Moneybird Ransomware

ក្រុម Hacker របស់អ៊ីរ៉ង់ Agrius ដែលត្រូវបានគេស្គាល់ថាជា Pink Sandstorm និងជាអតីត Americium ថ្មីៗនេះ បានបង្កើតមេរោគថ្មីមួយដែលមានឈ្មោះថា Moneybird ។ មេរោគដែលគំរាមកំហែងនេះត្រូវបានគេសង្កេតឃើញផ្តោតលើអង្គការអ៊ីស្រាអែលជាពិសេស ដែលបង្ហាញពីការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងយុទ្ធសាស្ត្ររបស់ Agrius ។

ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ពង្រីកក្រុម Arsenal ដែលកំពុងគំរាមកំហែងរបស់ពួកគេ។

Agrius មានប្រវត្តិនៃការវាយប្រហារបំផ្លិចបំផ្លាញទិន្នន័យប្រឆាំងនឹងអង្គភាពអ៊ីស្រាអែល ដែលជារឿយៗក្លែងបន្លំពួកវាជាឧប្បត្តិហេតុ ransomware ។ ការលេចឡើងនៃ Moneybird ដែលត្រូវបានសរសេរកូដនៅក្នុង C++ បង្ហាញពីជំនាញដែលកំពុងកើនឡើងរបស់ក្រុម និងការប្តេជ្ញាចិត្តជាបន្តបន្ទាប់ក្នុងការបង្កើតឧបករណ៍អ៊ីនធឺណិតថ្មី។

សកម្មភាពរបស់ក្រុមនេះអាចតាមដានបានយ៉ាងហោចណាស់ខែធ្នូ ឆ្នាំ 2020 នៅពេលដែល Agrius បានជាប់ពាក់ព័ន្ធក្នុងការរំខានដល់ការប៉ុនប៉ងឈ្លានពានដែលផ្តោតលើឧស្សាហកម្មពេជ្រនៅអាហ្វ្រិកខាងត្បូង អ៊ីស្រាអែល និងហុងកុង។ ពីមុន Agrius បានប្រើប្រាស់ wiper-turned-ransomware ហៅថា Apostle ដោយផ្អែកលើ .NET framework ហើយអ្នកស្នងតំណែងរបស់វាមានឈ្មោះថា Fantasy។ ទោះជាយ៉ាងណាក៏ដោយ Moneybird តំណាងឱ្យការរីកចម្រើនយ៉ាងសំខាន់សម្រាប់ក្រុមនេះ ដោយសារវាបង្ហាញពីសមត្ថភាពអ៊ីនធឺណេតដែលកំពុងវិវត្តរបស់ខ្លួនតាមរយៈភាសាសរសេរកម្មវិធី C ++ របស់វា។

តួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពដើម្បីទទួលបានសិទ្ធិចូលប្រើប្រាស់

វិធីសាស្ត្រវាយប្រហារដែលប្រើដោយ Moneybird Ransomware បង្ហាញពីកម្រិតខ្ពស់នៃភាពទំនើប ដោយចាប់ផ្តើមជាមួយនឹងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះដែលមានវត្តមាននៅក្នុងម៉ាស៊ីនមេបណ្តាញដែលប្រឈមមុខនឹងអ៊ីនធឺណិត។ ការកេងប្រវ័ញ្ចដំបូងនេះផ្តល់ឱ្យអ្នកវាយប្រហារនូវចំណុចសំខាន់មួយចូលទៅក្នុងបណ្តាញរបស់អង្គការគោលដៅ ដែលសម្របសម្រួលដោយការដាក់ពង្រាយសែលបណ្តាញ ASPXSpy ។

នៅពេលដែលនៅខាងក្នុងបណ្តាញដែលត្រូវបានសម្របសម្រួលនោះ Web shell បម្រើជាបណ្តាញទំនាក់ទំនងសម្រាប់អ្នកវាយប្រហារដើម្បីប្រតិបត្តិឧបករណ៍ល្បីៗជាច្រើនដែលត្រូវបានកែសម្រួលជាពិសេសដើម្បីធ្វើការឈ្លបយកការណ៍យ៉ាងទូលំទូលាយនៃបរិស្ថានរបស់ជនរងគ្រោះ។ ឧបករណ៍ទាំងនេះអាចឱ្យអ្នកវាយប្រហារផ្លាស់ទីនៅពេលក្រោយនៅក្នុងបណ្តាញ ប្រមូលព័ត៌មានសម្ងាត់ដ៏មានតម្លៃ និងទាញយកទិន្នន័យរសើប។

Moneybird Ransomware ត្រូវបានបំពាក់ដោយសមត្ថភាពអ៊ិនគ្រីបកម្រិតខ្ពស់

បន្ទាប់ពីដំណាក់កាលដំបូងនៃការជ្រៀតចូល និងការឈ្លបយកការណ៍ Moneybird Ransomware ត្រូវបានធ្វើឱ្យសកម្មនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល។ ransomware នេះត្រូវបានរចនាឡើងដោយផ្តោតជាក់លាក់លើការអ៊ិនគ្រីបឯកសាររសើបដែលមានទីតាំងនៅក្នុងថត "F:\User Shares"។ នៅពេលប្រតិបត្តិ ransomware ដាក់ពង្រាយកំណត់ចំណាំតម្លៃលោះ ដោយដាក់សម្ពាធយ៉ាងខ្លាំងលើជនរងគ្រោះដើម្បីបង្កើតទំនាក់ទំនងក្នុងរយៈពេល 24 ម៉ោង ដោយព្រមានពួកគេពីការលេចធ្លាយជាសាធារណៈដែលអាចកើតមាននៃទិន្នន័យលួចរបស់ពួកគេ។

Moneybird Ransomware ប្រើវិធីសាស្រ្តអ៊ិនគ្រីបដ៏ទំនើបដោយប្រើប្រាស់ AES-256 ជាមួយ GCM (Galois/Counter Mode)។ បច្ចេកទេសអ៊ិនគ្រីបកម្រិតខ្ពស់នេះបង្កើតសោអ៊ិនគ្រីបតែមួយគត់សម្រាប់ឯកសារនីមួយៗ ហើយបន្ថែមទិន្នន័យមេតាដែលបានអ៊ិនគ្រីបនៅចុងបញ្ចប់។ ការកំណត់គោលដៅច្បាស់លាស់ និងការអ៊ិនគ្រីបដ៏រឹងមាំដែលអនុវត្តដោយ Moneybird ធ្វើឱ្យកិច្ចការនៃការស្ដារទិន្នន័យ និងការឌិគ្រីបឯកសារមានការលំបាកខ្លាំង ប្រសិនបើមិនអាចទៅរួចនោះទេ ក្នុងករណីភាគច្រើន។

វិធានការសុវត្ថិភាពសំខាន់ៗ ដើម្បីបញ្ឈប់ការវាយប្រហាររបស់ Ransomware

វិធានការសុវត្ថិភាពដែលមានប្រសិទ្ធភាពអាចត្រូវបានអនុវត្តដើម្បីការពារឧបករណ៍ និងទិន្នន័យពីការវាយប្រហារដោយ ransomware ។ ទីមួយ ការរក្សាបាននូវកម្មវិធីសុវត្ថិភាពទាន់សម័យ និងរឹងមាំគឺជារឿងចាំបាច់។ ការធ្វើបច្ចុប្បន្នភាពជាទៀងទាត់នូវកម្មវិធីប្រឆាំងមេរោគ រួមជាមួយនឹងការបើកការអាប់ដេតដោយស្វ័យប្រវត្តិ ជួយការពារប្រឆាំងនឹងការគំរាមកំហែងចុងក្រោយបំផុត។

ការអនុវត្តពាក្យសម្ងាត់ខ្លាំង និងតែមួយគត់សម្រាប់គណនីទាំងអស់គឺជាជំហានសំខាន់មួយទៀត។ នេះរួមបញ្ចូលទាំងការប្រើបន្សំនៃអក្សរ លេខ និងនិមិត្តសញ្ញា ក៏ដូចជាការជៀសវាងពាក្យសម្ងាត់ធម្មតា និងងាយទាយបាន។ លើសពីនេះ ការបើកដំណើរការការផ្ទៀងផ្ទាត់ពហុកត្តាបន្ថែមស្រទាប់សុវត្ថិភាពបន្ថែម ដោយទាមទារជំហានផ្ទៀងផ្ទាត់បន្ថែមដើម្បីចូលប្រើគណនី។

ការបម្រុងទុកទិន្នន័យដែលពាក់ព័ន្ធជាទៀងទាត់គឺមានសារៈសំខាន់ក្នុងការកាត់បន្ថយផលប៉ះពាល់នៃការវាយប្រហារដោយ ransomware ។ ការបង្កើតការបម្រុងទុកក្រៅបណ្តាញ ឬការប្រើប្រាស់ដំណោះស្រាយការផ្ទុកលើពពកធានាថាឯកសារសំខាន់ៗអាចត្រូវបានរកឃើញវិញក្នុងករណីមានការអ៊ិនគ្រីប ឬបាត់បង់។

ការប្រុងប្រយ័ត្ន ខណៈពេលកំពុងរុករកអ៊ីនធឺណិត និងការប្រាស្រ័យទាក់ទងជាមួយអ៊ីមែលគឺចាំបាច់ណាស់។ អ្នកប្រើប្រាស់គួរតែអនុវត្តការសង្ស័យនៅពេលចុចលើតំណភ្ជាប់ដែលគួរឱ្យសង្ស័យ ឬទាញយកឯកសារពីប្រភពដែលមិនគួរឱ្យទុកចិត្ត។ វាមានសារៈសំខាន់ណាស់ក្នុងការប្រុងប្រយ័ត្ន និងជៀសវាងការចូលទៅកាន់គេហទំព័រដែលអាចបង្កគ្រោះថ្នាក់ ឬចូលរួមជាមួយអ៊ីមែលដែលគួរឱ្យសង្ស័យ ព្រោះពួកវាអាចមានផ្ទុកមេរោគ ransomware ។

ការអប់រំខ្លួនឯង និងការបន្តជូនដំណឹងអំពីការគំរាមកំហែងសុវត្ថិភាពតាមអ៊ីនធឺណិត និងបច្ចេកទេសវាយប្រហារចុងក្រោយបំផុតគឺមានប្រយោជន៍ច្រើន។ ការទទួលស្គាល់យុទ្ធសាស្ត្រវិស្វកម្មសង្គមទូទៅដែលប្រើក្នុងការវាយប្រហារដោយបន្លំ និងការដឹងអំពីសញ្ញានៃការឆ្លងមេរោគ ransomware ដែលអាចកើតមានអាចជួយអ្នកប្រើប្រាស់ចាត់វិធានការសកម្មដើម្បីការពារ និងឆ្លើយតបចំពោះការវាយប្រហារបែបនេះ។

ការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ កម្មវិធី និងកម្មវិធីបង្កប់ជាទៀងទាត់ គឺជាទិដ្ឋភាពសំខាន់មួយទៀតនៃការរក្សាសុវត្ថិភាពឱ្យរឹងមាំ។ បំណះ និងការអាប់ដេតជាញឹកញាប់រួមបញ្ចូលការកែសុវត្ថិភាពដែលដោះស្រាយភាពងាយរងគ្រោះដែលអាចត្រូវបានកេងប្រវ័ញ្ចដោយ ransomware និង malware ផ្សេងទៀត។

តាមរយៈការអនុវត្តការរួមបញ្ចូលគ្នានៃវិធានការសុវត្ថិភាពទាំងនេះ អ្នកប្រើប្រាស់អាចបង្កើនការការពារឧបករណ៍ និងទិន្នន័យរបស់ពួកគេប្រឆាំងនឹងផលប៉ះពាល់ដ៏សាហាវនៃការវាយប្រហារដោយ ransomware ។