ไนลาโอล็อคเกอร์แรนซัมแวร์
สถานการณ์ภัยคุกคามทางไซเบอร์ที่เปลี่ยนแปลงตลอดเวลาทำให้บุคคลและสถาบันต่างๆ ต้องใช้มาตรการเชิงรุกเพื่อปกป้องทรัพย์สินดิจิทัลของตน ในบรรดาซอฟต์แวร์อันตรายหลายประเภทที่แพร่กระจายทางออนไลน์ แรนซัมแวร์ยังคงเป็นหนึ่งในซอฟต์แวร์ที่ก่อกวนมากที่สุด แรนซัมแวร์ NailaoLocker ซึ่งเป็นภัยคุกคามที่ใช้การเข้ารหัสที่เพิ่มจำนวนขึ้นเรื่อยๆ ได้ถูกตรวจพบว่าโจมตีองค์กรต่างๆ โดยเฉพาะในยุโรป การทำความเข้าใจถึงการทำงานของแรนซัมแวร์และวิธีป้องกันแรนซัมแวร์ถือเป็นสิ่งสำคัญในการลดความเสียหายที่อาจเกิดขึ้น
สารบัญ
Ransomware NailaoLocker ทำงานอย่างไร
Ransomware NailaoLocker เขียนด้วยภาษาโปรแกรม C++ และออกแบบมาเพื่อเข้ารหัสไฟล์ในอุปกรณ์ที่ติดไวรัส เมื่อเปิดใช้งานแล้ว Ransomware จะล็อกไฟล์อย่างเป็นระบบและเพิ่มนามสกุล '.locked' ต่อท้ายชื่อไฟล์ ตัวอย่างเช่น เอกสารที่มีชื่อว่า 'report.doc' จะถูกเปลี่ยนชื่อเป็น 'report.doc.locked' ทำให้เหยื่อไม่สามารถเข้าถึงได้ หลังจากกระบวนการเข้ารหัสเสร็จสิ้น Ransomware จะทิ้งบันทึกเรียกค่าไถ่พร้อมคำแนะนำเกี่ยวกับวิธีการเข้าถึงไฟล์ที่ได้รับผลกระทบอีกครั้ง
เหยื่อจะได้รับแจ้งว่าข้อมูลของพวกเขาจะได้รับการคืนก็ต่อเมื่อจ่ายค่าไถ่เป็น Bitcoin เท่านั้น บันทึกดังกล่าวเตือนว่าหากไม่สามารถตอบสนองความต้องการของผู้โจมตีได้ภายในหนึ่งสัปดาห์ ไฟล์จะถูกลบถาวร นอกจากนี้ ยังเตือนไม่ให้พยายามถอดรหัสหรือแก้ไขไฟล์ที่ถูกล็อกด้วยตนเอง เนื่องจากการกระทำดังกล่าวอาจทำให้สูญเสียข้อมูลเพิ่มเติมได้
ลิงค์ไปยังกิจกรรมทางไซเบอร์ที่ผ่านมา
NailaoLocker ถูกพบเห็นในการโจมตีที่มีความคล้ายคลึงกับการโจมตีที่วางแผนโดยผู้ก่อภัยคุกคามที่เป็นที่รู้จักในจีน แม้ว่าจะยังไม่มีการระบุแหล่งที่มาโดยตรง แต่ผู้วิจัยคาดเดาว่าแรนซัมแวร์นี้อาจดำเนินการโดยกลุ่มที่มีความเชื่อมโยงกับจีน ที่น่าสนใจคือ แม้ว่าแคมเปญแรนซัมแวร์สมัยใหม่ส่วนใหญ่ใช้กลวิธีรีดไถสองต่อ คือ ขโมยข้อมูลสำคัญก่อนจะเข้ารหัส แต่ NailaoLocker กลับไม่ได้ระบุอย่างชัดเจนถึงการขโมยข้อมูลในข้อความเรียกค่าไถ่ อย่างไรก็ตาม หลักฐานบ่งชี้ว่าแรนซัมแวร์พยายามรวบรวมข้อมูลระบบ ซึ่งอาจใช้เพื่อวัตถุประสงค์ในการรวบรวมข้อมูลข่าวกรอง
ข้อจำกัดทางเทคนิคของ NailaoLocker
แม้ว่า NailaoLocker จะเป็นภัยคุกคามที่สร้างความเสียหายได้ แต่กลับขาดคุณสมบัติที่ซับซ้อนบางอย่างที่พบในสายพันธุ์แรนซัมแวร์ขั้นสูงกว่า ไม่ได้ใช้เทคนิคต่อต้านการดีบัก และไม่ได้พยายามปิดการใช้งานกระบวนการระบบที่สำคัญก่อนเริ่มการเข้ารหัส ข้อจำกัดนี้ทำให้เกิดความกังวลว่าแรนซัมแวร์อาจทำให้ระบบที่ติดเชื้อไม่สามารถทำงานได้โดยไม่ได้ตั้งใจ โดยการเข้ารหัสไฟล์สำคัญที่จำเป็นสำหรับการทำงานของระบบ
NailaoLocker ติดเชื้อระบบได้อย่างไร
NailaoLocker เชื่อมโยงกับการโจมตีที่ใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์ Check Point VPN โดยเฉพาะจุดบกพร่องที่ติดตามได้ในชื่อ 'CVE-2024-24919' นักวิจัยพบว่าแรนซัมแวร์ถูกนำไปใช้งานบนระบบที่ถูกบุกรุกผ่านเครื่องมืออันตรายอื่นๆ เช่น มัลแวร์ ShadowPad และโทรจัน PlugX Remote Access (RAT) ภัยคุกคามเหล่านี้ทำให้ผู้โจมตีสามารถเข้าถึงเครื่องเป้าหมายจากระยะไกลได้ ทำให้สามารถเรียกใช้ NailaoLocker และเริ่มกระบวนการเข้ารหัสได้
อย่างไรก็ตาม แรนซัมแวร์มักแพร่กระจายโดยใช้วิธีการกระจายหลายช่องทาง โดยช่องทางการติดเชื้อที่พบบ่อย ได้แก่:
- ไฟล์แนบอีเมลและลิงก์หลอกลวงในข้อความฟิชชิ่ง
- การดาวน์โหลดแบบไดรฟ์บายจากเว็บไซต์ที่ถูกบุกรุกหรือหลอกลวง
- การใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์และโครงสร้างพื้นฐานเครือข่ายที่ล้าสมัย
- การอัพเดตซอฟต์แวร์ปลอมและโปรแกรมละเมิดลิขสิทธิ์
- แอปพลิเคชันโทรจันที่ดูเหมือนถูกกฎหมายแต่มีภัยคุกคามที่ซ่อนอยู่
- การเข้าถึงระยะไกลโดยไม่ได้รับอนุญาตผ่านรหัสผ่านที่อ่อนแอหรือการรั่วไหลของข้อมูลประจำตัว
เหตุใดการจ่ายค่าไถ่จึงมีความเสี่ยง
สำหรับเหยื่อของการโจมตีด้วยแรนซัมแวร์ การกู้คืนไฟล์ที่เข้ารหัสมักเป็นไปไม่ได้หากไม่มีคีย์การถอดรหัสที่ผู้โจมตีถืออยู่ น่าเสียดายที่การจ่ายค่าไถ่ตามที่เรียกร้องไม่ได้รับประกันว่าจะได้รับเครื่องมือถอดรหัสตามที่สัญญาไว้ อาชญากรไซเบอร์ไม่มีภาระผูกพันที่จะต้องทำตามข้อตกลงของตนเอง และเหยื่อบางรายพบว่าตนเองต้องจ่ายเงินจำนวนมากเพียงเพื่อจะได้รับซอฟต์แวร์ถอดรหัสที่ไม่ทำงานหรือไม่สมบูรณ์ ยิ่งไปกว่านั้น การจ่ายค่าไถ่ยังส่งเสริมให้กิจกรรมผิดกฎหมายนี้ดำเนินต่อไป ส่งผลให้อาชญากรรมทางไซเบอร์เพิ่มมากขึ้น
แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Ransomware
การป้องกันการติดเชื้อแรนซัมแวร์ต้องใช้กลยุทธ์ความปลอดภัยหลายชั้นซึ่งรวมถึงการป้องกันทางเทคนิคและการตระหนักรู้ของผู้ใช้ การนำแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้มาใช้จะช่วยลดความเสี่ยงในการตกเป็นเหยื่อของภัยคุกคามเช่น NailaoLocker ได้อย่างมาก:
- การสำรองข้อมูลเป็นประจำ : เก็บสำเนาไฟล์สำคัญหลายชุดไว้ในตำแหน่งต่างๆ รวมถึงการสำรองข้อมูลแบบออฟไลน์ที่เก็บไว้ในไดรฟ์ภายนอกและที่เก็บข้อมูลบนคลาวด์พร้อมความสามารถในการกำหนดเวอร์ชัน ซึ่งรับประกันว่าแม้ว่าไฟล์จะถูกเข้ารหัส ก็สามารถกู้คืนได้โดยไม่ต้องจ่ายค่าไถ่
Ransomware NailaoLocker แสดงให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของภัยคุกคามทางไซเบอร์ โดยมุ่งเป้าไปที่องค์กรต่างๆ โดยใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์และการกำหนดค่าความปลอดภัยที่อ่อนแอ แม้ว่า Ransomware ชนิดนี้โดยเฉพาะอาจไม่ใช่สายพันธุ์ที่ก้าวหน้าที่สุด แต่ไม่ควรประเมินความสามารถในการเข้ารหัสไฟล์และขัดขวางการทำงานต่ำเกินไป การป้องกันความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง การสำรองข้อมูลที่เหมาะสม และการคอยติดตามข้อมูลเกี่ยวกับภัยคุกคามที่เกิดขึ้นใหม่ถือเป็นวิธีที่ดีที่สุดในการป้องกันการโจมตีด้วย Ransomware
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ ไนลาโอล็อคเกอร์แรนซัมแวร์:
|
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.] [2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.] [3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)] [4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.] [5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com] [Contact us on johncollinsy@proton.me] [Notice:Do not delete or move locked files without unlocking them first.] [Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!] |
