VNDirect ត្រូវបានវាយប្រហារ៖ តើ Ransomware មានគ្រោះថ្នាក់ប៉ុណ្ណា?

ករណី VNDirect និងអ្វីដែលធ្វើឱ្យ Ransomware មានគ្រោះថ្នាក់?

នៅថ្ងៃទី 24 ខែមីនា ឆ្នាំ 2024 ក្រុមហ៊ុន VNDirect Securities នៅក្នុងប្រទេសវៀតណាមបានក្លាយជាចំណុចក្តៅចុងក្រោយបំផុតនៅលើផែនទីនៃការវាយប្រហារដោយមេរោគ ransomware អន្តរជាតិ ការវាយប្រហារនេះមិនមែនជាករណីដាច់ដោយឡែកនោះទេ។

Ransomware ដែលជាប្រភេទមេរោគដែលត្រូវបានរចនាឡើងដើម្បីអ៊ិនគ្រីបទិន្នន័យនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះ និងទាមទារតម្លៃលោះដើម្បីឌិគ្រីបវាបានក្លាយទៅជាការគំរាមកំហែងសុវត្ថិភាពតាមអ៊ីនធឺណិតដែលរីករាលដាល និងគ្រោះថ្នាក់បំផុតនៅលើពិភពលោកនាពេលបច្ចុប្បន្ននេះ។ ការពឹងផ្អែកកាន់តែខ្លាំងឡើងលើទិន្នន័យឌីជីថល និងបច្ចេកវិទ្យាព័ត៌មាននៅក្នុងគ្រប់វិស័យនៃជីវិតសង្គម ធ្វើឱ្យអង្គការ និងបុគ្គលងាយរងគ្រោះចំពោះការវាយប្រហារទាំងនេះ។

គ្រោះថ្នាក់នៃមេរោគ ransomware មិនត្រឹមតែនៅក្នុងសមត្ថភាពរបស់វាក្នុងការអ៊ិនគ្រីបទិន្នន័យប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏នៅក្នុងវិធីដែលវារីករាលដាល និងទាមទារតម្លៃលោះផងដែរ បង្កើតបណ្តាញប្រតិបត្តិការហិរញ្ញវត្ថុដែលតាមរយៈពួក Hacker អាចរកប្រាក់ចំណេញខុសច្បាប់។ ភាពស្មុគ្រស្មាញ និងមិនអាចទាយទុកជាមុនបាននៃការវាយប្រហារ ransomware ធ្វើឱ្យពួកគេក្លាយជាបញ្ហាប្រឈមដ៏ធំបំផុតមួយដែលកំពុងប្រឈមមុខនឹងសុវត្ថិភាពតាមអ៊ីនធឺណិតនាពេលបច្ចុប្បន្ននេះ។

ការវាយប្រហារលើ VNDirect គឺជាការរំលឹកយ៉ាងច្បាស់អំពីសារៈសំខាន់នៃការយល់ដឹង និងការការពារប្រឆាំងនឹងមេរោគ ransomware ។ មានតែការយល់ដឹងពីរបៀបដែល ransomware ដំណើរការ និងការគំរាមកំហែងដែលវាបង្កឡើងប៉ុណ្ណោះ ទើបយើងអាចបង្កើតវិធានការការពារប្រកបដោយប្រសិទ្ធភាព ចាប់ពីការអប់រំអ្នកប្រើប្រាស់ ការអនុវត្តដំណោះស្រាយបច្ចេកទេស រហូតដល់ការកសាងយុទ្ធសាស្ត្របង្ការដ៏ទូលំទូលាយដើម្បីការពារទិន្នន័យ និងប្រព័ន្ធព័ត៌មានសំខាន់ៗ។

របៀបដែល Ransomware ដំណើរការ

Ransomware ដែលជាការគំរាមកំហែងដ៏គួរឱ្យភ័យខ្លាចនៅក្នុងពិភពនៃសន្តិសុខតាមអ៊ីនធឺណិត ដំណើរការក្នុងលក្ខណៈទំនើប និងចម្រុះ ដែលបណ្តាលឱ្យមានផលវិបាកធ្ងន់ធ្ងរដល់ជនរងគ្រោះ។ ដើម្បីយល់កាន់តែច្បាស់អំពីរបៀបដែល ransomware ដំណើរការ យើងត្រូវចូលទៅក្នុងជំហាននីមួយៗនៃដំណើរការវាយប្រហារ។

ការឆ្លងមេរោគ

ការវាយប្រហារចាប់ផ្តើមនៅពេលដែល ransomware ឆ្លងចូលទៅក្នុងប្រព័ន្ធ។ មានវិធីទូទៅមួយចំនួនដែល ransomware ប្រើដើម្បីជ្រៀតចូលទៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះ រួមមាន:

អ៊ីមែលបន្លំ៖ អ៊ីមែលក្លែងក្លាយដែលមានឯកសារភ្ជាប់ព្យាបាទ ឬតំណភ្ជាប់ទៅកាន់គេហទំព័រដែលមានកូដព្យាបាទ។ ការទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព៖ ទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីដែលមិនបានជួសជុល ដើម្បីដំឡើង ransomware ដោយស្វ័យប្រវត្តិដោយគ្មានអន្តរកម្មអ្នកប្រើប្រាស់។ Malvertising៖ ការប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្មតាមអ៊ីនធឺណិតដើម្បីចែកចាយកូដព្យាបាទ។ ការទាញយកពីគេហទំព័រព្យាបាទ៖ អ្នកប្រើប្រាស់ទាញយកកម្មវិធី ឬមាតិកាពីគេហទំព័រដែលមិនគួរឱ្យទុកចិត្ត។

ការអ៊ិនគ្រីប

នៅពេលដែលឆ្លងមេរោគ ransomware ចាប់ផ្តើមដំណើរការអ៊ិនគ្រីបទិន្នន័យនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះ។ ការអ៊ិនគ្រីបគឺជាដំណើរការនៃការបំប្លែងទិន្នន័យទៅជាទម្រង់ដែលមិនអាចអានបានដោយគ្មានសោឌិគ្រីប។ Ransomware ជារឿយៗប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីបដ៏រឹងមាំ ដោយធានាថាទិន្នន័យដែលបានអ៊ិនគ្រីបមិនអាចយកមកវិញបានទេបើគ្មានសោជាក់លាក់។

ការទាមទារថ្លៃលោះ

បន្ទាប់ពីការអ៊ិនគ្រីបទិន្នន័យ ransomware បង្ហាញសារនៅលើអេក្រង់របស់ជនរងគ្រោះ ដោយទាមទារតម្លៃលោះដើម្បីឌិគ្រីបទិន្នន័យ។ ការជូនដំណឹងជាធម្មតាមានការណែនាំអំពីរបៀបដែលការទូទាត់នឹងត្រូវធ្វើឡើង (ជាធម្មតាតាមរយៈ Bitcoin ឬរូបិយប័ណ្ណគ្រីបតូផ្សេងទៀតដើម្បីលាក់អត្តសញ្ញាណរបស់ឧក្រិដ្ឋជន) ក៏ដូចជាកាលបរិច្ឆេទទូទាត់ប្រាក់ផងដែរ។ កំណែមួយចំនួននៃ ransomware ក៏គំរាមកំហែងលុបទិន្នន័យ ឬបោះពុម្ពវាផងដែរ ប្រសិនបើតម្លៃលោះមិនត្រូវបានបង់។

ប្រតិបត្តិការ និងការឌិគ្រីប (ឬអត់)

បន្ទាប់មកជនរងគ្រោះត្រូវប្រឈមមុខនឹងការសម្រេចចិត្តដ៏លំបាកមួយ៖ បង់ថ្លៃលោះ ហើយសង្ឃឹមថានឹងទទួលបានទិន្នន័យមកវិញ ឬបដិសេធ និងបាត់បង់ទិន្នន័យជារៀងរហូត។ ទោះយ៉ាងណាក៏ដោយ ការបង់ប្រាក់មិនធានាថាទិន្នន័យនឹងត្រូវបានឌិគ្រីបទេ។ ជាការពិត នេះអាចលើកទឹកចិត្តឱ្យឧក្រិដ្ឋជនបន្តសកម្មភាពរបស់ពួកគេ។

វិធីដែល ransomware ដំណើរការមិនត្រឹមតែបង្ហាញពីភាពទំនើបផ្នែកបច្ចេកទេសប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងឆ្លុះបញ្ចាំងពីការពិតដ៏ក្រៀមក្រំមួយផងដែរ៖ ឆន្ទៈក្នុងការកេងប្រវ័ញ្ចភាពមិនច្បាស់លាស់ និងភាពល្ងង់ខ្លៅរបស់អ្នកប្រើប្រាស់។ នេះបង្ហាញពីសារៈសំខាន់នៃការលើកកម្ពស់ការយល់ដឹង និងចំណេះដឹងអំពីសុវត្ថិភាពអ៊ីនធឺណិត ចាប់ពីការទទួលស្គាល់អ៊ីមែលបន្លំ រហូតដល់ការរក្សាកម្មវិធីសុវត្ថិភាពទាន់សម័យ។ ប្រឈមមុខនឹងការគំរាមកំហែងដែលមិនធ្លាប់មានដូចជា ransomware ការអប់រំ និងការបង្ការមានសារៈសំខាន់ជាងពេលណាទាំងអស់។

វ៉ារ្យ៉ង់ទូទៅនៃ Ransomware

នៅក្នុងពិភពនៃការគម្រាមកំហែង ransomware វ៉ារ្យ៉ង់មួយចំនួនលេចធ្លោសម្រាប់ភាពស្មុគស្មាញ សមត្ថភាពក្នុងការរីករាលដាល និងផលប៉ះពាល់យ៉ាងធ្ងន់ធ្ងរលើអង្គការទូទាំងពិភពលោក។ ខាងក្រោមនេះគឺជាការពិពណ៌នាអំពីការប្រែប្រួលទូទៅចំនួនប្រាំពីរ និងរបៀបដែលពួកវាដំណើរការ។

REvil (ត្រូវបានគេស្គាល់ផងដែរថាជា Sodinokibi)

លក្ខណៈពិសេស៖ REvil គឺជាវ៉ារ្យ៉ង់នៃ Ransomware-as-a-Service (RaaS) ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត "ជួល" វាដើម្បីអនុវត្តការវាយប្រហាររបស់ពួកគេ។ នេះបង្កើនយ៉ាងខ្លាំងនូវការរីករាលដាល និងចំនួនជនរងគ្រោះនៃមេរោគ ransomware នេះ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ ការចែកចាយតាមរយៈភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព អ៊ីមែលបន្លំ និងឧបករណ៍វាយប្រហារពីចម្ងាយ។ REvil ក៏ប្រើវិធីសាស្ត្រវាយប្រហារ ដើម្បីអ៊ិនគ្រីប ឬលួចទិន្នន័យដោយស្វ័យប្រវត្តិ។

រីយូក

លក្ខណៈ៖ Ryuk ផ្តោតសំខាន់ទៅលើអង្គការធំៗ ដើម្បីបង្កើនតម្លៃលោះ។ វាមានសមត្ថភាពក្នុងការកំណត់ដោយខ្លួនឯងសម្រាប់ការវាយប្រហារនីមួយៗ ដែលធ្វើឱ្យវាពិបាកក្នុងការស្វែងរក និងដកចេញ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ តាមរយៈអ៊ីមែលបន្លំ និងបណ្តាញដែលឆ្លងមេរោគផ្សេងទៀត ដូចជា Trickbot និង Emotet Ryuk រីករាលដាល និងអ៊ិនគ្រីបទិន្នន័យបណ្តាញ។

Robinhood

លក្ខណៈពិសេស៖ Robinhood ត្រូវបានគេស្គាល់ថាសម្រាប់សមត្ថភាពវាយប្រហារប្រព័ន្ធរដ្ឋាភិបាល និងអង្គការធំៗ ដោយប្រើវិធីសាស្ត្រអ៊ិនគ្រីបដ៏ទំនើបដើម្បីចាក់សោឯកសារ និងទាមទារថ្លៃលោះធំ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ រីករាលដាលតាមរយៈយុទ្ធនាការបន្លំ ក៏ដូចជាការទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនៅក្នុងកម្មវិធី។

DoublePaymer

លក្ខណៈពិសេស៖ DoppelPaymer គឺជាវ៉ារ្យ៉ង់ ransomware ដាច់ដោយឡែកដែលមានសមត្ថភាពធ្វើឱ្យខូចខាតយ៉ាងធ្ងន់ធ្ងរដោយការអ៊ិនគ្រីបទិន្នន័យ និងគំរាមកំហែងបញ្ចេញព័ត៌មាន ប្រសិនបើតម្លៃលោះមិនត្រូវបានបង់។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ ផ្សព្វផ្សាយតាមរយៈឧបករណ៍វាយប្រហារពីចម្ងាយ និងអ៊ីមែលបន្លំ ជាពិសេសកំណត់គោលដៅលើភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីដែលមិនបានជួសជុល។

SNAKE (ត្រូវបានគេស្គាល់ថា EKANS)

លក្ខណៈពិសេស៖ SNAKE ត្រូវបានរចនាឡើងដើម្បីវាយប្រហារប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម (ICS)។ វាមិនត្រឹមតែអ៊ិនគ្រីបទិន្នន័យប៉ុណ្ណោះទេ វាក៏អាចរំខានដល់ដំណើរការឧស្សាហកម្មផងដែរ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ តាមរយៈយុទ្ធនាការបន្លំ និងការកេងប្រវ័ញ្ច ដោយសង្កត់ធ្ងន់លើការកំណត់គោលដៅប្រព័ន្ធឧស្សាហកម្មជាក់លាក់។

ហ្វូបូស

លក្ខណៈពិសេស៖ Phobos ចែករំលែកភាពស្រដៀងគ្នាជាច្រើនជាមួយ Dharma ដែលជាបំរែបំរួល ransomware មួយផ្សេងទៀត ហើយជារឿយៗត្រូវបានប្រើដើម្បីវាយប្រហារអាជីវកម្មខ្នាតតូចតាមរយៈ RDP (Remote Desktop Protocol)។

វិធីសាស្ត្របន្តពូជ៖ ជាចម្បងតាមរយៈ RDP ដែលត្រូវបានលាតត្រដាង ឬងាយរងគ្រោះ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចចូលប្រើពីចម្ងាយ និងដាក់ពង្រាយ ransomware ។

ចាក់សោប៊ីត

LockBit គឺជាវ៉ារ្យ៉ង់ ransomware ដ៏ពេញនិយមមួយផ្សេងទៀត ដែលដំណើរការក្រោមគំរូ Ransomware-as-a-Service (RaaS) ហើយត្រូវបានគេស្គាល់ថាសម្រាប់ការវាយប្រហារលើអាជីវកម្ម និងអង្គការរដ្ឋាភិបាល។ LockBit អនុវត្តការវាយប្រហាររបស់ខ្លួនជាបីដំណាក់កាលសំខាន់ៗ៖ ការទាញយកភាពងាយរងគ្រោះ ការជ្រៀតចូលទៅក្នុងប្រព័ន្ធ និងការដាក់ពង្រាយ payloads ដែលបានអ៊ិនគ្រីប។

ដំណាក់កាលទី 1 - ការកេងប្រវ័ញ្ច៖ LockBit ទាញយកភាពងាយរងគ្រោះនៅក្នុងបណ្តាញ ដោយប្រើបច្ចេកទេសដូចជា វិស្វកម្មសង្គម ដូចជាតាមរយៈអ៊ីម៉ែលបន្លំ ឬការវាយប្រហារដោយកម្លាំង brute លើម៉ាស៊ីនមេអ៊ីនត្រាណែត និងប្រព័ន្ធបណ្តាញ។

ដំណាក់កាលទី 2 - ការជ្រៀតចូល៖ បន្ទាប់ពីការជ្រៀតចូល LockBit ប្រើឧបករណ៍ "ក្រោយការកេងប្រវ័ញ្ច" ដើម្បីបង្កើនកម្រិតចូលប្រើរបស់វា និងរៀបចំប្រព័ន្ធសម្រាប់ការវាយប្រហារការអ៊ិនគ្រីប។

ដំណាក់កាលទី 3 - ការដាក់ពង្រាយ៖ LockBit ដាក់ពង្រាយបន្ទុកដែលបានអ៊ិនគ្រីបនៅលើគ្រប់ឧបករណ៍ដែលអាចចូលប្រើបានក្នុងបណ្តាញ ដោយអ៊ិនគ្រីបឯកសារប្រព័ន្ធទាំងអស់ និងទុកចំណាំតម្លៃលោះ។

LockBit ក៏ប្រើឧបករណ៍ប្រភពបើកចំហ និងឥតគិតថ្លៃមួយចំនួនក្នុងអំឡុងពេលដំណើរការឈ្លានពាន ចាប់ពីម៉ាស៊ីនស្កេនបណ្តាញ រហូតដល់កម្មវិធីគ្រប់គ្រងពីចម្ងាយ ដើម្បីធ្វើការស៊ើបអង្កេតបណ្តាញ ការចូលប្រើពីចម្ងាយ ការលួចព័ត៌មានសម្ងាត់ និងការជំរិតទិន្នន័យ។ ក្នុងករណីខ្លះ LockBit ក៏គំរាមបញ្ចេញទិន្នន័យផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះផងដែរ ប្រសិនបើការទាមទារតម្លៃលោះមិនត្រូវបានបំពេញ។

ជាមួយនឹងភាពស្មុគស្មាញ និងការរីករាលដាលរបស់វា LockBit តំណាងឱ្យការគំរាមកំហែងដ៏ធំបំផុតមួយនៅក្នុងពិភព ransomware ទំនើប។ អង្គការត្រូវអនុម័តនូវវិធានការសុវត្ថិភាពដ៏ទូលំទូលាយមួយ ដើម្បីការពារខ្លួនពី ransomware នេះ និងវ៉ារ្យ៉ង់ផ្សេងទៀត។

លោក Dao Trung Thanh

ផ្នែកទី 2: ពីការវាយប្រហារ VNDirect ទៅយុទ្ធសាស្រ្តប្រឆាំង ransomware