BARADAI แรนซัมแวร์

การโจมตีด้วยแรนซัมแวร์ในปัจจุบันมีความซับซ้อนมากขึ้นเรื่อยๆ ทำให้การรักษาความปลอดภัยทางไซเบอร์เชิงรุกมีความสำคัญยิ่งกว่าที่เคย องค์กรและผู้ใช้งานทั่วไปต่างเผชิญกับความเสี่ยงอย่างต่อเนื่องจากผู้ไม่ประสงค์ดีที่พยายามเข้ารหัสข้อมูลสำคัญ ขัดขวางการดำเนินงาน และเรียกค่าไถ่จากเหยื่อ ตัวอย่างที่อันตรายอย่างยิ่งคือ BARADAI Ransomware ซึ่งเป็นมัลแวร์สายพันธุ์หนึ่งที่เกี่ยวข้องกับตระกูลแรนซัมแวร์ MedusaLocker ที่มีชื่อเสียงฉาวโฉ่ ภัยคุกคามนี้ผสมผสานการเข้ารหัสขั้นสูงเข้ากับกลยุทธ์การขโมยข้อมูล ทำให้เกิดผลกระทบอย่างรุนแรงต่อการดำเนินงาน การเงิน และชื่อเสียงขององค์กรที่ได้รับผลกระทบ

ภายในปฏิบัติการโจมตีด้วยแรนซัมแวร์ BARADAI

BARADAI ถูกออกแบบมาเพื่อแทรกซึมเข้าสู่ระบบ เข้ารหัสไฟล์สำคัญ และกดดันเหยื่อให้จ่ายค่าไถ่ เมื่อถูกเรียกใช้งานบนเครื่องที่ถูกบุกรุกแล้ว มัลแวร์เรียกค่าไถ่นี้จะเริ่มเข้ารหัสไฟล์และเพิ่มนามสกุล '.BARADAI' ต่อท้ายชื่อไฟล์ ตัวอย่างเช่น ไฟล์ชื่อ 'document.pdf' จะกลายเป็น 'document.pdf.BARADAI' ทำให้ผู้ใช้ไม่สามารถเข้าถึงไฟล์นั้นได้หากไม่มีรหัสถอดรหัสที่ถูกต้อง

หลังจากกระบวนการเข้ารหัสเสร็จสมบูรณ์ มัลแวร์จะสร้างข้อความเรียกค่าไถ่ในรูปแบบ HTML ชื่อ 'read_to_decrypt_files.html' ข้อความดังกล่าวแจ้งให้เหยื่อทราบว่าเครือข่ายของบริษัทของพวกเขาถูก 'บุกรุกและเข้ารหัส' โดยใช้อัลกอริทึมการเข้ารหัส RSA-4096 และ AES-256 มาตรฐานการเข้ารหัสเหล่านี้ถือว่ามีความปลอดภัยสูงและแทบเป็นไปไม่ได้ที่จะถอดรหัสด้วยวิธีการโจมตีแบบเดาแบบสุ่ม (brute-force)

ข้อความเรียกค่าไถ่ยังเตือนเหยื่อไม่ให้ใช้ซอฟต์แวร์กู้คืนข้อมูลจากภายนอกหรือแก้ไขไฟล์ที่ถูกเข้ารหัส โดยอ้างว่าการกระทำดังกล่าวอาจทำให้ข้อมูลเสียหายอย่างถาวร แม้ว่าคำเตือนเหล่านี้มีจุดประสงค์หลักเพื่อข่มขู่เหยื่อ แต่การพยายามกู้คืนข้อมูลอย่างไม่ถูกต้องอาจทำให้การกู้คืนข้อมูลในบางกรณีของการโจมตีด้วยแรนซัมแวร์ทำได้ยากขึ้น

กลยุทธ์การขู่กรรโชกสองเท่าเพิ่มแรงกดดัน

BARADAI ใช้กลยุทธ์ "การขู่กรรโชกสองชั้น" ซึ่งเป็นที่นิยมมากขึ้นในกลุ่มแรนซัมแวร์สมัยใหม่หลายกลุ่ม นอกจากการเข้ารหัสไฟล์แล้ว ผู้โจมตียังอ้างว่าจะขโมยข้อมูลสำคัญจากเครือข่ายที่ถูกเจาะก่อนที่จะปล่อยมัลแวร์เรียกค่าไถ่ ตามข้อความเรียกค่าไถ่ ข้อมูลที่ถูกขโมยอาจรวมถึงเอกสารทางธุรกิจที่เป็นความลับ บันทึกทางการเงิน และข้อมูลส่วนบุคคล

เหยื่อจะถูกข่มขู่ว่าจะเปิดเผยข้อมูลนี้ต่อสาธารณะผ่านสื่อต่างๆ หรือบริษัทตัวกลางข้อมูล หากไม่ชำระเงินตามคำเรียกร้อง กลยุทธ์นี้เพิ่มแรงกดดันต่อองค์กรอย่างมาก โดยเฉพาะอย่างยิ่งองค์กรที่จัดการข้อมูลลูกค้าที่ละเอียดอ่อน ข้อมูลที่อยู่ภายใต้การกำกับดูแล หรือทรัพย์สินทางปัญญาที่เป็นกรรมสิทธิ์

เพื่อเสริมสร้างความน่าเชื่อถือ ผู้โจมตีเสนอที่จะถอดรหัสไฟล์ที่ไม่สำคัญหลายไฟล์โดยไม่คิดค่าใช้จ่าย การสาธิตนี้มีจุดประสงค์เพื่อพิสูจน์ว่าการถอดรหัสเป็นไปได้ทางเทคนิคหากมีการจ่ายค่าไถ่ ช่องทางการติดต่อที่ระบุในข้อความประกอบด้วยที่อยู่อีเมล พอร์ทัลบน Tor และรหัสข้อความ qTox นอกจากนี้ เหยื่อยังได้รับการสนับสนุนให้ใช้ ProtonMail สำหรับการสื่อสารที่ 'ปลอดภัย' ในขณะที่กำหนดเวลา 72 ชั่วโมงพยายามสร้างความเร่งด่วนโดยการเตือนว่าข้อเรียกร้องค่าไถ่จะเพิ่มขึ้นหลังจากช่วงเวลาที่กำหนด

เหตุใดบาราไดจึงอันตรายเป็นพิเศษ

BARADAI เป็นภัยคุกคามที่ร้ายแรงเนื่องจากเป็นส่วนหนึ่งของตระกูลแรนซัมแวร์ MedusaLocker ซึ่งเป็นกลุ่มที่ขึ้นชื่อเรื่องการโจมตีธุรกิจและองค์กรขนาดใหญ่มากกว่าผู้ใช้ทั่วไปตามบ้าน การโจมตีเหล่านี้มักมีการวางแผนและดำเนินการอย่างรอบคอบหลังจากที่ผู้โจมตีสามารถเข้าถึงเครือข่ายขององค์กรได้อย่างลึกซึ้ง

มัลแวร์เรียกค่าไถ่ชนิดนี้มักแพร่กระจายผ่านบริการ Remote Desktop Protocol (RDP) ที่ถูกบุกรุก ผู้โจมตีจะค้นหาปลายทาง RDP ที่เชื่อมต่อกับอินเทอร์เน็ตซึ่งได้รับการป้องกันด้วยข้อมูลประจำตัวที่อ่อนแอหรือใช้ซ้ำ จากนั้นจะใช้การโจมตีแบบ Brute-force เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต เมื่อเข้าไปได้แล้ว พวกเขาจะเคลื่อนที่ไปตามเครือข่าย บุกรุกระบบอื่นๆ ปิดใช้งานระบบป้องกัน และติดตั้งมัลแวร์เรียกค่าไถ่ในหลายเครื่องพร้อมกัน

การหลอกลวงทางอีเมล (Phishing) ยังคงเป็นช่องทางสำคัญในการแพร่เชื้อ พนักงานอาจเปิดไฟล์แนบที่เป็นอันตรายโดยไม่รู้ตัว ซึ่งปลอมแปลงเป็นใบแจ้งหนี้ รายงาน หรือเอกสารทางธุรกิจ ไฟล์เหล่านี้มักมีมาโครที่เป็นอันตราย สคริปต์ฝังตัว หรือลิงก์ที่นำไปสู่การดาวน์โหลดมัลแวร์ ไฟล์บีบอัด เช่น ไฟล์ ZIP หรือ RAR มักถูกใช้เพื่อหลีกเลี่ยงการป้องกันการกรองอีเมลขั้นพื้นฐาน

วิธีการแพร่กระจายเชื้อเพิ่มเติม ได้แก่ มัลแวร์โทรจัน ซอฟต์แวร์ละเมิดลิขสิทธิ์ เครื่องมือเปิดใช้งานที่ผิดกฎหมาย การอัปเดตซอฟต์แวร์ปลอม และแพลตฟอร์มดาวน์โหลดที่ไม่น่าเชื่อถือ ในเครือข่ายที่แบ่งส่วนไม่ดี จุดเชื่อมต่อที่ติดเชื้อเพียงจุดเดียวอาจนำไปสู่การโจมตีในวงกว้างทั่วทั้งองค์กรได้อย่างรวดเร็ว

ความท้าทายในการเข้ารหัสและการกู้คืน

การกู้คืนไฟล์ที่ถูกเข้ารหัสโดย BARADAI โดยปราศจากความร่วมมือจากผู้โจมตีนั้นโดยทั่วไปแล้วเป็นไปไม่ได้ มัลแวร์เรียกค่าไถ่นี้ใช้กลไกการเข้ารหัสที่แข็งแกร่งซึ่งไม่สามารถเจาะผ่านได้โดยปราศจากการเข้าถึงกุญแจถอดรหัสส่วนตัวที่ผู้โจมตีควบคุมอยู่ เว้นแต่จะมีข้อบกพร่องร้ายแรงในการใช้งานภายในตัวมัลแวร์เอง ตัวเลือกการถอดรหัสฟรีจึงไม่น่าจะเป็นไปได้

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ไม่แนะนำอย่างยิ่งให้จ่ายค่าไถ่ เพราะผู้โจมตีมักไม่สามารถจัดหาเครื่องมือถอดรหัสที่ใช้งานได้แม้จะได้รับเงินแล้วก็ตาม ในบางกรณี เหยื่ออาจตกเป็นเป้าหมายซ้ำแล้วซ้ำเล่า เพราะผู้โจมตีมองว่าองค์กรเหล่านั้นยินดีทำตามข้อเรียกร้องการขู่กรรโชก

แม้ว่าการกำจัดแรนซัมแวร์ออกจากระบบที่ติดเชื้อจะเป็นสิ่งสำคัญในการป้องกันการเข้ารหัสเพิ่มเติม แต่การกำจัดมัลแวร์เพียงอย่างเดียวไม่สามารถกู้คืนไฟล์ที่ถูกล็อกไปแล้วได้ กลยุทธ์การกู้คืนที่น่าเชื่อถือที่สุดยังคงเป็นการใช้ข้อมูลสำรองที่สะอาดซึ่งจัดเก็บแบบออฟไลน์หรือในโครงสร้างพื้นฐานระยะไกลที่มีการรักษาความปลอดภัยอย่างเหมาะสมและแยกออกจากเครือข่ายหลัก

เสริมสร้างการป้องกันภัยคุกคามจาก BARADAI และภัยคุกคามที่คล้ายคลึงกัน

องค์กรต่างๆ สามารถลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์ได้อย่างมากโดยการใช้มาตรการควบคุมความปลอดภัยหลายชั้นและรักษาระเบียบวินัยด้านความปลอดภัยทางไซเบอร์ การป้องกันที่มีประสิทธิภาพต้องอาศัยทั้งมาตรการป้องกันทางเทคนิคและการตระหนักรู้ของพนักงาน

มาตรการป้องกันที่สำคัญ ได้แก่:

• บังคับใช้มาตรการรหัสผ่านที่เข้มงวดและการตรวจสอบสิทธิ์แบบหลายปัจจัย โดยเฉพาะอย่างยิ่งสำหรับ RDP และบริการการเข้าถึงระยะไกลอื่นๆ
• จำกัดหรือปิดการเข้าถึง RDP ที่เปิดเผยต่อสาธารณะทุกครั้งที่เป็นไปได้
• ทำการสำรองข้อมูลแบบออฟไลน์และบนคลาวด์เป็นประจำ โดยแยกออกจากระบบที่ใช้งานจริง
• ติดตั้งแพทช์รักษาความปลอดภัยให้กับระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายอย่างทันท่วงที
• ใช้โซลูชันการป้องกันปลายทางและการตรวจสอบเครือข่ายที่มีชื่อเสียง ซึ่งสามารถตรวจจับพฤติกรรมที่น่าสงสัยได้
• การแบ่งส่วนเครือข่ายเพื่อจำกัดการเคลื่อนที่ด้านข้างระหว่างการประนีประนอม
• ฝึกอบรมพนักงานให้รู้จักแยกแยะอีเมลหลอกลวง ไฟล์แนบที่เป็นอันตราย และกลโกงทางสังคม

นอกเหนือจากมาตรการเหล่านี้แล้ว องค์กรควรนำกลยุทธ์การรับมือเหตุการณ์เชิงรุกมาใช้ การตรวจสอบอย่างต่อเนื่อง การค้นหาภัยคุกคาม การประเมินช่องโหว่ และการทดสอบการเจาะระบบ สามารถช่วยระบุจุดอ่อนก่อนที่ผู้โจมตีจะใช้ประโยชน์จากช่องโหว่เหล่านั้น การจัดทำและฝึกซ้อมแผนการรับมือเหตุการณ์ยังช่วยให้ทีมรักษาความปลอดภัยสามารถตอบสนองได้อย่างมีประสิทธิภาพมากขึ้นในระหว่างการโจมตีด้วยแรนซัมแวร์ ลดการหยุดชะงักของการดำเนินงานและการสูญเสียข้อมูลให้น้อยที่สุด

ภูมิทัศน์ภัยคุกคามที่ทวีความรุนแรงขึ้น

BARADAI แสดงให้เห็นว่าการโจมตีด้วยแรนซัมแวร์ได้พัฒนาไปสู่องค์กรอาชญากรรมไซเบอร์ที่มีการจัดระเบียบและสร้างความเสียหายอย่างร้ายแรง โดยการผสมผสานการเข้ารหัสที่แข็งแกร่ง การขโมยข้อมูล การกดดันทางจิตวิทยา และช่องทางการแพร่กระจายหลายช่องทาง ผู้โจมตีจะเพิ่มโอกาสในการได้รับผลประโยชน์ทางการเงินสูงสุด ในขณะเดียวกันก็สร้างความเสียหายอย่างรุนแรงต่อเหยื่อ

เนื่องจากกลุ่มแรนซัมแวร์ยังคงพัฒนาวิธีการของตนอย่างต่อเนื่อง การรักษาความปลอดภัยทางไซเบอร์อย่างเข้มแข็งจึงเป็นสิ่งสำคัญสำหรับองค์กรทุกขนาด มาตรการรักษาความปลอดภัยเชิงป้องกัน การให้ความรู้แก่พนักงาน การสำรองข้อมูลที่เชื่อถือได้ และความสามารถในการตอบสนองต่อเหตุการณ์อย่างรวดเร็ว ยังคงเป็นแนวป้องกันที่แข็งแกร่งที่สุดต่อภัยคุกคามเช่น BARADAI และระบบนิเวศแรนซัมแวร์ MedusaLocker ที่กว้างขึ้น