်ခံရသော ကွန်ပျူတာများမှ ခိုးယူထားသော အချက်အလက်များကို ဖွင့်ချမည့် Dark Web Portal တစ်ခုကိုလည်း ထားရှိထားသည်။ ယခုရေးသားနေချိန်၌ Revil ၏ စာမျက်နှာတွင် ငွေပေးချေခြင်းမရှိပါက အချက်အလက်များ ဖွင့်ချရန်စီစဉ်ထားသည့် ကုမ္ပဏီများစာရင်းတွင်မူ Telecom Argentina သည် ပါဝင်လာသေးခြင်း မရှိပေ။

ယခုအကြိမ်သည် REvil က အင်တာနက်ဝန်ဆောင်မှုလုပ်ငန်း၏ ကွန်ယက်ကို တိုက်ခိုက်သည်မှာ ဒုတိယကြိမ်မြောက် ဖြစ်သည်။ REvil ဂိုဏ်းသည် မေလက သီရိလင်္ကာနိုင်ငံ၏ ဖုန်းဆက်သွယ်ရေး ဝန်ဆောင်မှုလုပ်ငန်းဖြစ်သည့် Sri Lanka Telecom ကိုလည်း ပစ်မှတ်ထား တိုက်ခိုက်ခဲ့သည်။

“Catalin Cimpanu” ၏ “Ransomware gang demands $7.5 million from Argentinian ISP” ကို “ရွှေဝတ်ရည်” ဘာသာပြန်ဆိုပါသည်။