មេរោគ EDRKillShifter

ដោយ Mezo ក្នុង Malware

បកប្រែទៅ៖

ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលពាក់ព័ន្ធជាមួយ RansomHub Ransomware ត្រូវបានគេប្រទះឃើញដាក់ពង្រាយឧបករណ៍ថ្មីមួយក្នុងគោលបំណងបិទកម្មវិធីការរកឃើញ និងការឆ្លើយតប (EDR) ចុងក្រោយនៅលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល។ អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានដាក់ឈ្មោះឧបករណ៍ប្រើប្រាស់ដែលបិទ EDR នេះថា "EDRKillShifter"។ ឧបករណ៍នេះត្រូវបានរកឃើញបន្ទាប់ពីការប៉ុនប៉ង ransomware បរាជ័យក្នុងខែឧសភា ឆ្នាំ 2024 ។ ឥឡូវនេះ EDRKillShifter ចូលរួមកម្មវិធីស្រដៀងគ្នាផ្សេងទៀតដូចជា AuKill (ត្រូវបានគេស្គាល់ផងដែរថាជា AvNeutralizer) និង Terminator ។

EDRKillShifter មានមុខងារជា 'loader' ដែលអាចប្រតិបត្តិបាន ដោយបម្រើជាយន្តការចែកចាយសម្រាប់អ្នកបើកបរស្របច្បាប់ ប៉ុន្តែងាយរងគ្រោះ—ឧបករណ៍ប្រភេទនេះត្រូវបានគេស្គាល់ជាទូទៅថាជា 'នាំអ្នកបើកបរដែលងាយរងគ្រោះផ្ទាល់ខ្លួនរបស់អ្នក' (BYOVD) ។ អាស្រ័យលើគោលបំណងរបស់តួអង្គគំរាមកំហែង វាអាចដាក់ពង្រាយបន្ទុកកម្មវិធីបញ្ជាផ្សេងៗ។

តារាងមាតិកា

មុខថ្មីនៃក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតចាស់

RansomHub Ransomware ត្រូវបានគេជឿថាជាកំណែម៉ាក Knight Ransomwar e ដែលបានលេចចេញនៅខែកុម្ភៈ ឆ្នាំ 2024។ វាទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដែលគេស្គាល់ដើម្បីទទួលបានការចូលប្រើដំបូង ដោយដាក់ពង្រាយឧបករណ៍កុំព្យូទ័រពីចម្ងាយស្របច្បាប់ដូចជា Atera និង Splashtop ដើម្បីរក្សាការចូលប្រើប្រាស់ជាប់រហូត។ កាលពីខែមុន ក្រុមហ៊ុន Microsoft បានបង្ហើបថា ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដ៏ល្បីឈ្មោះ Scattered Spider បានបន្ថែមមេរោគ ransomware ដូចជា RansomHub និង Qilin ទៅក្នុងប្រអប់ឧបករណ៍របស់ខ្លួន។

ខ្សែសង្វាក់វាយប្រហារ និងប្រតិបត្តិការរបស់ EDRKillShifter

ប្រតិបត្តិតាមរយៈបន្ទាត់ពាក្យបញ្ជាជាមួយនឹងការបញ្ចូលខ្សែអក្សរសម្ងាត់ កម្មវិធីដែលអាចប្រតិបត្តិបានឌិគ្រីបធនធានដែលបានបង្កប់ដែលមានឈ្មោះថា BIN ហើយដំណើរការវាដោយផ្ទាល់នៅក្នុងអង្គចងចាំ។ ធនធាន BIN នេះពន្លា និងដំណើរការបន្ទុកចុងក្រោយដែលមានមូលដ្ឋានលើ Go ដែលមិនមានភាពច្របូកច្របល់ ដែលទាញយកកម្មវិធីបញ្ជាដែលងាយរងគ្រោះ និងស្របច្បាប់ជាច្រើនដើម្បីទទួលបានសិទ្ធិខ្ពស់ និងបិទកម្មវិធី EDR ។

លក្ខណសម្បត្តិភាសារបស់ប្រព័ន្ធគោលពីរត្រូវបានកំណត់ទៅជាភាសារុស្សី ដែលបង្ហាញថាមេរោគត្រូវបានចងក្រងនៅលើប្រព័ន្ធដែលមានការកំណត់មូលដ្ឋានីយកម្មជាភាសារុស្សី។ ឧបករណ៍បិទ EDR ដែលមិនបានវេចខ្ចប់ទាំងអស់បង្កប់នូវកម្មវិធីបញ្ជាដែលងាយរងគ្រោះនៅក្នុងផ្នែក .data ។

វាត្រូវបានផ្ដល់អនុសាសន៍ឱ្យរក្សាប្រព័ន្ធឱ្យទាន់សម័យ បើកការការពារការរំខាននៅក្នុងកម្មវិធី EDR និងរក្សាការអនុវត្តសុវត្ថិភាពខ្លាំងសម្រាប់តួនាទីរបស់ Windows ដើម្បីកាត់បន្ថយការគំរាមកំហែងនេះ។ ការវាយប្រហារនេះគឺអាចធ្វើទៅបានលុះត្រាតែអ្នកវាយប្រហារអាចបង្កើនសិទ្ធិ ឬទទួលបានសិទ្ធិអ្នកគ្រប់គ្រង។ ការធានាឱ្យមានការញែកដាច់ពីគ្នាយ៉ាងច្បាស់រវាងសិទ្ធិអ្នកប្រើប្រាស់ និងអ្នកគ្រប់គ្រង អាចជួយយ៉ាងច្រើនក្នុងការការពារអ្នកវាយប្រហារមិនឱ្យផ្ទុកកម្មវិធីបញ្ជាដែលខូចបានយ៉ាងងាយស្រួល។

តើធ្វើដូចម្តេចដើម្បីបង្កើនសុវត្ថិភាពនៃឧបករណ៍របស់អ្នកប្រឆាំងនឹងមេរោគ Malware?

ដើម្បីពង្រឹងសុវត្ថិភាពឧបករណ៍ និងការពារប្រឆាំងនឹងការឆ្លងមេរោគ អ្នកប្រើប្រាស់ត្រូវបានលើកទឹកចិត្តឱ្យអនុវត្តការអនុវត្តដ៏ទូលំទូលាយដូចខាងក្រោមនេះ៖

ការអាប់ដេតកម្មវិធីធម្មតា៖ ប្រព័ន្ធប្រតិបត្តិការ៖ ត្រូវប្រាកដថាប្រព័ន្ធប្រតិបត្តិការរបស់អ្នកត្រូវបានអាប់ដេតជាទៀងទាត់ជាមួយនឹងបំណះសុវត្ថិភាព និងការអាប់ដេតចុងក្រោយបង្អស់ ដើម្បីដោះស្រាយ និងកែតម្រូវភាពងាយរងគ្រោះដែលគេស្គាល់។ កម្មវិធី៖ ធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់នូវកម្មវិធីដែលបានដំឡើងទាំងអស់ រួមទាំងកម្មវិធីរុករកតាមអ៊ីនធឺណិត កម្មវិធីជំនួយ និងកម្មវិធីផ្សេងទៀត ដើម្បីរក្សាសុវត្ថិភាព និងមុខងារ។

ពាក្យសម្ងាត់ខ្លាំង និងប្លែក៖ ភាពស្មុគស្មាញនៃពាក្យសម្ងាត់៖ បង្កើតពាក្យសម្ងាត់ស្មុគស្មាញដែលរួមបញ្ចូលគ្នានូវអក្សរ លេខ និងនិមិត្តសញ្ញាដើម្បីបង្កើនសុវត្ថិភាព។ ការគ្រប់គ្រងពាក្យសម្ងាត់៖ ប្រើប្រាស់កម្មវិធីគ្រប់គ្រងពាក្យសម្ងាត់ដែលមានកេរ្តិ៍ឈ្មោះដើម្បីបង្កើត រក្សាទុក និងគ្រប់គ្រងពាក្យសម្ងាត់តែមួយគត់សម្រាប់គណនីនីមួយៗ ដោយកាត់បន្ថយហានិភ័យនៃការរំលោភលើពាក្យសម្ងាត់។

Two-Factor Authentication (2FA) : សុវត្ថិភាពបន្ថែម៖ អនុវត្តការផ្ទៀងផ្ទាត់ពីរកត្តាលើគណនី និងសេវាកម្មទាំងអស់ដែលគាំទ្រវា ដោយបន្ថែមស្រទាប់សុវត្ថិភាពមួយបន្ថែមទៀតលើសពីពាក្យសម្ងាត់ប្រពៃណី។

កម្មវិធីប្រឆាំងមេរោគ៖ ការការពារតាមពេលវេលាជាក់ស្តែង៖ ដំឡើង និងថែរក្សាកម្មវិធីប្រឆាំងមេរោគដែលអាចជឿទុកចិត្តបាន ដែលផ្តល់ការការពារក្នុងពេលជាក់ស្តែង និងធ្វើការស្កេនជាប្រចាំ ដើម្បីស្វែងរក និងបន្សាបការគំរាមកំហែង។ ការអាប់ដេតកម្មវិធី៖ ធ្វើបច្ចុប្បន្នភាពកម្មវិធីសុវត្ថិភាពទាំងនេះជាទៀងទាត់ ដើម្បីធានាថាពួកគេអាចកំណត់អត្តសញ្ញាណ និងប្រយុទ្ធប្រឆាំងនឹងការគំរាមកំហែងថ្មីៗ និងដែលកំពុងកើតឡើងប្រកបដោយប្រសិទ្ធភាព។

ការអនុវត្តការរុករកដោយសុវត្ថិភាព៖ ជៀសវាងតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ៖ បដិសេធពីការចូលប្រើតំណ ឬទាញយកឯកសារភ្ជាប់ពីអ៊ីមែលដែលមិនធ្លាប់ស្គាល់ ឬគួរឱ្យសង្ស័យ ដើម្បីការពារការឆ្លងមេរោគ។ ផ្ទៀងផ្ទាត់គេហទំព័រ៖ ត្រូវប្រាកដថាអ្នកកំពុងរុករកគេហទំព័រដែលមានសុវត្ថិភាព និងស្របច្បាប់ដោយពិនិត្យមើល HTTPS នៅក្នុង URL មុនពេលបញ្ចូលព័ត៌មានឯកជនណាមួយ។

ការបម្រុងទុកធម្មតា៖ ការបម្រុងទុកទិន្នន័យ៖ បម្រុងទុកទិន្នន័យសំខាន់ៗជាញឹកញាប់ទៅឧបករណ៍ផ្ទុកឯករាជ្យ ឬសេវាកម្មពពក ដើម្បីកាត់បន្ថយការបាត់បង់ទិន្នន័យដែលអាចកើតមានក្នុងករណីមានការវាយប្រហារដោយមេរោគ។

ការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង៖ ការការពារបណ្តាញ៖ ប្រើជញ្ជាំងភ្លើងដើម្បីគ្រប់គ្រងទាំងចរាចរបណ្តាញចូល និងចេញ ដោយហេតុនេះរារាំងការចូលប្រើដោយគ្មានការអនុញ្ញាត និងបង្កើនសុវត្ថិភាពបណ្តាញ។

សិទ្ធិអ្នកប្រើប្រាស់៖ គោលការណ៍សិទ្ធិតិចតួចបំផុត៖ ជំនួសឱ្យគណនីអ្នកគ្រប់គ្រង ដំណើរការដោយប្រើគណនីអ្នកប្រើប្រាស់ធម្មតាដើម្បីកំណត់ផលប៉ះពាល់សក្តានុពលនៃមេរោគលើប្រតិបត្តិការប្រព័ន្ធ។ គណនីដាច់ដោយឡែក៖ រក្សាគណនីដាច់ដោយឡែកសម្រាប់សកម្មភាពប្រចាំថ្ងៃ និងកិច្ចការរដ្ឋបាល ដើម្បីកាត់បន្ថយហានិភ័យនៃការកើនឡើងនៃសិទ្ធិដែលមិនមានការអនុញ្ញាត។

ការអប់រំ និងការយល់ដឹង៖ ការយល់ដឹងពីការបន្លំ៖ ទទួលបានព័ត៌មានអំពីយុទ្ធសាស្ត្រក្លែងបន្លំទូទៅ និងយុទ្ធសាស្ត្រវិស្វកម្មសង្គម ដើម្បីកាត់បន្ថយលទ្ធភាពនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះនៃការវាយប្រហារបែបនេះ។ ការបណ្តុះបណ្តាលដែលកំពុងបន្ត៖ ចូលរួមជាបន្តបន្ទាប់ក្នុងការបណ្តុះបណ្តាល និងធនធានអប់រំ ដើម្បីបន្តធ្វើបច្ចុប្បន្នភាពលើការគំរាមកំហែងសុវត្ថិភាពចុងក្រោយបំផុត និងការអនុវត្តល្អបំផុត។

តាមរយៈការទទួលយកការអនុវត្តល្អបំផុតទាំងនេះ អ្នកប្រើប្រាស់អាចពង្រឹងការការពាររបស់ពួកគេយ៉ាងខ្លាំងប្រឆាំងនឹងការឆ្លងមេរោគ និងការគំរាមកំហែងផ្នែកសុវត្ថិភាពផ្សេងទៀត ដោយបង្កើនសុវត្ថិភាពប្រព័ន្ធទាំងមូល និងសុចរិតភាព។