แรนซัมแวร์ SuperBlack
ภัยคุกคามทางไซเบอร์กำลังพัฒนาอย่างรวดเร็ว โดยแรนซัมแวร์ยังคงเป็นรูปแบบการโจมตีที่ร้ายแรงที่สุดรูปแบบหนึ่ง การติดเชื้อเพียงครั้งเดียวอาจส่งผลให้เกิดการสูญเสียทางการเงิน การหยุดทำงาน และการเปิดเผยข้อมูลที่ละเอียดอ่อน แรนซัมแวร์ SuperBlack เป็นสายพันธุ์ใหม่ที่ซับซ้อนซึ่งคาดว่ามีพื้นฐานมาจาก LockBit 3.0 แรนซัมแวร์จะเข้ารหัสไฟล์ของเหยื่อ เรียกค่าไถ่ และขู่ว่าจะรั่วไหลข้อมูลที่นำไปใช้ในทางที่ผิด การทำความเข้าใจวิธีการของแรนซัมแวร์และการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดถือเป็นสิ่งสำคัญในการป้องกันและบรรเทาการโจมตีประเภทนี้
สารบัญ
Ransomware SuperBlack: มันทำงานอย่างไร
SuperBlack ออกแบบมาเพื่อเข้ารหัสไฟล์และทำให้เหยื่อไม่สามารถเข้าถึงได้ แตกต่างจากแรนซัมแวร์ทั่วไปที่ใช้นามสกุลไฟล์คงที่ SuperBlack จะเพิ่มสตริงอักขระแบบสุ่มลงในชื่อไฟล์ ตัวอย่างเช่น:
- 1.png → 1.png.fB1SZ2i3X
เมื่อกระบวนการเข้ารหัสเสร็จสมบูรณ์ SuperBlack จะทำการแก้ไขเพิ่มเติม:
- เปลี่ยนวอลล์เปเปอร์เดสก์ท็อปเป็นคำเตือนค่าไถ่
- บันทึกเรียกค่าไถ่ถูกทิ้งโดยมีชื่อไฟล์แบบสุ่มตามรูปแบบ '[random_string].README.txt'
การโจรกรรมข้อมูลและการกรรโชก
SuperBlack ไม่เพียงแต่มีการเข้ารหัสเท่านั้น แต่ยังใช้กลวิธีการรีดไถสองต่อ ผู้โจมตีอ้างว่าพวกเขาขโมยข้อมูลสำคัญได้ รวมถึง:
- ข้อมูลเครือข่าย
- ข้อมูลการผลิต
- บันทึกทางการเงิน (ใบแจ้งหนี้ งบประมาณ รายงานประจำปี ฯลฯ)
- รายละเอียดพนักงานและลูกค้า
เหยื่อจะได้รับคำเตือนว่าหากปฏิเสธที่จะจ่ายค่าไถ่ ข้อมูลของพวกเขาจะรั่วไหล เพื่อเพิ่มแรงกดดัน ผู้โจมตีเสนอที่จะให้หลักฐานการขโมยข้อมูลและถอดรหัสไฟล์เดียวเพื่อแสดงให้เห็นถึงความสามารถของพวกเขา
การระบุแหล่งที่มา: ผู้ก่อภัยคุกคาม 'Mora_001'
แรนซัมแวร์ SuperBlack ถูกนำไปใช้งานในแคมเปญเดือนมกราคม-มีนาคม 2025 โดยผู้ก่อภัยคุกคามที่พูดภาษารัสเซียที่รู้จักกันในชื่อ 'Mora_001' มัลแวร์นี้ถูกตรวจพบโดยใช้ Tox ID ที่เชื่อมโยงกับ แรนซัมแวร์ LockBit แม้ว่าโครงสร้างพื้นฐานของมันจะดูเป็นอิสระ แม้ว่าจะยังไม่ชัดเจนเกี่ยวกับความสัมพันธ์ที่แน่นอนกับแรนซัมแวร์ LockBit แต่ SuperBlack ก็มีความคล้ายคลึงกับรุ่นก่อนอย่างเห็นได้ชัด
เวกเตอร์การโจมตี: SuperBlack ติดเชื้อในระบบได้อย่างไร
การติดเชื้อแรนซัมแวร์ SuperBlack เชื่อมโยงกับช่องโหว่ไฟร์วอลล์ของ Fortinet การโจมตีมักจะดำเนินไปในหลายขั้นตอน:
- การเข้าถึงเบื้องต้น : ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัยในอุปกรณ์ไฟร์วอลล์ของ Fortinet
- การเพิ่มสิทธิ์ : พวกเขาได้รับสิทธิ์ที่สูงขึ้นภายในระบบ
- กลไกการคงอยู่ : มัลแวร์จะรับประกันว่ามันยังคงทำงานอยู่แม้จะรีบูตแล้วก็ตาม
- การเคลื่อนไหวในแนวข้าง : การติดเชื้อแพร่กระจายไปทั่วเครือข่าย โดยกำหนดเป้าหมายไปที่อุปกรณ์หลายเครื่อง
- การขโมยข้อมูล : ข้อมูลที่ละเอียดอ่อนจะถูกรวบรวมก่อนที่กระบวนการเข้ารหัสจะเริ่มต้น
- การเข้ารหัสไฟล์ : ขั้นตอนสุดท้ายเกี่ยวข้องกับการล็อคไฟล์และเรียกร้องค่าไถ่
เหตุใดจึงไม่แนะนำให้จ่ายค่าไถ่
เหยื่อของ SuperBlack Ransomware อาจรู้สึกว่าจำเป็นต้องจ่ายเงินเพื่อกู้คืนไฟล์ที่เข้ารหัสไว้ แต่การทำเช่นนั้นมีความเสี่ยงอย่างมาก ไม่มีความแน่นอนว่าอาชญากรไซเบอร์จะให้เครื่องมือถอดรหัสที่จำเป็นแม้จะได้รับเงินแล้วก็ตาม ทำให้เหยื่อไม่สามารถเข้าถึงข้อมูลได้แม้จะปฏิบัติตามข้อเรียกร้องแล้วก็ตาม ยิ่งไปกว่านั้น การจ่ายค่าไถ่จะยิ่งทำให้แคมเปญเรียกค่าไถ่ทวีความรุนแรงขึ้น ซึ่งกระตุ้นให้ผู้โจมตียังคงโจมตีบุคคลและองค์กรต่างๆ ต่อไป
ข้อกังวลหลักอีกประการหนึ่งคือความเป็นไปได้ของการเรียกค่าไถ่ซ้ำ ซึ่งอาชญากรไซเบอร์จะเรียกร้องเงินเพิ่มเติมแม้ว่าจะจ่ายค่าไถ่เบื้องต้นไปแล้วก็ตาม ในบางกรณี เหยื่ออาจพบว่าตัวเองติดอยู่ในวัฏจักรการเรียกค่าไถ่ที่ดำเนินต่อไปโดยที่ไม่มีทางแก้ไขได้ แม้ว่าจะมีเครื่องมือถอดรหัสให้ แต่ก็ไม่มีการรับประกันว่าแรนซัมแวร์จะถูกลบออกจากระบบอย่างสมบูรณ์ มัลแวร์ที่ยังคงอยู่สามารถติดไวรัสในไฟล์ซ้ำได้ ทำให้เกิดความเสียหายมากขึ้นและทำให้วิกฤตด้านความปลอดภัยยาวนานขึ้น เมื่อพิจารณาจากความเสี่ยงเหล่านี้ การจ่ายค่าไถ่จึงไม่ใช่วิธีแก้ปัญหาที่เชื่อถือได้หรือไม่แนะนำ
วิธีปกป้องอุปกรณ์ของคุณจากแรนซัมแวร์ SuperBlack
เพื่อลดความเสี่ยงของการติดไวรัสและความเสียหายที่อาจเกิดขึ้น ให้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ดังต่อไปนี้:
- สำรองข้อมูลสำคัญ: สำรองข้อมูลออฟไลน์และบนคลาวด์ที่ไม่สามารถเข้าถึงได้จากแรนซัมแวร์ ใช้การสำรองข้อมูลแบบแยกเวอร์ชันเพื่อกู้คืนไฟล์จากจุดก่อนที่จะติดเชื้อ
- อัปเดตซอฟต์แวร์และระบบปฏิบัติการเป็นประจำ : แพทช์ไฟร์วอลล์ Fortinet และอุปกรณ์เครือข่ายอื่น ๆ เพื่อปิดช่องโหว่ที่ทราบ เปิดใช้งานการอัปเดตอัตโนมัติสำหรับระบบปฏิบัติการ ซอฟต์แวร์ความปลอดภัย และแอปพลิเคชัน
- ใช้โซลูชัน Endpoint Security ที่แข็งแกร่ง : ใช้เครื่องมือป้องกันมัลแวร์ขั้นสูงพร้อมการป้องกันแบบเรียลไทม์ ใช้โซลูชันการตรวจจับและตอบสนอง Endpoint (EDR) เพื่อติดตามภัยคุกคาม
- ใช้มาตรการรักษาความปลอดภัยเครือข่าย : กำหนดค่าไฟร์วอลล์และระบบตรวจจับการบุกรุก (IDS) เพื่อบล็อกกิจกรรมที่น่าสงสัย จำกัดการเข้าถึง Remote Desktop Protocol (RDP) และใช้การตรวจสอบสิทธิ์หลายปัจจัย (MFA)
- ระวังการโจมตีแบบฟิชชิ่ง : หลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลที่ไม่รู้จักหรือที่น่าสงสัย ฝึกอบรมพนักงานให้รู้จักสังเกตกลลวงฟิชชิ่งและรายงานการหลอกลวงดังกล่าว
- จำกัดสิทธิ์การดูแลระบบ : ใช้หลักการสิทธิ์ขั้นต่ำ (PoLP) เพื่อจำกัดการเข้าถึงของผู้ใช้ ปิดใช้งานการทำงานของแมโครใน Microsoft Office และป้องกันการทำงานของสคริปต์ที่ไม่ได้รับอนุญาต
- ปิดใช้งานบริการและพอร์ตที่ไม่จำเป็น : ปิดพอร์ตเครือข่ายที่ไม่ได้ใช้งานเพื่อลดความเสี่ยงต่อภัยคุกคามจากภายนอก: ลบเครื่องมือการเข้าถึงระยะไกลที่ล้าสมัยหรือไม่ได้ใช้งานซึ่งอาจถูกใช้ประโยชน์ได้
- ใช้การสร้างรายชื่อแอปพลิเคชันที่อนุญาตและแซนด์บ็อกซ์ : จำกัดการดำเนินการเฉพาะแอปพลิเคชันที่ได้รับอนุมัติเพื่อป้องกันไม่ให้แรนซัมแวร์ทำงาน เรียกใช้ไฟล์ที่น่าสงสัยในสภาพแวดล้อมที่แยกจากกันก่อนที่จะอนุญาตให้ไฟล์เหล่านั้นอยู่ในระบบ
บทสรุป: การก้าวไปข้างหน้าจากภัยคุกคามจากแรนซัมแวร์
SuperBlack Ransomware ถือเป็นวิวัฒนาการอันน่าหวาดกลัวของภัยคุกคามทางไซเบอร์ยุคใหม่ โดยรวมเอาการเข้ารหัสข้อมูลและกลวิธีขู่กรรโชกเข้าไว้ด้วยกัน องค์กรและบุคคลต่างๆ ต้องใช้มาตรการเชิงรุกเพื่อปกป้องระบบของตน การใช้มาตรการรักษาความปลอดภัยที่เข้มงวด การอัปเดตภัยคุกคามใหม่ๆ และการรักษาการสำรองข้อมูลที่ปลอดภัย จะทำให้โอกาสตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ลดลงอย่างมาก การรักษาความปลอดภัยทางไซเบอร์เป็นกระบวนการที่ต่อเนื่อง การป้องกันย่อมดีกว่าการตอบสนองเสมอ
แรนซัมแวร์ SuperBlack วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ แรนซัมแวร์ SuperBlack:
|
>>>> Your data are stolen and encrypted! >>>> Sensitive data on your system was DOWNLOADED and it will be PUBLISHED if you refuse to cooperate. Your competitors or law enforcement may get them on the web. Data includes: - Employees personal data, CVs, DL, SSN. - Complete network map including credentials for local and remote services. - Financial information including clients data, bills, budgets, annual reports, bank statements. - Complete datagrams/schemas/drawings for manufacturing in solidworks format - And more... You can request the tree of files that we have. >>>> You need contact us and decrypt one file for free, send a small file for test decryption with your personal DECRYPTION ID to tox chat: >>>> Your personal DECRYPTION ID: 7FBC34A4128F7B75E19B7F2A4E1938A0 1)Download and install TOX chat: hxxps://tox.chat 2)Write to this tox id: DED25DCB2AAAF65A05BEA584A0D1BB1D55DD 2D8BB4185FA39B5175C60C8DDD0C0A7F8A8EC815 and wait for the answer, we will always answer you. >>>> DO NOT MODIFY FILES YOURSELF. >>>> DO NOT USE THIRD PARTY SOFTWARE TO RESTORE YOUR DATA. >>>> YOU MAY DAMAGE YOUR FILES, IT WILL RESULT IN PERMANENT DATA LOSS. >>>> YOUR DATA IS STRONGLY ENCRYPTED, YOU CAN NOT DECRYPT IT WITHOUT CIPHER KEY. |
|
LockBit Black All your important files are stolen and encrypted! You must find fB1SZ2i3X.README.txt file and follow the instruction! |
