แรนซัมแวร์ NeZha

แรนซัมแวร์ยังคงเป็นหนึ่งในภัยคุกคามที่สร้างความเสียหายมากที่สุดที่บุคคลและองค์กรต้องเผชิญ การบุกรุกที่ประสบความสำเร็จเพียงครั้งเดียวสามารถหยุดการดำเนินงาน ทำลายหรือขโมยข้อมูลสำคัญ และกระตุ้นให้เกิดความพยายามในการกู้คืนข้อมูลที่มีค่าใช้จ่ายสูง การสร้างระบบป้องกันที่แข็งแกร่งและเป็นระบบก่อนที่จะเกิดเหตุการณ์เป็นวิธีเดียวที่เชื่อถือได้ในการลดผลกระทบเมื่อผู้โจมตีพยายามเสี่ยงโชค ไม่ใช่เมื่อผู้โจมตีพยายาม

ภาพรวมภัยคุกคาม

นักวิจัยได้ค้นพบสายพันธุ์ที่ซับซ้อนที่เรียกว่าแรนซัมแวร์ NeZha เช่นเดียวกับแรนซัมแวร์ตระกูลอื่นๆ ในหมวดหมู่นี้ เป้าหมายหลักของ NeZha นั้นเรียบง่าย นั่นคือ เข้ารหัสไฟล์ให้ได้มากที่สุด จากนั้นจึงบังคับให้จ่ายเงินเพื่อแลกกับคีย์ถอดรหัส ผู้ดำเนินการวางตำแหน่งตัวเองเป็นช่องทางเดียวในการกู้คืนระบบ และยิ่งเพิ่มแรงกดดันด้วยข้อจำกัดด้านเวลาและภัยคุกคามการรั่วไหลของข้อมูล

พฤติกรรมในระบบและการเปลี่ยนแปลงไฟล์

เมื่อ NeZha ได้รับการยอมรับอย่างมั่นคงแล้ว มันจะเริ่มเข้ารหัสข้อมูลผู้ใช้และข้อมูลธุรกิจในตำแหน่งที่ตั้งทั่วไป ระหว่างการเข้ารหัส มันจะเปลี่ยนชื่อรายการโดยการเพิ่มรหัสประจำตัวเฉพาะของเหยื่อและนามสกุล '.NeZha' ในบางกรณี ชื่อไฟล์จะมีรหัสประจำตัวคล้ายกับ GUID ตัวอย่างเช่น ไฟล์ที่ไม่เป็นอันตรายอย่าง '1.png' ถูกแปลงเป็นชื่อที่คล้ายกับ '1.png.{A15EF2AD-5BC3-D5DC-D6C1-539CA114597E}.NeZha' หลังจากผ่านกระบวนการเสร็จสิ้น NeZha จะทิ้งบันทึกเรียกค่าไถ่ชื่อ 'README.TXT' ลงในไดเรกทอรีที่ได้รับผลกระทบ

บันทึกเรียกค่าไถ่และกลยุทธ์กดดัน

บันทึกดังกล่าวระบุว่าฐานข้อมูล เอกสาร รูปภาพ และไฟล์อื่นๆ ได้รับการเข้ารหัส และการซื้อคีย์ถอดรหัสจากผู้โจมตีเป็นวิธีเดียวที่จะแก้ปัญหาได้ เพื่อสร้างความน่าเชื่อถือ อาชญากรมักเสนอตัวถอดรหัสไฟล์ที่ไม่สำคัญหนึ่งไฟล์ให้ฟรี พวกเขาเตือนไม่ให้แก้ไขไฟล์ที่ถูกล็อก การใช้โปรแกรมถอดรหัสจากบุคคลที่สาม หรือการขอความช่วยเหลือจากภายนอก โดยอ้างว่าการกระทำเช่นนี้จะทำให้เกิดความเสียหายมากขึ้น มีการกำหนดเส้นตาย 24 ชั่วโมงสำหรับการติดต่อครั้งแรก หากพลาดการติดต่อ ผู้ดำเนินการอาจขู่ว่าจะรั่วไหลหรือขายข้อมูลสำคัญของบริษัทที่พวกเขาอ้างว่าได้ขโมยไป ซึ่งเป็นตัวอย่างของ 'การรีดไถซ้ำซ้อน'

ความเป็นจริงของการฟื้นตัวและปัญหาการชำระเงิน

ในทางเทคนิคแล้ว แรนซัมแวร์สมัยใหม่ส่วนใหญ่ไม่สามารถถอดรหัสได้หากไม่มีคีย์ส่วนตัวของผู้โจมตี เว้นแต่มัลแวร์จะมีข้อบกพร่องร้ายแรง ซึ่งเป็นสถานการณ์ที่หาได้ยาก อย่างไรก็ตาม การจ่ายเงินมีความเสี่ยงและไม่ควรทำอย่างยิ่ง เหยื่อหลายรายไม่ได้รับตัวถอดรหัสที่ใช้งานได้ แม้จะโอนเงินไปแล้วก็ตาม และการจ่ายเงินยังทำให้เกิดอาชญากรรมตามมา วิธีที่ปลอดภัยกว่าคือการพึ่งพาการสำรองข้อมูลแบบออฟไลน์ที่ปลอดภัย และการตอบสนองต่อเหตุการณ์ที่เป็นทางการ

การกักเก็บและการกำจัด

การลบ NeZha ออกจะหยุดการเข้ารหัสเพิ่มเติม แต่ไม่ได้ปลดล็อกไฟล์ที่ได้รับผลกระทบอยู่แล้ว สิ่งสำคัญที่ควรให้ความสำคัญคือการแยกระบบที่ติดไวรัสออกจากเครือข่าย เก็บรักษาหลักฐานสำหรับการตรวจสอบทางนิติวิทยาศาสตร์ กำจัดมัลแวร์โดยใช้เครื่องมือที่เชื่อถือได้หรือการสร้างใหม่ทั้งหมด แล้วจึงกู้คืนจากข้อมูลสำรองที่ทราบว่าปลอดภัยดี หากคุณสงสัยว่ามีการขโมยข้อมูล ให้เปิดใช้งานแผนรับมือการละเมิด และพิจารณาข้อผูกพันทางกฎหมาย ข้อบังคับ และการแจ้งเตือนลูกค้า

NeZha แพร่กระจายโดยทั่วไปอย่างไร

NeZha ปฏิบัติตามแนวทางเดียวกับแคมเปญแรนซัมแวร์มากมาย โดยอาศัยวิธีการส่งมัลแวร์ทั้งที่ผู้ใช้เป็นผู้ส่งและผู้โจมตีเป็นผู้ส่ง ผู้โจมตีอาจปลอมแปลงเพย์โหลดให้เป็นเนื้อหาที่ถูกต้องตามกฎหมาย หรือลักลอบนำเข้าสู่ชุดซอฟต์แวร์ จากนั้นจึงเริ่มดำเนินการเมื่อเปิดไฟล์หรือรันสคริปต์ แรนซัมแวร์บางชนิดยังสามารถแพร่กระจายไปยังเครือข่ายท้องถิ่น หรือคัดลอกตัวเองไปยังสื่อบันทึกข้อมูลแบบถอดได้

เวกเตอร์การส่งมอบทั่วไป

• ฟิชชิ่งและวิศวกรรมสังคมที่นำไปสู่การเปิดไฟล์แนบที่เป็นกับดัก (Office/OneNote/PDF), สคริปต์ (JavaScript), ไฟล์เก็บถาวร (ZIP/RAR) หรือไฟล์ปฏิบัติการ (.exe/.run)
• โปรแกรมติดตั้ง โปรแกรมโหลด และแบ็กดอร์ที่ถูกโจมตีด้วยโทรจันซึ่งดึงแรนซัมแวร์เข้ามาเป็นขั้นตอนที่สอง
• การดาวน์โหลดแบบไดรฟ์บายและหลอกลวงจากไซต์ที่ถูกบุกรุกหรือเป็นอันตราย
• แหล่งดาวน์โหลดที่ไม่น่าเชื่อถือ (พอร์ทัลฟรีแวร์ มิเรอร์ของบุคคลที่สาม เครือข่าย P2P)
• แคมเปญสแปม การหลอกลวงทางออนไลน์ และมัลแวร์โฆษณาที่เปลี่ยนเส้นทางไปยังเพย์โหลด
• เครื่องมือการเปิดใช้งานที่ผิดกฎหมาย ('แคร็ก') ซอฟต์แวร์/สื่อละเมิดลิขสิทธิ์ และการแจ้งเตือนการอัปเดตปลอม
• แพร่กระจายด้วยตนเองผ่านเครือข่ายท้องถิ่นและที่เก็บข้อมูลแบบถอดได้ (ไดรฟ์ USB, HDD ภายนอก)

ความคิดปิดท้าย

NeZha สอดคล้องกับรูปแบบแรนซัมแวร์ยุคใหม่: การเข้ารหัสที่รวดเร็ว การบังคับที่รัดกุม และภัยคุกคามที่น่าเชื่อถือจากการเปิดเผยข้อมูล คุณจะได้รับประโยชน์สูงสุดก่อนเกิดเหตุการณ์ ผ่านการรักษาสุขอนามัยอย่างเข้มงวด การควบคุมแบบหลายชั้น การสำรองข้อมูลที่ผ่านการทดสอบ และการตอบสนองที่ชำนาญ ผสมผสานการป้องกันทางเทคนิคเข้ากับการให้ความรู้แก่ผู้ใช้และการปฏิบัติงานอย่างมีวินัย เพื่อลดทั้งโอกาสและรัศมีการโจมตีจาก NeZha