แรนซัมแวร์ BlackHeart (MedusaLocker)
Ransomware ยังคงเป็นภัยคุกคามทางไซเบอร์ที่ร้ายแรงที่สุดชนิดหนึ่ง ซึ่งสามารถเข้ารหัสข้อมูลที่มีค่าและเรียกเงินค่าไถ่จำนวนมากสำหรับการปล่อยข้อมูลออกมาได้ BlackHeart ซึ่งเป็นแรนซัมแวร์สายพันธุ์ใหม่จากตระกูล MedusaLocker ถือเป็นภัยคุกคามที่อันตราย แรนซัมแวร์ที่ซับซ้อนนี้ไม่เพียงแต่ล็อกผู้ใช้ออกจากไฟล์เท่านั้น แต่ยังคุกคามที่จะเปิดเผยข้อมูลที่ถูกขโมยไป ทำให้เหยื่อตกอยู่ภายใต้แรงกดดันมหาศาลที่จะต้องปฏิบัติตามคำเรียกร้องของผู้โจมตี การทำความเข้าใจถึงวิธีการทำงานของ BlackHeart และแนวทางปฏิบัติที่ดีที่สุดในการบรรเทาการโจมตีดังกล่าวถือเป็นสิ่งสำคัญในการปกป้องข้อมูลส่วนบุคคลและองค์กร
สารบัญ
Ransomware BlackHeart เข้ารหัสและขู่กรรโชกเหยื่อได้อย่างไร
เมื่อดำเนินการบนระบบที่ติดไวรัสแล้ว BlackHeart Ransomware จะเริ่มกระบวนการเข้ารหัสที่ก้าวร้าว โดยกำหนดเป้าหมายเป็นไฟล์ประเภทต่างๆ ไฟล์ที่เข้ารหัสแต่ละไฟล์จะมีนามสกุล '.blackheart138' ต่อท้าย ทำให้ไม่สามารถเข้าถึงได้ ตัวอย่างเช่น ไฟล์ที่มีชื่อว่า 'document.pdf' จะกลายเป็น 'document.pdf.blackheart138' ซึ่งเท่ากับเป็นการล็อกผู้ใช้ออกจากข้อมูลของตน
นอกจากการเข้ารหัสไฟล์แล้ว BlackHeart ยังทิ้งบันทึกเรียกค่าไถ่ที่มีหัวเรื่องว่า 'read_this_to_decrypt_files.html' ไว้ด้วย ข้อความดังกล่าวแจ้งให้เหยื่อทราบว่าเครือข่ายองค์กรของพวกเขาถูกบุกรุก และไฟล์สำคัญต่างๆ ได้รับการเข้ารหัสโดยใช้การเข้ารหัส RSA และ AES โดยอ้างว่ามีเพียงผู้โจมตีเท่านั้นที่มีเครื่องมือถอดรหัสที่จำเป็น และเตือนเหยื่อไม่ให้แก้ไขหรือพยายามกู้คืนไฟล์โดยใช้ซอฟต์แวร์ของบุคคลที่สาม เนื่องจากการกระทำดังกล่าวอาจส่งผลให้สูญเสียข้อมูลอย่างถาวร
กลวิธีการรีดไถสองครั้งที่ใช้โดย BlackHeart
แนวโน้มที่น่ากังวลในการโจมตีด้วยแรนซัมแวร์สมัยใหม่คือการเรียกค่าไถ่สองครั้ง และ BlackHeart ก็ทำตามรูปแบบนี้ บันทึกค่าไถ่เตือนว่าข้อมูลที่ละเอียดอ่อนของบริษัทถูกขโมยไปและจะถูกขายหรือเผยแพร่ทางออนไลน์หากเหยื่อปฏิเสธที่จะปฏิบัติตามข้อเรียกร้อง การบังคับขู่เข็ญเพิ่มเติมนี้เพิ่มแรงกดดันให้กับเหยื่อ เนื่องจากพวกเขาไม่เพียงแต่ต้องสูญเสียทางการเงินเท่านั้น แต่ยังอาจต้องเสียชื่อเสียงและถูกดำเนินคดีหากข้อมูลที่เป็นความลับรั่วไหล
เพื่อเจรจาเรื่องการจ่ายค่าไถ่ ผู้โจมตีได้ให้รายละเอียดการติดต่อ รวมถึงที่อยู่อีเมลสองแห่ง (support1@contonta.com และ support2@cavopo.com) ตลอดจนลิงก์ไปยังบริการแชทบน Tor นอกจากนี้ พวกเขายังระบุด้วยว่าหากเหยื่อไม่ติดต่อกลับภายใน 72 ชั่วโมง จำนวนเงินค่าไถ่จะเพิ่มขึ้น กลวิธีนี้ได้รับการออกแบบมาเพื่อสร้างความเร่งด่วนและความตื่นตระหนก โดยผลักดันให้เหยื่อดำเนินการอย่างรวดเร็ว ก่อนที่จะสามารถประเมินสถานการณ์ได้อย่างเต็มที่
เหตุใดการจ่ายค่าไถ่จึงมีความเสี่ยง
แม้ว่าการกู้คืนไฟล์ที่เข้ารหัสอาจทำให้เหยื่อยอมทำตามคำเรียกร้องค่าไถ่ แต่การทำเช่นนั้นก็มีความเสี่ยงอย่างมาก อาชญากรไซเบอร์ไม่มีภาระผูกพันที่จะต้องรักษาสัญญา และเหยื่อหลายรายจ่ายเงินเพื่อรับเครื่องมือถอดรหัสที่มีข้อบกพร่องหรือไม่มีอยู่จริง นอกจากนี้ การส่งเงินให้กับผู้ดำเนินการเรียกค่าไถ่ยังเป็นการหาทุนสำหรับกิจกรรมผิดกฎหมายของพวกเขาอีกด้วย ซึ่งส่งเสริมให้เกิดการโจมตีบุคคลและธุรกิจเพิ่มเติม
วิธีที่เชื่อถือได้เพียงวิธีเดียวในการกู้คืนข้อมูลที่สูญหายโดยไม่ต้องติดต่อกับผู้โจมตีคือการสำรองข้อมูลที่มีอยู่ก่อนอย่างปลอดภัย อย่างไรก็ตาม หากสำรองข้อมูลไว้ในเครือข่ายเดียวกับอุปกรณ์ที่ติดไวรัส ข้อมูลสำรองก็อาจถูกเข้ารหัสหรือถูกลบไปด้วย ทำให้มาตรการรักษาความปลอดภัยเชิงรุกมีความจำเป็น
Ransomware BlackHeart แพร่กระจายอย่างไร
เช่นเดียวกับแรนซัมแวร์สายพันธุ์อื่น BlackHeart อาศัยการโจมตีหลายรูปแบบเพื่อแทรกซึมเข้าไปในอุปกรณ์ ผู้ก่ออาชญากรรมทางไซเบอร์มักแพร่กระจายแรนซัมแวร์ผ่านแคมเปญฟิชชิ่ง โดยปลอมแปลงไฟล์แนบหรือลิงก์ที่เป็นอันตรายให้เป็นช่องทางการสื่อสารทางธุรกิจที่ถูกต้อง ผู้ใช้ที่ไม่สงสัยซึ่งเปิดไฟล์แนบในอีเมลที่ติดไวรัสหรือคลิกลิงก์ที่ถูกบุกรุกอาจเรียกใช้แรนซัมแวร์ในระบบของตนโดยไม่รู้ตัว
วิธีการติดไวรัสมาตรฐานอื่นๆ ได้แก่ การใช้ประโยชน์จากช่องโหว่ซอฟต์แวร์ที่ไม่ได้รับการแก้ไข การกระจายแรนซัมแวร์ผ่านเว็บไซต์ที่ถูกบุกรุก และการซ่อนเพย์โหลดที่เป็นอันตรายในซอฟต์แวร์แคร็กหรือแอปพลิเคชันที่ละเมิดลิขสิทธิ์ ผู้โจมตีบางรายยังใช้การโฆษณาแบบมัลแวร์ ซึ่งเป็นโฆษณาออนไลน์ที่หลอกลวงซึ่งเมื่อคลิกแล้วจะทำให้เกิดการติดมัลแวร์ ในสภาพแวดล้อมขององค์กร แรนซัมแวร์สามารถแพร่กระจายไปในแนวนอนข้ามเครือข่าย ทำให้อุปกรณ์หลายเครื่องติดไวรัสและเพิ่มผลกระทบของการโจมตี
แนวทางปฏิบัติรักษาความปลอดภัยที่ดีที่สุดเพื่อป้องกัน Ransomware
เพื่อลดความเสี่ยงจาก BlackHeart Ransomware และภัยคุกคามที่คล้ายคลึงกัน ผู้ใช้และองค์กรต่างๆ จะต้องนำมาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดมาใช้ การนำแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้มาใช้จะช่วยเสริมความปลอดภัยและลดโอกาสที่จะถูกโจมตีได้:
- รักษาการสำรองข้อมูลเป็นประจำ : จัดเก็บข้อมูลสำคัญไว้ในตำแหน่งที่ปลอดภัยหลายแห่ง รวมถึงการสำรองข้อมูลแบบออฟไลน์และที่เก็บข้อมูลบนคลาวด์ด้วยการเข้ารหัสที่แข็งแกร่ง ตรวจสอบให้แน่ใจว่าข้อมูลสำรองได้รับการอัพเดตและทดสอบความสมบูรณ์เป็นประจำ
- เปิดใช้งานการตรวจสอบปัจจัยหลายประการ (MFA) : คุณสมบัตินี้จะช่วยปกป้องบัญชีออนไลน์และการเข้าถึงระบบด้วยการต้องดำเนินการตรวจสอบหลายขั้นตอน ทำให้การเข้าสู่ระบบโดยไม่ได้รับอนุญาตทำได้ยากขึ้น
- อัพเกรดซอฟต์แวร์และระบบปฏิบัติการอยู่เสมอ : อัปเดตแอปพลิเคชัน ระบบปฏิบัติการ และซอฟต์แวร์ความปลอดภัยต่างๆ เป็นประจำ เพื่อแก้ไขช่องโหว่ที่ผู้โจมตีด้วยแรนซัมแวร์อาจใช้ประโยชน์
- ฝึกใช้ความระมัดระวังในการแนบไฟล์และลิงก์ในอีเมล : หลีกเลี่ยงการเปิดอีเมลที่ไม่คาดคิด โดยเฉพาะอีเมลที่ขอให้ดำเนินการทันที ตรวจสอบตัวตนของผู้ส่งและสแกนไฟล์แนบเพื่อดูว่ามีภัยคุกคามหรือไม่ก่อนดาวน์โหลด
- จำกัดสิทธิ์การดูแลระบบ : จำกัดการเข้าถึงของผู้ใช้ในระบบสำคัญและปิดการใช้งานสิทธิ์การดูแลระบบที่ไม่จำเป็นเพื่อลดพื้นที่การโจมตีในกรณีที่เกิดการโจมตี
ความคิดสุดท้าย
BlackHeart Ransomware เป็นตัวอย่างที่แสดงให้เห็นถึงความซับซ้อนที่เพิ่มมากขึ้นของภัยคุกคามทางไซเบอร์ในยุคปัจจุบัน โดยผสมผสานการเข้ารหัสไฟล์เข้ากับการขโมยข้อมูลเพื่อเพิ่มแรงกดดันให้กับเหยื่อ การจ่ายค่าไถ่ไม่ใช่การรับประกันการกู้คืนข้อมูลและจะยิ่งกระตุ้นให้เกิดกิจกรรมทางอาชญากรรมมากขึ้นเท่านั้น ผู้ใช้จะต้องให้ความสำคัญกับการป้องกันโดยรักษาความปลอดภัยของระบบ รักษาการสำรองข้อมูลที่เชื่อถือได้ และเฝ้าระวังความพยายามฟิชชิ่งและซอฟต์แวร์ที่เป็นอันตราย แนวทางที่กระตือรือร้นในการรักษาความปลอดภัยทางไซเบอร์เป็นแนวทางป้องกันที่ได้ผลที่สุดในการต่อต้านแรนซัมแวร์และภัยคุกคามทางดิจิทัลอื่นๆ ที่กำลังพัฒนา
แรนซัมแวร์ BlackHeart (MedusaLocker) วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ
ข้อความ
พบข้อความต่อไปนี้ที่เกี่ยวข้องกับ แรนซัมแวร์ BlackHeart (MedusaLocker):
|
Your personal ID: - /!\ YOUR COMPANY NETWORK HAS BEEN PENETRATED /!\ All your important files have been encrypted! Your files are safe! Only modified. (RSA+AES) ANY ATTEMPT TO RESTORE YOUR FILES WITH THIRD-PARTY SOFTWARE WILL PERMANENTLY CORRUPT IT. DO NOT MODIFY ENCRYPTED FILES. DO NOT RENAME ENCRYPTED FILES. No software available on internet can help you. We are the only ones able to solve your problem. We gathered highly confidential/personal data. These data are currently stored on a private server. This server will be immediately destroyed after your payment. If you decide to not pay, we will release your data to public or re-seller. So you can expect your data to be publicly available in the near future.. We only seek money and our goal is not to damage your reputation or prevent your business from running. You will can send us 2-3 non-important files and we will decrypt it for free to prove we are able to give your files back. Contact us for price and get decryption software. email: support1@contonta.com support2@cavopo.com * To contact us, create a new free email account on the site: protonmail.com IF YOU DON'T CONTACT US WITHIN 72 HOURS, PRICE WILL BE HIGHER. * Tor-chat to always be in touch: |
