มัลแวร์เรียกค่าไถ่ Hommy

แปลเป็น:

มัลแวร์ยังคงเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่สำคัญที่สุดที่องค์กรและบุคคลทั่วไปต้องเผชิญ โปรแกรมที่เป็นอันตรายในปัจจุบันได้รับการออกแบบมาไม่เพียงแต่เพื่อขัดขวางการดำเนินงานเท่านั้น แต่ยังเพื่อขโมยข้อมูลที่สำคัญ ขู่กรรโชกเหยื่อ และก่อให้เกิดความเสียหายทางการเงินอย่างมาก โดยเฉพาะอย่างยิ่ง แรนซัมแวร์ได้พัฒนาไปสู่ธุรกิจอาชญากรรมที่ทำกำไรได้สูง ทำให้มาตรการรักษาความปลอดภัยเชิงรุกเป็นสิ่งจำเป็นสำหรับการปกป้องข้อมูลที่มีค่าและรักษาความต่อเนื่องทางธุรกิจ หนึ่งในภัยคุกคามล่าสุดที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุคือ แรนซัมแวร์ Hommy ซึ่งเป็นมัลแวร์เข้ารหัสไฟล์ที่เป็นอันตรายและเกี่ยวข้องกับตระกูลแรนซัมแวร์ Makop

สารบัญ

ภาพรวมของมัลแวร์เรียกค่าไถ่ Hommy

Hommy เป็นภัยคุกคามแรนซัมแวร์ที่เข้ารหัสไฟล์บนระบบที่ถูกโจมตี และเรียกร้องเงินจากเหยื่อเพื่อแลกกับวิธีการถอดรหัสที่อ้างว่าสามารถทำได้ นักวิจัยด้านความปลอดภัยระบุว่า Hommy เป็นสมาชิกของตระกูลแรนซัมแวร์ Makop ซึ่งเป็นกลุ่มที่รู้จักกันดีในการโจมตีองค์กรต่างๆ และใช้กลยุทธ์การขู่กรรโชกสองชั้นที่ผสมผสานการเข้ารหัสข้อมูลเข้ากับการข่มขู่ว่าจะเปิดเผยข้อมูลสู่สาธารณะ

เมื่อ Hommy ถูกติดตั้งลงในระบบของเหยื่อแล้ว มันจะค้นหาและเข้ารหัสไฟล์หลายประเภท ทำให้ไม่สามารถเข้าถึงไฟล์เหล่านั้นได้ นอกจากการล็อกไฟล์แล้ว แรนซัมแวร์นี้ยังแก้ไขชื่อไฟล์โดยการเพิ่มตัวระบุเหยื่อที่ไม่ซ้ำกัน ที่อยู่อีเมลติดต่อของผู้โจมตี และส่วนขยาย '.hommy' ตัวอย่างเช่น ไฟล์ที่สามารถเข้าถึงได้ตามปกติอาจถูกเปลี่ยนเป็นชื่อไฟล์เช่น 'document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy' รูปแบบการเปลี่ยนชื่อนี้ทำหน้าที่เป็นทั้งเครื่องหมายของการติดเชื้อและเป็นวิธีที่ผู้โจมตีใช้เชื่อมโยงไฟล์ที่ถูกเข้ารหัสกับเหยื่อรายใดรายหนึ่งโดยเฉพาะ

นอกจากการเข้ารหัสไฟล์แล้ว Hommy ยังทิ้งข้อความเรียกค่าไถ่ชื่อ '+README-WARNING+.txt' และเปลี่ยนภาพพื้นหลังเดสก์ท็อปเพื่อให้เหยื่อรับรู้ถึงการโจมตีทันที

ทำความเข้าใจข้อเรียกร้องค่าไถ่

ข้อความเรียกค่าไถ่ที่ Hommy ใช้กระชับแต่ก็ข่มขู่เหยื่ออย่างน่ากลัว เหยื่อจะได้รับแจ้งว่าไฟล์ของพวกเขาถูกเข้ารหัส และข้อมูลถูกขโมยไปจากระบบที่ได้รับผลกระทบ ผู้โจมตีอ้างว่าจำเป็นต้องจ่ายเงินไม่เพียงแต่เพื่อกู้คืนไฟล์ที่ถูกเข้ารหัสเท่านั้น แต่ยังเพื่อป้องกันการเผยแพร่ข้อมูลที่ถูกขโมยไปอีกด้วย

เหยื่อจะได้รับคำแนะนำให้ติดต่อผู้ก่อเหตุผ่านทางอีเมล 'privatehommy@outlook.com' และระบุหมายเลขประจำตัวเหยื่อ (victim ID) ที่ได้รับมอบหมายในการติดต่อทุกครั้ง ที่สำคัญคือ ข้อความดังกล่าวไม่ได้ระบุจำนวนเงินค่าไถ่ วิธีการชำระเงิน หรือกำหนดเวลาใดๆ รายละเอียดเหล่านี้มักจะเปิดเผยหลังจากที่ได้ติดต่อกับผู้โจมตีโดยตรงแล้วเท่านั้น

ข้อกังวลเพิ่มเติมคือการขาดหลักฐานใด ๆ ที่แสดงว่าผู้โจมตีมีเครื่องมือถอดรหัสที่ใช้งานได้จริง ต่างจากปฏิบัติการแรนซัมแวร์บางประเภทที่เสนอการถอดรหัสไฟล์ตัวอย่างขนาดเล็กเพื่อเป็นหลักฐาน ผู้ดำเนินการของ Hommy ไม่ได้ให้การยืนยันใด ๆ ในข้อความของพวกเขา

การเข้ารหัสไฟล์และกลยุทธ์การขู่กรรโชกข้อมูล

วิธีการโจมตีที่ Hommy ใช้สะท้อนให้เห็นถึงแนวโน้มโดยรวมที่พบในแวดวงแรนซอมแวร์ แทนที่จะพึ่งพาการเข้ารหัสไฟล์เพียงอย่างเดียว ภัยคุกคามนี้ยังรวมการขโมยข้อมูลเข้าไว้ในกลยุทธ์การเรียกค่าไถ่ด้วย วิธีการนี้เพิ่มแรงกดดันต่อเหยื่ออย่างมาก โดยเฉพาะอย่างยิ่งธุรกิจที่จัดการข้อมูลลูกค้าที่ละเอียดอ่อน ทรัพย์สินทางปัญญา หรือบันทึกข้อมูลลับของบริษัท

การผสมผสานระหว่างการเข้ารหัสและการขโมยข้อมูลสร้างสถานการณ์ที่ยากลำบากสำหรับองค์กรที่ได้รับผลกระทบ แม้ว่าจะมีข้อมูลสำรองและสามารถกู้คืนระบบได้ แต่ความเสี่ยงที่ข้อมูลสำคัญจะถูกเปิดเผยอาจก่อให้เกิดผลกระทบทางกฎหมาย การเงิน และชื่อเสียงได้

เช่นเดียวกับตระกูลแรนซัมแวร์อื่นๆ Hommy ใช้กลไกการเข้ารหัสที่แข็งแกร่ง ซึ่งโดยทั่วไปจะป้องกันไม่ให้เหยื่อกู้คืนไฟล์ได้หากไม่มีเครื่องมือถอดรหัสของผู้โจมตี การกู้คืนโดยปราศจากการมีส่วนร่วมของผู้คุกคามมักเป็นไปได้ก็ต่อเมื่อนักวิจัยค้นพบข้อบกพร่องที่สำคัญในการใช้งานของแรนซัมแวร์เอง ซึ่งเป็นเรื่องที่เกิดขึ้นได้ยาก

มัลแวร์เรียกค่าไถ่ Hommy แพร่กระจายได้อย่างไร

Hommy มักเกี่ยวข้องกับการโจมตีบริการระยะไกลที่มีการรักษาความปลอดภัยไม่ดี ผู้โจมตีมักกำหนดเป้าหมายไปที่ระบบที่เชื่อมต่อกับอินเทอร์เน็ตซึ่งใช้ข้อมูลประจำตัวที่อ่อนแอหรือขาดการควบคุมความปลอดภัยที่เพียงพอ บริการ Remote Desktop Protocol (RDP) เป็นเป้าหมายที่น่าสนใจเป็นพิเศษ เนื่องจากผู้โจมตีสามารถพยายามโจมตีแบบ Brute-force เพื่อเข้าถึงเครือข่ายขององค์กรโดยไม่ได้รับอนุญาต

หลังจากเข้าถึงระบบได้แล้ว ผู้โจมตีอาจทำการติดตั้งแรนซัมแวร์ด้วยตนเองทั่วทั้งระบบ เพื่อเพิ่มความเสียหายและเพิ่มโอกาสในการเรียกค่าไถ่ให้สำเร็จ

ช่องทางการแพร่กระจายเชื้ออื่นๆ ที่มักเกี่ยวข้องกับ Hommy และมัลแวร์เรียกค่าไถ่ Makop สายพันธุ์ต่างๆ ได้แก่:

อีเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
มัลแวร์ประเภทโทรจันที่ดาวน์โหลดและติดตั้งเพย์โหลดเพิ่มเติม
การอัปเดตซอฟต์แวร์ปลอมที่ออกแบบมาเพื่อหลอกให้ผู้ใช้เรียกใช้โค้ดที่เป็นอันตราย
ซอฟต์แวร์ละเมิดลิขสิทธิ์และแอปพลิเคชันที่ถูกแคร็กซึ่งได้มาจากแหล่งที่ไม่น่าเชื่อถือ
เอกสารที่เป็นอันตราย สคริปต์ ไฟล์ปฏิบัติการ และไฟล์บีบอัด เช่น ไฟล์ ZIP หรือ RAR

ไฟล์เหล่านี้อาจดูเหมือนไม่มีอันตราย แต่สามารถเริ่มต้นกระบวนการติดไวรัสได้ทันทีหลังจากเปิดหรือเรียกใช้งาน

เหตุใดการจ่ายค่าไถ่จึงเป็นการตัดสินใจที่มีความเสี่ยง

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ไม่แนะนำให้จ่ายค่าไถ่เป็นอย่างยิ่ง เนื่องจากไม่มีการรับประกันว่าผู้โจมตีจะจัดหาเครื่องมือถอดรหัสที่ใช้งานได้หลังจากได้รับเงินแล้ว เหยื่อของมัลแวร์เรียกค่าไถ่จำนวนมากรายงานสถานการณ์ที่อาชญากรหายตัวไปหลังจากได้รับเงิน หรือจัดหาเครื่องมือถอดรหัสที่ไม่ได้ผล

นอกจากนี้ การจ่ายค่าไถ่ยังเป็นการสนับสนุนการกระทำผิดทางอาญาโดยตรง และส่งผลให้การโจมตีด้วยมัลแวร์เรียกค่าไถ่เติบโตอย่างต่อเนื่อง องค์กรที่เลือกเจรจากับผู้โจมตีอาจกลายเป็นเป้าหมายที่น่าดึงดูดในอนาคต หากอาชญากรเห็นว่าองค์กรเหล่านั้นเต็มใจที่จะจ่ายเงิน

แทนที่จะให้เงินสนับสนุนอาชญากรไซเบอร์ องค์กรที่ได้รับผลกระทบควรให้ความสำคัญกับขั้นตอนการรับมือกับเหตุการณ์ การสืบสวนทางนิติวิทยาศาสตร์ การควบคุมการแพร่กระจาย และการกู้คืนจากข้อมูลสำรองที่สะอาดทุกครั้งที่เป็นไปได้

ข้อควรพิจารณาในการกู้คืนและการกำจัด

การกำจัดแรนซัมแวร์ Hommy ออกจากอุปกรณ์ที่ติดเชื้อเป็นสิ่งสำคัญเพื่อป้องกันการเข้ารหัสเพิ่มเติมและการถูกโจมตีเพิ่มเติม อย่างไรก็ตาม การกำจัดมัลแวร์เพียงอย่างเดียวไม่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสไปแล้วได้

วิธีการกู้คืนข้อมูลที่น่าเชื่อถือที่สุดยังคงเป็นการกู้คืนข้อมูลจากไฟล์สำรองที่สร้างไว้ก่อนการโจมตีเกิดขึ้น ควรจัดเก็บไฟล์สำรองที่มีประสิทธิภาพแยกต่างหากจากระบบใช้งานจริง เช่น บนอุปกรณ์จัดเก็บข้อมูลแบบออฟไลน์หรือเซิร์ฟเวอร์สำรองข้อมูลระยะไกลที่ปลอดภัย ซึ่งมัลแวร์เรียกค่าไถ่ไม่สามารถเข้าถึงได้ง่าย

องค์กรที่ขาดระบบสำรองข้อมูลที่ใช้งานได้อาจเผชิญกับความท้าทายอย่างมากเมื่อพยายามกู้คืนข้อมูลที่ถูกเข้ารหัส ในกรณีเช่นนี้ ควรปรึกษาผู้เชี่ยวชาญด้านการรับมือเหตุการณ์ฉุกเฉินเพื่อประเมินตัวเลือกการกู้คืนที่มีอยู่และกำหนดขอบเขตของการละเมิดข้อมูล

เสริมสร้างการป้องกันมัลแวร์เรียกค่าไถ่

การป้องกันการติดมัลแวร์เรียกค่าไถ่จำเป็นต้องใช้กลยุทธ์ด้านความปลอดภัยแบบหลายชั้นที่ผสมผสานมาตรการป้องกันทางเทคนิคเข้ากับการตระหนักรู้ของผู้ใช้งาน องค์กรควรให้ความสำคัญกับการรักษาความปลอดภัยบริการการเข้าถึงระยะไกลโดยการบังคับใช้นโยบายรหัสผ่านที่เข้มงวด การใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย และการจำกัดการเปิดเผยอินเทอร์เฟซการจัดการสู่สาธารณะทางอินเทอร์เน็ต

การอัปเดตซอฟต์แวร์เป็นประจำมีความสำคัญไม่แพ้กัน เพราะผู้โจมตีมักใช้ประโยชน์จากช่องโหว่ที่ทราบกันดีในระบบปฏิบัติการและแอปพลิเคชันที่ล้าสมัย โซลูชันการป้องกันปลายทางที่ครอบคลุม เครื่องมือตรวจสอบเครือข่าย และระบบตรวจจับการบุกรุกสามารถช่วยระบุการกระทำที่เป็นอันตรายได้ก่อนที่จะลุกลามกลายเป็นการโจมตีด้วยแรนซัมแวร์เต็มรูปแบบ

สิ่งที่สำคัญไม่แพ้กันคือการรักษากลยุทธ์การสำรองข้อมูลที่แข็งแกร่ง ควรทำการสำรองข้อมูลเป็นประจำ ทดสอบความสมบูรณ์ และจัดเก็บไว้ในสถานที่ที่แยกจากระบบหลัก หากไม่มีการสำรองข้อมูลที่เชื่อถือได้ ตัวเลือกในการกู้คืนจะลดลงอย่างมากหลังจากการโจมตี

การฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยก็มีบทบาทสำคัญเช่นกัน พนักงานควรได้รับการอบรมให้รู้จักสังเกตการพยายามหลอกลวงทางอีเมล (phishing) ไฟล์แนบที่น่าสงสัย คำขอการดาวน์โหลดที่ไม่คาดคิด และกลยุทธ์ทางวิศวกรรมสังคมอื่น ๆ ที่อาชญากรไซเบอร์มักใช้ เนื่องจากมัลแวร์เรียกค่าไถ่จำนวนมากเริ่มต้นจากการโต้ตอบของผู้ใช้ บุคลากรที่มีความรู้จึงสามารถทำหน้าที่เป็นแนวป้องกันด่านแรกที่มีประสิทธิภาพได้

การประเมินขั้นสุดท้าย

มัลแวร์เรียกค่าไถ่ Hommy เป็นภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่ร้ายแรง ซึ่งผสมผสานการเข้ารหัสไฟล์ การอ้างว่าข้อมูลถูกขโมย และกลยุทธ์การกรรโชกทรัพย์ ซึ่งเป็นลักษณะเฉพาะของตระกูลมัลแวร์เรียกค่าไถ่ Makop โดยการโจมตีระบบที่มีการป้องกันไม่ดี และใช้ช่องทางการแพร่กระจายหลายช่องทาง ทำให้สามารถก่อให้เกิดความเสียหายร้ายแรงต่อการดำเนินงานและทางการเงินได้

แม้ว่าการกำจัดแรนซัมแวร์เป็นสิ่งจำเป็นเพื่อหยุดยั้งกิจกรรมที่เป็นอันตรายเพิ่มเติม แต่การกู้คืนไฟล์ที่ถูกเข้ารหัสโดยทั่วไปขึ้นอยู่กับความพร้อมใช้งานของการสำรองข้อมูลที่ปลอดภัย องค์กรต่างๆ สามารถลดความเสี่ยงได้อย่างมากโดยการใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด บำรุงรักษาระบบให้ทันสมัยอยู่เสมอ ใช้มาตรการป้องกันความปลอดภัยแบบหลายชั้น และให้ความรู้แก่ผู้ใช้เกี่ยวกับภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงไป การรักษาความปลอดภัยเชิงรุกยังคงเป็นการป้องกันที่มีประสิทธิภาพมากที่สุดต่อการโจมตีของแรนซัมแวร์ เช่น Hommy

System Messages

The following system messages may be associated with มัลแวร์เรียกค่าไถ่ Hommy:

Text shown as a dekstop wallpaper:

Your files were encrypted!
Please contact us for decryption.

The files on your server have been encrypted and stolen.

You must pay to decrypt the files to prevent them from being published online.

Contact me by email for all necessary instructions:
privatehommy@outlook.com

Your ID:

ค้นหา

เปลี่ยนภูมิภาค