แรนซัมแวร์เครมลิน

แรนซัมแวร์เป็นหนึ่งในมัลแวร์ที่สร้างความเสียหายร้ายแรงที่สุด โดยมันจะยึดไฟล์อย่างเงียบๆ ปฏิเสธการเข้าถึงโดยชอบธรรม และบังคับให้เหยื่อต้องเจรจาต่อรองอย่างไม่ประสบความสำเร็จ การปกป้องอุปกรณ์และเครือข่ายเป็นสิ่งสำคัญ ไม่เพียงแต่เพื่อรักษาข้อมูลส่วนบุคคลและข้อมูลทางธุรกิจเท่านั้น แต่ยังเพื่อป้องกันการหยุดชะงัก การสูญเสียทางการเงิน และการบุกรุกเครือข่ายในวงกว้างอีกด้วย

ภัยคุกคามจากเครมลินโดยสังเขป

KREMLIN คือตระกูลแรนซัมแวร์ที่ถูกค้นพบระหว่างการตรวจสอบตัวอย่างมัลแวร์อันตราย พฤติกรรมของมันตรงไปตรงมาและไร้ความปราณี โดยเข้ารหัสไฟล์ของเหยื่อและเพิ่มนามสกุลไฟล์เป็น '.KREMLIN' (ตัวอย่างเช่น '1.png' → '1.png.KREMLIN,' '2.pdf' → '2.pdf.KREMLIN') และปล่อยบันทึกเรียกค่าไถ่ README.txt ที่แนะนำให้เหยื่อติดต่อผู้โจมตีผ่านทาง Telegram ที่ @KremlinRestore บันทึกดังกล่าวเป็นช่องทางที่ผู้โจมตีเข้าถึงเพื่อเจรจาต่อรองการชำระเงินและให้รายละเอียดสกุลเงินดิจิทัล การกู้คืนไฟล์โดยไม่ใช้เครื่องมือถอดรหัสของผู้โจมตีนั้นแทบจะไม่สามารถทำได้ ดังนั้นการป้องกันที่ดีและการสำรองข้อมูลที่ยืดหยุ่นจึงเป็นสิ่งสำคัญอย่างยิ่ง

เครมลินดำเนินงานอย่างไร?

เมื่อดำเนินการสำเร็จ KREMLIN จะระบุและเข้ารหัสไฟล์ข้อมูลผู้ใช้ โดยเปลี่ยนชื่อไฟล์ด้วยคำต่อท้ายว่า '.KREMLIN' ไฟล์นี้จะทิ้งไฟล์ข้อความพร้อมคำสั่งเรียกค่าไถ่และข้อมูลติดต่อ ซึ่งจะนำเหยื่อไปยังผู้โจมตีบน Telegram โดยทั่วไปแล้วผู้โจมตีจะให้คำแนะนำในการชำระเงิน (กระเป๋าเงินคริปโตเคอเรนซี, จำนวนเงิน) หากแรนซัมแวร์ยังคงฝังตัวอยู่ในระบบ มันอาจยังคงเข้ารหัสไฟล์เพิ่มเติมหรือพยายามแพร่กระจายไปยังโฮสต์อื่นๆ บนเครือข่ายเดียวกัน

เวกเตอร์การส่งมอบและการแพร่กระจายทั่วไป

ผู้ก่อภัยคุกคามใช้เทคนิคทางวิศวกรรมสังคมและการกระจายที่หลากหลายเพื่อส่งแรนซัมแวร์ เช่น KREMLIN ช่องโหว่ที่พบบ่อย ได้แก่ แอปพลิเคชันละเมิดลิขสิทธิ์ เครื่องมือแคร็กและตัวสร้างคีย์ ไฟล์แนบและลิงก์อีเมลที่เป็นอันตรายหรือปลอมแปลง (เอกสาร Office, PDF, ไฟล์เก็บถาวรที่เป็นอันตราย) การหลอกลวงจากฝ่ายสนับสนุนด้านเทคนิค การใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ที่ไม่ได้รับการแก้ไข อุปกรณ์ USB ที่ติดไวรัส เว็บไซต์ดาวน์โหลดที่ถูกบุกรุกหรือไม่เป็นทางการ เครือข่าย P2P โฆษณาที่เป็นอันตราย และโปรแกรมดาวน์โหลดจากบุคคลที่สาม ผู้โจมตีมักจะรวมหรือปลอมแปลงไฟล์ปฏิบัติการไว้ในเอกสารหรือไฟล์เก็บถาวรเพื่อหลอกให้ผู้ใช้รันไฟล์เหล่านั้น

เหตุใดจึงไม่สนับสนุนการจ่ายเงิน และสิ่งที่เหยื่อควรคาดหวัง

การจ่ายค่าไถ่ไม่ได้รับประกันการกู้คืนข้อมูล ผู้โจมตีอาจไม่สามารถส่งตัวถอดรหัสที่ใช้งานได้ อาจเรียกร้องเงินเพิ่มเติม หรืออาจหายตัวไปเฉยๆ การจ่ายเงินยังกระตุ้นให้เกิดอาชญากรรมและเพิ่มโอกาสในการตกเป็นเป้าหมายในอนาคต องค์กรที่มีการสำรองข้อมูลที่เชื่อถือได้และผ่านการทดสอบแล้ว มีโอกาสสูงสุดที่จะกู้คืนข้อมูลได้อย่างสมบูรณ์โดยไม่ต้องจ่ายเงิน ไม่ว่าในที่สุดจะกู้คืนไฟล์ได้หรือไม่ สิ่งสำคัญคือต้องกำจัดแรนซัมแวร์ออกจากระบบที่ติดไวรัส มิฉะนั้นแรนซัมแวร์อาจเข้ารหัสไฟล์ที่กู้คืนแล้วอีกครั้งหรือแพร่กระจายต่อไป

ขั้นตอนทันทีหลังจากตรวจพบการติดเชื้อ

สิ่งสำคัญอันดับแรกคือการกักเก็บและรักษาหลักฐานทางนิติวิทยาศาสตร์ ให้ตัดการเชื่อมต่อเครื่องที่ติดไวรัสออกจากเครือข่ายทันที (ถอดสายเคเบิลเครือข่าย ปิด Wi-Fi) และแยกเครื่องออกจากกันเพื่อป้องกันการเคลื่อนตัวในแนวขวาง อย่าปิดระบบทันทีหากมีการวางแผนบันทึกข้อมูลทางนิติวิทยาศาสตร์ แต่ควรเก็บรักษาภาพไว้หากเป็นไปได้ และบันทึกเวลาและการดำเนินการต่างๆ หากคุณได้สำรองข้อมูลที่ได้รับการยืนยันแล้ว ให้เริ่มการกู้คืนแบบควบคุมหลังจากตรวจสอบแล้วว่ามัลแวร์ถูกกำจัดออกจากสภาพแวดล้อมแล้ว

แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดเพื่อลดความเสี่ยงและจำกัดผลกระทบ

รักษาการสำรองข้อมูลแบบออฟไลน์ที่ผ่านการทดสอบแล้ว: สำรองข้อมูลสำคัญอย่างสม่ำเสมอ โดยอย่างน้อยหนึ่งชุดเก็บไว้แบบออฟไลน์หรือบนสื่อบันทึกข้อมูลที่ไม่เปลี่ยนแปลง ทดสอบขั้นตอนการกู้คืนข้อมูลอย่างสม่ำเสมอ เพื่อให้การสำรองข้อมูลมีความน่าเชื่อถือในระหว่างเกิดเหตุการณ์

แพตช์และเสริมความแข็งแกร่งให้กับระบบ : อัปเดตความปลอดภัยให้กับระบบปฏิบัติการ แอปพลิเคชัน และเฟิร์มแวร์อย่างทันท่วงที ลดพื้นที่การโจมตีโดยปิดใช้งานบริการที่ไม่ได้ใช้และลบซอฟต์แวร์ที่ไม่จำเป็นออก

ใช้การป้องกันปลายทางและ EDR : ปรับใช้โซลูชันป้องกันไวรัสและการตรวจจับและตอบสนองปลายทางที่ทันสมัยซึ่งสามารถตรวจจับและบล็อกพฤติกรรมที่เป็นอันตรายด้วยการบันทึกและการแจ้งเตือนแบบรวมศูนย์

บังคับใช้สิทธิ์ขั้นต่ำและการแบ่งส่วนเครือข่าย : จำกัดสิทธิ์ของผู้ใช้และบริการให้เหลือเฉพาะเท่าที่จำเป็น แบ่งส่วนเครือข่ายเพื่อให้จุดสิ้นสุดที่ถูกบุกรุกไม่สามารถเข้าถึงเซิร์ฟเวอร์หรือการสำรองข้อมูลที่สำคัญได้โดยง่าย

การยืนยันตัวตนที่แข็งแกร่งและ MFA : จำเป็นต้องมีการยืนยันตัวตนแบบหลายปัจจัยสำหรับการเข้าถึงระยะไกล อีเมล และบัญชีผู้ดูแลระบบ แทนที่รหัสผ่านเริ่มต้นหรือรหัสผ่านที่คาดเดายากด้วยข้อมูลประจำตัวที่แข็งแกร่งและไม่ซ้ำกัน

เกตเวย์อีเมลและเว็บที่ปลอดภัย : ใช้การกรองอีเมลขั้นสูงและการสแกน URL เพื่อลดไฟล์แนบที่เป็นอันตรายและลิงก์ฟิชชิ่ง ใช้การกรอง DNS และเว็บเพื่อบล็อกการเข้าถึงเว็บไซต์ที่รู้จักว่าเป็นอันตรายหรือโครงสร้างพื้นฐานแบบสั่งการและควบคุม

การฝึกอบรมผู้ใช้และการจำลองฟิชชิ่ง : ฝึกอบรมพนักงานให้สามารถจดจำฟิชชิ่ง กลโกงทางสังคม และการดาวน์โหลดที่น่าสงสัยได้อย่างสม่ำเสมอ ใช้แคมเปญฟิชชิ่งจำลองเพื่อวัดและปรับปรุงการรับรู้

ควบคุมการติดตั้งซอฟต์แวร์และสื่อแบบถอดได้ : จำกัดความสามารถในการติดตั้งแอปพลิเคชันหรือรันโค้ดที่ไม่ได้ลงนาม บล็อกหรือตรวจสอบการใช้งานไดรฟ์ USB และสื่อแบบถอดได้อื่นๆ

ข้อควรพิจารณาในการกู้คืนและทำความสะอาด

การกำจัดแรนซัมแวร์เป็นสิ่งจำเป็นเบื้องต้นสำหรับการกู้คืนอย่างปลอดภัย ทำงานร่วมกับผู้เชี่ยวชาญด้านไอทีและความปลอดภัยเพื่อระบุกลไกการคงอยู่ (รายการเริ่มต้น, งานที่กำหนดเวลาไว้, บริการ, สิ่งประดิษฐ์การเคลื่อนไหวด้านข้าง) และลบกลไกเหล่านั้นออก ทำการอิมเมจระบบที่ถูกบุกรุกอย่างหนักใหม่ตามความเหมาะสม ก่อนกู้คืนข้อมูล ให้ตรวจสอบว่าสภาพแวดล้อมนั้นปลอดภัย มิฉะนั้นข้อมูลที่กู้คืนอาจถูกเข้ารหัสใหม่ เก็บหลักฐานไว้สำหรับหน่วยงานบังคับใช้กฎหมาย และหากจำเป็น ให้ปรึกษากับผู้ให้บริการประกันภัยไซเบอร์และที่ปรึกษากฎหมายเกี่ยวกับข้อกำหนดในการเปิดเผยข้อมูล

บันทึกสุดท้าย — ความยืดหยุ่นเหนือการไถ่ถอน

วิธีการดำเนินงานของเครมลิน คือการเข้ารหัสไฟล์และเรียกเก็บเงินเป็นสกุลเงินดิจิทัลหลังจากสั่งให้เหยื่อติดต่อผ่านเทเลแกรม ซึ่งถือเป็นเรื่องปกติของแรนซัมแวร์ยุคใหม่ คือ รวดเร็ว ก่อกวน และมุ่งเน้นด้านการเงิน การป้องกันที่ได้ผลที่สุดคือมาตรการรักษาความปลอดภัยแบบหลายชั้น (การควบคุมทางเทคนิค การแพตช์ และการตรวจจับ) การสำรองข้อมูลแบบออฟไลน์ที่แข็งแกร่ง และการรับมือกับเหตุการณ์อย่างมีประสิทธิภาพ หากติดไวรัส ให้จัดลำดับความสำคัญของการควบคุม การลบ และการกู้คืนจากการสำรองข้อมูลที่เชื่อถือได้ หลีกเลี่ยงการพึ่งพาคำสัญญาของผู้โจมตี และให้ผู้ตอบสนองเหตุการณ์มืออาชีพและเจ้าหน้าที่บังคับใช้กฎหมายมีส่วนร่วม