VNDirect ត្រូវបានវាយប្រហារ៖ តើ Ransomware មានគ្រោះថ្នាក់ប៉ុណ្ណា?

ករណី VNDirect និងអ្វីដែលធ្វើឱ្យ Ransomware មានគ្រោះថ្នាក់?

នៅថ្ងៃទី 24 ខែមីនា ឆ្នាំ 2024 ក្រុមហ៊ុន VNDirect Securities នៅវៀតណាមបានក្លាយជាចំណុចក្តៅចុងក្រោយបំផុតនៅលើផែនទីនៃការវាយប្រហារ ransomware អន្តរជាតិ។ ការវាយប្រហារនេះមិនមែនជាករណីដាច់ដោយឡែកនោះទេ។

Ransomware ដែលជាប្រភេទកម្មវិធីព្យាបាទដែលត្រូវបានរចនាឡើងដើម្បីអ៊ិនគ្រីបទិន្នន័យនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះ និងទាមទារតម្លៃលោះដើម្បីឌិគ្រីបវាបានក្លាយទៅជាការគំរាមកំហែងផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតដែលរីករាលដាល និងគ្រោះថ្នាក់បំផុតនៅលើពិភពលោកនាពេលបច្ចុប្បន្ននេះ។ ការពឹងផ្អែកកាន់តែខ្លាំងឡើងលើទិន្នន័យឌីជីថល និងបច្ចេកវិទ្យាព័ត៌មាននៅក្នុងគ្រប់វិស័យនៃជីវិតសង្គម ធ្វើឱ្យអង្គការ និងបុគ្គលងាយរងគ្រោះចំពោះការវាយប្រហារទាំងនេះ។

គ្រោះថ្នាក់នៃ ransomware មិនត្រឹមតែស្ថិតនៅក្នុងសមត្ថភាពរបស់វាក្នុងការអ៊ិនគ្រីបទិន្នន័យប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏នៅក្នុងវិធីដែលវារីករាលដាល និងទាមទារតម្លៃលោះផងដែរ បង្កើតបណ្តាញប្រតិបត្តិការហិរញ្ញវត្ថុដែលតាមរយៈពួក Hacker អាចរកប្រាក់ចំណេញខុសច្បាប់។ ភាពស្មុគ្រស្មាញ និងមិនអាចទាយទុកជាមុនបាននៃការវាយប្រហារ ransomware ធ្វើឱ្យពួកគេក្លាយជាបញ្ហាប្រឈមដ៏ធំបំផុតមួយដែលកំពុងប្រឈមមុខនឹងសុវត្ថិភាពតាមអ៊ីនធឺណិតនាពេលបច្ចុប្បន្ននេះ។

ការវាយប្រហារលើ VNDirect គឺជាការរំលឹកយ៉ាងច្បាស់អំពីសារៈសំខាន់នៃការយល់ដឹង និងការការពារ ransomware ។ មានតែការយល់ដឹងពីរបៀបដែល ransomware ដំណើរការ និងការគំរាមកំហែងដែលវាបង្កឡើងប៉ុណ្ណោះ ទើបយើងអាចដាក់វិធានការការពារប្រកបដោយប្រសិទ្ធភាព ចាប់ពី ការអប់រំ អ្នកប្រើប្រាស់ ការអនុវត្តដំណោះស្រាយបច្ចេកទេស រហូតដល់ការបង្កើតយុទ្ធសាស្ត្របង្ការដ៏ទូលំទូលាយដើម្បីការពារទិន្នន័យ និងប្រព័ន្ធព័ត៌មានសំខាន់ៗ។

របៀបដែល Ransomware ដំណើរការ

Ransomware ដែលជាការគំរាមកំហែងដ៏គួរឱ្យភ័យខ្លាចនៅក្នុងពិភពនៃសន្តិសុខតាមអ៊ីនធឺណិត ដំណើរការក្នុងលក្ខណៈទំនើប និងពហុមុខ ដែលបណ្តាលឱ្យមានផលវិបាកធ្ងន់ធ្ងរដល់ជនរងគ្រោះ។ ដើម្បីយល់កាន់តែច្បាស់អំពីរបៀបដែល ransomware ដំណើរការ យើងត្រូវស្វែងយល់ពីជំហាននីមួយៗនៃដំណើរការវាយប្រហារ។

ការឆ្លងមេរោគ

ការវាយប្រហារចាប់ផ្តើមនៅពេលដែល ransomware ឆ្លងប្រព័ន្ធមួយ។ មានវិធីទូទៅមួយចំនួនដែល ransomware អាចចូលទៅក្នុងប្រព័ន្ធរបស់ជនរងគ្រោះ រួមមាន:

អ៊ីមែលបន្លំ៖ អ៊ីមែលក្លែងក្លាយដែលមានឯកសារភ្ជាប់ព្យាបាទ ឬតំណភ្ជាប់ទៅកាន់គេហទំព័រដែលមានកូដព្យាបាទ។ ការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព៖ ទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីដែលមិនបានជួសជុល ដើម្បីដំឡើង ransomware ដោយស្វ័យប្រវត្តិដោយគ្មានអន្តរកម្មអ្នកប្រើប្រាស់។ Malvertising៖ ការប្រើប្រាស់ការផ្សាយពាណិជ្ជកម្មតាមអ៊ីនធឺណិតដើម្បីចែកចាយមេរោគ។ ការទាញយកពីគេហទំព័រព្យាបាទ៖ អ្នកប្រើប្រាស់ទាញយកកម្មវិធី ឬមាតិកាពីគេហទំព័រដែលមិនគួរឱ្យទុកចិត្ត។

ការអ៊ិនគ្រីប

នៅពេលដែលឆ្លងមេរោគ ransomware ចាប់ផ្តើមដំណើរការអ៊ិនគ្រីបទិន្នន័យនៅលើប្រព័ន្ធរបស់ជនរងគ្រោះ។ ការអ៊ិនគ្រីបគឺជាដំណើរការនៃការបំប្លែងទិន្នន័យទៅជាទម្រង់ដែលមិនអាចអានបានដោយគ្មានសោឌិគ្រីប។ Ransomware ជាញឹកញាប់ប្រើក្បួនដោះស្រាយការអ៊ិនគ្រីបខ្លាំង ដោយធានាថាទិន្នន័យដែលបានអ៊ិនគ្រីបមិនអាចយកមកវិញបានទេបើគ្មានកូនសោជាក់លាក់។

ការទាមទារថ្លៃលោះ

បន្ទាប់ពីការអ៊ិនគ្រីបទិន្នន័យ ransomware បង្ហាញសារនៅលើអេក្រង់របស់ជនរងគ្រោះ ដោយទាមទារតម្លៃលោះដើម្បីឌិគ្រីបទិន្នន័យ។ សារជាធម្មតាមានការណែនាំអំពីរបៀបបង់ប្រាក់ (ជាធម្មតាតាមរយៈ Bitcoin ឬរូបិយប័ណ្ណគ្រីបតូផ្សេងទៀតដើម្បីលាក់អត្តសញ្ញាណរបស់ឧក្រិដ្ឋជន) ក៏ដូចជាថ្ងៃផុតកំណត់សម្រាប់ការទូទាត់។ កំណែមួយចំនួននៃ ransomware ក៏គំរាមកំហែងលុបទិន្នន័យ ឬធ្វើឱ្យវាជាសាធារណៈ ប្រសិនបើតម្លៃលោះមិនត្រូវបានបង់។

ប្រតិបត្តិការ និងការឌិគ្រីប (ឬអត់)

បន្ទាប់មកជនរងគ្រោះប្រឈមមុខនឹងការសម្រេចចិត្តដ៏លំបាកមួយ៖ បង់ថ្លៃលោះ ហើយសង្ឃឹមថានឹងទទួលបានទិន្នន័យរបស់ពួកគេមកវិញ ឬបដិសេធ និងបាត់បង់ទិន្នន័យរបស់ពួកគេជារៀងរហូត។ ទោះយ៉ាងណាក៏ដោយ ការបង់ប្រាក់មិនធានាថាទិន្នន័យនឹងត្រូវបានឌិគ្រីបទេ។ តាម​ពិត វា​អាច​នឹង​លើក​ទឹក​ចិត្ត​ឧក្រិដ្ឋជន​ឲ្យ​បន្ត​សកម្មភាព​របស់​ខ្លួន។

វិធីដែល ransomware ដំណើរការមិនត្រឹមតែបង្ហាញពីភាពស្មុគ្រស្មាញផ្នែកបច្ចេកទេសប៉ុណ្ណោះទេ ប៉ុន្តែវាក៏ជាការពិតដ៏គួរឱ្យសោកសៅផងដែរ៖ ឆន្ទៈក្នុងការទាញយកប្រយោជន៍ពីភាពមិនច្បាស់លាស់ និងភាពល្ងង់ខ្លៅរបស់អ្នកប្រើប្រាស់។ នេះគូសបញ្ជាក់អំពីសារៈសំខាន់នៃការបង្កើនការយល់ដឹង និងចំណេះដឹងអំពីសុវត្ថិភាពអ៊ីនធឺណិត ចាប់ពីការទទួលស្គាល់អ៊ីមែលបន្លំ រហូតដល់ការរក្សាកម្មវិធីសុវត្ថិភាពដែលទាន់សម័យ។ នៅចំពោះមុខការគំរាមកំហែងដែលមិនធ្លាប់មានដូចជា ransomware ការអប់រំ និងការការពារមានសារៈសំខាន់ជាងពេលណាទាំងអស់។

វ៉ារ្យ៉ង់ទូទៅនៃ Ransomware

នៅក្នុងពិភពនៃការគម្រាមកំហែង ransomware វ៉ារ្យ៉ង់មួយចំនួនលេចធ្លោសម្រាប់ភាពទំនើប សមត្ថភាពផ្សព្វផ្សាយ និងផលប៉ះពាល់លើអង្គការនានាទូទាំងពិភពលោក។ នេះគឺជាការពិពណ៌នាអំពីវ៉ារ្យ៉ង់ទូទៅចំនួនប្រាំពីរ និងរបៀបដែលពួកវាដំណើរការ។

REvil (ត្រូវបានគេស្គាល់ផងដែរថាជា Sodinokibi)

លក្ខណៈពិសេស៖ REvil គឺជាវ៉ារ្យ៉ង់នៃ Ransomware-as-a-Service (RaaS) ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត "ជួល" វាដើម្បីអនុវត្តការវាយប្រហាររបស់ពួកគេ។ នេះបង្កើនសមត្ថភាពរបស់ ransomware យ៉ាងសំខាន់ក្នុងការរីករាលដាល និងចំនួនជនរងគ្រោះ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ ការចែកចាយតាមរយៈការកេងប្រវ័ញ្ច អ៊ីមែលបន្លំ និងឧបករណ៍វាយប្រហារពីចម្ងាយ។ REvil ក៏ប្រើវិធីសាស្ត្រវាយប្រហារ ដើម្បីអ៊ិនគ្រីប ឬលួចទិន្នន័យដោយស្វ័យប្រវត្តិ។

រីយូក

លក្ខណៈពិសេស៖ Ryuk កំណត់គោលដៅជាចម្បងទៅលើអង្គការធំៗ ដើម្បីបង្កើនតម្លៃលោះ។ វាមានសមត្ថភាពក្នុងការកំណត់ដោយខ្លួនឯងសម្រាប់ការវាយប្រហារនីមួយៗ ដែលធ្វើឱ្យវាពិបាកក្នុងការស្វែងរក និងដកចេញ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ តាមរយៈអ៊ីមែលបន្លំ និងបណ្តាញដែលឆ្លងមេរោគផ្សេងទៀត ដូចជា Trickbot និង Emotet Ryuk រីករាលដាល និងអ៊ិនគ្រីបទិន្នន័យបណ្តាញ។

Robinhood

លក្ខណៈពិសេស៖ Robinhood ត្រូវបានគេស្គាល់ថាសម្រាប់សមត្ថភាពវាយប្រហារប្រព័ន្ធ រដ្ឋាភិបាល និងអង្គការធំៗ ដោយប្រើវិធីសាស្ត្រអ៊ិនគ្រីបដ៏ទំនើបដើម្បីចាក់សោឯកសារ និងទាមទារថ្លៃលោះធំ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ រីករាលដាលតាមរយៈយុទ្ធនាការបន្លំ ក៏ដូចជាការទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាពនៅក្នុងកម្មវិធី។

DoublePaymer

លក្ខណៈពិសេស៖ DoppelPaymer គឺជាបំរែបំរួល ransomware ដាច់ដោយឡែកដែលមានសមត្ថភាពបង្កការខូចខាតធ្ងន់ធ្ងរដោយការអ៊ិនគ្រីបទិន្នន័យ និងគំរាមកំហែងបញ្ចេញព័ត៌មាន ប្រសិនបើតម្លៃលោះមិនត្រូវបានបង់។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ ផ្សព្វផ្សាយតាមរយៈឧបករណ៍វាយប្រហារពីចម្ងាយ និងអ៊ីមែលបន្លំ ជាពិសេសកំណត់គោលដៅលើភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីដែលមិនបានជួសជុល។

SNAKE (ត្រូវបានគេស្គាល់ថា EKANS)

លក្ខណៈពិសេស៖ SNAKE ត្រូវបានរចនាឡើងដើម្បីវាយប្រហារប្រព័ន្ធគ្រប់គ្រងឧស្សាហកម្ម (ICS)។ វាមិនត្រឹមតែអ៊ិនគ្រីបទិន្នន័យប៉ុណ្ណោះទេ ថែមទាំងអាចរំខានដល់ដំណើរការឧស្សាហកម្មផងដែរ។

វិធីសាស្រ្តផ្សព្វផ្សាយ៖ តាមរយៈយុទ្ធនាការបន្លំ និងការកេងប្រវ័ញ្ច ដោយសង្កត់ធ្ងន់លើការកំណត់គោលដៅប្រព័ន្ធឧស្សាហកម្មជាក់លាក់។

ហ្វូបូស

លក្ខណៈពិសេស៖ Phobos ចែករំលែកភាពស្រដៀងគ្នាជាច្រើនជាមួយ Dharma ដែលជាបំរែបំរួល ransomware មួយផ្សេងទៀត ហើយជារឿយៗត្រូវបានប្រើដើម្បីវាយប្រហារអាជីវកម្មខ្នាតតូចតាមរយៈ RDP (Remote Desktop Protocol)។

វិធីសាស្រ្តបន្តពូជ៖ ជាចម្បងតាមរយៈ RDP ដែលត្រូវបានលាតត្រដាង ឬងាយរងគ្រោះ ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារអាចចូលប្រើពីចម្ងាយ និងដាក់ពង្រាយ ransomware ។

ចាក់សោប៊ីត

LockBit គឺជាបំរែបំរួល ransomware ដ៏ពេញនិយមមួយផ្សេងទៀតដែលដំណើរការក្រោមគំរូ Ransomware-as-a-Service (RaaS) ហើយត្រូវបានគេស្គាល់ថាសម្រាប់ការវាយប្រហាររបស់វាទៅលើអាជីវកម្ម និងស្ថាប័នរដ្ឋាភិបាល។ LockBit អនុវត្តការវាយប្រហាររបស់ខ្លួនជាបីដំណាក់កាលសំខាន់ៗ៖ ការទាញយកភាពងាយរងគ្រោះ ការជ្រៀតចូលទៅក្នុងប្រព័ន្ធ និងការដាក់ពង្រាយបន្ទុកការអ៊ិនគ្រីប។

ដំណាក់កាលទី 1 - ការកេងប្រវ័ញ្ច៖ LockBit ទាញយកភាពងាយរងគ្រោះនៅក្នុងបណ្តាញ ដោយប្រើបច្ចេកទេសដូចជា វិស្វកម្មសង្គម ដូចជាតាមរយៈអ៊ីម៉ែលបន្លំ ឬការវាយប្រហារដោយកម្លាំង brute លើម៉ាស៊ីនមេអ៊ីនត្រាណែត និងប្រព័ន្ធបណ្តាញ។

ដំណាក់កាលទី 2 - ការជ្រៀតចូល៖ បន្ទាប់ពីការជ្រៀតចូល LockBit ប្រើឧបករណ៍ "ក្រោយការកេងប្រវ័ញ្ច" ដើម្បីបង្កើនកម្រិតចូលប្រើរបស់វា និងរៀបចំប្រព័ន្ធសម្រាប់ការវាយប្រហារការអ៊ិនគ្រីប។

ដំណាក់កាលទី 3 - ការដាក់ពង្រាយ៖ LockBit ដាក់ពង្រាយបន្ទុកដែលបានអ៊ិនគ្រីបនៅលើគ្រប់ឧបករណ៍ដែលអាចចូលប្រើបានក្នុងបណ្តាញ ដោយអ៊ិនគ្រីបឯកសារប្រព័ន្ធទាំងអស់ និងទុកចំណាំតម្លៃលោះ។

LockBit ក៏ប្រើឧបករណ៍ប្រភពបើកចំហ និងឥតគិតថ្លៃមួយចំនួននៅក្នុងដំណើរការឈ្លានពានរបស់វា រាប់ចាប់ពីម៉ាស៊ីនស្កេនបណ្តាញ រហូតដល់កម្មវិធីគ្រប់គ្រងពីចម្ងាយ ដើម្បីធ្វើការស៊ើបអង្កេតបណ្តាញ ការចូលប្រើពីចម្ងាយ ការលួចព័ត៌មានសម្ងាត់ និងការជំរិតទិន្នន័យ។ ក្នុងករណីខ្លះ LockBit ក៏គំរាមបញ្ចេញទិន្នន័យផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះផងដែរ ប្រសិនបើការទាមទារតម្លៃលោះមិនត្រូវបានបំពេញ។

ដោយសារភាពស្មុគស្មាញ និងសមត្ថភាពក្នុងការរីករាលដាល LockBit តំណាងឱ្យការគំរាមកំហែងដ៏ធំបំផុតមួយនៅក្នុងពិភព ransomware ទំនើប។ អង្គការត្រូវអនុវត្តវិធានការសុវត្ថិភាពដ៏ទូលំទូលាយដើម្បីការពារខ្លួនពី ransomware នេះ និងវ៉ារ្យ៉ង់របស់វា។

លោក Dao Trung Thanh

ផ្នែកទី 2: ពីការវាយប្រហារ VNDirect ទៅយុទ្ធសាស្រ្តប្រឆាំង ransomware