Hitobito Ransomware
นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุภัยคุกคามแรนซัมแวร์ตัวใหม่ชื่อ Hitobito ซอฟต์แวร์ที่เป็นอันตรายนี้จะเข้ารหัสไฟล์บนอุปกรณ์ที่ติดไวรัส ทำให้ผู้ใช้ไม่สามารถเข้าถึงได้ ต่อมาผู้โจมตีเรียกร้องการชำระเงินจากเหยื่อเพื่อแลกกับการถอดรหัสข้อมูลที่ได้รับผลกระทบ เมื่อเปิดใช้งาน Hitobito จะเพิ่มนามสกุล '.hitobito' ให้กับชื่อไฟล์ดั้งเดิมของไฟล์ที่เข้ารหัส ตัวอย่างเช่น ไฟล์ชื่อ '1.png' จะปรากฏเป็น '1.jpg.hitobito' และ '2.pdf' เป็น '2.pdf.hitobito' และอื่นๆ สำหรับไฟล์ที่ถูกล็อคทั้งหมด
หลังจากขั้นตอนการเข้ารหัส Hitobito จะแสดงบันทึกเรียกค่าไถ่ในหน้าต่างป๊อปอัปและสร้างบันทึกอื่นในไฟล์ข้อความชื่อ 'KageNoHitobito_ReadMe.txt' ทั้งสองข้อความมีเนื้อหาเหมือนกัน มีการพิจารณาแล้วว่าเวอร์ชันของ Hitobito Ransomware ที่ค้นพบนั้นสามารถถอดรหัสได้โดยไม่ต้องให้เหยื่อติดต่อกับผู้โจมตี
Hitobito พยายามขู่กรรโชกเหยื่อด้วยการจับตัวประกันข้อมูล
บันทึกเรียกค่าไถ่ของ Hitobito ทำหน้าที่แจ้งเหยื่อว่าข้อมูลของพวกเขาได้รับการเข้ารหัส กระตุ้นให้พวกเขาติดต่อกับผู้โจมตีผ่านการแชทบนเว็บไซต์เครือข่าย Tor เพื่อเจรจาราคาถอดรหัส อย่างไรก็ตาม ยังมีข้อดีอีกประการหนึ่งสำหรับผู้ที่ได้รับผลกระทบจาก Hitobito – แรนซัมแวร์นี้สามารถถอดรหัสได้ รหัสผ่านหรือคีย์ถอดรหัสคือ 'Password123' (ไม่มีเครื่องหมายคำพูด)
อย่างไรก็ตาม แม้ว่าในปัจจุบัน Hitobito จะสามารถถอดรหัสได้ แต่มัลแวร์นี้ซ้ำในอนาคตอาจมาพร้อมกับคีย์การกู้คืนที่แตกต่างกัน โดยทั่วไปแรนซัมแวร์จะใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่งและคีย์เฉพาะ ทำให้การถอดรหัสโดยไม่ต้องให้ผู้โจมตีเข้ามามีส่วนร่วมนั้นเป็นสิ่งที่หายาก
นอกจากนี้ ผู้ที่ตกเป็นเหยื่ออาจไม่ได้รับคีย์การกู้คืนหรือซอฟต์แวร์ที่สัญญาไว้เสมอไป แม้ว่าจะปฏิบัติตามค่าไถ่แล้วก็ตาม สิ่งนี้เน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับการจ่ายค่าไถ่ เนื่องจากไม่เพียงแต่ล้มเหลวในการรับประกันการถอดรหัสไฟล์ แต่ยังสนับสนุนกิจกรรมทางอาญาอีกด้วย
เพื่อป้องกันการเข้ารหัสข้อมูลเพิ่มเติมโดยแรนซัมแวร์ เช่น Hitobito จำเป็นต้องลบมัลแวร์ออกจากระบบปฏิบัติการ อย่างไรก็ตาม สิ่งสำคัญคือต้องเข้าใจว่าการลบแรนซัมแวร์จะไม่กู้คืนไฟล์ที่ถูกบุกรุกแล้ว
มาตรการรักษาความปลอดภัยเพื่อช่วยให้คุณปกป้องข้อมูลและอุปกรณ์ของคุณจากภัยคุกคามแรนซัมแวร์ได้ดียิ่งขึ้น
การใช้แนวทางรักษาความปลอดภัยแบบหลายชั้นถือเป็นสิ่งสำคัญในการปกป้องข้อมูลและอุปกรณ์จากภัยคุกคามแรนซัมแวร์ได้ดียิ่งขึ้น ต่อไปนี้เป็นมาตรการรักษาความปลอดภัยที่สำคัญบางประการ:
- การอัปเดตซอฟต์แวร์และการจัดการแพตช์ที่สอดคล้องกัน : ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการ แอปพลิเคชันซอฟต์แวร์ และโปรแกรมความปลอดภัยทั้งหมดได้รับการอัปเดตอย่างเป็นระบบด้วยแพตช์ความปลอดภัยใหม่ล่าสุด ซอฟต์แวร์ที่ล้าสมัยซึ่งมีช่องโหว่สามารถถูกโจมตีโดยผู้โจมตีแรนซัมแวร์
- การใช้ซอฟต์แวร์ป้องกันมัลแวร์ : ติดตั้งซอฟต์แวร์ป้องกันมัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ทั้งหมดและอัปเดตอยู่เสมอ แอปพลิเคชันเหล่านี้สามารถช่วยตรวจจับและป้องกันการติดแรนซัมแวร์ก่อนที่จะสร้างความเสียหายได้
- การป้องกันไฟร์วอลล์ : เปิดใช้งานไฟร์วอลล์บนอุปกรณ์และเครือข่ายทั้งหมดเพื่อตรวจสอบและควบคุมการรับส่งข้อมูลขาเข้าและขาออก ไฟร์วอลล์สามารถช่วยบล็อกแรนซัมแวร์ไม่ให้เข้าถึงอุปกรณ์และแพร่กระจายไปทั่วเครือข่าย
- การฝึกอบรมและการตระหนักรู้ของพนักงาน : ให้ความรู้แก่พนักงานเกี่ยวกับความเสี่ยงของแรนซัมแวร์ และสอนวิธีระบุอีเมล ลิงก์ และไฟล์แนบที่น่าสงสัย จัดการฝึกอบรมการตระหนักรู้ด้านความปลอดภัยเป็นประจำเพื่อส่งเสริมแนวทางปฏิบัติในการใช้คอมพิวเตอร์อย่างปลอดภัย
- การควบคุมการเข้าถึงและสิทธิ์ขั้นต่ำ : จำกัดสิทธิ์ของผู้ใช้และสิทธิ์การเข้าถึงเฉพาะที่จำเป็นสำหรับบทบาทของพวกเขาเท่านั้น เสริมสร้างหลักการของสิทธิ์ขั้นต่ำเพื่อลดผลกระทบของการโจมตีแรนซัมแวร์โดยการจำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อนและระบบที่สำคัญ
- การสำรองข้อมูล : สำรองข้อมูลเป็นประจำไปยังโซลูชันการสำรองข้อมูลแบบออฟไลน์หรือบนคลาวด์ ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลได้รับการเข้ารหัส ทดสอบความน่าเชื่อถือเป็นประจำ และจัดเก็บอย่างปลอดภัย
- Network Segmentation : แบ่งเครือข่ายเพื่อแยกระบบที่สำคัญและข้อมูลส่วนตัวออกจากส่วนอื่น ๆ ของเครือข่าย ซึ่งสามารถช่วยหยุดการแพร่กระจายของแรนซัมแวร์และจำกัดความเสียหายที่เกิดจากการติดเชื้อได้
การใช้มาตรการรักษาความปลอดภัยเหล่านี้ช่วยให้องค์กรสามารถปกป้องข้อมูลและอุปกรณ์ของตนจากภัยคุกคามแรนซัมแวร์ได้ดีขึ้น และลดความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตีที่สร้างความเสียหายเหล่านี้
การเรียกร้องค่าไถ่ที่ส่งไปยังผู้ที่ตกเป็นเหยื่อของ Hitobito Ransomware อ่านว่า:
'Ooops, your files have been encrypted by Kage No Hitobito Group!
All your important files and documents have been encrypted by us.
Step 1:
On your current desktop, open up your default browser.
Search for Tor Browser or visit hxxps://www.torproject.org/
If you cannot access Tor then use a VPN to get it instead.
Then download to the Tor Browser and follow Step 2.Step 2:
Navigate to the group chat and select 'Hitobito' from the username list.
Message with your situation and the price you are willing to pay for your files.
hxxp://notbumpz34bgbz4yfdigxvd6vzwtxc3zpt5imukgl6bvip2nikdmdaad.onion/chat/
If you do not know how to private messasge, ask the chat, they are usually friendly.
Though we advise you not to click links or follow any discussion they talk of.Step 3: This is the important part, the one where you restore your computer quickly.
If you negotiate correctly and pay our ransom, we will send you a decryptor.
Reminder that 'Hitobito' can be impersonated or be one of several group members.'