LockBit โจมตีเซิร์ฟเวอร์ Windows Domain ในเวียดนาม

ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่ามัลแวร์ได้รับการปรับปรุงที่ซับซ้อนมากขึ้น ทั้งในสคริปต์การเข้ารหัสและวิธีการแพร่กระจาย ซึ่งสามารถหลีกเลี่ยงโซลูชันความปลอดภัยแบบเดิมได้

ในช่วง 2 เดือนที่ผ่านมา ผู้เชี่ยวชาญของ Bkav ได้รับคำขอความช่วยเหลือจากธุรกิจต่างๆ มากมายในเวียดนามอย่างต่อเนื่อง โดยพบสถานการณ์ทั่วไปคือ คอมพิวเตอร์ในเครือข่ายภายในทั้งหมดถูกเข้ารหัสในเวลาเดียวกัน และไม่สามารถบันทึกข้อมูลได้

LockBit tấn công các máy chủ Windows Domain tại Việt Nam- Ảnh 1. — LockBit 3.0 กำลังเริ่ม 'ระเบิด' ในเวียดนาม

ผลการสืบสวนและวิเคราะห์จากหลายกรณีแสดงให้เห็นว่าผู้กระทำความผิดในการเข้ารหัสข้อมูลคือ LockBit 3.0 หรือที่รู้จักกันในชื่อ LockBit Black ซึ่งเป็นแรนซัมแวร์ของกลุ่มแฮ็กเกอร์ชื่อดังที่เพิ่งถูกทำลายโดย International Police Alliance (ซึ่งรวมถึงหน่วยงานอาชญากรรมแห่งชาติของอังกฤษ (NCA) สำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) และหน่วยงานตำรวจสหภาพยุโรป (Europol)

LockBit Black มีการปรับปรุงที่ซับซ้อนกว่ารุ่นก่อนหน้า ออกแบบมาเพื่อโจมตีเซิร์ฟเวอร์จัดการโดเมน Windows ในระบบภายในโดยเฉพาะ หลังจากแทรกซึมเข้าไป ไวรัสจะใช้เซิร์ฟเวอร์เหล่านี้เพื่อแพร่กระจายไปทั่วระบบ ปิดใช้งานโซลูชันความปลอดภัย (ปิดใช้งานโปรแกรมป้องกันไวรัสและไฟร์วอลล์) คัดลอกและรันโค้ดอันตราย... ด้วยวิธีนี้ ไวรัสสามารถเข้ารหัสเครื่องทั้งหมดในระบบภายในได้พร้อมกัน โดยไม่ต้องโจมตีเครื่องแต่ละเครื่องเหมือนแต่ก่อน

LockBit Black ไม่เพียงแต่เปลี่ยนวิธีการและเป้าหมายเท่านั้น แต่ยังมีความเสี่ยงในการเข้ารหัสข้อมูลที่อันตรายกว่าอีกด้วย แทนที่จะเข้ารหัสข้อมูลโดยตรงเมื่อเปิดใช้งาน ไวรัสจะเพิ่มระดับสิทธิ์ จากนั้นจึงข้าม UAC และรีบูตเครื่องของเหยื่อเข้าสู่ Safe Mode (โหมดที่เปิดเฉพาะระบบและแอปพลิเคชันบางตัวเท่านั้น) และทำการเข้ารหัสข้อมูลในโหมดนี้ วิธีนี้ทำให้มัลแวร์สามารถข้ามโซลูชันความปลอดภัยแบบเดิมได้

เพื่อหลีกเลี่ยงการถูกโจมตีโดย LockBit เช่นเดียวกับไวรัสเข้ารหัสข้อมูลอื่น ๆ ผู้เชี่ยวชาญของ Bkav แนะนำให้ผู้ใช้และผู้ดูแลระบบดำเนินการดังต่อไปนี้: