ทีม Talos ของซิสโก้แจ้งเตือนถึงการโจมตีช่องโหว่ CVE-2019-2725 ของ WebLogic ที่ออราเคิลเพิ่งออกแพตช์ให้เมื่อสัปดาห์ที่ผ่านมา โดยตอนนี้พบว่ามีกลุ่มแฮกเกอร์ใช้ช่องโหว่นี้เข้ารหัสข้อมูลบนเซิร์ฟเวอร์เพื่อเรียกค่าไถ่
ทีมงานพบว่าแฮกเกอร์กลุ่มนี้พยายามสแกนหาเซิร์ฟเวอร์ที่มีช่องโหว่ตั้งแต่วันที่ 25 เมษายนที่ผ่านมา ก่อนการปล่อยแพตช์หนึ่งวัน และหลังจากนั้นก็ส่งคำสั่งให้เครื่องเหยื่อดาวน์โหลดไฟล์ radm.exe มารัน
ตัวมัลแวร์เข้ารหัสพยายามยกเลิก shadow copy ของข้อมูลบนเซิร์ฟเวอร์เพื่อป้องกันการกู้ข้อมูล จากนั้นเข้ารหัสข้อมูล แล้ววางไฟล์แนะนำวิธีติดต่อคนร้ายบนเว็บ Tor โดยตัวอย่างหน้าจอของ Talos นั้นคนร้ายเรียกค่าไถ่ถึง 2,500 ดอลลาร์
ทาง Talos แนะนำให้ทุกคนแพตช์ WebLogic โดยเร็ว, เก็บล็อกของเซิร์ฟเวอร์ให้ครบ้วน, จำกัดสิทธิ์ของโปรเซส WebLogic, ไปจนถึงจำกัดให้ powershell รันเฉพาะไฟล์ที่ได้รับการรับรองเท่านั้น
ที่มา - Talos