សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង Ransomware មេរោគ​ចាប់ជំរិត VECT 2.0

មេរោគ​ចាប់ជំរិត VECT 2.0

ដោយ Mezo ក្នុង Ransomware
បកប្រែទៅ៖

ប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលគេស្គាល់ថាជា VECT 2.0 បង្ហាញខ្លួនវាជា ransomware ប៉ុន្តែការវិភាគបច្ចេកទេសបង្ហាញពីឥរិយាបថកាន់តែខិតជិតទៅនឹងកម្មវិធីលុបទិន្នន័យ។ ចំណុចខ្វះខាតធ្ងន់ធ្ងរនៅក្នុងការអនុវត្តការអ៊ិនគ្រីបរបស់វានៅទូទាំងវ៉ារ្យ៉ង់ Windows, Linux និង ESXi ធ្វើឱ្យការសង្គ្រោះឯកសារមិនអាចទៅរួចនោះទេ សូម្បីតែប្រតិបត្តិករនៅពីក្រោយការវាយប្រហារក៏ដោយ។

ចំពោះឯកសារដែលមានទំហំធំជាង 131 KB ដែលរួមបញ្ចូលទិន្នន័យសំខាន់ៗសម្រាប់សហគ្រាសភាគច្រើន មេរោគនេះមិនផ្តល់ការអ៊ិនគ្រីបដែលអាចសង្គ្រោះបាននោះទេ។ ផ្ទុយទៅវិញ វាបំផ្លាញទិន្នន័យដែលត្រូវការសម្រាប់ការស្តារឡើងវិញជាអចិន្ត្រៃយ៍។ ជាលទ្ធផល ការបង់ប្រាក់លោះមិនផ្តល់ផ្លូវប្រាកដនិយមទៅកាន់ការស្តារឡើងវិញទេ។

នៅក្នុងឧប្បត្តិហេតុ VECT 2.0 ណាមួយ ការចរចាមិនគួរត្រូវបានចាត់ទុកថាជាយុទ្ធសាស្ត្រស្តារឡើងវិញនោះទេ។ មិនមានឧបករណ៍ឌិគ្រីបដែលមានមុខងារដើម្បីផ្តល់ទេ ពីព្រោះព័ត៌មានដែលត្រូវការដើម្បីបង្កើតវាត្រូវបានលុបចោលក្នុងអំឡុងពេលប្រតិបត្តិ។ អាទិភាពការពារគួរតែផ្តោតលើការបម្រុងទុកក្រៅបណ្តាញ ផែនការស្តារឡើងវិញដែលមានសុពលភាព ការទប់ស្កាត់រហ័ស និងភាពធន់នៃអាជីវកម្ម។

ប្រតិបត្តិការ RaaS ដែលកំពុងរីកចម្រើនជាមួយនឹងភាពជាដៃគូព្រហ្មទណ្ឌ

VECT ដើមឡើយត្រូវបានដាក់ឱ្យដំណើរការជាកម្មវិធី Ransomware-as-a-Service (RaaS) នៅក្នុងខែធ្នូ ឆ្នាំ២០២៥ ហើយចាប់តាំងពីពេលនោះមកបានប្តូរឈ្មោះទៅជា VECT 2.0។ វិបផតថលគេហទំព័រងងឹតរបស់វាផ្សព្វផ្សាយគំរូ 'Exfiltration / Encryption / Extortion' ដែលបង្ហាញពីវិធីសាស្រ្តជំរិតទារប្រាក់បីដង។

សាខាថ្មីត្រូវបានរាយការណ៍ថាត្រូវបានគិតថ្លៃចូល Monero (XMR) ចំនួន 250 ដុល្លារ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកដាក់ពាក្យមកពីប្រទេស Commonwealth of Independent States (CIS) ត្រូវបានលើកលែង ដែលបង្ហាញពីការជ្រើសរើសបុគ្គលិកដែលមានគោលដៅពីតំបន់នោះ។

ក្រុមនេះក៏បានបង្កើតភាពជាដៃគូជាមួយ BreachForums និងក្រុម Hacking TeamPCP ផងដែរ។ កិច្ចសហប្រតិបត្តិការនេះហាក់ដូចជាត្រូវបានរចនាឡើងដើម្បីធ្វើឱ្យប្រតិបត្តិការ ransomware មានភាពសាមញ្ញ កាត់បន្ថយឧបសគ្គសម្រាប់សាខាថ្មី និងប្រើប្រាស់ទិន្នន័យដែលត្រូវបានគេលួចពីមុនសម្រាប់ការវាយប្រហារបន្ថែមទៀត។

ការរួមបញ្ចូលគ្នានៃការលួចព័ត៌មានសម្ងាត់ខ្សែសង្វាក់ផ្គត់ផ្គង់ ប្រតិបត្តិការសម្ព័ន្ធដែលបានរៀបចំ និងការចល័តឧក្រិដ្ឋជនដែលមានមូលដ្ឋានលើវេទិកា ឆ្លុះបញ្ចាំងពីប្រព័ន្ធអេកូឡូស៊ី ransomware ដែលមានឧស្សាហកម្មកាន់តែខ្លាំងឡើង។

ចំនួនជនរងគ្រោះនៅតែទាបទោះបីជាមានការអះអាងដិតដល់ក៏ដោយ

បើទោះបីជាមានការផ្សព្វផ្សាយពាណិជ្ជកម្មយ៉ាងខ្លាំងក្លាក៏ដោយ គេហទំព័រលេចធ្លាយរបស់ VECT 2.0 ត្រូវបានគេរាយការណ៍ថា រាយបញ្ជីជនរងគ្រោះតែពីរនាក់ប៉ុណ្ណោះ ដែលទាំងពីរនាក់ត្រូវបានចោទប្រកាន់ថាបានរងការគំរាមកំហែងតាមរយៈការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលទាក់ទងនឹង TeamPCP។

ដំបូងឡើយ ក្រុមនេះអះអាងថាបានប្រើប្រាស់ ChaCha20-Poly1305 AEAD ដែលជាវិធីសាស្ត្រអ៊ិនគ្រីបដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវខ្លាំងជាង។ ទោះជាយ៉ាងណាក៏ដោយ ការពិនិត្យឡើងវិញផ្នែកបច្ចេកទេសបានរកឃើញថា ការប្រើប្រាស់លេខសម្ងាត់ដែលមិនទាន់ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវខ្សោយជាងនេះ ខ្វះការការពារភាពសុចរិត ដែលបង្កើនការសង្ស័យយ៉ាងខ្លាំងអំពីទាំងសមត្ថភាព និងភាពជឿជាក់។

ការបរាជ័យក្នុងការអ៊ិនគ្រីបដែលបំផ្លាញទិន្នន័យ

ចំណុចខ្វះខាតដ៏សំខាន់បំផុតរបស់មេរោគនេះគឺស្ថិតនៅក្នុងរបៀបដែលវាដំណើរការឯកសារដែលមានទំហំធំជាង 131,072 បៃ។ ជំនួសឱ្យការអ៊ិនគ្រីបទិន្នន័យដែលអាចសង្គ្រោះបានដោយសុវត្ថិភាព វាបំបែកឯកសារធំៗនីមួយៗជាបួនផ្នែក ហើយអ៊ិនគ្រីបផ្នែកនីមួយៗដោយប្រើ nonces 12 បៃដែលបង្កើតដោយចៃដន្យដាច់ដោយឡែកពីគ្នា។

មានតែ nonce ចុងក្រោយប៉ុណ្ណោះដែលត្រូវបានរក្សាទុកជាមួយឯកសារដែលបានអ៊ិនគ្រីប។ nonce បីដំបូង ដែលត្រូវការដើម្បីឌិគ្រីបឯកសារភាគច្រើន ត្រូវបានបង្កើត ប្រើប្រាស់ម្តង និងបោះចោលជាអចិន្ត្រៃយ៍។ ពួកវាមិនត្រូវបានរក្សាទុកក្នុងមូលដ្ឋាន សរសេរទៅកាន់បញ្ជីឈ្មោះ ឬផ្ញើទៅកាន់ប្រតិបត្តិករនោះទេ។

ដោយសារតែវិធីសាស្ត្រ ChaCha20-IETF តម្រូវឱ្យមានទាំងសោរ 32 បៃដែលត្រឹមត្រូវ និង nonce ដែលត្រូវគ្នាសម្រាប់ការឌិគ្រីប បីភាគបួនដំបូងនៃឯកសារដែលរងផលប៉ះពាល់នីមួយៗនឹងមិនអាចសង្គ្រោះបានទេ។ នេះមានន័យថា VECT 2.0 ដំណើរការជាឧបករណ៍លុបទិន្នន័យដែលបំផ្លិចបំផ្លាញដែលលាក់នៅពីក្រោយសារ ransomware។

វ៉ារ្យ៉ង់វីនដូ៖ លក្ខណៈពិសេសកម្រិតខ្ពស់ ការប្រតិបត្តិខ្សោយ

កំណែ Windows មានលក្ខណៈពិសេសច្រើនជាងគេ និងមានគោលដៅ៖

  • ដ្រាយក្នុងស្រុក មេឌៀចល័ត និងការផ្ទុកទិន្នន័យបណ្តាញដែលអាចចូលប្រើបាន
  • ឧបករណ៍សុវត្ថិភាព និងឧបករណ៍បំបាត់កំហុសចំនួន ៤៤ តាមរយៈការត្រួតពិនិត្យប្រឆាំងការវិភាគ
  • យន្តការរក្សាភាពស្ថិតស្ថេរនៃរបៀបសុវត្ថិភាព
  • គំរូស្គ្រីបប្រតិបត្តិពីចម្ងាយសម្រាប់ចលនាចំហៀង

នៅពេលដែលបើកដំណើរការជាមួយ --force-safemode មេរោគនឹងកំណត់រចនាសម្ព័ន្ធការចាប់ផ្តើមឡើងវិញបន្ទាប់ទៅក្នុង Windows Safe Mode ហើយបន្ថែមផ្លូវដែលអាចប្រតិបត្តិបានរបស់វាទៅកាន់ Windows Registry ដូច្នេះវាដំណើរការដោយស្វ័យប្រវត្តិបន្ទាប់ពីចាប់ផ្តើមឡើងវិញនៅក្នុងបរិយាកាសសុវត្ថិភាពទាប។

គួរឱ្យចាប់អារម្មណ៍ ទោះបីជាវ៉ារ្យ៉ង់ Windows មានយន្តការរកឃើញបរិស្ថាន និងយន្តការគេចវេសក៏ដោយ ក៏ទម្លាប់ទាំងនោះមិនដែលត្រូវបានគេហៅចេញដែរ។ នេះអាចអនុញ្ញាតឱ្យអ្នកការពារវិភាគគំរូដោយមិនចាំបាច់បង្កឱ្យមានការឆ្លើយតបលួចលាក់។

វ៉ារ្យ៉ង់ Linux និង ESXi ពង្រីកផ្ទៃគំរាមកំហែង

កំណែ ESXi អនុវត្តការត្រួតពិនិត្យ geofencing និង anti-debugging មុនពេលចាប់ផ្តើមការអ៊ិនគ្រីប។ វាក៏ព្យាយាមផ្លាស់ទីចំហៀងតាមរយៈ SSH ផងដែរ។ កំណែ Linux ចែករំលែកមូលដ្ឋានកូដដូចគ្នានឹងគំរូ ESXi ប៉ុន្តែរួមបញ្ចូលសមត្ថភាពតិចជាង។

ការគាំទ្រឆ្លងវេទិកានេះផ្តល់ឱ្យ VECT 2.0 នូវសក្តានុពលកំណត់គោលដៅយ៉ាងទូលំទូលាយប្រឆាំងនឹងបរិស្ថានសហគ្រាស ជាពិសេសបរិស្ថានដែលពឹងផ្អែកលើនិម្មិតូបនីយកម្ម និងប្រព័ន្ធប្រតិបត្តិការចម្រុះ។

ការដាក់ពង្រាយភូមិសាស្ត្រ CIS មិនធម្មតាបង្កើតសំណួរ

មុនពេលអ៊ិនគ្រីបប្រព័ន្ធ មេរោគនឹងពិនិត្យមើលថាតើវាកំពុងដំណើរការនៅក្នុងប្រទេស CIS ដែរឬទេ។ ប្រសិនបើដូច្នោះមែន ការប្រតិបត្តិនឹងឈប់។ ជាពិសេស ប្រទេសអ៊ុយក្រែនត្រូវបានគេរាយការណ៍ថានៅតែត្រូវបានរាប់បញ្ចូលក្នុងការដកចេញទាំងនេះ ដែលជាឥរិយាបថមិនធម្មតាមួយចាប់តាំងពីក្រុម ransomware ជាច្រើនបានដកប្រទេសអ៊ុយក្រែនចេញពីបញ្ជីលើកលែង CIS បន្ទាប់ពីឆ្នាំ 2022។

ការពន្យល់ដែលទំនងពីរត្រូវបានស្នើឡើង៖

  • មេរោគ​អាច​ត្រូវ​បាន​បង្កើត​ឡើង​ដោយ​ផ្នែក​ដោយ​ប្រើ​គំរូ AI ដែល​បាន​បណ្តុះបណ្តាល​លើ​ទិន្នន័យ​ភូមិសាស្ត្រ​នយោបាយ​ហួស​សម័យ។
  • អ្នកអភិវឌ្ឍន៍ប្រហែលជាបានប្រើប្រាស់មូលដ្ឋានកូដ ransomware ចាស់ឡើងវិញដោយមិនបានធ្វើបច្ចុប្បន្នភាពតក្កវិជ្ជាតំបន់។

    • សញ្ញានៃប្រតិបត្តិករដែលគ្មានបទពិសោធន៍

    ទោះបីជា VECT 2.0 ធ្វើទីផ្សារខ្លួនឯងថាជាការគំរាមកំហែងពហុវេទិកាដ៏ល្អឥតខ្ចោះជាមួយនឹងការជ្រើសរើសបុគ្គលិកសម្ព័ន្ធភាព ភាពជាដៃគូខ្សែសង្វាក់ផ្គត់ផ្គង់ និងការកសាងម៉ាកយីហោប្រកបដោយវិជ្ជាជីវៈក៏ដោយ ការប្រតិបត្តិបច្ចេកទេសប្រាប់រឿងខុសគ្នា។

    ការវាយតម្លៃសុវត្ថិភាពបង្ហាញថាប្រតិបត្តិករទំនងជាអ្នកគំរាមកំហែងថ្មីថ្មោងជាងអ្នកអភិវឌ្ឍន៍ ransomware ដែលមានបទពិសោធន៍។ លទ្ធភាពដែលផ្នែកខ្លះនៃមេរោគត្រូវបានបង្កើតឡើង ឬជួយដោយកូដដែលបង្កើតដោយ AI មិនអាចច្រានចោលបានទេ។

    ការវាយតម្លៃសន្តិសុខប្រតិបត្តិ

    VECT 2.0 បង្ហាញពីរបៀបដែលមេរោគ ransomware ដែលមើលទៅមានគ្រោះថ្នាក់នៅតែមានចំណុចខ្វះខាតផ្នែកបច្ចេកទេស។ ហេដ្ឋារចនាសម្ព័ន្ធ ភាពជាដៃគូ និងការផ្សព្វផ្សាយពាណិជ្ជសញ្ញារបស់វាបង្កើតរូបភាពនៃសហគ្រាសឧក្រិដ្ឋកម្មធ្ងន់ធ្ងរ ប៉ុន្តែការបរាជ័យនៃការរចនាអ៊ិនគ្រីបធ្វើឱ្យខូចគំរូជំរិតទារប្រាក់ទាំងស្រុង។

    សម្រាប់អ្នកការពារ មេរៀនគឺច្បាស់លាស់៖ ផ្តោតលើភាពធន់ ការបម្រុងទុក ការបែងចែក និងការឆ្លើយតបទៅនឹងឧប្បត្តិហេតុយ៉ាងឆាប់រហ័ស។ នៅក្នុងការវាយប្រហារ VECT 2.0 ការទូទាត់មិនមែនទិញការងើបឡើងវិញទេ វាគ្រាន់តែទិញការបំផ្លិចបំផ្លាញប៉ុណ្ណោះ។

    និន្នាការ

    ការទូទាត់ King Ransomware

    Ransomware
    ប្រតិបត្តិការ Payouts King ransomware បានណែនាំបច្ចេកទេសគេចវេសខ្ពស់មួយដោយទាញយកអត្ថប្រយោជន៍ពី QEMU ជា backdoor SSH បញ្ច្រាស។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារដាក់ពង្រាយម៉ាស៊ីននិម្មិតដែលលាក់...

    មេរោគ ZionSiphon

    មេរោគ
    អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគថ្មីមួយប្រភេទដែលទើបនឹងលេចចេញមក គឺ ZionSiphon ដែលត្រូវបានរចនាឡើងដោយផ្តោតយ៉ាងច្បាស់លាស់លើកន្លែងប្រព្រឹត្តកម្មទឹក និងបន្សាបជាតិប្រៃរបស់អ៊ីស្រាអែល។...

    មេរោគ​ចាប់​ជំរិត​សហគ្រាស​កម្រិត​ខ្ពស់

    Ransomware
    ការការពារប្រព័ន្ធប្រឆាំងនឹងមេរោគទំនើបលែងជាជម្រើសទៀតហើយ វាគឺជាតម្រូវការជាមូលដ្ឋានសម្រាប់ទាំងបុគ្គល និងអង្គការ។ ការគំរាមកំហែង Ransomware បន្តវិវត្តន៍ក្នុងភាពទំនើប...

    មើលច្រើនបំផុត

    Fuq.com

    កម្មវិធីប្រឆាំង Spyware Rogue, មេរោគ Mac
    21,152
    Fuq.com គឺជាកម្មវិធីប្រភេទ Adware ដែលផ្សព្វផ្សាយគេហទំព័រដែលមានខ្លឹមសារអាសអាភាស។ យុទ្ធនាការផ្សាយពាណិជ្ជកម្មនៃកម្មវិធីដែលមិនចង់បានសក្តានុពល (PUP) នេះគឺឈ្លានពានខ្លាំងណាស់។...

    Eporner.com

    បញ្ហា
    20,765
    អ៊ីនធឺណិត​ជា​កន្លែង​ដ៏​ធំ​មួយ​ដែល​ពោរពេញ​ទៅ​ដោយ​មាតិកា​ដែល​មាន​ប្រយោជន៍ ការ​កម្សាន្ត និង​ព័ត៌មាន ប៉ុន្តែ​វា​ក៏​មាន​ជ្រុង​ងងឹត​ដែរ។ មិនថាអ្នកកំពុងចាក់ផ្សាយកម្មវិធី ទាញយកកម្មវិធី...
    កំពុង​ផ្ទុក...