Strike Ransomware
ในโลกดิจิทัลที่เชื่อมต่อถึงกันอย่างมากในปัจจุบัน การปกป้องอุปกรณ์จากมัลแวร์จึงไม่ใช่เรื่องที่เลือกได้อีกต่อไป แต่เป็นสิ่งจำเป็น การโจมตีด้วยแรนซัมแวร์มีความซับซ้อนมากขึ้นเรื่อยๆ โดยมุ่งเป้าไปที่บุคคลและองค์กรต่างๆ ด้วยผลลัพธ์ที่ร้ายแรง หนึ่งในภัยคุกคามดังกล่าวที่รู้จักกันในชื่อ Strike Ransomware แสดงให้เห็นว่าการปฏิบัติการของอาชญากรไซเบอร์สมัยใหม่ผสมผสานการเข้ารหัสที่แข็งแกร่ง การขโมยข้อมูล และการกดดันทางจิตวิทยาเพื่อเรียกค่าไถ่จากเหยื่อ
สารบัญ
Strike Ransomware: สมาชิกอันตรายของตระกูล MedusaLocker
Strike Ransomware ถูกระบุว่าเป็นรูปแบบหนึ่งของตระกูล MedusaLocker ที่มีชื่อเสียงฉาวโฉ่ นักวิจัยด้านความปลอดภัยค้นพบภัยคุกคามนี้ในระหว่างการตรวจสอบแคมเปญมัลแวร์ที่กำลังโจมตีระบบของผู้ใช้ เมื่อถูกเรียกใช้งาน Strike จะเข้ารหัสไฟล์ที่จัดเก็บไว้ในอุปกรณ์ที่ถูกโจมตีและเพิ่มนามสกุลใหม่คือ '.strike7' (แต่ตัวเลขอาจแตกต่างกันไป) ตัวอย่างเช่น ไฟล์เช่น '1.png' และ '2.pdf' จะถูกเปลี่ยนชื่อเป็น '1.png.strike7' และ '2.pdf.strike7' และไม่สามารถเข้าถึงได้
นอกเหนือจากการเข้ารหัสแล้ว Strike ยังเปลี่ยนแปลงภาพพื้นหลังเดสก์ท็อปเพื่อเสริมการโจมตี และสร้างข้อความเรียกค่าไถ่ชื่อ 'READ_NOTE.html' การเปลี่ยนแปลงทางภาพเหล่านี้เป็นการยืนยันในทันทีว่าระบบถูกโจมตีแล้ว
กลยุทธ์การเข้ารหัสและกลยุทธ์การขู่กรรโชก
ข้อความเรียกค่าไถ่ระบุว่าไฟล์ถูกเข้ารหัสโดยใช้การผสมผสานของอัลกอริธึมการเข้ารหัส RSA และ AES ซึ่งเป็นกลยุทธ์ที่ใช้กันทั่วไปในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ระดับสูง เหยื่อได้รับการเตือนว่าการพยายามแก้ไข เปลี่ยนชื่อ หรือกู้คืนไฟล์โดยใช้เครื่องมือของบุคคลที่สามอาจทำให้ไฟล์เสียหายอย่างถาวร ข้อความดังกล่าวยืนยันว่ามีเพียงผู้โจมตีเท่านั้นที่มีวิธีการในการกู้คืนข้อมูล
องค์ประกอบที่น่าตกใจเป็นพิเศษของแคมเปญ Strike คือวิธีการขู่กรรโชกสองชั้น ข้อความดังกล่าวอ้างว่าข้อมูลส่วนบุคคลที่ละเอียดอ่อนถูกขโมยและเก็บไว้ในเซิร์ฟเวอร์ส่วนตัว หากไม่ชำระเงิน ผู้โจมตีขู่ว่าจะปล่อยหรือขายข้อมูลที่ถูกขโมยไป เหยื่อได้รับคำแนะนำให้ติดต่อผ่านที่อยู่อีเมลที่ให้ไว้ที่ 'stevensfalls@outlook.com' และ 'richardfeuell@outlook.com' หรือผ่าน ID แชทบน Tor ผู้โจมตีเพิ่มแรงกดดันมากขึ้นโดยระบุว่าจำนวนเงินค่าไถ่จะเพิ่มขึ้นหากไม่ติดต่อภายใน 72 ชั่วโมง
เมื่อไม่มีข้อมูลสำรอง และไม่มีเครื่องมือถอดรหัสที่ถูกต้อง ผู้เสียหายอาจรู้สึกว่าจำเป็นต้องจ่ายเงิน อย่างไรก็ตาม การจ่ายเงินค่าไถ่เป็นสิ่งที่ไม่ควรทำอย่างยิ่ง เพราะอาชญากรไซเบอร์มักไม่สามารถจัดหาเครื่องมือถอดรหัสที่ใช้งานได้แม้จะได้รับเงินแล้ว ทำให้ผู้เสียหายได้รับความเสียหายทั้งด้านการเงินและการดำเนินงาน
ความเสี่ยงต่อเนื่องและการแพร่กระจายด้านข้าง
หาก Strike ยังคงทำงานอยู่ในระบบ มันสามารถเข้ารหัสไฟล์ที่สร้างขึ้นใหม่หรือกู้คืนมาได้เรื่อยๆ ในสภาพแวดล้อมเครือข่าย ภัยคุกคามอาจแพร่กระจายไปยังอุปกรณ์ที่เชื่อมต่อ ทำให้ผลกระทบรุนแรงขึ้น การกำจัดแรนซัมแวร์โดยทันทีจึงมีความสำคัญอย่างยิ่งในการป้องกันความเสียหายเพิ่มเติม
เช่นเดียวกับมัลแวร์เรียกค่าไถ่หลายสายพันธุ์ Strike แพร่กระจายผ่านช่องทางต่างๆ มากมาย ไฟล์ปฏิบัติการที่เป็นอันตราย สคริปต์ ไฟล์บีบอัด (ZIP หรือ RAR) และเอกสารที่มีกับดัก เช่น ไฟล์ Word, Excel หรือ PDF เป็นกลไกการแพร่กระจายที่พบได้ทั่วไป การติดเชื้อโดยทั่วไปจะเริ่มต้นเมื่อเหยื่อเปิดหรือเรียกใช้ไฟล์ที่เป็นอันตราย
อาชญากรไซเบอร์ยังใช้กลอุบายต่างๆ เช่น อีเมลฟิชชิ่ง การหลอกลวงด้านการสนับสนุนทางเทคนิค ซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรแกรมแคร็ก และโปรแกรมสร้างรหัสเพื่อล่อลวงเหยื่อ นอกจากนี้ ช่องทางการติดเชื้อยังรวมถึงช่องโหว่ของซอฟต์แวร์ที่ล้าสมัย แพลตฟอร์มการแชร์ไฟล์แบบ Peer-to-Peer พอร์ทัลดาวน์โหลดที่ไม่เป็นทางการ เว็บไซต์ที่ถูกบุกรุกหรือเว็บไซต์ปลอม ไดรฟ์ USB ที่ติดไวรัส และโฆษณาออนไลน์ที่หลอกลวง
การเสริมสร้างการป้องกัน: แนวปฏิบัติด้านความปลอดภัยที่จำเป็น
การป้องกันที่มีประสิทธิภาพต่อแรนซัมแวร์ขั้นสูงอย่างเช่น Strike จำเป็นต้องใช้กลยุทธ์ด้านความปลอดภัยเชิงรุกและแบบหลายชั้น ผู้ใช้และองค์กรควรดำเนินการตามมาตรการต่อไปนี้:
- ควรทำการสำรองข้อมูลอย่างสม่ำเสมอและปลอดภัย โดยจัดเก็บไว้แบบออฟไลน์หรือในสภาพแวดล้อมคลาวด์ที่แยกต่างหาก เพื่อให้มั่นใจได้ว่าสามารถกู้คืนข้อมูลได้โดยไม่ต้องเสียค่าไถ่
- หมั่นอัปเดตระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์รักษาความปลอดภัยอยู่เสมอ เพื่อแก้ไขช่องโหว่ที่ทราบแล้ว
- ใช้โปรแกรมป้องกันมัลแวร์และระบบรักษาความปลอดภัยปลายทางที่มีชื่อเสียง ซึ่งสามารถตรวจจับภัยคุกคามแบบเรียลไทม์ได้
- โปรดใช้ความระมัดระวังเมื่อจัดการกับไฟล์แนบอีเมล ลิงก์ และไฟล์ดาวน์โหลดจากแหล่งที่ไม่รู้จักหรือไม่ได้รับการตรวจสอบ
- ปิดใช้งานมาโครในเอกสาร Office เว้นแต่จำเป็นอย่างยิ่งและได้รับการตรวจสอบแล้วว่าปลอดภัย
- หลีกเลี่ยงซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรแกรมแคร็ก และแพลตฟอร์มดาวน์โหลดที่ไม่เป็นทางการ
- จำกัดสิทธิ์การดูแลระบบเพื่อลดผลกระทบจากการติดเชื้อที่อาจเกิดขึ้น
นอกเหนือจากการควบคุมทางเทคนิคเหล่านี้แล้ว การตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ก็มีบทบาทสำคัญอย่างยิ่ง พนักงานและผู้ใช้ตามบ้านต้องเข้าใจกลยุทธ์การฟิชชิ่ง เทคนิคการหลอกลวงทางสังคม และสัญญาณเตือนภัยทั่วไปที่เกี่ยวข้องกับเนื้อหาที่เป็นอันตราย การแบ่งส่วนเครือข่ายและการนำหลักการให้สิทธิ์ขั้นต่ำมาใช้จะช่วยลดโอกาสการแพร่กระจายของแรนซัมแวร์ภายในองค์กรได้อีกด้วย
การประเมินขั้นสุดท้าย
Strike Ransomware เป็นตัวอย่างที่แสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของปฏิบัติการเรียกค่าไถ่ในยุคปัจจุบัน การใช้การเข้ารหัสที่แข็งแกร่ง การข่มขู่ว่าจะขโมยข้อมูล และกลยุทธ์กดดันด้วยเวลาที่รุนแรง เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยทางไซเบอร์อย่างครอบคลุม มาตรการป้องกัน การสำรองข้อมูลอย่างสม่ำเสมอ พฤติกรรมของผู้ใช้ที่ระมัดระวัง และการตอบสนองต่อเหตุการณ์อย่างรวดเร็ว ล้วนเป็นองค์ประกอบสำคัญในการป้องกันภัยคุกคามในลักษณะนี้ได้อย่างมีประสิทธิภาพที่สุด
System Messages
The following system messages may be associated with Strike Ransomware:
Your personal ID: |
