เผยแพร่รายงานการวิเคราะห์ Ransomware LockBit 3.0
ในช่วง 3 สัปดาห์ตั้งแต่วันที่ 24 มีนาคมถึงสัปดาห์แรกของเดือนเมษายนปีนี้ ไซเบอร์สเปซของเวียดนามได้บันทึกการโจมตีอย่างต่อเนื่องในรูปแบบของแรนซัมแวร์ต่อบริษัทขนาดใหญ่ของเวียดนามที่ดำเนินงานในด้านที่สำคัญ เช่น การเงิน หลักทรัพย์ พลังงาน โทรคมนาคม เป็นต้น การโจมตีเหล่านี้ทำให้ระบบของบริษัทต่างๆ ถูกระงับเป็นระยะเวลาหนึ่ง ส่งผลให้เกิดความเสียหาย ทางเศรษฐกิจ และชื่อเสียงอย่างมากแก่หน่วยงานที่มีระบบที่ถูกกลุ่มอาชญากรทางไซเบอร์กำหนดเป้าหมาย
ในระหว่างกระบวนการวิเคราะห์และสืบสวนสาเหตุและกลุ่มบุคคลที่โจมตีระบบข้อมูลของบริษัทในเวียดนามเมื่อเร็ว ๆ นี้ ทางการพบว่าเหตุการณ์เหล่านี้เป็น "ผลิตภัณฑ์" ของกลุ่มโจมตีหลายกลุ่ม เช่น LockBit, BlackCat, Mallox... โดยเฉพาะอย่างยิ่งกับการโจมตีด้วยแรนซัมแวร์บนระบบ VNDIRECT เมื่อเวลา 10.00 น. ของวันที่ 24 มีนาคม ซึ่งเข้ารหัสข้อมูลทั้งหมดของบริษัทใน 3 บริษัทชั้นนำของตลาดหุ้นเวียดนาม ทางการได้ระบุว่ากลุ่ม LockBit ที่มีมัลแวร์ LockBit 3.0 อยู่เบื้องหลังเหตุการณ์นี้
ทั่วโลก กลุ่ม LockBit ได้เปิดตัวการโจมตีด้วยแรนซัมแวร์หลายครั้งโดยมีเป้าหมายเป็นธุรกิจและองค์กรขนาดใหญ่ ตัวอย่างเช่น ในปี 2023 ในเดือนมิถุนายนและตุลาคมตามลำดับ กลุ่มแรนซัมแวร์ที่ฉาวโฉ่นี้ได้โจมตีบริษัทผลิตเซมิคอนดักเตอร์ TSMC (ไต้หวัน จีน) และบริษัทผลิตภัณฑ์และบริการด้านเทคโนโลยีสารสนเทศ CDW ด้วยค่าไถ่ข้อมูลที่กลุ่ม Lockbit เรียกร้องให้ธุรกิจจ่ายเงินสูงถึง 70 - 80 ล้านเหรียญสหรัฐ
ด้วยความปรารถนาที่จะช่วยให้หน่วยงาน องค์กร และธุรกิจต่างๆ ในเวียดนามเข้าใจระดับของอันตรายได้ดีขึ้น รวมถึงวิธีป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์โดยทั่วไป รวมถึงการโจมตีโดยกลุ่ม LockBit ศูนย์ติดตามความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC) ภายใต้กรมความปลอดภัยข้อมูล (กระทรวงสารสนเทศและการสื่อสาร) จึงได้รวบรวมแหล่งข้อมูลบนไซเบอร์สเปซและเผยแพร่ 'รายงานการวิเคราะห์เกี่ยวกับแรนซัมแวร์ LockBit 3.0'
กลุ่มแรนซัมแวร์ที่อันตรายที่สุดในโลก
รายงานฉบับใหม่ที่จัดทำโดย NCSC มุ่งเน้นไปที่การนำเสนอเนื้อหาหลัก 4 ประการ ได้แก่ ข้อมูลเกี่ยวกับกลุ่มโจมตีของแรนซัมแวร์ LockBit คลัสเตอร์ LockBit ที่ใช้งานอยู่ รายชื่อตัวบ่งชี้การโจมตีทางไซเบอร์ที่บันทึกไว้ที่เกี่ยวข้องกับ LockBit 3.0 วิธีป้องกันและลดความเสี่ยงจากการโจมตีของแรนซัมแวร์
รายงานของ NCSC ระบุว่า LockBit เป็นกลุ่มแรนซัมแวร์ที่อันตรายที่สุดกลุ่มหนึ่งของโลก และยังระบุด้วยว่าตั้งแต่เปิดตัวครั้งแรกในปี 2019 LockBit ได้ทำการโจมตีธุรกิจและองค์กรต่างๆ ในหลายภาคส่วนมาแล้วหลายครั้ง กลุ่มนี้ดำเนินการภายใต้รูปแบบ 'Ransomware-as-a-Service (RaaS)' ซึ่งอนุญาตให้ผู้ก่อภัยคุกคามสามารถปล่อยแรนซัมแวร์และแบ่งปันผลกำไรกับผู้ที่อยู่เบื้องหลังบริการนี้
ที่น่าสังเกตคือ ในเดือนกันยายน 2022 ซอร์สโค้ดของ LockBit 3.0 ซึ่งรวมถึงชื่อบางส่วนที่อาจใช้พัฒนาแรนซัมแวร์นี้ได้ ถูกเปิดเผยโดยบุคคลที่มีชื่อว่า 'ali_qushji' บนแพลตฟอร์ม X (เดิมชื่อ Twitter) การรั่วไหลดังกล่าวทำให้ผู้เชี่ยวชาญสามารถวิเคราะห์ตัวอย่างแรนซัมแวร์ LockBit 3.0 เพิ่มเติมได้ แต่ตั้งแต่นั้นมา ผู้ก่อภัยคุกคามได้สร้างแรนซัมแวร์รูปแบบใหม่จำนวนมากขึ้นโดยอิงจากซอร์สโค้ดของ LockBit 3.0
รายงานของ NCSC ยังให้รายชื่อตัวบ่งชี้การโจมตีทางไซเบอร์ที่เกี่ยวข้องกับ LockBit 3.0 ที่ได้รับการบันทึกไว้แก่หน่วยงานต่างๆ นอกเหนือไปจากการวิเคราะห์วิธีการโจมตีของ คลัสเตอร์แรนซัมแวร์ LockBit ที่ใช้งานอยู่ เช่น TronBit, CriptomanGizmo หรือ Tina Turnet ผู้เชี่ยวชาญของ NCSC กล่าวว่า "เราจะอัปเดตข้อมูลตัวบ่งชี้ IOC อย่างต่อเนื่องบนเพจ alert.khonggianmang.vn ของพอร์ทัลไซเบอร์สเปซแห่งชาติ"
ส่วนที่สำคัญโดยเฉพาะอย่างยิ่งที่กล่าวถึงใน 'รายงานการวิเคราะห์แรนซัมแวร์ LockBit 3.0' คือเนื้อหาที่ให้คำแนะนำแก่หน่วยงาน องค์กร และธุรกิจต่างๆ เกี่ยวกับวิธีป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์ หมายเหตุสำคัญเพื่อสนับสนุนหน่วยงานในเวียดนามในการป้องกันและตอบสนองต่อการโจมตีด้วยแรนซัมแวร์นั้นได้รับการกล่าวถึงโดยกรมความปลอดภัยข้อมูลใน 'คู่มือเกี่ยวกับมาตรการบางประการเพื่อป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์' ซึ่งเผยแพร่เมื่อวันที่ 6 เมษายน และยังคงได้รับคำแนะนำให้นำไปปฏิบัติโดยผู้เชี่ยวชาญของ NCSC
ผู้เชี่ยวชาญระบุว่าการโจมตีด้วยแรนซัมแวร์ในปัจจุบันมักเริ่มต้นจากจุดอ่อนด้านความปลอดภัยของหน่วยงานหรือองค์กร ผู้โจมตีจะเจาะระบบ รักษาสถานะ ขยายขอบเขตการบุกรุก ควบคุมโครงสร้างพื้นฐานด้านไอทีขององค์กร และทำให้ระบบหยุดชะงัก โดยมีจุดมุ่งหมายเพื่อบังคับให้องค์กรที่เป็นเหยื่อจริงจ่ายค่าไถ่หากต้องการกู้คืนข้อมูลที่เข้ารหัส
จากการแบ่งปันกับผู้สื่อข่าว ของ VietNamNet ในช่วงที่เกิดการโจมตีระบบ VNDIRECT เมื่อ 5 วันที่แล้ว จากมุมมองของหน่วยงานที่เข้าร่วมในการประสานงานกิจกรรมสนับสนุนการตอบสนองต่อเหตุการณ์ ผู้แทนจากกรมความปลอดภัยข้อมูลได้แสดงความคิดเห็นว่า เหตุการณ์นี้เป็นบทเรียนสำคัญในการสร้างความตระหนักรู้เกี่ยวกับความปลอดภัยของเครือข่ายและความมั่นคงขององค์กรและธุรกิจในเวียดนาม
ดังนั้น หน่วยงาน องค์กร และธุรกิจต่างๆ โดยเฉพาะธุรกิจที่ดำเนินการในสาขาที่สำคัญ เช่น การเงิน การธนาคาร หลักทรัพย์ พลังงาน โทรคมนาคม ฯลฯ จำเป็นต้องทบทวนและเสริมสร้างระบบความปลอดภัยและบุคลากรมืออาชีพที่มีอยู่โดยเร่งด่วนและเชิงรุก พร้อมกันนั้นก็ต้องพัฒนาแผนการตอบสนองต่อเหตุการณ์ด้วย
“องค์กรต่างๆ จำเป็นต้องปฏิบัติตามกฎระเบียบ ข้อกำหนด และแนวปฏิบัติเกี่ยวกับความปลอดภัยของข้อมูลและความปลอดภัยของเครือข่ายที่ประกาศใช้อย่างเคร่งครัด ซึ่งเป็นความรับผิดชอบของแต่ละองค์กรและบริษัทในการปกป้องตนเองและลูกค้าจากการโจมตีทางไซเบอร์ที่อาจเกิดขึ้น” ผู้แทนฝ่ายความปลอดภัยข้อมูลเน้นย้ำ
| แรนซัมแวร์ LockBit เดิมรู้จักกันในชื่อ ABCD ตามนามสกุลไฟล์ที่เข้ารหัส และไม่กี่เดือนต่อมา แรนซัมแวร์รูปแบบอื่นของ ABCD ก็ปรากฏขึ้น โดยใช้ชื่อปัจจุบันว่า Lockbit หนึ่งปีต่อมา กลุ่มดังกล่าวได้เปิดตัวเวอร์ชันอัปเกรด LockBit 2.0 (หรือเรียกอีกอย่างว่า LockBit Red) ซึ่งรวมถึงมัลแวร์แบบบูรณาการอีกตัวหนึ่งที่เรียกว่า StealBit เพื่อจุดประสงค์ในการขโมยข้อมูลที่ละเอียดอ่อน LockBit 3.0 หรือเรียกอีกอย่างว่า LockBit Black เป็นเวอร์ชันล่าสุดที่เปิดตัวในปี 2022 พร้อมฟีเจอร์ใหม่และเทคนิคหลบเลี่ยงที่ได้รับการปรับปรุง |
เหตุใดระบบ PVOIL จึงสามารถฟื้นตัวได้อย่างรวดเร็วหลังถูกโจมตีด้วยแรนซัมแวร์?
การสร้างวัฒนธรรมความปลอดภัยเพื่อเพิ่มการป้องกันต่อการโจมตีด้วยแรนซัมแวร์
การจ่ายค่าไถ่จะทำให้แฮกเกอร์เพิ่มการโจมตีด้วยแรนซัมแวร์
แหล่งที่มา
![[วิดีโอ] Hoang Van Sac - พยานผู้เห็นเหตุการณ์ระเบิดและกระสุนปืน](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/6/14/57b3f91b88f148038e3c473f8a619d70)
![[ภาพ] นายกรัฐมนตรี Pham Minh Chinh ต้อนรับผู้นำบริษัทสวีเดนหลายแห่ง](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/14/4437981cf1264434a949b4772f9432b6)
การแสดงความคิดเห็น (0)