LockBit โจมตีเซิร์ฟเวอร์ Windows Domain ในเวียดนาม

[โฆษณา_1]

ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่า มัลแวร์มีความซับซ้อนมากขึ้น ทั้งในด้านสคริปต์การเข้ารหัสและวิธีการแพร่กระจาย และสามารถหลบเลี่ยงโซลูชันด้านความปลอดภัยแบบดั้งเดิมได้

ในช่วงสองเดือนที่ผ่านมา ผู้เชี่ยวชาญของ Bkav ได้รับคำขอความช่วยเหลืออย่างต่อเนื่องจากธุรกิจจำนวนมากในเวียดนาม ซึ่งทั้งหมดประสบปัญหาเดียวกัน คือ คอมพิวเตอร์ในเครือข่ายภายในของพวกเขาทั้งหมดถูกเข้ารหัสพร้อมกัน ทำให้ไม่สามารถกู้คืนข้อมูลได้

LockBit tấn công các máy chủ Windows Domain tại Việt Nam- Ảnh 1. — LockBit 3.0 กำลังได้รับความนิยมอย่างมากในเวียดนาม

จากการสืบสวนและวิเคราะห์คดีจำนวนมาก พบว่าต้นเหตุของการเข้ารหัสข้อมูลคือ LockBit 3.0 หรือที่รู้จักกันในชื่อ LockBit Black ซึ่งเป็นแรนซัมแวร์จากกลุ่มแฮกเกอร์ชื่อดัง ที่เพิ่งถูกกลุ่มพันธมิตรตำรวจระหว่างประเทศ (ประกอบด้วยสำนักงานอาชญากรรมแห่งชาติของสหราชอาณาจักร - NCA, สำนักงานสอบสวนกลางของสหรัฐอเมริกา - FBI และสำนักงานตำรวจแห่งสหภาพยุโรป - Europol) ทำลายลงไปเมื่อไม่นานมานี้

LockBit Black มีความซับซ้อนกว่ารุ่นก่อนๆ มันถูกออกแบบมาโดยเฉพาะเพื่อโจมตีเซิร์ฟเวอร์ Windows Domain ภายในระบบภายใน เมื่อแทรกซึมเข้าไปแล้ว ไวรัสจะใช้เซิร์ฟเวอร์เหล่านี้ในการแพร่กระจายไปทั่วทั้งระบบ ปิดใช้งานโซลูชันด้านความปลอดภัย (เช่น ปิดใช้งานโปรแกรมป้องกันไวรัส ไฟร์วอลล์) คัดลอกและเรียกใช้โค้ดที่เป็นอันตราย... ด้วยวิธีนี้ ไวรัสสามารถเข้ารหัสเครื่องทั้งหมดในระบบภายในได้พร้อมกัน โดยไม่ต้องโจมตีแต่ละเครื่องทีละเครื่องเหมือนแต่ก่อน

นอกเหนือจากการเปลี่ยนวิธีการและเป้าหมายแล้ว LockBit Black ยังใช้กลไกการเข้ารหัสข้อมูลที่แยบยลกว่าเดิม แทนที่จะเข้ารหัสข้อมูลโดยตรงเมื่อเริ่มต้นทำงาน ไวรัสจะยกระดับสิทธิ์การเข้าถึง จากนั้นข้ามการตรวจสอบสิทธิ์ผู้ใช้ (UAC) และสุดท้ายรีสตาร์ทเครื่องของเหยื่อเข้าสู่ Safe Mode (โหมดที่ระบบและแอปพลิเคชันบางตัวเท่านั้นที่จะทำงาน) และเข้ารหัสข้อมูลภายในโหมดนี้ ด้วยวิธีนี้ มัลแวร์จึงสามารถหลีกเลี่ยงโซลูชันด้านความปลอดภัยแบบดั้งเดิมได้

เพื่อหลีกเลี่ยงการถูกโจมตีโดย LockBit และไวรัสเข้ารหัสข้อมูลอื่นๆ ผู้เชี่ยวชาญของ Bkav แนะนำให้ผู้ใช้และผู้ดูแลระบบควรปฏิบัติดังนี้: