มัลแวร์เรียกค่าไถ่ TENGU สีดำ
การปกป้องคอมพิวเตอร์ โทรศัพท์ และเครือข่ายธุรกิจจากมัลแวร์ไม่ใช่เรื่องที่เลือกได้อีกต่อไปแล้ว ภัยคุกคามสมัยใหม่สามารถล็อกไฟล์สำคัญ ขโมยข้อมูลที่ละเอียดอ่อน ขัดขวางการทำงาน และก่อให้เกิดความเสียหายทางการเงินอย่างร้ายแรงได้ภายในไม่กี่นาที ตระกูลแรนซัมแวร์ เช่น Black TENGU Ransomware แสดงให้เห็นว่าอาชญากรไซเบอร์ผสมผสานการเข้ารหัสและการขโมยข้อมูลเพื่อกดดันเหยื่อให้จ่ายเงินได้อย่างไร
สารบัญ
มัลแวร์เรียกค่าไถ่ Black TENGU: ภาพรวมภัยคุกคาม
Black TENGU เป็นมัลแวร์เรียกค่าไถ่สายพันธุ์ที่ซับซ้อนซึ่งถูกค้นพบโดยนักวิจัยด้านความปลอดภัย หลังจากเข้าถึงอุปกรณ์ที่ถูกโจมตีแล้ว มันจะเข้ารหัสไฟล์ที่จัดเก็บไว้ ทำให้ไม่สามารถเปิดไฟล์เหล่านั้นได้ตามปกติ ในระหว่างกระบวนการเข้ารหัส มันจะเพิ่มนามสกุล '.TENGU' ต่อท้ายไฟล์ที่ได้รับผลกระทบ ตัวอย่างเช่น ไฟล์ชื่อ '1.png' จะกลายเป็น '1.png.TENGU' ในขณะที่ '2.pdf' จะถูกเปลี่ยนชื่อเป็น '2.pdf.TENGU'
พฤติกรรมการเปลี่ยนชื่อไฟล์นี้เป็นตัวบ่งชี้ทั่วไปของการโจมตีด้วยแรนซัมแวร์ ซึ่งแสดงให้เห็นว่าข้อมูลต้นฉบับถูกแปลงให้อยู่ในสถานะที่ไม่สามารถอ่านได้ ส่งผลให้เหยื่อไม่สามารถเข้าถึงเอกสารส่วนตัว ฐานข้อมูล รูปภาพ ไฟล์เก็บถาวร และไฟล์สำคัญอื่นๆ ได้
จดหมายเรียกค่าไถ่และการข่มขู่รีดไถซ้ำซ้อน
นอกจากนี้ Black TENGU ยังทิ้งข้อความเรียกค่าไถ่ชื่อ '_README_TENGU.txt' ไว้ด้วย ตามข้อความดังกล่าว ผู้โจมตีอ้างว่าพวกเขาแทรกซึมเข้าไปในเครือข่ายของเหยื่อ ขโมยข้อมูลลับ และเข้ารหัสไฟล์ทั่วทั้งระบบ ข้อความดังกล่าวสัญญาว่าจะมอบเครื่องมือถอดรหัสให้หลังจากชำระเงิน และระบุว่าข้อมูลที่ถูกขโมยจะถูกลบออกเมื่อจ่ายค่าไถ่แล้ว
ข้อความดังกล่าวยังเตือนเหยื่อไม่ให้พยายามถอดรหัสหรือกู้คืนข้อมูลด้วยตนเองโดยใช้โปรแกรมภายนอก เนื่องจากอาจทำให้ไฟล์เสียหายอย่างถาวร และแนะนำให้ติดต่อผ่านที่อยู่อีเมล เช่น 'tengulocker@cyberfear.com' และ 'tengunlocker@onionmail.com' รวมถึงพอร์ทัลแชทบนเครือข่าย Tor ด้วย
กลยุทธ์นี้สะท้อนให้เห็นถึงแนวโน้มที่กำลังเพิ่มขึ้นที่เรียกว่า การขู่กรรโชกสองชั้น ผู้โจมตีไม่ได้พึ่งพาเพียงแค่การเข้ารหัสเท่านั้น แต่ยังขู่ว่าจะเปิดเผยข้อมูลที่ถูกขโมยสู่สาธารณะหากไม่ได้รับการชำระเงิน ซึ่งสร้างแรงกดดันเพิ่มเติมให้กับองค์กรที่จัดการบันทึกข้อมูลลูกค้า เอกสารทางการเงิน หรือข้อมูลที่เป็นกรรมสิทธิ์
เหตุใดการจ่ายค่าไถ่จึงมีความเสี่ยง
แม้ว่าเหยื่ออาจรู้สึกว่าตัวเองติดกับดัก แต่การจ่ายค่าไถ่ก็มีความเสี่ยงสูง กลุ่มอาชญากรมักให้สัญญาที่ไม่รักษาสัญญา เหยื่อบางรายไม่ได้รับเครื่องมือถอดรหัสที่ใช้งานได้ ในขณะที่บางรายอาจถูกโจมตีซ้ำอีกหลังจากแสดงความเต็มใจที่จะจ่ายเงิน แม้ว่าไฟล์จะได้รับการกู้คืนแล้ว ข้อมูลที่ถูกขโมยไปก็อาจถูกขาย ถูกเผยแพร่ หรือเก็บไว้เพื่อใช้ในการแบล็กเมล์ในอนาคตได้
โดยทั่วไปแล้ว วิธีการกู้คืนที่ปลอดภัยกว่าคือการกู้คืนข้อมูลสำรองที่สะอาดหลังจากที่กำจัดมัลแวร์ออกจากระบบที่ได้รับผลกระทบอย่างสมบูรณ์แล้ว ทีมรับมือเหตุการณ์ควรตรวจสอบด้วยว่าการบุกรุกเกิดขึ้นได้อย่างไรเพื่อป้องกันการติดเชื้อซ้ำ
การแพร่กระจายของเทงุสีดำเป็นไปได้อย่างไร
เช่นเดียวกับตระกูลแรนซัมแวร์อื่นๆ แบล็กเทงุอาจใช้ช่องทางการแพร่กระจายหลายช่องทาง ผู้โจมตีมักใช้วิธีการส่งที่หลอกลวง เพื่อหลอกให้ผู้ใช้เปิดไฟล์ที่เป็นอันตรายหรือเข้าชมเว็บไซต์ที่ไม่ปลอดภัย
เทคนิคการจัดจำหน่ายที่ใช้กันทั่วไป ได้แก่:
- อีเมลหลอกลวงที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
- การอัปเดตซอฟต์แวร์ปลอม การหลอกลวงด้านการสนับสนุนทางเทคนิค และโฆษณาที่เป็นอันตราย
- การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่ล้าสมัยหรือไม่ได้รับการแก้ไข
- ซอฟต์แวร์ละเมิดลิขสิทธิ์, โปรแกรมแคร็ก, โปรแกรมสร้างรหัส และเว็บไซต์ดาวน์โหลดที่ไม่เป็นทางการ
- ไดรฟ์ USB ที่ติดไวรัส เว็บไซต์ที่ถูกบุกรุก และเครือข่ายการแชร์ไฟล์แบบ Peer-to-Peer
มัลแวร์มักปลอมตัวเป็นไฟล์ ZIP ทั่วไป ไฟล์ PDF สคริปต์ เอกสาร Office หรือไฟล์ปฏิบัติการ
แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยเพื่อเสริมสร้างการป้องกันมัลแวร์
การป้องกันที่มีประสิทธิภาพต้องผสานรวมเทคโนโลยี ความตระหนักรู้ และการบำรุงรักษาอย่างมีวินัย ระบบควรใช้งานซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียงและเปิดใช้งานการป้องกันแบบเรียลไทม์อยู่เสมอ ระบบปฏิบัติการ เบราว์เซอร์ ปลั๊กอิน และแอปพลิเคชันทางธุรกิจต้องได้รับการแก้ไขช่องโหว่อย่างรวดเร็ว เนื่องจากช่องโหว่ที่ทราบกันดีมักถูกใช้ในการแพร่กระจายแรนซัมแวร์
การสำรองข้อมูลที่เชื่อถือได้เป็นหนึ่งในวิธีการป้องกันที่มีประสิทธิภาพที่สุด ข้อมูลสำคัญควรถูกคัดลอกเป็นประจำไปยังที่เก็บข้อมูลแบบออฟไลน์หรือบนคลาวด์ที่ไม่สามารถถูกมัลแวร์เปลี่ยนแปลงได้โดยตรง นอกจากนี้ ควรทดสอบการกู้คืนข้อมูลสำรองเพื่อให้สามารถกู้คืนได้ในกรณีฉุกเฉินจริง
การระมัดระวังอีเมลยังคงเป็นสิ่งสำคัญ ไฟล์แนบที่ไม่คาดคิด คำขอชำระเงินเร่งด่วน ข้อความขอรีเซ็ต mật khẩu และลิงก์ที่ไม่คุ้นเคย ควรได้รับการพิจารณาอย่างระมัดระวัง องค์กรจะได้รับประโยชน์อย่างมากจากการฝึกอบรมให้ความรู้แก่ผู้ใช้เกี่ยวกับวิธีการทำงานของการโจมตีแบบฟิชชิง
การควบคุมการเข้าถึงก็มีความสำคัญไม่แพ้กัน ผู้ใช้ควรหลีกเลี่ยงการใช้งานสิทธิ์ผู้ดูแลระบบเว้นแต่จำเป็น และเครื่องมือการเข้าถึงระยะไกล เช่น RDP ควรได้รับการรักษาความปลอดภัยด้วยรหัสผ่านที่รัดกุมและการตรวจสอบสิทธิ์แบบหลายปัจจัย การแบ่งส่วนเครือข่ายสามารถลดความสามารถของแรนซัมแวร์ในการแพร่กระจายไปยังอุปกรณ์หลายเครื่องได้
พฤติกรรมป้องกันโรคที่แนะนำ ได้แก่:
- หมั่นอัปเดตซอฟต์แวร์ทั้งหมดและลบแอปพลิเคชันที่ไม่รองรับออก
- ควรทำการสำรองข้อมูลหลายชุด รวมถึงอย่างน้อยหนึ่งชุดที่เป็นสำเนาแบบออฟไลน์
การประเมินขั้นสุดท้าย
มัลแวร์เรียกค่าไถ่ Black TENGU เป็นภัยคุกคามสมัยใหม่ที่อันตราย ซึ่งผสมผสานการเข้ารหัสไฟล์ การส่งข้อความข่มขู่ และการขโมยข้อมูล การใช้ไฟล์ที่เปลี่ยนชื่อโดยเพิ่มนามสกุล '.TENGU' และข้อความเรียกค่าไถ่โดยเฉพาะ แสดงให้เห็นถึงการวางแผนอย่างจงใจเพื่อกดดันเหยื่ออย่างรวดเร็ว การป้องกันที่ดีที่สุดคือการรักษาความปลอดภัยเชิงรุก: ระบบที่อัปเดตแพตช์แล้ว ผู้ใช้งานที่ระมัดระวัง การตรวจสอบสิทธิ์ที่รัดกุม เครือข่ายที่แบ่งส่วน และการสำรองข้อมูลที่เชื่อถือได้ องค์กรและบุคคลที่เตรียมตัวล่วงหน้าจะมีความยืดหยุ่นมากกว่าเมื่อถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่
System Messages
The following system messages may be associated with มัลแวร์เรียกค่าไถ่ TENGU สีดำ:
>>> ALL YOUR IMPORTANT FILES ARE STOLEN AND ENCRYPTED By Black TENGU<<< |
