សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង Ransomware ក្រុមគ្រួសារ Osiris Ransomware

ក្រុមគ្រួសារ Osiris Ransomware

ដោយ Mezo ក្នុង Ransomware, ការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT)
បកប្រែទៅ៖

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញពីក្រុមគ្រួសារមេរោគ ransomware ដែលគ្មានឯកសារពីមុនដែលមានឈ្មោះថា Osiris បន្ទាប់ពីការវាយប្រហារប្រឆាំងនឹងប្រតិបត្តិករសិទ្ធិផ្តាច់មុខសេវាកម្មម្ហូបអាហារដ៏សំខាន់មួយនៅអាស៊ីអាគ្នេយ៍ក្នុងខែវិច្ឆិកា ឆ្នាំ 2025។ ការវិភាគបង្ហាញថា នេះគឺជាប្រភេទមេរោគ ransomware ដែលទើបនឹងបង្កើតថ្មី ហើយមិនទាក់ទងនឹងវ៉ារ្យ៉ង់ Osiris ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងខែធ្នូ ឆ្នាំ 2016 ដែលមានប្រភពមកពី Locky នោះទេ។ អត្តសញ្ញាណរបស់អ្នកអភិវឌ្ឍន៍នៅតែមិនទាន់ដឹងនៅឡើយ ហើយមិនមានការបញ្ជាក់ថាមេរោគនេះត្រូវបានផ្តល់ជូនជាផ្នែកមួយនៃប្រតិបត្តិការ Ransomware-as-a-Service នោះទេ។

ខ្សែសង្វាក់វាយប្រហារ និងការសម្របសម្រួលដំបូង

សកម្មភាពព្យាបាទដែលបានបញ្ជាក់ដំបូងបំផុតនៅលើបណ្តាញជនរងគ្រោះពាក់ព័ន្ធនឹងការលួចយកទិន្នន័យរសើបមុនពេលដាក់ពង្រាយ ransomware ។ អ្នកវាយប្រហារបានផ្ទេរព័ត៌មានដោយប្រើ Rclone ទៅកាន់ធុងផ្ទុកទិន្នន័យលើ cloud ដែលបង្ហោះនៅលើ Wasabi ។ ដំណាក់កាលនេះត្រូវបានបន្តដោយការណែនាំជាដំណាក់កាលនៃឧបករណ៍ដើម្បីបង្កើតការគ្រប់គ្រង ផ្លាស់ទីទៅចំហៀង និងរៀបចំបរិស្ថានសម្រាប់ការអ៊ិនគ្រីប។

សេវាប្រើប្រាស់ជាច្រើនប្រភេទសម្រាប់រស់នៅក្រៅដី និងសេវាប្រើប្រាស់ពីរយ៉ាងត្រូវបានប្រើប្រាស់ រួមជាមួយនឹងសមាសធាតុគ្រប់គ្រងពីចម្ងាយ ដើម្បីលាយបញ្ចូលគ្នាទៅក្នុងសកម្មភាពរដ្ឋបាលធម្មតា និងកាត់បន្ថយការរកឃើញដំបូង។

តំណភ្ជាប់ដែលសង្ស័យទៅនឹងប្រតិបត្តិការ INC Ransomware

សូចនាករជាច្រើនបង្ហាញពីការត្រួតស៊ីគ្នាដែលអាចកើតមានជាមួយតួអង្គដែលពីមុនជាប់ទាក់ទងនឹង INC ransomware (ត្រូវបានគេស្គាល់ផងដែរថាជា Warble)។ ជាពិសេស អ្នកវាយប្រហារបានប្រើកំណែរបស់ Mimikatz ដែលមានឈ្មោះឯកសារដូចគ្នា kaz.exe ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងឧប្បត្តិហេតុទាក់ទងនឹង INC មុនៗ។ លើសពីនេះ ហេដ្ឋារចនាសម្ព័ន្ធ exfiltration និង tradecraft ឆ្លុះបញ្ចាំងយ៉ាងជិតស្និទ្ធនូវបច្ចេកទេសដែលពីមុនត្រូវបានសន្មតថាជាប្រព័ន្ធអេកូឡូស៊ីនោះ ទោះបីជាមិនទាន់មានការបញ្ជាក់ច្បាស់លាស់ក៏ដោយ។

អ្នកបើកបរ POORTRY និងយុទ្ធសាស្ត្រ BYOVD

លក្ខណៈពិសេសសំខាន់មួយនៃការឈ្លានពាននេះគឺការដាក់ពង្រាយកម្មវិធីបញ្ជាព្យាបាទមួយប្រភេទដែលគេស្គាល់ថា POORTRY ដែលត្រូវបានប្រើក្នុងការវាយប្រហារបែប bring-your-own-vulnerable-driver (BYOVD) ដើម្បីបន្សាបការការពារចំណុចបញ្ចប់។ មិនដូចប្រតិបត្តិការ BYOVD បែបប្រពៃណីដែលពឹងផ្អែកលើកម្មវិធីបញ្ជាស្របច្បាប់ប៉ុន្តែមានកំហុសនោះទេ POORTRY គឺជាកម្មវិធីបញ្ជាតាមតម្រូវការដែលត្រូវបានរចនាឡើងជាពិសេសដើម្បីលើកកម្ពស់សិទ្ធិ និងបញ្ចប់ឧបករណ៍សុវត្ថិភាព។

បរិស្ថានត្រូវបានរៀបចំបន្ថែមទៀតដោយប្រើ KillAV ដែលជាឧបករណ៍ប្រើប្រាស់ដែលគេស្គាល់សម្រាប់ផ្ទុកកម្មវិធីបញ្ជាដែលងាយរងគ្រោះដើម្បីបិទកម្មវិធីការពារ។ ពិធីការផ្ទៃតុពីចម្ងាយក៏ត្រូវបានបើកដំណើរការផងដែរ ដែលទំនងជាជួយសម្រួលដល់ការចូលប្រើអន្តរកម្មជាប់លាប់។

សមត្ថភាពរបស់ Osiris Ransomware

Osiris ត្រូវបានគេពិពណ៌នាថាជា payload អ៊ិនគ្រីបដែលមានភាពចាស់ទុំ និងមានប្រសិទ្ធភាព ដែលទំនងជាដំណើរការដោយអ្នកគំរាមកំហែងដែលមានបទពិសោធន៍។ វាអនុវត្តគំរូគ្រីបតូក្រាហ្វិចចម្រុះ និងបង្កើតកូនសោអ៊ិនគ្រីបតែមួយគត់សម្រាប់ឯកសារនីមួយៗ ដែលធ្វើឱ្យស្មុគស្មាញដល់កិច្ចខិតខំប្រឹងប្រែងសង្គ្រោះ។ ransomware គាំទ្រការកំណត់រចនាសម្ព័ន្ធយ៉ាងទូលំទូលាយ ដែលអនុញ្ញាតឱ្យប្រតិបត្តិករកែសម្រួលការប្រតិបត្តិទៅតាមបរិស្ថានជនរងគ្រោះ។

មុខងារសំខាន់ៗរួមមាន៖

  • ការបញ្ឈប់សេវាកម្ម ការបញ្ចប់ដំណើរការ និងការបិទការបម្រុងទុក ឬយន្តការសង្គ្រោះ។
  • ការកំណត់ថតឯកសារ និងផ្នែកបន្ថែមឯកសារគោលដៅ និងបង្កើតកំណត់ចំណាំលោះតាមតម្រូវការនៅពេលបញ្ចប់។

តាមលំនាំដើម Osiris ត្រូវបានកំណត់រចនាសម្ព័ន្ធដើម្បីបញ្ចប់ដំណើរការ និងសេវាកម្មដែលទាក់ទងនឹងកម្មវិធីផលិតភាព ម៉ាស៊ីនមេអ៊ីមែល កម្មវិធីរុករក កម្មវិធីនិពន្ធអត្ថបទ Volume Shadow Copy និងវេទិកាបម្រុងទុកសហគ្រាសដូចជា Veeam។

ឧបករណ៍ដែលប្រើដើម្បីគាំទ្រដល់ការឈ្លានពាន

ក្រៅពីមេរោគចាប់ជំរិត (ransomware) ខ្លួនវាផ្ទាល់ អ្នកវាយប្រហារបានពឹងផ្អែកលើឧបករណ៍ស៊ើបការណ៍សម្ងាត់ ចលនាចំហៀង និងឧបករណ៍គ្រប់គ្រងពីចម្ងាយ ដើម្បីរក្សាការគ្រប់គ្រងប្រតិបត្តិការ។ ឧបករណ៍ដែលសង្កេតឃើញក្នុងអំឡុងពេលនៃការឈ្លានពានរួមមាន៖

  • Netscan និង Netexec សម្រាប់ការរកឃើញ និងការអនុវត្តបណ្តាញ។
  • MeshAgent និងការបង្កើតកម្មវិធីផ្ទៃតុពីចម្ងាយ Rustdesk ផ្ទាល់ខ្លួនសម្រាប់ការចូលប្រើពីចម្ងាយជាប់លាប់។
  • Rclone សម្រាប់ការច្រោះទិន្នន័យដោយស្វ័យប្រវត្តិទៅកាន់កន្លែងផ្ទុកទិន្នន័យលើពពក។

ផលប៉ះពាល់សម្រាប់ទេសភាពជំរិតទារប្រាក់ដែលកំពុងវិវត្ត

ខណៈពេលដែលការអ៊ិនគ្រីប ransomware បន្តបង្កហានិភ័យយ៉ាងសំខាន់ដល់អង្គការនានា ហេតុការណ៍នេះបង្ហាញពីការវិវត្តកាន់តែទូលំទូលាយឆ្ពោះទៅរកយុទ្ធនាការជំរិតទារប្រាក់ច្រើនមុខ។ ការសង្កត់ធ្ងន់កាន់តែខ្លាំងឡើងលើការលួចទិន្នន័យ ការគេចវេសពីការការពារតាមរយៈកម្មវិធីបញ្ជាដែលមានគំនិតអាក្រក់ និងការកើនឡើងនៃអត្រាប្រេវ៉ាឡង់នៃការវាយប្រហារដោយគ្មានការអ៊ិនគ្រីប ឬការវាយប្រហារបែបកូនកាត់កំពុងពង្រីកទិដ្ឋភាពគំរាមកំហែង។ ជាលទ្ធផល ransomware កំពុងក្លាយជាសមាសធាតុមួយនៅក្នុងប្រព័ន្ធអេកូឡូស៊ីជំរិតទារប្រាក់ដ៏ទូលំទូលាយ និងស្មុគស្មាញជាងមុន ដែលទាមទារយុទ្ធសាស្ត្រការពារខ្លួនដែលអាចសម្របខ្លួនបានស្មើគ្នា។

និន្នាការ

Axischainedge.com

គេហទំព័រក្លែងក្លាយ, Adware, ចោរប្លន់កម្មវិធីរុករក
ការប្រុងប្រយ័ត្នជាប់លាប់ពេលកំពុងរុករកគេហទំព័រគឺមានសារៈសំខាន់ណាស់។ គេហទំព័រក្លែងក្លាយត្រូវបានរចនាឡើងដើម្បីកេងចំណេញពីការមិនយកចិត្តទុកដាក់ និងការចង់ដឹងចង់ឃើញ...

ការឆបោកការចុះឈ្មោះ MegaETH

គេហទំព័រក្លែងក្លាយ
ការប្រុងប្រយ័ត្នពេលកំពុងរុករកអ៊ីនធឺណិតលែងជាជម្រើសទៀតហើយ វាចាំបាច់ណាស់។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបន្តអភិវឌ្ឍវិធីសាស្រ្តថ្មីៗដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់...

យុទ្ធនាការវាយប្រហារ Web Skimming

គេហទំព័រក្លែងក្លាយ
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញយុទ្ធនាការលួចចូលគេហទំព័រទ្រង់ទ្រាយធំមួយ ដែលនៅតែសកម្មចាប់តាំងពីខែមករា ឆ្នាំ២០២២។...

មើលច្រើនបំផុត

មេរោគ

ការបន្លំ, សារឥតបានការ
28,458
សារបោកប្រាស់ 'Apple Pay Suspended' គឺជាប្រភេទនៃល្បិចបន្លំដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Apple Pay ។ សារនេះបានអះអាងថាកាបូប Apple Pay របស់អ្នកប្រើប្រាស់ត្រូវបានផ្អាក និងជំរុញឱ្យពួកគេចុចតំណដើម្បីស្ដារវាឡើងវិញ។ ទោះជាយ៉ាងណាក៏ដោយ ការចុចលើតំណភ្ជាប់នឹងនាំអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីលួចព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុរបស់ពួកគេ។...

Fuq.com

កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
22,528
Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...
កំពុង​ផ្ទុក...