AntiHacker Ransomware

การปกป้องข้อมูลส่วนบุคคลและธุรกิจจากภัยคุกคามมัลแวร์ยุคใหม่ไม่ใช่ทางเลือกอีกต่อไป แต่เป็นสิ่งจำเป็นในการดำเนินงาน ผู้ดำเนินการ Ransomware ยังคงพัฒนากลยุทธ์ เครื่องมือ และกลวิธีทางวิศวกรรมสังคมอย่างต่อเนื่อง เพื่อเพิ่มการหยุดชะงักและเรียกค่าไถ่ให้มากที่สุด แม้แต่องค์กรขนาดเล็กและผู้ใช้ตามบ้านก็ตกเป็นเป้าหมายอยู่เป็นประจำ และการกู้คืนอาจเป็นเรื่องยากหรือเป็นไปไม่ได้เลยหากปราศจากการเตรียมตัว AntiHacker Ransomware ซึ่งเป็นสมาชิกของตระกูล Xorist ก็เป็นภัยคุกคามประเภทเดียวกัน

ภาพรวมและสายเลือดของภัยคุกคาม

AntiHacker เป็นโปรแกรมอันตรายที่นักวิจัยด้านความปลอดภัยสารสนเทศค้นพบและจัดอยู่ในกลุ่มแรนซัมแวร์ Xorist โดยทั่วไปแล้ว ภัยคุกคามจาก Xorist มักถูกสร้างขึ้นจากชุดเฟรมเวิร์กที่ผู้โจมตีสามารถปรับแต่งได้ โดยเปลี่ยนแปลงข้อความเรียกค่าไถ่ที่แสดง นามสกุลไฟล์ องค์ประกอบของภาษา และพารามิเตอร์อื่นๆ AntiHacker ปฏิบัติตามแนวทางของ Xorist ที่คุ้นเคย นั่นคือ เข้ารหัสข้อมูลของเหยื่อแล้วเรียกเก็บเงินเพื่อแลกกับคีย์ถอดรหัสที่อ้างว่าเป็นรหัส

พฤติกรรมการเข้ารหัสไฟล์และการทำเครื่องหมาย

เมื่อ AntiHacker เจาะระบบได้ ระบบจะค้นหาข้อมูลที่ผู้ใช้เข้าถึงได้จากไดรฟ์ภายในเครื่องและตำแหน่งเครือข่ายที่อาจมีการแมปไว้ด้วย ไฟล์ประเภทต่างๆ จะถูกกำหนดเป้าหมายไว้ ได้แก่ เอกสาร รูปภาพ ไฟล์เก็บถาวร ไฟล์มัลติมีเดีย และที่เก็บข้อมูลสำคัญอื่นๆ แต่ละรายการที่เข้ารหัสจะถูกเปลี่ยนชื่อโดยการต่อท้ายชื่อไฟล์เดิมด้วยสตริง '.antihacker2017' ตัวอย่างเช่น ไฟล์ที่มีชื่อเดิม '1.png' จะกลายเป็น '1.png.antihacker2017'; '2.pdf' จะกลายเป็น '2.pdf.antihacker2017'; และรูปแบบนี้จะวนซ้ำไปซ้ำมาในทุกไฟล์ที่ประมวลผล ส่วนขยายที่เพิ่มเข้ามามีวัตถุประสงค์สองประการ คือ ส่งสัญญาณให้เหยื่อทราบถึงการถูกโจมตี และช่วยให้แรนซัมแวร์ระบุรายการที่ถูกจัดการไปแล้ว

บันทึกเรียกค่าไถ่ ป๊อปอัป และข้อความวอลเปเปอร์

หลังจากเสร็จสิ้นขั้นตอนการเข้ารหัส AntiHacker จะแก้ไขวอลเปเปอร์เดสก์ท็อปของเหยื่อและปล่อยข้อความเรียกค่าไถ่ในรูปแบบคู่ขนานสองรูปแบบ ได้แก่ หน้าต่างป๊อปอัปและไฟล์ข้อความชื่อ 'КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt' (ภาษารัสเซีย แปลว่า 'วิธีถอดรหัสไฟล์') เนื้อหาของข้อความในป๊อปอัปและไฟล์ข้อความเหมือนกัน อย่างไรก็ตาม วอลเปเปอร์เวอร์ชันนี้มีภาษาทางวิศวกรรมสังคมเพิ่มเติม ซึ่งเป็นข้ออ้างที่อ้างว่าการโจมตีเกิดขึ้นเนื่องจากผู้ใช้เข้าชมเว็บไซต์สำหรับผู้ใหญ่หรือเว็บไซต์ที่ผิดกฎหมาย การโจมตีนี้ออกแบบมาเพื่อกดดันให้เหยื่อจ่ายเงินอย่างรวดเร็วและเงียบเชียบ

ความแปลกประหลาดในการเข้ารหัสตัวละคร

ในระบบที่ไม่ได้ใช้ชุดอักขระซีริลลิก ข้อความเรียกค่าไถ่ที่แสดงในป๊อปอัปอาจปรากฏเป็นข้อความอ่านไม่ออก ดังนั้น เหยื่ออาจเห็นหน้าต่างข้อความที่เสียหาย แต่ยังคงพบคำแนะนำที่อ่านได้ภายในไฟล์ข้อความที่หายไป ผู้โจมตีมักมองข้ามรายละเอียดการระบุตำแหน่ง ผู้ป้องกันสามารถใช้ข้อมูลเหล่านี้เพื่อช่วยจัดกลุ่มเหตุการณ์ที่เกี่ยวข้องได้

กลไกการบังคับ: ข้อจำกัดการเข้าที่สำคัญและการเรียกร้องภัยคุกคาม

คำแนะนำการเรียกค่าไถ่ระบุว่าเหยื่อต้องติดต่อผู้โจมตีเพื่อขอคีย์ถอดรหัส นอกจากนี้ยังมีข้อจำกัดที่เข้มงวดมาก กล่าวคือ อนุญาตให้ป้อนคีย์ได้เพียง 50 ครั้งเท่านั้น หลังจากนั้นข้อความจะแจ้งว่าข้อมูลที่เข้ารหัสจะสูญหายอย่างถาวร คำเตือนเพิ่มเติมระบุว่าการใช้เครื่องมือรักษาความปลอดภัย การรีบูตเครื่อง หรือการปิดเครื่องจะทำให้ไฟล์ไม่สามารถถอดรหัสได้ กลยุทธ์การขู่เข็ญเหล่านี้มักพบในคู่มือแรนซัมแวร์ และมีจุดมุ่งหมายเพื่อป้องกันไม่ให้ผู้ใช้ขอความช่วยเหลือจากผู้เชี่ยวชาญหรือพยายามใช้วิธีการเยียวยาอย่างปลอดภัย

ทำไมการจ่ายค่าไถ่จึงมีความเสี่ยง

ไม่มีการรับประกันว่าอาชญากรไซเบอร์ที่อยู่เบื้องหลัง AntiHacker (หรือแรนซัมแวร์ใดๆ) จะสามารถส่งมอบโซลูชันการถอดรหัสที่ใช้งานได้หลังจากชำระเงินแล้ว เหยื่อที่ชำระเงินมักจะไม่ได้รับอะไรเลย ได้รับคีย์ที่เสียหาย หรือตกเป็นเป้าหมายของการกรรโชกทรัพย์ซ้ำแล้วซ้ำเล่า การชำระเงินยังถือเป็นเงินทุนสำหรับปฏิบัติการทางอาชญากรรมที่กำลังดำเนินอยู่ และกระตุ้นให้เกิดการโจมตีเพิ่มเติม ข้อควรระวังคือหลีกเลี่ยงการจ่ายเงินทุกครั้งที่ทำได้ และมุ่งเน้นไปที่เส้นทางการกู้คืนที่อยู่ภายใต้การควบคุมของคุณ

ความเป็นจริงของการฟื้นตัว

การลบ AntiHacker ออกจากระบบที่ติดไวรัสสามารถหยุดการเข้ารหัสไฟล์เพิ่มเติมได้ แต่จะไม่สามารถถอดรหัสข้อมูลที่ถูกล็อกไว้แล้วได้ วิธีที่น่าเชื่อถือที่สุดในการกู้คืนคือการกู้คืนสำเนาไฟล์ที่ได้รับผลกระทบทั้งหมดจากการสำรองข้อมูลที่แยกไว้ ออฟไลน์ หรืออยู่นอกเหนือการเข้าถึงของมัลแวร์ หากไม่มีการสำรองข้อมูลที่ใช้งานได้ ตัวเลือกการกู้คืนข้อมูลจะถูกจำกัดอย่างมาก

เวกเตอร์การติดเชื้อเบื้องต้น

ผู้สร้างแรนซัมแวร์อาศัยระบบนิเวศการกระจายตัวแบบกว้างๆ เดียวกับที่เป็นเชื้อเพลิงให้กับมัลแวร์ประเภทอื่นๆ AntiHacker ก็ไม่มีข้อยกเว้น ผู้โจมตีมักปลอมแปลงเพย์โหลดให้เป็นซอฟต์แวร์ที่ถูกกฎหมาย หรือรวมเข้ากับโปรแกรม เอกสาร หรือโปรแกรมติดตั้งที่ถอดรหัสหรือละเมิดลิขสิทธิ์ เพียงแค่เปิดไฟล์ที่ติดกับดักก็อาจทำให้เกิดการดาวน์โหลดหรือการดำเนินการต่อเนื่องได้

• การหลอกลวงทางฟิชชิ่งและทางวิศวกรรมสังคมที่ส่งมาทางอีเมล ข้อความส่วนตัว หรือข้อความโดยตรงที่มีไฟล์แนบที่เป็นอันตรายหรือลิงก์ที่ฝังอยู่
• การดาวน์โหลดแบบไดรฟ์บายหรือแบบหลอกลวงที่เริ่มต้นจากเว็บไซต์ที่ถูกบุกรุกหรือเป็นอันตรายโดยไม่ได้รับความยินยอมที่ชัดเจนจากผู้ใช้
• ตัวโหลดโทรจันและแบ็กดอร์ที่ดึงข้อมูลและเปิดใช้งานแรนซัมแวร์อย่างเงียบๆ เมื่อฝังไว้แล้ว
• แหล่งดาวน์โหลดที่ไม่น่าเชื่อถือ เช่น ไซต์ฟรีแวร์ หน้าโฮสติ้งของบุคคลที่สาม และเครือข่ายแบ่งปันไฟล์แบบเพียร์ทูเพียร์ (P2P)
• การหลอกลวงทางออนไลน์และแคมเปญโฆษณาแฝงที่เปลี่ยนเส้นทางผู้ใช้ไปยังชุดเครื่องมือโจมตีหรือเพย์โหลดที่เป็นอันตราย
• เครื่องมือเปิดใช้งานซอฟต์แวร์ที่ผิดกฎหมาย ('แคร็ก' / คีย์เจน) และการอัปเดตซอฟต์แวร์ปลอมที่ติดตั้งมัลแวร์แทนที่จะเป็นแพตช์ที่ถูกต้องตามกฎหมาย
• ไฟล์เก็บถาวร (ZIP, RAR เป็นต้น), ไฟล์ปฏิบัติการ (EXE, RUN เป็นต้น), ไฟล์สคริปต์ (เช่น JavaScript) และรูปแบบเอกสาร (PDF, Microsoft Office, OneNote เป็นต้น) ถูกนำมาใช้เป็นอาวุธเพื่อเปิดตัวห่วงโซ่การติดเชื้อ

ภาพรวมกลยุทธ์การป้องกัน

การป้องกันแรนซัมแวร์ที่มีประสิทธิภาพจะครอบคลุมทั้งบุคคล กระบวนการ และเทคโนโลยี คุณไม่สามารถพึ่งพาการควบคุมป้องกันเพียงชั้นเดียวได้ สมมติว่าอย่างน้อยหนึ่งชั้นจะล้มเหลว ผสมผสานการรับรู้ของผู้ใช้ การกำหนดค่าที่เข้มงวด การแพตช์ที่เข้มงวด แนวทางการสำรองข้อมูลที่แข็งแกร่ง และความสามารถในการตรวจจับ/ตอบสนองที่แข็งแกร่ง เพื่อลดทั้งโอกาสและผลกระทบของการบุกรุกแบบ AntiHacker

• รักษาการสำรองข้อมูลที่สำคัญ
• อัปเดตระบบปฏิบัติการ แอปพลิเคชัน และเครื่องมือด้านความปลอดภัยให้ทันสมัยอยู่เสมอ รวมถึงติดตั้งแพตช์ทันที โดยเฉพาะอย่างยิ่งสำหรับการเข้าถึงระยะไกลและบริการแชร์ไฟล์
• ใช้โซลูชันต่อต้านมัลแวร์ / การตรวจจับและตอบสนองปลายทาง (EDR) ที่มีชื่อเสียง พร้อมด้วยการตรวจจับแรนซัมแวร์ตามพฤติกรรมและความสามารถในการย้อนกลับอัตโนมัติในกรณีที่รองรับ
• บังคับใช้สิทธิผู้ใช้ที่มีสิทธิ์ขั้นต่ำ ดำเนินการงานประจำวันภายใต้บัญชีที่ไม่ใช่ผู้ดูแลระบบ และจำกัดการเข้าถึงการเขียนไปยังที่เก็บข้อมูลที่ใช้ร่วมกัน
• แบ่งส่วนเครือข่ายและจำกัดการเคลื่อนไหวด้านข้าง แยกที่เก็บข้อมูลสำรองและเซิร์ฟเวอร์ที่สำคัญบนระดับการเข้าถึงที่แยกจากกัน
• ต้องใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) สำหรับการเข้าสู่ระบบระยะไกล การดำเนินการที่มีสิทธิพิเศษ และคอนโซลการจัดการการสำรองข้อมูล

บทสรุป

AntiHacker Ransomware แสดงให้เห็นว่าผู้ก่อภัยคุกคามปรับใช้ชุดโปรแกรมแบบ Kit-based เช่น Xorist เพื่อสร้างแผนการรีดไถที่มีประสิทธิภาพและกำหนดเป้าหมายตามภูมิภาคได้อย่างไร การเข้ารหัสข้อมูล การติดแท็กชื่อไฟล์ การบันทึกค่าไถ่แบบหลายภาษา และการส่งข้อความบังคับ ล้วนถูกออกแบบมาเพื่อขับเคลื่อนการชำระเงิน กระนั้น มาตรการรับมือที่แข็งแกร่งที่สุดยังคงเป็นการเตรียมพร้อม: การสำรองข้อมูลแบบแยกส่วน การป้องกันแบบหลายชั้น ผู้ใช้ที่มีความรู้ และแผนรับมือที่มีวินัย องค์กรและบุคคลที่ลงทุนในมาตรการป้องกันเหล่านี้สามารถเปลี่ยนเหตุการณ์แรนซัมแวร์ที่อาจก่อให้เกิดหายนะให้กลายเป็นเหตุการณ์ที่กู้คืนได้