LockBit โจมตีเซิร์ฟเวอร์โดเมน Windows ในเวียดนาม

ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่ามัลแวร์มีการปรับปรุงที่ซับซ้อนมากขึ้นหลายอย่าง ทั้งในสคริปต์การเข้ารหัสและการแพร่กระจาย จึงมีความสามารถในการหลีกเลี่ยงโซลูชันความปลอดภัยแบบเดิมได้

ในช่วง 2 เดือนที่ผ่านมา ผู้เชี่ยวชาญของ Bkav ได้รับคำร้องขอความช่วยเหลือจากธุรกิจต่างๆ มากมายในเวียดนามอย่างต่อเนื่อง เนื่องจากพบสถานการณ์ทั่วไปที่คอมพิวเตอร์ในเครือข่ายภายในทั้งหมดถูกเข้ารหัสในเวลาเดียวกัน และไม่สามารถบันทึกข้อมูลได้

LockBit tấn công các máy chủ Windows Domain tại Việt Nam- Ảnh 1. — LockBit 3.0 เริ่ม "ระเบิด" ในเวียดนาม

ผลการสืบสวนและวิเคราะห์จากหลายกรณีแสดงให้เห็นว่าผู้ร้ายในการเข้ารหัสข้อมูลคือ LockBit 3.0 หรือที่รู้จักในชื่อ LockBit Black ซึ่งเป็นแรนซัมแวร์ของกลุ่มแฮ็กเกอร์ที่มีชื่อเสียง ซึ่งเพิ่งถูกทำลายโดย International Police Alliance (ซึ่งรวมถึง NCA หรือหน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร, FBI หรือหน่วยงานสอบสวนกลางแห่งสหรัฐอเมริกา และ Europol หรือหน่วยงานตำรวจสหภาพยุโรป) เมื่อไม่นานมานี้

LockBit Black มีการปรับปรุงที่ซับซ้อนมากขึ้นกว่ารุ่นก่อนหน้า ได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายเซิร์ฟเวอร์การจัดการโดเมน Windows ในระบบภายใน หลังจากแทรกซึมเข้าไปแล้วไวรัสจะใช้เซิร์ฟเวอร์เหล่านี้ในการแพร่กระจายต่อไปทั่วทั้งระบบโดยปิดการใช้งานโซลูชันด้านความปลอดภัย (ปิดใช้งานโปรแกรมป้องกันไวรัส ไฟร์วอลล์) คัดลอกและรันโค้ดที่เป็นอันตราย... ด้วยวิธีนี้ไวรัสจึงสามารถเข้ารหัสเครื่องทั้งหมดในระบบภายในได้ในเวลาเดียวกันโดยไม่ต้องโจมตีเครื่องแต่ละเครื่องเช่นเคย

LockBit Black ไม่เพียงแต่เปลี่ยนวิธีการและกลุ่มเป้าหมายเท่านั้น แต่ยังมีสถานการณ์การเข้ารหัสข้อมูลที่อันตรายยิ่งขึ้นด้วย แทนที่จะเข้ารหัสข้อมูลโดยตรงเมื่อเปิดใช้งาน ไวรัสจะขยายสิทธิ์ จากนั้นเลี่ยง UAC และสุดท้ายรีบูตเครื่องของเหยื่อเข้าสู่ Safe Mode (โหมดที่เปิดเฉพาะระบบและแอพพลิเคชั่นบางตัวเท่านั้น) และทำการเข้ารหัสข้อมูลในโหมดนี้ ด้วยวิธีนี้ มัลแวร์จึงสามารถหลีกเลี่ยงโซลูชันความปลอดภัยแบบเดิมได้

เพื่อหลีกเลี่ยงการถูกโจมตีโดย LockBit เช่นเดียวกับไวรัสเข้ารหัสข้อมูลอื่น ๆ ผู้เชี่ยวชาญของ Bkav แนะนำให้ผู้ใช้และผู้ดูแลระบบดำเนินการดังต่อไปนี้: