มัลแวร์เรียกค่าไถ่ Mortar
มัลแวร์ยังคงเป็นหนึ่งในภัยคุกคามด้านความปลอดภัยทางไซเบอร์ที่สำคัญที่สุดที่องค์กรและบุคคลทั่วไปต้องเผชิญ การโจมตีด้วยแรนซัมแวร์ในปัจจุบันสามารถทำให้การดำเนินงานทางธุรกิจหยุดชะงัก ก่อให้เกิดความเสียหายทางการเงินอย่างรุนแรง และข้อมูลสำคัญรั่วไหลได้ภายในเวลาไม่กี่ชั่วโมง เนื่องจากกลุ่มแรนซัมแวร์มีความซับซ้อนมากขึ้นเรื่อยๆ การรักษามาตรการควบคุมความปลอดภัยที่แข็งแกร่งและการป้องกันเชิงรุกจึงเป็นสิ่งสำคัญในการปกป้องข้อมูลที่มีค่าและสร้างความต่อเนื่องในการดำเนินงาน
สารบัญ
ภาพรวมของ Mortar Ransomware
Mortar Ransomware เป็นมัลแวร์เข้ารหัสไฟล์สายพันธุ์หนึ่งที่ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ ภัยคุกคามนี้ถูกออกแบบมาเพื่อโจมตีสภาพแวดล้อมขององค์กรเป็นหลัก โดยผู้โจมตีต้องการสร้างความเสียหายต่อการดำเนินงานให้มากที่สุดและเพิ่มแรงกดดันให้เหยื่อจ่ายค่าไถ่ เมื่อติดตั้งในเครือข่ายที่ถูกบุกรุกแล้ว Mortar จะเข้ารหัสไฟล์และทิ้งข้อความเรียกค่าไถ่ไว้ โดยตั้งชื่อไฟล์ตามรหัสประจำตัวเฉพาะของเหยื่อ ในรูปแบบ 'README-[รหัสประจำตัวของเหยื่อ].txt'
ลักษณะเด่นของมัลแวร์เรียกค่าไถ่นี้คือพฤติกรรมการเปลี่ยนชื่อไฟล์ ในระหว่างการเข้ารหัส Mortar จะเพิ่มรหัสประจำตัวเหยื่อที่ไม่ซ้ำกันลงในทุกไฟล์ที่ได้รับผลกระทบ ตัวอย่างเช่น ไฟล์ที่เดิมชื่อ '1.png' อาจกลายเป็น '1.png.4RcrXfvVksS5ACA' ในขณะที่เอกสารเช่น '2.pdf' อาจถูกแปลงเป็น '2.pdf.4RcrXfvVksS5ACA' จากนั้นตัวระบุเดียวกันนี้จะถูกนำไปใช้ในชื่อไฟล์ข้อความเรียกค่าไถ่ ทำให้เกิดความเชื่อมโยงโดยตรงระหว่างเหยื่อและการโจมตี
กระบวนการเข้ารหัสและการเรียกค่าไถ่
หลังจากแทรกซึมเข้าไปในเครือข่ายแล้ว Mortar จะเข้ารหัสข้อมูลหลากหลายประเภท รวมถึงเอกสาร ฐานข้อมูล รูปภาพ และไฟล์ธุรกิจสำคัญอื่นๆ ข้อความเรียกค่าไถ่ระบุว่าผู้โจมตีใช้อัลกอริทึมการเข้ารหัส AES-256 และ RSA-2048 เพื่อล็อกข้อมูลของเหยื่อ แม้ว่าการอ้างเช่นนี้จะเป็นเรื่องปกติในกลุ่มผู้ดำเนินการแรนซัมแวร์ แต่เป้าหมายโดยรวมยังคงเหมือนเดิม คือการทำให้ข้อมูลไม่สามารถเข้าถึงได้หากไม่มีรหัสถอดรหัสที่ถูกต้อง
ข้อความเรียกค่าไถ่แจ้งให้เหยื่อทราบว่าวิธีเดียวที่จะกู้คืนไฟล์ได้คือการซื้อเครื่องมือถอดรหัสจากผู้โจมตี แทนที่จะระบุจำนวนเงินค่าไถ่ที่แน่นอน อาชญากรจะนำเหยื่อไปยังพอร์ทัลบนเครือข่าย Tor และให้ข้อมูลการเข้าสู่ระบบซึ่งประกอบด้วยชื่อผู้ใช้และรหัสผ่าน วิธีนี้ทำให้ผู้โจมตีสามารถเจรจาต่อรองการชำระเงินเป็นรายบุคคลและอาจปรับเปลี่ยนข้อเรียกร้องค่าไถ่ตามมูลค่าที่ประเมินได้ขององค์กรเหยื่อ
ไฟล์ที่เข้ารหัสสามารถกู้คืนได้หรือไม่?
การกู้คืนไฟล์ที่ถูกเข้ารหัสโดยแรนซัมแวร์นั้นมักเป็นเรื่องยากมากหากไม่มีสิทธิ์เข้าถึงกลไกการถอดรหัสของผู้โจมตี ในบางกรณีที่หายาก นักวิจัยด้านความปลอดภัยทางไซเบอร์อาจค้นพบข้อผิดพลาดในการใช้งานหรือจุดอ่อนทางด้านการเข้ารหัส ซึ่งทำให้สามารถสร้างโปรแกรมถอดรหัสฟรีได้ อย่างไรก็ตาม กรณีเช่นนี้เกิดขึ้นไม่บ่อยนัก และเหยื่อที่ได้รับผลกระทบจากแรนซัมแวร์ที่ออกแบบมาอย่างดีมักเผชิญกับตัวเลือกการกู้คืนที่จำกัด
โดยทั่วไปแล้ว การจ่ายค่าไถ่ถือเป็นการตัดสินใจที่มีความเสี่ยงสูง อาชญากรไซเบอร์ไม่มีข้อผูกมัดที่จะต้องจัดหาเครื่องมือถอดรหัสที่ใช้งานได้หลังจากได้รับเงินแล้ว เหยื่อหลายรายเคยประสบสถานการณ์ที่เงินถูกโอนไปแล้ว แต่ไม่ได้รับเครื่องมือในการกู้คืน หรือเครื่องมือที่ได้รับมานั้นไม่สามารถกู้คืนข้อมูลได้สำเร็จ ดังนั้น การจ่ายเงินอาจส่งผลให้เกิดความสูญเสียทางการเงินเพิ่มเติมโดยไม่รับประกันว่าจะสามารถกู้คืนไฟล์ได้
พาหะนำโรคและเทคนิคการโจมตี
มัลแวร์ Mortar สามารถเข้าถึงเหยื่อได้หลายวิธีที่ใช้กันทั่วไปในแคมเปญเรียกค่าไถ่ การฟิชชิ่งยังคงเป็นหนึ่งในช่องทางการแพร่กระจายที่พบได้บ่อยที่สุด ผู้โจมตีจะส่งอีเมลที่มีไฟล์แนบที่เป็นอันตราย เช่น ไฟล์บีบอัด ไฟล์ปฏิบัติการ หรือเอกสาร Microsoft Office ที่ฝังมาโครที่เป็นอันตราย เมื่อเปิดไฟล์เหล่านี้แล้ว จะสามารถเริ่มต้นกระบวนการติดตั้งมัลแวร์เรียกค่าไถ่ได้
ช่องทางการติดเชื้อเพิ่มเติม ได้แก่ ซอฟต์แวร์ที่มีมัลแวร์แฝง กลไกการอัปเดตปลอม แคมเปญโฆษณาที่เป็นอันตราย พอร์ทัลดาวน์โหลดที่ไม่น่าเชื่อถือ และแอปพลิเคชันละเมิดลิขสิทธิ์ที่เผยแพร่ผ่านช่องทางที่ไม่เป็นทางการ วิธีการเหล่านี้ใช้ประโยชน์จากความไว้วางใจของผู้ใช้และการควบคุมความปลอดภัยที่ไม่เพียงพอเพื่อเข้าถึงระบบ
ในการโจมตีองค์กรเป้าหมาย ผู้โจมตีอาจใช้เทคนิคที่ซับซ้อนมากขึ้น ผู้โจมตีมักพยายามเจาะระบบ Remote Desktop Protocol (RDP) ผ่านการโจมตีแบบ Brute-force กับข้อมูลประจำตัวที่อ่อนแอ นอกจากนี้ พวกเขาอาจใช้ประโยชน์จากช่องโหว่ที่ยังไม่ได้แก้ไขในระบบที่เชื่อมต่อกับอินเทอร์เน็ตเพื่อเข้าถึงระบบในเบื้องต้น ก่อนที่จะแพร่กระจายไปยังส่วนอื่นๆ ของเครือข่ายและติดตั้งแรนซัมแวร์บนอุปกรณ์หลายเครื่องพร้อมกัน
การรับมือกับการติดเชื้อจากปืนครก
เมื่อตรวจพบ Mortar แล้ว การควบคุมอย่างเร่งด่วนเป็นสิ่งสำคัญ การกำจัดแรนซัมแวร์ออกจากระบบที่ได้รับผลกระทบจะช่วยป้องกันการเข้ารหัสเพิ่มเติมและลดความเสี่ยงต่อความเสียหายเพิ่มเติมในระบบโดยรวม อย่างไรก็ตาม การกำจัดมัลแวร์ไม่ควรสับสนกับการกู้คืนข้อมูล การกำจัดโปรแกรมที่เป็นอันตรายไม่ได้หมายความว่าไฟล์ที่ถูกเข้ารหัสจะได้รับการกู้คืนโดยอัตโนมัติ
วิธีการกู้คืนที่น่าเชื่อถือที่สุดยังคงเป็นการกู้คืนจากข้อมูลสำรองที่สะอาดซึ่งสร้างขึ้นก่อนการโจมตี ข้อมูลสำรองควรจัดเก็บแยกต่างหากจากระบบใช้งานจริงเพื่อป้องกันไม่ให้แรนซัมแวร์เข้ารหัสที่เก็บข้อมูลสำรองระหว่างเหตุการณ์ องค์กรที่เก็บรักษาข้อมูลสำรองที่ปลอดภัยและแยกต่างหากมักจะอยู่ในสถานะที่แข็งแกร่งกว่ามากในการกู้คืนจากการโจมตีของแรนซัมแวร์โดยไม่ต้องติดต่อกับอาชญากรไซเบอร์
สร้างระบบป้องกันที่แข็งแกร่งเพื่อต่อต้านแรนซัมแวร์
การป้องกันแรนซัมแวร์ที่มีประสิทธิภาพต้องใช้กลยุทธ์ด้านความปลอดภัยแบบหลายชั้นที่ผสมผสานเทคโนโลยี การสร้างความตระหนักรู้ให้กับผู้ใช้ และการบำรุงรักษาเชิงรุก องค์กรควรทำการอัปเดตระบบปฏิบัติการ แอปพลิเคชัน และอุปกรณ์เครือข่ายอย่างสม่ำเสมอเพื่อกำจัดช่องโหว่ที่ผู้โจมตีมักใช้ การกำหนดนโยบายการตรวจสอบสิทธิ์ที่เข้มงวด โดยเฉพาะอย่างยิ่งสำหรับบริการการเข้าถึงระยะไกล สามารถลดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างมาก
สิ่งที่สำคัญไม่แพ้กันคือการพัฒนากลยุทธ์การสำรองข้อมูลที่แข็งแกร่ง ข้อมูลสำคัญควรถูกคัดลอกไปยังหลายตำแหน่ง รวมถึงพื้นที่จัดเก็บข้อมูลแบบออฟไลน์หรือที่ไม่ได้เชื่อมต่อ ซึ่งไม่สามารถเข้าถึงได้จากระบบที่ถูกโจมตี การทดสอบการสำรองข้อมูลเป็นประจำจะช่วยให้มั่นใจได้ว่าขั้นตอนการกู้คืนทำงานได้อย่างถูกต้องในระหว่างเหตุฉุกเฉิน
แนวทางปฏิบัติด้านความปลอดภัยที่สำคัญ ได้แก่:
- ทำการสำรองข้อมูลเป็นประจำและจัดเก็บไว้ในสถานที่ที่แยกต่างหากและปลอดภัย
- ติดตั้งการอัปเดตและแก้ไขช่องโหว่ด้านความปลอดภัยทันทีที่มีให้ใช้งาน
- ใช้รหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน รวมถึงเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัย
- จำกัดบริการการเข้าถึงระยะไกลที่ไม่จำเป็น และตรวจสอบความพยายามในการเข้าสู่ระบบ
- ฝึกอบรมพนักงานให้รู้จักแยกแยะอีเมลหลอกลวงและไฟล์แนบที่น่าสงสัย
- ติดตั้งโซลูชันการปกป้องอุปกรณ์ปลายทางและการตรวจสอบเครือข่ายที่มีชื่อเสียง
องค์กรควรนำหลักการให้สิทธิ์ขั้นต่ำมาใช้ โดยให้สิทธิ์ผู้ใช้เฉพาะที่จำเป็นต่อบทบาทของตนเท่านั้น การตรวจสอบอย่างต่อเนื่อง การตรวจสอบด้านความปลอดภัย และการวางแผนรับมือเหตุการณ์ฉุกเฉิน จะช่วยเสริมสร้างความยืดหยุ่นต่อการโจมตีด้วยแรนซัมแวร์ เช่น Mortar การผสมผสานระหว่างการควบคุมเชิงป้องกัน ความสามารถในการตรวจจับอย่างรวดเร็ว และระบบสำรองข้อมูลที่เชื่อถือได้ ยังคงเป็นวิธีการป้องกันที่มีประสิทธิภาพที่สุดต่อภัยคุกคามการเข้ารหัสไฟล์ในยุคปัจจุบัน
บทสรุป
มัลแวร์เรียกค่าไถ่ Mortar เป็นภัยคุกคามร้ายแรงต่อเครือข่ายองค์กร เนื่องจากมีความสามารถในการเข้ารหัสข้อมูลสำคัญ ขัดขวางการดำเนินงาน และกดดันเหยื่อให้จ่ายเงินเพื่อถอดรหัส โดยการเพิ่มตัวระบุเฉพาะลงในไฟล์ที่เข้ารหัสและนำเหยื่อไปยังพอร์ทัลเรียกค่าไถ่โดยเฉพาะ ผู้โจมตีแสดงให้เห็นถึงวิธีการที่มีโครงสร้างและมุ่งเป้าหมาย แม้ว่าการกู้คืนไฟล์ที่เข้ารหัสอาจเป็นเรื่องยาก แต่องค์กรที่ให้ความสำคัญกับแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มแข็ง รักษาการสำรองข้อมูลที่แยกต่างหาก และแก้ไขช่องโหว่เชิงรุก สามารถลดผลกระทบจากเหตุการณ์มัลแวร์เรียกค่าไถ่ได้อย่างมากและปรับปรุงสถานะความปลอดภัยโดยรวมให้ดีขึ้น
System Messages
The following system messages may be associated with มัลแวร์เรียกค่าไถ่ Mortar:
-------------------------------------------- |
