Ransomware Gangs កេងប្រវ័ញ្ចកេរ្តិ៍ឈ្មោះរបស់ LockBit ដើម្បីដាក់សម្ពាធលើជនរងគ្រោះក្នុងការវាយប្រហារថ្មី
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងវិវត្តន៍យុទ្ធសាស្ត្ររបស់ពួកគេឥតឈប់ឈរ ហើយយុទ្ធសាស្ត្រចុងក្រោយបំផុតមួយរបស់ពួកគេពាក់ព័ន្ធនឹងការប្រើប្រាស់កេរ្តិ៍ឈ្មោះរបស់ LockBit ransomware ដ៏អាក្រក់ដើម្បីបំភិតបំភ័យជនរងគ្រោះ។ ការវាយប្រហារនាពេលថ្មីៗនេះបានឃើញតួអង្គគំរាមកំហែងកេងប្រវ័ញ្ចមុខងារ Transfer Acceleration របស់ Amazon S3 ដើម្បីទាញយកទិន្នន័យ ដោយប្រើឈ្មោះរបស់ LockBit ដើម្បីបង្កើតការភ័យខ្លាច ទោះបីជាវាមិនមែនជា ransomware ពិតប្រាកដដែលពាក់ព័ន្ធក៏ដោយ។
និន្នាការរីកចម្រើន៖ ការប្រើប្រាស់សេវាកម្ម Cloud ខុស
អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពមកពី Trend Micro បានសង្កេតឃើញការកើនឡើងនៃក្រុម ransomware ដែលបំពាន Amazon Web Services (AWS) ។ ឥឡូវនេះ អ្នកវាយប្រហារកំពុងបង្កប់នូវព័ត៌មានសម្ងាត់ AWS នៅក្នុងមេរោគរបស់ពួកគេ ដើម្បីលួចទិន្នន័យកាន់តែមានប្រសិទ្ធភាព ដោយបញ្ចូលវាទៅក្នុងធុង S3 ក្រោមការគ្រប់គ្រងរបស់ពួកគេ។ ខណៈពេលដែលអ្នកវាយប្រហារអាចប្រើប្រាស់គណនី AWS របស់ពួកគេផ្ទាល់ ឬត្រូវបានលួច លទ្ធផលគឺដូចគ្នា៖ ទិន្នន័យរសើបនឹងបញ្ចប់នៅក្នុងដៃរបស់ពួកគេ។ ជាសំណាងល្អ AWS បានធ្វើសកម្មភាពយ៉ាងឆាប់រហ័ស ដោយបានផ្អាកគណនីដែលត្រូវបានសម្របសម្រួលនៅពេលដែលត្រូវបានជូនដំណឹងដោយ Trend Micro ។
និន្នាការនេះបង្ហាញឱ្យឃើញថា ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកាន់តែមានជំនាញ ក្នុងការបំពាក់អាវុធលើសេវាកម្មពពកដ៏ពេញនិយម ដើម្បីបន្តការវាយប្រហាររបស់ពួកគេ។ Trend Micro បានរកឃើញគំរូជាង 30 ដែលមាន AWS Access Keys ដែលបង្ហាញថាយុទ្ធនាការទាំងនេះសកម្ម និងពង្រីក។
ការក្លែងបន្លំជា LockBit ដើម្បីរឹតបន្តឹង Noose
នៅក្នុងការវាយប្រហារទាំងនេះ ប្រតិបត្តិករ ransomware បានព្យាយាមក្លែងបន្លំមេរោគរបស់ពួកគេជា LockBit ដែលជាឈ្មោះដ៏ល្បីនៅក្នុងពិភព ransomware ។ ដោយហៅឈ្មោះរបស់ LockBit អ្នកវាយប្រហារមានគោលបំណងបន្ថែមសម្ពាធផ្លូវចិត្ត ធ្វើឱ្យជនរងគ្រោះទំនងជាបង់ប្រាក់លោះដោយការភ័យខ្លាច។ ransomware ដែលសរសេរជា Golang អាចឆ្លងទាំងប្រព័ន្ធ Windows និង macOS ប៉ុន្តែវាមិនត្រូវបានភ្ជាប់ដោយផ្ទាល់ទៅក្រុម LockBit ដើមទេ។
បន្ទាប់ពីប្រតិបត្តិរួច ransomware ចាប់យកឧបករណ៍កំណត់អត្តសញ្ញាណតែមួយគត់របស់ម៉ាស៊ីន (UUID) ដែលត្រូវបានប្រើដើម្បីបង្កើតសោមេសម្រាប់ការអ៊ិនគ្រីបឯកសារ។ វាកំណត់គោលដៅប្រភេទឯកសារជាក់លាក់ ច្រោះពួកវាទៅជា AWS និងប្តូរឈ្មោះឯកសារនៅក្នុងដំណើរការ។ ឧទាហរណ៍ ឯកសារដែលហៅថា "text.txt" ក្លាយជា "text.txt.
ជាចុងក្រោយ ដើម្បីបង្កើនកត្តាភ័យខ្លាច ransomware ផ្លាស់ប្តូរផ្ទាំងរូបភាពរបស់ជនរងគ្រោះទៅជាសារ LockBit 2.0 ដោយភ្ជាប់ការវាយប្រហារដោយក្លែងក្លាយទៅក្រុម ransomware ដ៏ល្បី។
ទេសភាពគំរាមកំហែងវិវត្តន៍របស់ Ransomware
ការអភិវឌ្ឍន៍ទាំងនេះកើតឡើងនៅពេលដែលទេសភាព ransomware បន្តផ្លាស់ប្តូរ។ ខណៈពេលដែល LockBit ត្រូវបាន ចុះខ្សោយដោយកិច្ចខិតខំប្រឹងប្រែងអនុវត្តច្បាប់អន្តរជាតិ ក្រុមផ្សេងទៀតដូចជា RansomHub, Qilin និង Akira កំពុងឈានជើងចូលដើម្បីបំពេញចន្លោះ។ ជាពិសេស Akira បានត្រលប់ទៅយុទ្ធសាស្ត្រជំរិតទារពីរដង ដោយរួមបញ្ចូលគ្នានូវការលួចទិន្នន័យជាមួយនឹងការអ៊ិនគ្រីប។
អ្នកស្រាវជ្រាវ SentinelOne ក៏បានរកឃើញថាសាខានៃប្រតិបត្តិការ Malox ransomware បានចាប់ផ្តើមប្រើប្រាស់កំណែដែលបានកែប្រែនៃ Kryptina ransomware ដើម្បីរំលោភលើប្រព័ន្ធលីនុច។ ការធ្វើពិពិធកម្មនេះបង្ហាញពីរបៀបដែលក្រុម ransomware ឆ្លងឧបករណ៍ផ្សេងៗ និងបង្កើតមេរោគដែលស្មុគស្មាញ និងជាកូនកាត់បន្ថែមទៀត។
ការប្រយុទ្ធប្រឆាំងនឹង Ransomware
ទោះបីជាមានភាពស្មុគស្មាញកាន់តែខ្លាំងឡើងនៃការវាយប្រហារ ransomware ក៏ដោយ ក៏មានការវិវឌ្ឍន៍វិជ្ជមានមួយចំនួនដែរ។ ឧទាហរណ៍ ឧបករណ៍ឌិគ្រីបសម្រាប់ Mallox ransomware ត្រូវបានចេញផ្សាយដោយ Gen Digital ដែលផ្តល់ឱ្យជនរងគ្រោះនូវឱកាសក្នុងការសង្គ្រោះឯកសាររបស់ពួកគេដោយឥតគិតថ្លៃ ប្រសិនបើពួកគេត្រូវបានវាយប្រហារដោយកំណែមុន។ ខណៈពេលដែលនេះមិនមែនជាដំណោះស្រាយសម្រាប់ជនរងគ្រោះ ransomware ទាំងអស់ វាបង្ហាញថាការជឿនលឿនកំពុងត្រូវបានធ្វើឡើងក្នុងការប្រយុទ្ធប្រឆាំងនឹងការគំរាមកំហែងទាំងនេះ។
លើសពីនេះទៀត របាយការណ៍ថ្មីៗរបស់ Microsoft បានកត់សម្គាល់ថា ខណៈពេលដែលបរិមាណសរុបនៃការវាយប្រហារ ransomware មានការថយចុះ ឧប្បត្តិហេតុ ransomware ដែលដំណើរការដោយមនុស្សបានកើនឡើងយ៉ាងខ្លាំង។ ការផ្លាស់ប្តូរនេះចង្អុលទៅការវាយប្រហារគោលដៅកាន់តែច្រើន ដែលឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតគ្រប់គ្រងប្រតិបត្តិការរបស់ពួកគេយ៉ាងសកម្ម បង្កើនសម្ពាធលើអង្គការឱ្យរក្សាការប្រុងប្រយ័ត្ន។
ការវាយប្រហាររបស់ Ransomware នៅតែបន្តវិវឌ្ឍ ដោយអ្នកវាយប្រហារបានបំពានសេវាកម្មពពកកាន់តែខ្លាំងឡើង និងក្លែងបន្លំកិច្ចខិតខំប្រឹងប្រែងរបស់ពួកគេក្រោមឈ្មោះល្បីដូចជា LockBit ជាដើម។ ភាពស្មុគស្មាញកាន់តែខ្លាំងឡើងនៃការវាយប្រហារទាំងនេះមានន័យថា អង្គការត្រូវបន្តនៅមុនការប្រកួត ដោយវិនិយោគលើវិធានការសន្តិសុខតាមអ៊ីនធឺណិតដ៏រឹងមាំ និងនៅសេសសល់ការប្រុងប្រយ័ត្នចំពោះការគំរាមកំហែងដែលកំពុងកើតឡើង។ ខណៈពេលដែលការឈ្នះមួយចំនួន ដូចជាការចេញផ្សាយឧបករណ៍ឌិគ្រីប គឺជាជំហានមួយក្នុងទិសដៅត្រឹមត្រូវ ការប្រយុទ្ធប្រឆាំងនឹងមេរោគ ransomware គឺនៅឆ្ងាយជាងនេះ។