ShrinkLocker Ransomware
ប្រតិបត្តិករ ransomware ជាច្រើនកំពុងចោទសួរពីភាពចាំបាច់នៃការរួមបញ្ចូលយន្តការចាក់សោរគ្រីប ចូលទៅក្នុងការគំរាមកំហែងមេរោគរបស់ពួកគេ ដោយសារភាពអាចរកបាននៃកម្មវិធីអ៊ិនគ្រីបដ៏រឹងមាំរបស់ Microsoft នៅក្នុង Windows ។ ឧទាហរណ៍មួយគួរឱ្យកត់សម្គាល់ដែលត្រូវបានគូសបញ្ជាក់ដោយអ្នកជំនាញសន្តិសុខអ៊ីនធឺណិតគឺ ShrinkLocker ។ វ៉ារ្យ៉ង់ ransomware នេះបង្កើតភាគថាសចាប់ផ្ដើមថ្មីដើម្បីអ៊ិនគ្រីបប្រព័ន្ធសាជីវកម្មដោយប្រើ Windows BitLocker ។
តារាងមាតិកា
Threat Actors Lock Data ដោយបំពានមុខងារ Windows ស្របច្បាប់
ករណី ransomware ប្រើ BitLocker ដើម្បីអ៊ិនគ្រីបកុំព្យូទ័រ មិនមែនជារឿងចម្លែកនោះទេ។ ក្នុងករណីមួយ តួអង្គគម្រាមកំហែងបានប្រើមុខងារសុវត្ថិភាពនេះនៅក្នុង Windows ដើម្បីអ៊ិនគ្រីបទិន្នន័យ 100TB ឆ្លងកាត់ម៉ាស៊ីនមេចំនួន 40 នៅមន្ទីរពេទ្យក្នុងប្រទេសបែលហ្សិក។ ដូចគ្នានេះដែរ អ្នកវាយប្រហារផ្សេងទៀតបានប្រើប្រាស់ BitLocker ដើម្បីអ៊ិនគ្រីបប្រព័ន្ធដែលជាកម្មសិទ្ធិរបស់អ្នកផលិត និងអ្នកចែកចាយសាច់ដែលមានមូលដ្ឋាននៅទីក្រុងម៉ូស្គូ។ ក្រុមហ៊ុន Microsoft បានចេញការព្រមាននៅក្នុងខែកញ្ញា ឆ្នាំ 2022 ដោយបង្ហាញថា អ្នកវាយប្រហារដែលឧបត្ថម្ភដោយរដ្ឋរបស់ប្រទេសអ៊ីរ៉ង់បានជួល BitLocker ដើម្បីអ៊ិនគ្រីបប្រព័ន្ធដែលដំណើរការ Windows 10, Windows 11, ឬ Windows Server 2016 និងថ្មីជាងនេះ។
ទោះជាយ៉ាងណាក៏ដោយ នៅពេលពិនិត្យលើ ShrinkLocker អ្នកជំនាញបានព្រមានថា ការគំរាមកំហែងនេះបង្ហាញពីលក្ខណៈពិសេសដែលមិនបានបង្ហាញពីមុន ក្នុងគោលបំណងពង្រីកទំហំនៃផលប៉ះពាល់នៃការវាយប្រហារ។
ShrinkLocker ត្រូវបានប្រតិបត្តិតែនៅពេលដែលការបញ្ជាក់ជាក់លាក់ត្រូវបានបំពេញ
ShrinkLocker ដែលត្រូវបានសរសេរកូដនៅក្នុង Visual Basic Scripting (VBScript) ដែលជាភាសាដែលណែនាំដោយក្រុមហ៊ុន Microsoft ត្រឡប់មកវិញក្នុងឆ្នាំ 1996 ហើយឥឡូវនេះកំពុងស្ថិតនៅលើផ្លូវចេញ។ ក្នុងចំណោមមុខងាររបស់វា ការគំរាមកំហែងបង្ហាញពីសមត្ថភាពក្នុងការកំណត់អត្តសញ្ញាណកំណែ Windows ជាក់លាក់ដែលកំពុងដំណើរការនៅលើម៉ាស៊ីនគោលដៅដោយប្រើប្រាស់ Windows Management Instrumentation (WMI) ជាមួយនឹងថ្នាក់ Win32_OperatingSystem ។
ការវាយប្រហារដំណើរការតែក្រោមលក្ខខណ្ឌជាក់លាក់ ដូចជាដែនបច្ចុប្បន្នដែលត្រូវគ្នានឹងគោលដៅ និងកំណែប្រព័ន្ធប្រតិបត្តិការ (OS) ថ្មីជាង Vista ។ បើមិនដូច្នោះទេ ShrinkLocker បញ្ចប់ដោយស្វ័យប្រវត្តិ និងលុបដោយខ្លួនឯង។ នៅពេលដែលគោលដៅបំពេញតាមលក្ខណៈវិនិច្ឆ័យនៃការវាយប្រហារ មេរោគប្រើប្រាស់ឧបករណ៍ប្រើប្រាស់ផ្នែកថាសនៅក្នុង Windows ដើម្បីបង្រួមរាល់ភាគថាសដែលមិនដំណើរការដោយ 100MB ដោយបែងចែកទំហំដែលមិនបានបែងចែកទៅជាភាគសំខាន់ថ្មីនៃទំហំដូចគ្នា។
អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថានៅក្នុង Windows 2008 និង 2012 ShrinkLocker Ransomware ដំបូងរក្សាឯកសារចាប់ផ្ដើមរួមជាមួយសន្ទស្សន៍នៃភាគផ្សេងទៀត។ ប្រតិបត្តិការផ្លាស់ប្តូរទំហំស្រដៀងគ្នានេះត្រូវបានធ្វើឡើងនៅលើកំណែប្រព័ន្ធប្រតិបត្តិការ Windows ផ្សេងទៀត ទោះបីជាមានផ្នែកកូដផ្សេងគ្នា ដូចដែលបានរៀបរាប់នៅក្នុងការវិភាគបច្ចេកទេសរបស់អ្នកស្រាវជ្រាវក៏ដោយ។ ក្រោយមក មេរោគប្រើឧបករណ៍បន្ទាត់ពាក្យបញ្ជា BCDEdit ដើម្បីដំឡើងឯកសារចាប់ផ្ដើមឡើងវិញនៅលើភាគថាសដែលបានបង្កើតថ្មី។
ShrinkLocker Ransomware បង្ហាញទិន្នន័យនៅលើភាគថាសទាំងមូលមិនអាចប្រើបាន
ShrinkLocker ក៏កែប្រែធាតុបញ្ជីឈ្មោះដើម្បីបិទការភ្ជាប់ផ្ទៃតុពីចម្ងាយ ឬបើកការអ៊ិនគ្រីប BitLocker នៅលើម៉ាស៊ីនដោយគ្មានម៉ូឌុលវេទិកាដែលអាចទុកចិត្តបាន (TPM) ។ បន្ទះឈីបពិសេសនេះផ្តល់នូវមុខងារដែលទាក់ទងនឹងសុវត្ថិភាពដែលមានមូលដ្ឋានលើផ្នែករឹង។
តួអង្គគំរាមកំហែងនៅពីក្រោយ ShrinkLocker មិនទម្លាក់ឯកសារលោះដើម្បីបង្កើតបណ្តាញទំនាក់ទំនងជាមួយជនរងគ្រោះទេ។ ផ្ទុយទៅវិញ ពួកគេផ្តល់អាសយដ្ឋានអ៊ីមែលទំនាក់ទំនង (onboardingbinder@proton.me, conspiracyid9@protonmail.com) ជាស្លាកនៃភាគថាសចាប់ផ្ដើមថ្មី។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកគ្រប់គ្រងនឹងមិនឃើញស្លាកនេះទេ លុះត្រាតែពួកគេចាប់ផ្ដើមឧបករណ៍ដោយប្រើបរិយាកាសសង្គ្រោះ ឬតាមរយៈឧបករណ៍វិនិច្ឆ័យផ្សេងទៀត ដែលធ្វើឱ្យវាងាយស្រួលក្នុងការខកខាន។
បន្ទាប់ពីការអ៊ិនគ្រីបដ្រាយវ៍ អ្នកគំរាមកំហែងនឹងលុបឧបករណ៍ការពារ BitLocker (ឧ. TPM, PIN, startup key, password, recovery password, recovery key) ដើម្បីបដិសេធជនរងគ្រោះនូវជម្រើសណាមួយដើម្បីសង្គ្រោះ BitLocker encryption key ដែលត្រូវបានផ្ញើទៅកាន់អ្នកវាយប្រហារ។
គន្លឹះដែលបានបង្កើតសម្រាប់ការអ៊ិនគ្រីបឯកសារគឺជាការរួមបញ្ចូលគ្នានៃ 64 តួអក្សរនៃការគុណចៃដន្យ និងការជំនួសអថេរដែលមានលេខ 0-9 តួអក្សរពិសេស និងប្រយោគ holoalphabetic 'The quick brown fox jumps over the lazy dog' ។ គន្លឹះត្រូវបានបញ្ជូនតាមរយៈឧបករណ៍ TryCloudflare ដែលជាសេវាកម្មស្របច្បាប់សម្រាប់អ្នកអភិវឌ្ឍន៍ដើម្បីសាកល្បងជាមួយ CloudFlare's Tunnel ដោយមិនចាំបាច់បន្ថែមគេហទំព័រទៅ DNS របស់ CloudFlare។
នៅដំណាក់កាលចុងក្រោយនៃការវាយប្រហារ ShrinkLocker បង្ខំឱ្យប្រព័ន្ធបិទសម្រាប់ការផ្លាស់ប្តូរទាំងអស់ឱ្យមានប្រសិទ្ធភាព ហើយទុកឱ្យអ្នកប្រើប្រាស់ចាក់សោរដ្រាយ និងគ្មានជម្រើសការសង្គ្រោះ BitLocker ទេ។
តួអង្គគំរាមកំហែង ShrinkLocker ប្រហែលជាមិនត្រូវបានជំរុញផ្នែកហិរញ្ញវត្ថុទេ។
BitLocker ផ្តល់ជម្រើសក្នុងការបង្កើតសារផ្ទាល់ខ្លួននៅលើអេក្រង់សង្គ្រោះ ដោយផ្តល់នូវវេទិកាដ៏ល្អសម្រាប់បង្ហាញសារជំរិតទារប្រាក់ដល់ជនរងគ្រោះ។ អវត្ដមាននៃកំណត់ចំណាំតម្លៃលោះដែលបង្ហាញយ៉ាងច្បាស់ និងអ៊ីមែលដែលគ្រាន់តែកំណត់ថាជាស្លាកដ្រាយអាចបង្ហាញថាការវាយប្រហារទាំងនេះមានគោលបំណងបំផ្លិចបំផ្លាញច្រើនជាងធម្មជាតិជាជាងជំរុញដោយហេតុផលហិរញ្ញវត្ថុ។
អ្នកស្រាវជ្រាវបានរកឃើញថា ShrinkLocker បង្ហាញរាងជាទម្រង់ផ្សេងៗគ្នា ហើយត្រូវបានគេដាក់ពង្រាយប្រឆាំងនឹងអង្គភាពរដ្ឋាភិបាល ក៏ដូចជាអង្គការនៅក្នុងវិស័យផលិតដែក និងវ៉ាក់សាំងនៅម៉ិកស៊ិក ឥណ្ឌូនេស៊ី និងហ្ស៊កដានី។
ក្រុមហ៊ុនដែលប្រើប្រាស់ BitLocker នៅលើប្រព័ន្ធរបស់ពួកគេត្រូវបានណែនាំយ៉ាងខ្លាំងដើម្បីធានាបាននូវការផ្ទុកសោសង្គ្រោះសុវត្ថិភាព និងរក្សាការបម្រុងទុកក្រៅបណ្តាញជាប្រចាំដែលត្រូវបានសាកល្បងជាទៀងទាត់។ លើសពីនេះ អង្គការត្រូវបានជំរុញឱ្យដាក់ពង្រាយដំណោះស្រាយ Endpoint Protection Platform (EPP) ដែលបានកំណត់រចនាសម្ព័ន្ធត្រឹមត្រូវ ដើម្បីស្វែងរកការប៉ុនប៉ងនៅការរំលោភបំពាន BitLocker អនុវត្តសិទ្ធិអ្នកប្រើប្រាស់តិចតួច បើកដំណើរការការកត់ត្រា និងត្រួតពិនិត្យចរាចរណ៍បណ្តាញដ៏ទូលំទូលាយ (រួមទាំងសំណើ GET និង POST) តាមដានព្រឹត្តិការណ៍ដែលពាក់ព័ន្ធជាមួយ ការប្រតិបត្តិ VBS និង PowerShell និងកត់ត្រាស្គ្រីបដែលពាក់ព័ន្ធ។
ShrinkLocker Ransomware វីដេអូ
គន្លឹះ៖ បើក សំឡេងរបស់អ្នក ហើយ មើលវីដេអូក្នុងទម្រង់ពេញអេក្រង់ ។
