BARADAI Ransomware
ប្រតិបត្តិការ ransomware ទំនើបៗបន្តវិវឌ្ឍក្នុងភាពទំនើប ដែលធ្វើឱ្យការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិតប្រកបដោយភាពសកម្មមានសារៈសំខាន់ជាងពេលណាៗទាំងអស់។ អង្គការ និងអ្នកប្រើប្រាស់ម្នាក់ៗប្រឈមមុខនឹងហានិភ័យជាប្រចាំពីជនអាក្រក់ដែលព្យាយាមអ៊ិនគ្រីបទិន្នន័យរសើប រំខានដល់ប្រតិបត្តិការ និងជំរិតទារប្រាក់ពីជនរងគ្រោះផ្នែកហិរញ្ញវត្ថុ។ ឧទាហរណ៍ដ៏គ្រោះថ្នាក់មួយគឺ BARADAI Ransomware ដែលជាមេរោគដែលជាប់ទាក់ទងនឹងគ្រួសារ ransomware MedusaLocker ដ៏ល្បីល្បាញ។ ការគំរាមកំហែងនេះរួមបញ្ចូលគ្នានូវការអ៊ិនគ្រីបកម្រិតខ្ពស់ជាមួយនឹងយុទ្ធសាស្ត្រលួចទិន្នន័យ ដែលបង្កើតផលវិបាកធ្ងន់ធ្ងរដល់ប្រតិបត្តិការ ហិរញ្ញវត្ថុ និងកេរ្តិ៍ឈ្មោះសម្រាប់អង្គការដែលរងផលប៉ះពាល់។
តារាងមាតិកា
នៅខាងក្នុងប្រតិបត្តិការ BARADAI Ransomware
មេរោគ BARADAI ត្រូវបានរចនាឡើងដើម្បីជ្រៀតចូលប្រព័ន្ធ អ៊ិនគ្រីបឯកសារដ៏មានតម្លៃ និងដាក់សម្ពាធលើជនរងគ្រោះឱ្យបង់ប្រាក់លោះ។ នៅពេលដែលត្រូវបានប្រតិបត្តិនៅលើម៉ាស៊ីនដែលរងការសម្របសម្រួល មេរោគ ransomware ចាប់ផ្តើមអ៊ិនគ្រីបឯកសារ និងបន្ថែមផ្នែកបន្ថែម '.BARADAI' ទៅឈ្មោះឯកសារដែលរងផលប៉ះពាល់។ ឧទាហរណ៍ ឯកសារដែលមានឈ្មោះថា 'document.pdf' ក្លាយជា 'document.pdf.BARADAI' ដែលធ្វើឱ្យវាមិនអាចចូលប្រើបានដោយអ្នកប្រើប្រាស់ដោយគ្មានកូនសោឌិគ្រីបត្រឹមត្រូវ។
បន្ទាប់ពីដំណើរការអ៊ិនគ្រីបត្រូវបានបញ្ចប់ មេរោគនឹងបង្កើតកំណត់ចំណាំ HTML មួយដែលមានឈ្មោះថា 'read_to_decrypt_files.html'។ សារនេះជូនដំណឹងដល់ជនរងគ្រោះថាបណ្តាញសាជីវកម្មរបស់ពួកគេត្រូវបាន 'សម្របសម្រួល និងអ៊ិនគ្រីប' ដោយប្រើក្បួនដោះស្រាយអ៊ិនគ្រីប RSA-4096 និង AES-256។ ស្តង់ដារអ៊ិនគ្រីបទាំងនេះត្រូវបានចាត់ទុកថាមានសុវត្ថិភាពខ្ពស់ និងមិនអាចបំបែកបានតាមរយៈវិធីសាស្ត្រ brute-force។
កំណត់ចំណាំលោះក៏ព្រមានជនរងគ្រោះកុំឱ្យប្រើប្រាស់កម្មវិធីសង្គ្រោះភាគីទីបី ឬការកែប្រែឯកសារដែលបានអ៊ិនគ្រីប ដោយអះអាងថាសកម្មភាពបែបនេះអាចបំផ្លាញទិន្នន័យជាអចិន្ត្រៃយ៍។ ខណៈពេលដែលការព្រមានទាំងនេះមានបំណងបំភិតបំភ័យជនរងគ្រោះជាចម្បង ការប៉ុនប៉ងសង្គ្រោះមិនត្រឹមត្រូវអាចធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងស្តារឡើងវិញនៅក្នុងឧប្បត្តិហេតុ ransomware មួយចំនួន។
យុទ្ធសាស្ត្រជំរិតទារប្រាក់ទ្វេដងបង្កើនសម្ពាធ
BARADAI ធ្វើតាមយុទ្ធសាស្ត្រ 'ជំរិតទារប្រាក់ទ្វេដង' ដែលកាន់តែកើតមានជាទូទៅ ដែលប្រើប្រាស់ដោយក្រុម ransomware ទំនើបៗជាច្រើន។ ក្រៅពីការអ៊ិនគ្រីបឯកសារ អ្នកវាយប្រហារអះអាងថាលួចព័ត៌មានរសើបពីបណ្តាញដែលរងការសម្របសម្រួល មុនពេលដាក់ពង្រាយ payload ransomware។ យោងតាមកំណត់ចំណាំ ransom ទិន្នន័យដែលត្រូវបានគេលួចអាចរួមមានឯកសារអាជីវកម្មសម្ងាត់ កំណត់ត្រាហិរញ្ញវត្ថុ និងព័ត៌មានផ្ទាល់ខ្លួន។
ជនរងគ្រោះត្រូវបានគំរាមកំហែងថានឹងលាតត្រដាងព័ត៌មាននេះជាសាធារណៈតាមរយៈប្រព័ន្ធផ្សព្វផ្សាយ ឬអ្នកសម្របសម្រួលទិន្នន័យ ប្រសិនបើការទាមទារការទូទាត់ត្រូវបានមិនអើពើ។ យុទ្ធសាស្ត្រនេះបង្កើនសម្ពាធយ៉ាងខ្លាំងទៅលើអង្គការនានា ជាពិសេសអង្គការទាំងឡាយណាដែលដោះស្រាយព័ត៌មានរសើបរបស់អតិថិជន ទិន្នន័យដែលមានការគ្រប់គ្រង ឬកម្មសិទ្ធិបញ្ញា។
ដើម្បីពង្រឹងភាពជឿជាក់របស់ពួកគេ អ្នកវាយប្រហារផ្តល់ជូនដើម្បីឌិគ្រីបឯកសារមិនសំខាន់ជាច្រើនដោយឥតគិតថ្លៃ។ ការបង្ហាញនេះមានន័យថាដើម្បីបញ្ជាក់ថាការឌិគ្រីបអាចធ្វើទៅបានតាមបច្ចេកទេសប្រសិនបើប្រាក់លោះត្រូវបានបង់។ បណ្តាញទំនាក់ទំនងដែលផ្តល់ជូននៅក្នុងកំណត់ចំណាំរួមមានអាសយដ្ឋានអ៊ីមែល វិបផតថលដែលមានមូលដ្ឋានលើ Tor និងលេខសម្គាល់សារ qTox។ ជនរងគ្រោះត្រូវបានលើកទឹកចិត្តបន្ថែមទៀតឱ្យប្រើប្រាស់ ProtonMail សម្រាប់ការទំនាក់ទំនង 'សុវត្ថិភាព' ខណៈពេលដែលថ្ងៃផុតកំណត់ 72 ម៉ោងព្យាយាមបង្កើតភាពបន្ទាន់ដោយព្រមានថាតម្រូវការប្រាក់លោះនឹងកើនឡើងបន្ទាប់ពីរយៈពេលដែលបានកំណត់។
ហេតុអ្វីបានជា BARADAI មានគ្រោះថ្នាក់ជាពិសេស
BARADAI តំណាងឱ្យការគំរាមកំហែងដ៏ធំមួយ ពីព្រោះវាជាកម្មសិទ្ធិរបស់គ្រួសារ MedusaLocker ransomware ដែលជាក្រុមមួយដែលត្រូវបានគេស្គាល់ថាសម្រាប់ការកំណត់គោលដៅអាជីវកម្ម និងបរិយាកាសសហគ្រាសជាជាងអ្នកប្រើប្រាស់នៅផ្ទះធម្មតា។ ប្រតិបត្តិការទាំងនេះច្រើនតែត្រូវបានគ្រោងទុក និងអនុវត្តយ៉ាងប្រុងប្រយ័ត្ន បន្ទាប់ពីអ្នកវាយប្រហារទទួលបានសិទ្ធិចូលប្រើយ៉ាងស៊ីជម្រៅទៅក្នុងបណ្តាញសាជីវកម្ម។
ជាទូទៅ មេរោគ ransomware រីករាលដាលតាមរយៈសេវាកម្ម Remote Desktop Protocol (RDP) ដែលរងការគំរាមកំហែង។ អ្នកវាយប្រហារស្វែងរកចំណុចបញ្ចប់ RDP ដែលភ្ជាប់អ៊ីនធឺណិត ដែលត្រូវបានការពារដោយព័ត៌មានសម្ងាត់ខ្សោយ ឬប្រើប្រាស់ឡើងវិញ បន្ទាប់មកប្រើការវាយប្រហារដោយកម្លាំង brute-force ដើម្បីទទួលបានសិទ្ធិចូលប្រើដោយគ្មានការអនុញ្ញាត។ នៅពេលចូលទៅខាងក្នុង ពួកគេផ្លាស់ទីទៅចំហៀងតាមរយៈបណ្តាញ ធ្វើឱ្យខូចប្រព័ន្ធបន្ថែម បិទការការពារ និងដាក់ពង្រាយ ransomware ឆ្លងកាត់ម៉ាស៊ីនច្រើនក្នុងពេលដំណាលគ្នា។
យុទ្ធនាការបន្លំតាមប្រព័ន្ធអេឡិចត្រូនិក (Phishing) ក៏នៅតែជាវ៉ិចទ័រនៃការឆ្លងមេរោគដ៏សំខាន់មួយផងដែរ។ បុគ្គលិកអាចបើកឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ដោយមិនដឹងខ្លួន ដែលក្លែងបន្លំជាវិក្កយបត្រ របាយការណ៍ ឬការទំនាក់ទំនងអាជីវកម្ម។ ឯកសារទាំងនេះច្រើនតែមានម៉ាក្រូដែលមានគំនិតអាក្រក់ ស្គ្រីបដែលបានបង្កប់ ឬតំណភ្ជាប់ដែលនាំទៅដល់ការទាញយកមេរោគ។ បណ្ណសារដែលបានបង្ហាប់ដូចជាឯកសារ ZIP ឬ RAR ត្រូវបានគេប្រើជាញឹកញាប់ដើម្បីរំលងការការពារការច្រោះអ៊ីមែលជាមូលដ្ឋាន។
វិធីសាស្ត្រឆ្លងបន្ថែមរួមមាន មេរោគ Trojan កម្មវិធីលួចចម្លង ឧបករណ៍ធ្វើឱ្យសកម្មខុសច្បាប់ ការអាប់ដេតកម្មវិធីក្លែងក្លាយ និងវេទិកាទាញយកដែលមិនគួរឱ្យទុកចិត្ត។ នៅក្នុងបណ្តាញដែលមានផ្នែកមិនល្អ ចំណុចបញ្ចប់ដែលឆ្លងមេរោគតែមួយអាចនាំឱ្យមានការសម្របសម្រួលយ៉ាងទូលំទូលាយនៅទូទាំងអង្គការ។
បញ្ហាប្រឈមនៃការអ៊ិនគ្រីប និងការសង្គ្រោះ
ការសង្គ្រោះឯកសារដែលបានអ៊ិនគ្រីបដោយ BARADAI ដោយគ្មានកិច្ចសហប្រតិបត្តិការពីអ្នកវាយប្រហារជាទូទៅគឺមិនប្រាកដនិយមទេ។ មេរោគ ransomware ប្រើប្រាស់យន្តការអ៊ិនគ្រីបដ៏រឹងមាំដែលមិនអាចរំលងបានដោយគ្មានការចូលប្រើកូនសោឌិគ្រីបឯកជនដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ លុះត្រាតែមានចំណុចខ្វះខាតធ្ងន់ធ្ងរនៃការអនុវត្តនៅក្នុងមេរោគខ្លួនឯង ជម្រើសឌិគ្រីបដោយឥតគិតថ្លៃទំនងជាមិនកើតឡើងទេ។
អ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតមិនលើកទឹកចិត្តយ៉ាងខ្លាំងចំពោះការបង់ប្រាក់លោះនោះទេ។ ជារឿយៗ ជនល្មើសគំរាមកំហែងមិនផ្តល់ឧបករណ៍ឌិគ្រីបដែលមានមុខងារសូម្បីតែបន្ទាប់ពីទទួលបានការទូទាត់ក៏ដោយ។ ក្នុងករណីខ្លះ ជនរងគ្រោះក្លាយជាគោលដៅដដែលៗ ពីព្រោះអ្នកវាយប្រហារកំណត់អត្តសញ្ញាណពួកគេថាជាអង្គការដែលមានឆន្ទៈក្នុងការអនុវត្តតាមការទាមទារជំរិតទារប្រាក់។
ទោះបីជាការលុបមេរោគ ransomware ចេញពីប្រព័ន្ធដែលឆ្លងមេរោគគឺមានសារៈសំខាន់ដើម្បីការពារសកម្មភាពអ៊ិនគ្រីបបន្ថែមក៏ដោយ ការលុបមេរោគតែម្នាក់ឯងមិនអាចស្តារឯកសារដែលបានចាក់សោរួចហើយនោះទេ។ យុទ្ធសាស្ត្រស្តារឡើងវិញដែលអាចទុកចិត្តបំផុតនៅតែជាការប្រើប្រាស់ការបម្រុងទុកស្អាតដែលរក្សាទុកក្រៅបណ្តាញ ឬនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធពីចម្ងាយដែលមានសុវត្ថិភាពត្រឹមត្រូវដែលដាច់ដោយឡែកពីបណ្តាញសំខាន់។
ការពង្រឹងការការពារប្រឆាំងនឹង BARADAI និងការគំរាមកំហែងស្រដៀងគ្នា
អង្គការនានាអាចកាត់បន្ថយការប៉ះពាល់របស់ពួកគេចំពោះ ransomware បានយ៉ាងច្រើនដោយអនុវត្តការគ្រប់គ្រងសុវត្ថិភាពជាស្រទាប់ៗ និងរក្សាការអនុវត្តសន្តិសុខតាមអ៊ីនធឺណិតដែលមានវិន័យ។ ការការពារប្រកបដោយប្រសិទ្ធភាពទាមទារទាំងការការពារបច្ចេកទេស និងការយល់ដឹងរបស់បុគ្គលិក។
វិធានការការពារសំខាន់ៗរួមមាន៖
- ការពង្រឹងគោលការណ៍ពាក្យសម្ងាត់ដ៏រឹងមាំ និងការផ្ទៀងផ្ទាត់ពហុកត្តា ជាពិសេសសម្រាប់ RDP និងសេវាកម្មចូលប្រើពីចម្ងាយផ្សេងទៀត។
- ការរឹតបន្តឹង ឬបិទការចូលប្រើ RDP ដែលប៉ះពាល់ នៅពេលណាដែលអាចធ្វើទៅបាន។
- ការរក្សាការបម្រុងទុកក្រៅបណ្តាញ និងផ្អែកលើពពកជាប្រចាំ ដែលត្រូវបានញែកចេញពីប្រព័ន្ធផលិតកម្ម។
- ការអនុវត្តបំណះសុវត្ថិភាពឱ្យបានទាន់ពេលវេលាចំពោះប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងឧបករណ៍បណ្តាញ។
- ការប្រើប្រាស់ដំណោះស្រាយការពារចំណុចបញ្ចប់ និងត្រួតពិនិត្យបណ្តាញដែលមានកេរ្តិ៍ឈ្មោះល្អ ដែលមានសមត្ថភាពរកឃើញឥរិយាបថគួរឱ្យសង្ស័យ។
- ការបែងចែកបណ្តាញដើម្បីកំណត់ចលនាចំហៀងក្នុងអំឡុងពេលសម្របសម្រួល។
- បណ្តុះបណ្តាលបុគ្គលិកឱ្យស្គាល់អ៊ីមែលបន្លំ (phishing emails) ឯកសារភ្ជាប់ដែលមានគំនិតអាក្រក់ (malicious attachment) និងយុទ្ធសាស្ត្រវិស្វកម្មសង្គម (social engineering tactics)។
ក្រៅពីវិធានការទាំងនេះ អង្គការនានាគួរតែអនុម័តយុទ្ធសាស្ត្រឆ្លើយតបឧប្បត្តិហេតុប្រកបដោយភាពសកម្ម។ ការត្រួតពិនិត្យជាបន្តបន្ទាប់ ការប្រមាញ់ការគំរាមកំហែង ការវាយតម្លៃភាពងាយរងគ្រោះ និងការធ្វើតេស្តជ្រៀតចូលអាចជួយកំណត់អត្តសញ្ញាណចំណុចខ្សោយមុនពេលអ្នកវាយប្រហារកេងប្រវ័ញ្ចពួកគេ។ ការបង្កើត និងហាត់សមផែនការឆ្លើយតបឧប្បត្តិហេតុក៏អនុញ្ញាតឱ្យក្រុមសន្តិសុខមានប្រតិកម្មកាន់តែមានប្រសិទ្ធភាពក្នុងអំឡុងពេលវាយប្រហារដោយ ransomware ដោយកាត់បន្ថយការរំខានប្រតិបត្តិការ និងការបាត់បង់ទិន្នន័យ។
ទេសភាពគំរាមកំហែងដែលកំពុងកើនឡើង
BARADAI បង្ហាញពីរបៀបដែលប្រតិបត្តិការ ransomware បានវិវត្តទៅជាសហគ្រាសឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលមានការរៀបចំ និងបង្កការរំខានយ៉ាងខ្លាំង។ ដោយការរួមបញ្ចូលគ្នានូវការអ៊ិនគ្រីបដ៏រឹងមាំ ការលួចទិន្នន័យ សម្ពាធផ្លូវចិត្ត និងវ៉ិចទ័រនៃការឆ្លងមេរោគច្រើន អ្នកវាយប្រហារបង្កើនលទ្ធភាពនៃការទទួលបានផលប្រយោជន៍ផ្នែកហិរញ្ញវត្ថុ ខណៈពេលដែលបង្កការខូចខាតយ៉ាងធ្ងន់ធ្ងរដល់ជនរងគ្រោះ។
ខណៈពេលដែលក្រុម ransomware បន្តកែលម្អយុទ្ធសាស្ត្ររបស់ពួកគេ ការរក្សាអនាម័យសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំក្លាយជារឿងចាំបាច់សម្រាប់អង្គការគ្រប់ទំហំ។ វិធានការសុវត្ថិភាពបង្ការ ការអប់រំបុគ្គលិក ការបម្រុងទុកដែលអាចទុកចិត្តបាន និងសមត្ថភាពឆ្លើយតបទៅនឹងឧប្បត្តិហេតុយ៉ាងឆាប់រហ័សនៅតែជាការការពារដ៏រឹងមាំបំផុតប្រឆាំងនឹងការគំរាមកំហែងដូចជា BARADAI និងប្រព័ន្ធអេកូឡូស៊ី ransomware MedusaLocker ដែលទូលំទូលាយជាងនេះ។
System Messages
The following system messages may be associated with BARADAI Ransomware:
NETWORK SECURITY NOTIFICATION |
