อะตอมมิกแรนซัมแวร์
การโจมตีด้วยแรนซัมแวร์ยังคงพัฒนาอย่างต่อเนื่อง โดยมุ่งเป้าไปที่ทั้งบุคคลและองค์กรด้วยกลยุทธ์ที่ซับซ้อนมากขึ้นเรื่อยๆ หนึ่งในภัยคุกคามล่าสุดคือแรนซัมแวร์ Atomic ซึ่งเป็นตัวอย่างที่แสดงให้เห็นว่าอาชญากรไซเบอร์ใช้ประโยชน์จากการเข้ารหัสและการโจรกรรมข้อมูลเพื่อสร้างแรงกดดันสูงสุดให้กับเหยื่อ การปกป้องอุปกรณ์ ข้อมูล และตัวตนออนไลน์ของคุณเป็นสิ่งสำคัญอย่างยิ่งเพื่อหลีกเลี่ยงผลกระทบร้ายแรงจากการโจมตีประเภทนี้
สารบัญ
Atomic Ransomware ทำงานอย่างไร
แรนซัมแวร์ Atomic เป็นมัลแวร์ในตระกูล Makop ที่มีชื่อเสียงฉาวโฉ่ เมื่อถูกโจมตี มันจะเริ่มเข้ารหัสไฟล์ทั่วทั้งระบบของเหยื่อโดยใช้อัลกอริทึมการเข้ารหัส RSA และ AES ที่แข็งแกร่ง ในระหว่างกระบวนการเข้ารหัส Atomic จะเปลี่ยนชื่อไฟล์โดยการเพิ่มรหัสเฉพาะของเหยื่อ ที่อยู่อีเมลสำหรับติดต่อ และนามสกุล '.atomic' ตัวอย่างเช่น 'report.pdf' อาจปรากฏเป็น 'report.pdf.[2AF20FA3].[data-leakreport@onionmail.com].atomic' หลังจากการโจมตี
หลังจากล็อกไฟล์แล้ว มัลแวร์จะเปลี่ยนวอลเปเปอร์เดสก์ท็อปและสร้างข้อความเรียกค่าไถ่ชื่อ '+README-WARNING+.txt' ข้อความนี้แจ้งให้เหยื่อทราบว่าไม่เพียงแต่ไฟล์ของพวกเขาถูกเข้ารหัสแล้ว แต่ข้อมูลสำคัญก็ถูกขโมยไปด้วย ผู้โจมตีขู่ว่าจะปล่อยข้อมูลนี้ออกไปหากไม่จ่ายค่าไถ่ ซึ่งเป็นการเพิ่มการบังคับขู่เข็ญอีกชั้นหนึ่ง
บันทึกการเรียกค่าไถ่และข้อเรียกร้อง
ข้อความเรียกค่าไถ่กระตุ้นให้เหยื่อติดต่ออาชญากรผ่านอีเมล 'data-leakreport@onionmail.com' หรือ 'support-leakreport@onionmail.com' เพื่อเจรจาต่อรองการชำระเงิน ข้อความเตือนไม่ให้ใช้เครื่องมือกู้คืนข้อมูลจากบุคคลที่สามหรือแก้ไขไฟล์ที่เข้ารหัส โดยอ้างว่าการกระทำเช่นนี้จะนำไปสู่ความเสียหายของข้อมูลที่ไม่สามารถย้อนกลับได้
น่าเสียดายที่การถอดรหัสไฟล์โดยไม่มีคีย์เฉพาะของผู้โจมตีนั้นแทบจะเป็นไปไม่ได้เลย เว้นแต่ว่านักวิจัยด้านความปลอดภัยจะสร้างโปรแกรมถอดรหัสฟรีขึ้นมา ถึงอย่างนั้น การจ่ายเงินค่าไถ่ก็ไม่ได้รับประกันการกู้คืนไฟล์ เนื่องจากผู้โจมตีมักจะไม่จัดหาเครื่องมือตามที่สัญญาไว้เมื่อได้รับเงิน ยิ่งไปกว่านั้น การจ่ายเงินค่าไถ่ยังเป็นการกระตุ้นให้เกิดอาชญากรรมมากขึ้น
วิธีการแพร่กระจายและพาหะนำโรค
โดยทั่วไปแล้ว Atomic ransomware มักแพร่กระจายผ่านช่องทางออนไลน์ที่หลอกลวง ซึ่งออกแบบมาเพื่อฉวยโอกาสจากความไว้วางใจหรือความอยากรู้อยากเห็นของผู้ใช้ ผู้โจมตีมักใช้ไฟล์แนบอีเมลที่เป็นอันตราย แคมเปญฟิชชิ่ง ซอฟต์แวร์ละเมิดลิขสิทธิ์ และโปรแกรมแคร็กซอฟต์แวร์หรือโปรแกรมสร้างคีย์ เพื่อแพร่กระจายเพย์โหลด นอกจากนี้ การหลอกลวงด้านการสนับสนุนทางเทคนิคและการอัปเดตซอฟต์แวร์ปลอมก็เป็นวิธีการติดเชื้อที่พบบ่อยเช่นกัน
อาชญากรไซเบอร์ยังอาศัยเอกสาร ไฟล์ปฏิบัติการ และไฟล์สคริปต์ที่เป็นอันตรายซึ่งซ่อนอยู่ในไฟล์เก็บถาวร เช่น .zip หรือ .rar ในบางกรณี การดาวน์โหลดแบบไดรฟ์บายจากเว็บไซต์ที่ถูกบุกรุก แคมเปญโฆษณาแฝงมัลแวร์ หรือช่องโหว่ของซอฟต์แวร์ที่ล้าสมัยอาจถูกนำไปใช้ประโยชน์ได้ อุปกรณ์จัดเก็บข้อมูลภายนอก เช่น ไดรฟ์ USB ที่ติดไวรัส อาจทำหน้าที่เป็นพาหะนำไวรัส โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กร
การลบ Atomic Ransomware และการกู้คืนข้อมูล
เมื่ออุปกรณ์ติดไวรัส การกำจัดแรนซัมแวร์โดยทันทีเป็นสิ่งสำคัญเพื่อหยุดยั้งการเข้ารหัสเพิ่มเติมหรือการแพร่กระจายข้ามเครือข่าย อย่างไรก็ตาม การกำจัดมัลแวร์จะไม่สามารถถอดรหัสไฟล์ที่ถูกล็อกไว้แล้วได้ การกู้คืนสามารถทำได้ผ่านการสำรองข้อมูลที่ปลอดภัยที่สร้างขึ้นก่อนการติดเชื้อ หรือในบางกรณีที่พบได้ยาก อาจใช้เครื่องมือถอดรหัสที่เผยแพร่สู่สาธารณะ หากมีการพัฒนาโปรแกรมสำหรับสายพันธุ์เฉพาะ
ขอแนะนำอย่างยิ่งให้เหยื่อหลีกเลี่ยงการปะทะกับผู้โจมตีหรือจ่ายค่าไถ่ แต่ควรมุ่งเน้นไปที่การทำความสะอาดระบบอย่างมืออาชีพและกู้คืนไฟล์จากการสำรองข้อมูลแบบออฟไลน์หรือบนคลาวด์
แนวทางปฏิบัติที่ดีที่สุดเพื่อความปลอดภัยจาก Ransomware
การป้องกันแรนซัมแวร์อย่าง Atomic ที่มีประสิทธิภาพนั้น ต้องใช้วิธีการรักษาความปลอดภัยแบบหลายชั้นและพฤติกรรมออนไลน์ที่ระมัดระวัง ผู้ใช้ควรใช้มาตรการป้องกัน กลยุทธ์การสำรองข้อมูล และเครื่องมือรักษาความปลอดภัยที่แข็งแกร่ง เพื่อลดความเสี่ยงต่อภัยคุกคาม
- สุขอนามัยทางไซเบอร์เชิงรุก
การอัปเดตซอฟต์แวร์และระบบปฏิบัติการเป็นหนึ่งในวิธีป้องกันแรนซัมแวร์ที่ดีที่สุด เนื่องจากช่องโหว่ที่ไม่ได้รับการแก้ไขถือเป็นจุดเข้าใช้งานหลัก หลีกเลี่ยงการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่น่าเชื่อถือ และควรระมัดระวังอย่างยิ่งเมื่อเปิดไฟล์แนบในอีเมลหรือคลิกลิงก์ โดยเฉพาะอย่างยิ่งหากมาจากแหล่งที่ไม่รู้จักหรือน่าสงสัย
- โครงสร้างพื้นฐานด้านความปลอดภัยที่แข็งแกร่ง
การติดตั้งโซลูชันป้องกันมัลแวร์ที่เชื่อถือได้พร้อมการป้องกันแบบเรียลไทม์เป็นสิ่งสำคัญในการตรวจจับและบล็อกเพย์โหลดของแรนซัมแวร์ก่อนที่จะดำเนินการ การสำรองข้อมูลเป็นประจำที่จัดเก็บไว้บนบริการออฟไลน์หรือคลาวด์ที่ปลอดภัย ช่วยให้มั่นใจได้ว่าข้อมูลสำคัญจะยังคงปลอดภัยแม้ในกรณีที่ถูกโจมตี การเปิดใช้งานตัวกรองอีเมล การปิดใช้งานแมโครในเอกสาร และการแบ่งส่วนเครือข่ายในสภาพแวดล้อมองค์กร เป็นขั้นตอนเพิ่มเติมที่ช่วยลดความเสี่ยงได้อย่างมาก
บทสรุป
แรนซัมแวร์ Atomic เป็นภัยคุกคามอันตรายที่ผสมผสานการเข้ารหัสข้อมูลเข้ากับการกรรโชกทรัพย์ ผ่านภัยคุกคามการรั่วไหลของข้อมูล อาชญากรไซเบอร์ที่อยู่เบื้องหลัง Atomic มุ่งหวังที่จะเพิ่มผลกำไรสูงสุดควบคู่ไปกับการสร้างความเสียหายอย่างร้ายแรง ด้วยการใช้ประโยชน์จากผู้ใช้ที่ไม่ทันระวังตัวด้วยไฟล์แนบที่เป็นอันตราย ซอฟต์แวร์ละเมิดลิขสิทธิ์ และเว็บไซต์หลอกลวง การนำแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มงวดมาใช้ การสำรองข้อมูลอย่างสม่ำเสมอ และการเฝ้าระวังภัยออนไลน์ ยังคงเป็นแนวทางป้องกันที่ดีที่สุดสำหรับการโจมตีด้วยแรนซัมแวร์ประเภทนี้
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ อะตอมมิกแรนซัมแวร์:
|
*/!\ WE RECENTLY CONDUCTED A SECURITY AUDIT OF YOUR COMPANY /!* All your important files have been encrypted! Your data is safe — it is simply encrypted (using RSA + AES algorithms). WARNING: ANY ATTEMPTS TO RECOVER FILES USING THIRD-PARTY SOFTWARE WILL RESULT IN IRREVERSIBLE DATA LOSS. DO NOT MODIFY the encrypted files. DO NOT RENAME the encrypted files. No publicly available software can help you. Only we can restore your data. We have copied confidential data from your servers, including: Personal data of employees and clients (passports, addresses) Financial documents, accounting reports, tax declarations Contracts with suppliers and clients (including NDAs) Full client databases with payment histories All data is stored on our secure offshore servers. If no agreement is reached: We will begin leaking data on: Twitter/X (mentioning your clients and partners) Darknet forums (for sale to competitors/hackers) Major media outlets Tax authorities (full financial reports + evidence of violations) Important information: The attack was designed to look like an internal crime. This means: Your cyber insurance will not apply (if you have one) Law enforcement will first suspect your employees or tax evasion. We offer a one-time payment — with no further demands. Our terms: Your data holds no value to us — it is only a guarantee of payment. We do not want to bankrupt your company. FREE DECRYPTION AS A GUARANTEE Before making a payment, you may send up to 2 files for free decryption. The total size of the files must not exceed 1 MB (unarchived). Files must not contain sensitive or important information (e.g., databases, backups, multi-page documents, large Excel spreadsheets, etc.). If a file contains important data or a lot of text, you will receive only a screenshot of the decrypted file. Contact us at: data-leakreport@onionmail.com support-leakreport@onionmail.com |
