แรนซัมแวร์ Gotham

แรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามจากมัลแวร์ที่สร้างความเสียหายมากที่สุดที่บุคคลและองค์กรต่างๆ ต้องเผชิญ การเข้ารหัสไฟล์และข้อมูลสำคัญ และการเรียกร้องค่าไถ่ การโจมตีเหล่านี้อาจก่อให้เกิดการหยุดชะงักครั้งใหญ่ การสูญเสียทางการเงิน และแม้กระทั่งการละเมิดข้อมูลในระยะยาว การป้องกันภัยคุกคามเหล่านี้ไม่เพียงแต่ต้องอาศัยการป้องกันทางเทคนิคที่แข็งแกร่งเท่านั้น แต่ยังต้องเข้าใจอย่างชัดเจนถึงกลไกการทำงานของแรนซัมแวร์และการแพร่กระจายของมันด้วย

GOTHAM Ransomware ในภาพรวม

GOTHAM Ransomware เป็นสายพันธุ์ที่เพิ่งตรวจพบว่ามีความเชื่อมโยงกับแรนซัมแวร์ตระกูล GlobeImposter เมื่อแทรกซึมเข้าไปในระบบแล้ว มันจะเข้ารหัสไฟล์และเพิ่มนามสกุล '.GOTHAM' เข้าไป ตัวอย่างเช่น ไฟล์ชื่อ 'report.pdf' จะกลายเป็น 'report.pdf.GOTHAM'

หลังจากกระบวนการเข้ารหัสเสร็จสิ้น มัลแวร์จะทิ้งข้อความเรียกค่าไถ่ไว้ในไฟล์ HTML ชื่อ 'how_to_back_files.html' ข้อความดังกล่าวจะแจ้งให้เหยื่อทราบว่าข้อมูลของพวกเขาถูกล็อกและเรียกร้องค่าไถ่เป็น Bitcoin เพื่อเพิ่มความน่าเชื่อถือ ผู้โจมตีอนุญาตให้ 'ทดสอบการถอดรหัส' ไฟล์หนึ่งไฟล์ที่ตรงตามเกณฑ์ที่กำหนดก่อนที่เหยื่อจะชำระเงินใดๆ

ข้อความเรียกค่าไถ่ยังเตือนไม่ให้เปลี่ยนชื่อไฟล์หรือพยายามใช้เครื่องมือการกู้คืนของบุคคลที่สาม โดยขู่ว่าการกระทำดังกล่าวอาจทำให้ไม่สามารถเข้าถึงข้อมูลได้อย่างถาวร

ทำไมการจ่ายค่าไถ่จึงเป็นการเดิมพันที่มีความเสี่ยง

แม้ว่าเหยื่อจะถูกกดดันให้ชำระเงิน แต่ก็ไม่มีการรับประกันว่าผู้โจมตีจะให้คีย์หรือเครื่องมือถอดรหัส อาชญากรไซเบอร์มักจะเรียกค่าไถ่และหายตัวไป ทำให้ไฟล์ไม่สามารถใช้งานได้ ยิ่งไปกว่านั้น การจ่ายเงินโดยตรงยังเป็นการกระตุ้นให้เกิดกิจกรรมทางอาชญากรรมและนำไปสู่การโจมตีทางไซเบอร์มากขึ้น

การถอดรหัสไฟล์ที่เข้ารหัสด้วยแรนซัมแวร์นั้นแทบจะเป็นไปไม่ได้เลย เว้นแต่นักวิจัยจะพบข้อบกพร่องในกลไกการเข้ารหัส ในกรณีส่วนใหญ่ วิธีเดียวที่จะกู้คืนไฟล์ได้คือจากการสำรองข้อมูลภายนอกที่ปลอดภัย ที่สำคัญ การลบแรนซัมแวร์ GOTHAM ออกจากอุปกรณ์สามารถหยุดการเข้ารหัสเพิ่มเติมได้ แต่จะไม่สามารถถอดรหัสไฟล์ที่ถูกบุกรุกแล้วได้

กลยุทธ์การแพร่กระจายของ GOTHAM Ransomware

เช่นเดียวกับแรนซัมแวร์สายพันธุ์อื่นๆ GOTHAM ถูกส่งผ่านช่องทางการติดเชื้อที่หลากหลาย ซึ่งออกแบบมาเพื่อใช้ประโยชน์จากความน่าเชื่อถือของผู้ใช้และช่องโหว่ของระบบ วิธีการแพร่กระจายทั่วไปมีดังนี้:

• ไฟล์แนบอีเมลที่เป็นอันตรายหรือลิงก์ที่ส่งผ่านแคมเปญฟิชชิ่ง
• การดาวน์โหลดแบบไดรฟ์บายที่เกิดจากเว็บไซต์ที่ถูกบุกรุกหรือหลอกลวง
• โทรจันหรือโหลดเดอร์ที่ส่งเพย์โหลดแรนซัมแวร์ในเบื้องหลัง
• การโฆษณาแฝงมัลแวร์และข้อเสนอออนไลน์หลอกลวง มักปลอมแปลงเป็นการอัปเดตซอฟต์แวร์หรือการดาวน์โหลดสื่อ

นอกจากนี้ แรนซัมแวร์เช่น GOTHAM สามารถแพร่กระจายภายในเครือข่ายท้องถิ่นและผ่านอุปกรณ์แบบถอดได้ เช่น ไดรฟ์ USB ทำให้ส่งผลกระทบที่อาจเกิดขึ้นในสภาพแวดล้อมทางธุรกิจหรือองค์กรมากขึ้น

สร้างการป้องกันที่แข็งแกร่งยิ่งขึ้นต่อ Ransomware

เพื่อลดความเสี่ยงจากการตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ ผู้ใช้และองค์กรต่างๆ ควรใช้กลยุทธ์การป้องกันแบบหลายชั้น แนวทางปฏิบัติที่สำคัญเพื่อเสริมสร้างความยืดหยุ่นโดยรวมมีดังนี้

รักษาการสำรองข้อมูลที่เชื่อถือได้

• จัดเก็บข้อมูลสำรองไว้ในตำแหน่งที่ปลอดภัยหลายแห่ง รวมถึงอุปกรณ์ออฟไลน์และบริการคลาวด์
• ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลได้รับการทดสอบเป็นประจำเพื่อความสมบูรณ์และความสามารถในการกู้คืน

ระบบอัปเดตและแพทช์

• ใช้การอัปเดตระบบปฏิบัติการและซอฟต์แวร์ทันทีเพื่อปิดช่องโหว่ด้านความปลอดภัย
• ปิดใช้งานหรือถอนการติดตั้งแอพพลิเคชั่นที่ล้าสมัยซึ่งไม่ได้รับการสนับสนุนอีกต่อไป

ใช้ความระมัดระวังในการส่งอีเมลและลิงก์

• ตรวจสอบความถูกต้องของผู้ส่งก่อนที่จะเปิดไฟล์แนบหรือคลิกลิงก์
• ควรระมัดระวังเป็นพิเศษกับข้อเสนอที่ไม่ได้ร้องขอ ใบแจ้งหนี้ หรือคำเตือนเร่งด่วน

ใช้เครื่องมือรักษาความปลอดภัยที่แข็งแกร่ง

• ปรับใช้โซลูชันป้องกันมัลแวร์ขั้นสูงและการตรวจจับจุดสิ้นสุดที่มีความสามารถในการระบุพฤติกรรมของแรนซัมแวร์
• เปิดใช้งานไฟร์วอลล์และระบบตรวจจับการบุกรุกเพื่อบล็อกการรับส่งข้อมูลที่เป็นอันตราย

ความคิดสุดท้าย

GOTHAM Ransomware แสดงให้เห็นถึงความต่อเนื่องและการทำลายล้างของตระกูลแรนซัมแวร์ยุคใหม่ วิธีการเข้ารหัส การเรียกร้องค่าไถ่ และการพึ่งพาพาหะนำโรคที่ได้รับการพิสูจน์แล้ว ตอกย้ำถึงความจำเป็นในการรักษาความปลอดภัยทางไซเบอร์เชิงรุก การจ่ายค่าไถ่ถือเป็นการเสี่ยงดวงที่ไม่มีการรับประกันการกู้คืน การป้องกัน การเฝ้าระวัง และการสำรองข้อมูลที่ยืดหยุ่น ยังคงเป็นระบบป้องกันที่มีประสิทธิภาพสูงสุด