ឧបករណ៍ជំនួយរហ័សរបស់ Windows ដែលត្រូវបានបំពាន អាចជួយ Black Basta Ransomware Threat Actors

ការប្រើប្រាស់ឧបករណ៍ចូលប្រើពីចម្ងាយបង្ហាញពីបញ្ហាប្រឈមពីរសម្រាប់សហគ្រាស ជាពិសេសនៅពេលដែលត្រូវបានកេងប្រវ័ញ្ចដោយអ្នកគំរាមកំហែងដែលស្ទាត់ជំនាញក្នុងយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដ៏ទំនើប។ ថ្មីៗនេះ ក្រុមហ៊ុន Microsoft Threat Intelligence បានគូសបញ្ជាក់ពីការលេចឡើងនៃយុទ្ធនាការបន្លំ Black Basta Ransomware ដែលរៀបចំឡើងដោយក្រុមលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុដែលត្រូវបានកំណត់ថាជា Storm-1811។ ក្រុមនេះប្រើប្រាស់វិធីសាស្រ្តវិស្វកម្មសង្គម ដោយក្លែងបន្លំជាអង្គភាពដែលគួរឱ្យទុកចិត្តដូចជាជំនួយរបស់ Microsoft ឬបុគ្គលិកផ្នែកព័ត៌មានវិទ្យាខាងក្នុង ដើម្បីបង្រួបបង្រួមជនរងគ្រោះក្នុងការផ្តល់សិទ្ធិចូលប្រើពីចម្ងាយតាមរយៈ Quick Assist ដែលជាកម្មវិធី Windows ដែលសម្របសម្រួលការតភ្ជាប់ពីចម្ងាយ។

នៅពេលដែលការជឿទុកចិត្តត្រូវបានបង្កើតឡើង និងទទួលបានសិទ្ធិចូលប្រើប្រាស់ Storm-1811 បន្តដាក់ពង្រាយមេរោគផ្សេងៗ ដែលទីបំផុតឈានដល់ការចែកចាយ Black Basta ransomware ។ វិធីសាស្រ្តនេះគូសបញ្ជាក់ពីភាពងាយស្រួលដែលឧបករណ៍ចូលប្រើពីចម្ងាយស្របច្បាប់អាចត្រូវបានរៀបចំដោយអ្នកគំរាមកំហែងដែលមានជំនាញវិស្វកម្មសង្គមយ៉ាងប៉ិនប្រសប់ ដោយរំលងវិធានការសន្តិសុខបែបប្រពៃណី។ យុទ្ធសាស្ត្រវិស្វកម្មសង្គមកម្រិតខ្ពស់ទាំងនេះ ត្រូវការការឆ្លើយតបយ៉ាងសកម្មពីក្រុមសន្តិសុខសហគ្រាស ដោយសង្កត់ធ្ងន់លើការប្រុងប្រយ័ត្នខ្ពស់ និងការបណ្តុះបណ្តាលបុគ្គលិកយ៉ាងទូលំទូលាយ។

ប្រតិបត្តិការ modus របស់ Storm-1811 ពាក់ព័ន្ធនឹងការរួមបញ្ចូលគ្នានៃការលួចលាក់ ការទម្លាក់គ្រាប់បែកតាមអ៊ីមែល និងការក្លែងបន្លំបុគ្គលិក IT ដើម្បីបញ្ឆោត និងសម្របសម្រួលអ្នកប្រើប្រាស់។ ជនវាយប្រហារបំផ្លិចបំផ្លាញជនរងគ្រោះជាមួយនឹងអ៊ីមែល មុនពេលចាប់ផ្តើមការហៅទូរស័ព្ទចូល ដោយទាញយកការភាន់ច្រលំដើម្បីបង្ខិតបង្ខំជនរងគ្រោះឱ្យទទួលយកសំណើជំនួយរហ័សដែលមានគំនិតអាក្រក់។ ការទម្លាក់គ្រាប់បែកដែលរៀបចំឡើងនេះបម្រើដល់ជនរងគ្រោះដែលវង្វេងផ្លូវ ត្រួសត្រាយផ្លូវសម្រាប់ឧបាយកលជោគជ័យ និងការដាក់ពង្រាយមេរោគជាបន្តបន្ទាប់។

ការសង្កេតរបស់ក្រុមហ៊ុន Microsoft បង្ហាញពីការប្រើប្រាស់មេរោគផ្សេងៗរបស់ Storm-1811 រួមទាំង Qakbot និង Cobalt Strike ដែលបញ្ជូនតាមរយៈឧបករណ៍ត្រួតពិនិត្យពីចម្ងាយដូចជា ScreenConnect និង NetSupport Manager ។ នៅពេលដែលការចូលដំណើរការត្រូវបានបង្កើតឡើង អ្នកវាយប្រហារប្រើពាក្យបញ្ជាស្គ្រីប ដើម្បីទាញយក និងប្រតិបត្តិបន្ទុកព្យាបាទ ដោយបន្តការគ្រប់គ្រងរបស់ពួកគេលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ លើសពីនេះទៀត Storm-1811 ប្រើប្រាស់ឧបករណ៍ដូចជា OpenSSH tunneling និង PsExec ដើម្បីរក្សាភាពស្ថិតស្ថេរ និង ដាក់ពង្រាយ Black Basta ransomware ឆ្លងកាត់បណ្តាញនានា ។

ដើម្បីកាត់បន្ថយការវាយប្រហារបែបនេះ អង្គការនានាត្រូវបានណែនាំឱ្យលុបឧបករណ៍ចូលប្រើពីចម្ងាយ នៅពេលដែលមិនប្រើប្រាស់ និងអនុវត្តដំណោះស្រាយគ្រប់គ្រងសិទ្ធិចូលប្រើដោយប្រើស្ថាបត្យកម្មសូន្យ។ ការបណ្ដុះបណ្ដាលបុគ្គលិកជាទៀងទាត់គឺសំខាន់បំផុតក្នុងការបណ្ដុះបណ្ដាលការយល់ដឹងអំពីយុទ្ធសាស្ត្រវិស្វកម្មសង្គម និងការបោកប្រាស់បន្លំ ការផ្តល់សិទ្ធិអំណាចដល់បុគ្គលិកក្នុងការកំណត់អត្តសញ្ញាណ និងរារាំងការគំរាមកំហែងដែលអាចកើតមាន។ ដំណោះស្រាយអ៊ីមែលកម្រិតខ្ពស់ និងការត្រួតពិនិត្យព្រឹត្តិការណ៍បន្ថែមពង្រឹងការការពារ បើកការរកឃើញភ្លាមៗ និងកាត់បន្ថយសកម្មភាពព្យាបាទ។

ការកេងប្រវ័ញ្ចនៃឧបករណ៍ចូលប្រើពីចម្ងាយតាមរយៈវិស្វកម្មសង្គមដ៏ទំនើប គូសបញ្ជាក់ពីទិដ្ឋភាពវិវត្តនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត។ ការដោះស្រាយបញ្ហាប្រឈមទាំងនេះតម្រូវឱ្យមានវិធីសាស្រ្តពហុភាគីដែលគ្របដណ្តប់លើការការពារផ្នែកបច្ចេកវិទ្យា ការអប់រំបុគ្គលិក និងវិធានការសន្តិសុខសកម្មដើម្បីការពារប្រឆាំងនឹងការកេងប្រវ័ញ្ចដោយព្យាបាទ។