BlackLock Ransomware

Ransomware ยังคงเป็นภัยคุกคามทางไซเบอร์ที่อันตรายที่สุด โดยการโจมตีมีการพัฒนาทั้งความซับซ้อนและผลกระทบ กลุ่มอาชญากรทางไซเบอร์ปรับปรุงกลยุทธ์ของตนอย่างต่อเนื่อง โดยกำหนดเป้าหมายไปที่ทั้งธุรกิจและบุคคล BlackLock คือหนึ่งในภัยคุกคามใหม่ล่าสุดและน่ากังวลที่สุด ซึ่งเป็นกลุ่ม ransomware ที่ซับซ้อนและได้รับความนิยมอย่างรวดเร็ว การทำความเข้าใจวิธีการทำงานของ BlackLock และการนำมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพมาใช้ถือเป็นสิ่งสำคัญในการลดความเสี่ยงและปกป้องข้อมูลที่มีค่า

BlackLock: ภัยคุกคามที่ถูกสร้างขึ้นใหม่และกำลังพัฒนา

BlackLock Ransomware ปรากฏตัวครั้งแรกในเดือนมีนาคม 2024 ภายใต้ชื่อ El Dorado ก่อนที่จะเปลี่ยนชื่อใหม่ในปีเดียวกัน โดยทำงานโดยใช้รูปแบบ Ransomware-as-a-Service (RaaS) ซึ่งนักพัฒนาซอฟต์แวร์จะให้ซอฟต์แวร์ที่เป็นอันตรายแก่พันธมิตรเพื่อแลกกับส่วนแบ่งค่าไถ่

กลุ่มนี้ได้เร่งดำเนินการอย่างรวดเร็ว โดยเปิดฉากโจมตีอย่างน้อย 48 ครั้งภายในสองเดือนแรกของปี 2025 โดยส่วนใหญ่มุ่งเป้าไปที่อุตสาหกรรมก่อสร้างและอสังหาริมทรัพย์ แรนซัมแวร์ของกลุ่มนี้เข้ารหัสไฟล์ในสภาพแวดล้อม Windows, VMware ESXi และ Linux แม้ว่าเวอร์ชัน Linux จะยังอยู่ระหว่างการพัฒนาก็ตาม เหยื่อจะได้รับบันทึกเรียกค่าไถ่ที่มีหัวเรื่องว่า 'HOW_RETURN_YOUR_DATA.TXT' ซึ่งเรียกร้องให้ชำระเงินเป็น Bitcoin เพื่อป้องกันการรั่วไหลของข้อมูล

การขยายตัวของ Dark Web ของ BlackLock

การเติบโตของ BlackLock นั้นได้รับแรงผลักดันจากความพยายามในการสรรหาบุคลากรอย่างเข้มข้นในฟอรัมใต้ดิน เช่น RAMP ซึ่งเป็นแพลตฟอร์มด้านอาชญากรรมทางไซเบอร์ที่ใช้ภาษารัสเซีย โดย BlackLock แสวงหา:

• พันธมิตรเตรียมเปิดการโจมตี
• โบรกเกอร์การเข้าถึงเบื้องต้นเพื่อจัดเตรียมจุดเข้าสู่เครือข่าย
• ผู้ลักลอบเข้าควบคุมปริมาณการใช้งานเว็บเพื่อแพร่เชื้อมัลแวร์ให้กับเหยื่อ

กลุ่มแรนซัมแวร์ใช้เทคนิคการต่อต้านการเฝ้าระวังเพื่อขัดขวางนักวิจัยด้านความปลอดภัย ทำให้การติดตามข้อมูลที่ถูกขโมยหรือวิเคราะห์รูปแบบการโจมตีทำได้ยากขึ้น

ความสามารถทางเทคนิค: มรดกแห่งเอลโดราโด

เชื่อกันอย่างกว้างขวางว่า BlackLock เป็นเวอร์ชันที่เปลี่ยนชื่อใหม่ของ El Dorado ซึ่งเป็นไปตามรูปแบบทั่วไปในการพัฒนาแรนซัมแวร์ เช่นเดียวกับที่ Babuk เปลี่ยนชื่อเป็น BabLock และ REvil กลับมาปรากฏในชื่อ BlackMatter BlackLock ยังคงรักษารากฐานทางเทคนิคของ El Dorado ไว้เป็นส่วนใหญ่ แต่มีการปรับปรุงที่สำคัญ:

• ภาษาโปรแกรม : พัฒนาด้วย Golang ช่วยให้สามารถโจมตีได้หลายแพลตฟอร์ม

• วิธีการเข้ารหัส : ChaCha20 ใช้สำหรับการเข้ารหัสไฟล์และ RSA-OAEP ใช้สำหรับการป้องกันด้วยคีย์ ทำให้การถอดรหัสแทบจะเป็นไปไม่ได้เลยหากไม่มีคีย์ส่วนตัวของผู้โจมตี

• การใช้ประโยชน์จาก SMB : สามารถเข้ารหัสไฟล์บนเครือข่ายที่ใช้ร่วมกัน ทำให้ผลกระทบต่อสภาพแวดล้อมขององค์กรเพิ่มมากขึ้น

• ความเร็วการเข้ารหัสที่เร็วขึ้น : ออกแบบมาเพื่อสร้างแรงกดดันต่อเหยื่อด้วยการเร่งกระบวนการเข้ารหัส

วิธีปกป้ององค์กรของคุณจาก BlackLock

การป้องกันการติดมัลแวร์เรียกค่าไถ่ต้องใช้แนวทางการรักษาความปลอดภัยหลายชั้น ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุดที่จะช่วยเสริมการป้องกันของคุณ:

1. รักษาการสำรองข้อมูลนอกสถานที่ให้ปลอดภัย : เก็บสำเนาข้อมูลสำคัญหลายชุด รวมถึงการสำรองข้อมูลออฟไลน์ที่แรนซัมแวร์ไม่สามารถเข้าถึงได้ ทดสอบขั้นตอนการกู้คืนข้อมูลสำรองเป็นประจำเพื่อให้มั่นใจว่าใช้งานได้ในกรณีที่ถูกโจมตี
2. ใช้มาตรการรักษาความปลอดภัยที่เข้มงวด : อัปเดตซอฟต์แวร์และระบบเพื่อแก้ไขจุดอ่อนก่อนที่ผู้โจมตีจะใช้ประโยชน์จากจุดอ่อนเหล่านั้น ใช้โซลูชันการตรวจจับและตอบสนองปลายทาง (EDR) เพื่อบรรเทาภัยคุกคามเชิงรุก ใช้การแบ่งส่วนเครือข่ายเพื่อจำกัดความสามารถของแรนซัมแวร์ในการแพร่กระจายไปทั่วระบบ
3. เสริมความแข็งแกร่งให้กับการตรวจสอบสิทธิ์และการควบคุมการเข้าถึง : บังคับใช้การตรวจสอบสิทธิ์หลายปัจจัย (MFA) กับบัญชีที่ละเอียดอ่อนทั้งหมด ใช้สิทธิ์การเข้าถึงที่จำกัดที่สุด โดยให้สิทธิ์แก่ผู้ใช้เฉพาะที่จำเป็นสำหรับบทบาทของตนเท่านั้น ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน และพิจารณาใช้ตัวจัดการรหัสผ่านเพื่อป้องกันการรั่วไหลของข้อมูลประจำตัว
4. เพิ่มความตระหนักรู้ของพนักงาน : ฝึกอบรมพนักงานให้สามารถจดจำอีเมลฟิชชิ่งและจุดเข้าทั่วไปอื่นๆ ของแรนซัมแวร์ จัดการฝึกอบรมความตระหนักรู้ด้านความปลอดภัยเป็นประจำเพื่อให้พนักงานทราบถึงภัยคุกคามที่เกิดขึ้น กำหนดโปรโตคอลการตอบสนองต่อเหตุการณ์ที่ชัดเจนเพื่อให้แน่ใจว่าจะดำเนินการอย่างรวดเร็วในระหว่างการโจมตี

บทสรุป: ก้าวล้ำหน้าภัยคุกคามจากแรนซัมแวร์ที่เกิดขึ้นใหม่

BlackLock Ransomware ได้พิสูจน์ตัวเองอย่างรวดเร็วว่าเป็นภัยคุกคามที่สำคัญในระบบนิเวศอาชญากรรมทางไซเบอร์ โดยใช้ประโยชน์จากโมเดล RaaS ที่ได้รับการพิสูจน์แล้ว การเปลี่ยนแบรนด์จาก El Dorado และการใช้เทคนิคการเข้ารหัสที่ซับซ้อน ทำให้ BlackLock Ransomware กลายเป็นภัยคุกคามที่โดดเด่นในปี 2025 การป้องกันที่ดีที่สุดต่อแรนซัมแวร์คือการป้องกัน องค์กรต่างๆ ต้องใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง รักษาการสำรองข้อมูลที่แข็งแกร่ง และให้ความรู้แก่พนักงานเพื่อลดความเสี่ยง ในขณะที่แรนซัมแวร์ยังคงพัฒนาต่อไป การอยู่เหนือภัยคุกคามเหล่านี้คือกุญแจสำคัญในการสร้างความยืดหยุ่นด้านความปลอดภัยทางไซเบอร์