BlackCat Ransomware คืออะไร? ป้องกันอย่างไร?

ทุกคนรู้ดีว่าแรนซัมแวร์น่ากลัว และตอนนี้แรนซัมแวร์รูปแบบใหม่ที่ชาญฉลาดที่เรียกว่า BlackCat ก็ก่อให้เกิดภัยคุกคามที่ใหญ่กว่านี้อีก

ต่างจากการโจมตีทางไซเบอร์อื่นๆ ตรงที่ BlackCat ransomware ทำงานในภาษาโปรแกรมที่ทรงพลังซึ่งยากต่อการถอดรหัส BlackCat ransomware คืออะไร และคุณจะป้องกันได้อย่างไร

BlackCat Ransomware คืออะไร?

BlackCat คือโมเดลการโจมตีทางไซเบอร์ Ransomware-as-a-Service (RaaS) ผู้กระทำผิด BlackCat ransomware ประนีประนอมข้อมูลในระบบและทำการร้องขอให้โอนเงินไปยังเหยื่อเพื่อแลกกับข้อมูล BlackCat ransomware ปรากฏตัวครั้งแรกในเดือนพฤศจิกายน 2021

BlackCat ไม่ใช่กลุ่มแฮ็กเกอร์ธรรมดา มันทำงานร่วมกับบริษัทในเครือจากกลุ่มโจมตีทางไซเบอร์ต่างๆ และจ่ายเงินชดเชยให้พวกเขาสูงถึง 90% นี่เป็นการจับรางวัลครั้งใหญ่เนื่องจากโปรแกรม RaaS อื่นๆ ไม่ได้เสนอราคามากกว่า 70% เนื่องจากการจ่ายเงินที่สูง แฮกเกอร์จากแก๊งอื่น ๆ เช่น BlackMatter และ REvil จึงกระตือรือร้นที่จะร่วมมือกับ BlackCat

แม้ว่า BlackCat ransomware จะพบได้ทั่วไปใน Windows แต่ก็สามารถปรากฏบนระบบปฏิบัติการอื่นได้เช่นกัน

BlackCat Ransomware ทำงานอย่างไร

ในการโจมตีด้วยแรนซัมแวร์ BlackCat ใช้ลิงก์เว็บไซต์หรืออีเมลที่ติดมัลแวร์เพื่อล่อเหยื่อ มันทรงพลังมากจนสามารถแพร่กระจายอย่างรวดเร็วทั่วทั้งระบบ

มัลแวร์เรียกค่าไถ่ BlackCat ใช้เทคนิคการขู่กรรโชกต่อไปนี้: ผู้โจมตีระบุลิงก์ที่อ่อนแอที่สุดในระบบและเจาะเข้าไปในช่องโหว่ เมื่อเข้าไปข้างใน พวกเขาจะดึงข้อมูลที่ละเอียดอ่อนที่สุดและถอดรหัสลงในระบบ พวกเขาดำเนินการเปลี่ยนบัญชีผู้ใช้ในActive Directoryของระบบ

การดัดแปลง Active Directory ที่ประสบความสำเร็จทำให้ BlackCat สามารถกำหนดค่า Group Policy Objects (GPO) ที่เป็นอันตรายเพื่อจัดการข้อมูลแรนซัมแวร์ ถัดไปคือการปิดการใช้งานโครงสร้างพื้นฐานด้านความปลอดภัยในระบบเพื่อหลีกเลี่ยงสิ่งกีดขวางบนถนน เมื่อไม่มีการรักษาความปลอดภัย พวกมันยังคงแพร่ระบาดไปยังระบบโดยใช้สคริปต์ PowerShell

พวกเขามีความได้เปรียบ ดังนั้นผู้โจมตีจึงดำเนินการเรียกร้องค่าไถ่จากเหยื่อด้วยภัยคุกคามที่จะสร้างความเสียหายให้กับคีย์ถอดรหัสข้อมูล เริ่มต้นการโจมตีแบบปฏิเสธการให้บริการแบบกระจายหรือทำให้ข้อมูลรั่วไหล การกระทำแต่ละอย่างทำให้เหยื่อตกอยู่ในสถานะที่ยากลำบาก ในกรณีส่วนใหญ่พวกเขาจะถูกบังคับให้จ่ายเงิน

สถานการณ์ข้างต้นไม่ได้เกิดขึ้นเฉพาะกับ BlackCat; การโจมตี RaaS อื่นๆ ก็มีกระบวนการที่คล้ายกัน แต่สิ่งหนึ่งที่ทำให้แรนซัมแวร์ BlackCat แตกต่างออกไปคือมันใช้ภาษาการเขียนโปรแกรม Rustซึ่งเป็นเทคนิคการเขียนโปรแกรมที่ช่วยลดข้อผิดพลาดให้เหลือน้อยที่สุด เป็นการจัดเก็บข้อมูลที่ปลอดภัยสำหรับสินทรัพย์ข้อมูล ป้องกันการรั่วไหลโดยไม่ตั้งใจ

ภาษาการเขียนโปรแกรม Rust ช่วยให้ BlackCat ทำการโจมตีที่ซับซ้อนที่สุดโดยไม่ต้องทำงานมากเกินไป ผู้เสียหายไม่สามารถเข้าถึงระบบของผู้โจมตีได้เนื่องจากระบบมีความปลอดภัยสูง

วิธีป้องกันการโจมตีของ BlackCat ransomware

นับตั้งแต่ก่อตั้ง BlackCat ยังคงสร้างความก้าวหน้าอย่างกล้าหาญในการก่อตั้งตัวเองในฐานะกลุ่มแฮ็กเกอร์ที่เป็นอันตราย ต่างจากผู้โจมตีรายอื่นที่สร้างเว็บไซต์ข้อมูลรั่วไหลบนเว็บมืด BlackCat สร้างเว็บไซต์เป็นสาธารณสมบัติ พวกเขากำลังส่งข้อความที่รุนแรงถึงผู้ที่ตกเป็นเหยื่อเพื่อบังคับให้พวกเขาจ่ายเงินอย่างรวดเร็ว มิฉะนั้นพวกเขาจะประสบความสูญเสียอย่างหนักเช่นเดียวกับเหยื่อรายอื่นที่โพสต์บนเว็บไซต์ของแฮ็กเกอร์

การป้องกันย่อมดีกว่าการรักษา คุณสามารถใช้มาตรการรักษาความปลอดภัยหลายประการเพื่อปกป้องแอปพลิเคชันของคุณจากการโจมตีแรนซัมแวร์ BlackCat

1. เข้ารหัสข้อมูลของคุณ

การเข้ารหัสข้อมูลทำงานบนสมมติฐานที่ว่าแม้ว่าผู้ใช้ที่ไม่ได้รับอนุญาตจะเข้าถึงข้อมูลของคุณ พวกเขาจะไม่สามารถประนีประนอมข้อมูลได้ และนั่นเป็นเพราะข้อมูลของคุณไม่ได้อยู่ในรูปแบบข้อความธรรมดาอีกต่อไปแต่อยู่ในโค้ด เมื่อข้อมูลเปลี่ยนจากไม่เข้ารหัสเป็นเข้ารหัส คุณจะต้องมีคีย์เข้ารหัสเพื่อเข้าถึงข้อมูลนั้น

เทคโนโลยีการเข้ารหัสสมัยใหม่ได้เพิ่มการรักษาความปลอดภัยของข้อมูลที่เข้ารหัสให้เข้มงวดยิ่งขึ้น ใช้อัลกอริธึมเพื่อรับรองการตรวจสอบความถูกต้องและความสมบูรณ์ของข้อมูล เมื่อมีข้อความมาถึง ระบบจะตรวจสอบความถูกต้องเพื่อระบุที่มาและตรวจสอบความถูกต้องโดยตรวจสอบว่ามีการเปลี่ยนแปลงหรือไม่

การเข้ารหัสข้อมูลช่วยให้คุณสามารถเข้ารหัสทั้งข้อมูลที่เหลือและข้อมูลระหว่างทาง นั่นหมายความว่า หากแรนซัมแวร์ทำให้ข้อมูลของคุณรั่วไหล ข้อมูลนั้นก็จะไม่สามารถอ่านได้

2. ใช้การรับรองความถูกต้องแบบหลายปัจจัย

การสร้างรหัสผ่านที่รัดกุมเป็นส่วนหนึ่งของวัฒนธรรมความปลอดภัยทางไซเบอร์ที่ดี ยิ่งรหัสผ่านแข็งแกร่งเท่าไรก็ยิ่งถอดรหัสได้ยากเท่านั้น แต่ผู้โจมตี BlackCat ไม่ใช่มือใหม่ในการค้นหารหัสผ่านโดยใช้การโจมตีแบบ Brute Forceหรือสิ่งที่คล้ายกัน

แม้หลังจากสร้างรหัสผ่านที่รัดกุมแล้ว ดำเนินการต่อด้วยการใช้ Multi-Factor Authentication (MFA) ต้องมีข้อมูลรับรองการตรวจสอบตั้งแต่สองรายการขึ้นไปก่อนที่ผู้ใช้จะสามารถเข้าถึงระบบของคุณได้

ปัจจัยการตรวจสอบสิทธิ์แบบหลายปัจจัยทั่วไปคือรหัสผ่านครั้งเดียว (OTP) หาก BlackCat แฮ็กรหัสผ่านของคุณ พวกเขาจะต้องระบุ OTP ที่ระบบของคุณสร้างและส่งไปยังหมายเลขโทรศัพท์ อีเมล หรือแอปพลิเคชันอื่น ๆ ที่คุณเชื่อมต่อกับกระบวนการ หากไม่มีการเข้าถึง OTP พวกเขาจะไม่สามารถเข้าสู่ระบบได้

3. ติดตั้งการอัปเดต

การรักษาความปลอดภัยทางไซเบอร์เป็นกิจกรรมต่อเนื่อง ในขณะที่นักพัฒนาสร้างแอปพลิเคชันที่มีการรักษาความปลอดภัยที่แข็งแกร่ง แฮกเกอร์กำลังทำงานเพื่อค้นหาช่องโหว่ในระบบเหล่านั้น ดังนั้นนักพัฒนาจึงยังคงอัปเดตระบบอย่างต่อเนื่องเพื่อกระชับพื้นที่ที่การรักษาความปลอดภัยหละหลวม

สิ่งสำคัญคือคุณต้องติดตั้งการอัปเดตสำหรับระบบปฏิบัติการและแอปพลิเคชันที่คุณใช้ หากไม่ทำเช่นนั้นจะทำให้คุณเสี่ยงต่อภัยคุกคามทางไซเบอร์ที่ผู้โจมตีสามารถใช้เพื่อเริ่มการโจมตีแรนซัมแวร์ต่อคุณได้

เป็นเรื่องง่ายที่จะลืมติดตั้งการอัปเดต เพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ ให้กำหนดเวลาการอัปเดตอุปกรณ์ของคุณเป็นระยะหรือตั้งการเตือนอัตโนมัติ

4. ใช้ระบบควบคุมการเข้าออก

วิธีที่ง่ายที่สุดในการตกเป็นเหยื่อการโจมตีของ BlackCat ransomware คือการปล่อยให้เครือข่ายของคุณเปิดกว้างสำหรับทุกคน คุณจะได้รับประโยชน์จากระบบรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งยิ่งขึ้นเมื่อคุณใช้ระบบควบคุมการเข้าถึงที่ตรวจสอบการรับส่งข้อมูลที่เข้าสู่เครือข่ายของคุณ โดยเฉพาะผู้คนและอุปกรณ์ที่ต้องการเข้าถึง

ระบบควบคุมการเข้าถึงที่มีประสิทธิภาพใช้กระบวนการตรวจสอบสิทธิ์และการอนุญาตเพื่อตรวจสอบผู้ใช้และอุปกรณ์ เพื่อให้แน่ใจว่าจะไม่เป็นอันตรายก่อนที่จะส่งผ่านแอปพลิเคชันของคุณ ด้วยระบบดังกล่าว ผู้โจมตีจะมีปัญหาในการแฮ็กระบบของคุณ

5. สำรองข้อมูล

ด้วยอัตราการละเมิดข้อมูลที่เพิ่มขึ้น จึงควรดำเนินการอย่างรอบคอบเพื่อจัดการกับการโจมตีที่อาจเกิดขึ้นกับระบบของคุณ และวิธีหนึ่งที่แน่นอนในการทำเช่นนั้นคือการสำรองข้อมูลโดยการย้ายจากหน่วยความจำหลักไปยังที่จัดเก็บข้อมูลรอง จากนั้น แยกระบบจัดเก็บข้อมูลรองออกจากระบบจัดเก็บข้อมูลหลัก ดังนั้นหากระบบจัดเก็บข้อมูลที่สองถูกโจมตี ระบบจัดเก็บข้อมูลแรกจะไม่ติดไวรัส หากเกิดอะไรขึ้นกับข้อมูลหลัก คุณจะยังคงมีข้อมูลสำรองอยู่

คุณสามารถสำรองข้อมูลของคุณได้ในสถานที่ต่างๆ รวมถึงอุปกรณ์ฮาร์ดแวร์ โซลูชันซอฟต์แวร์ บริการคลาวด์ และบริการไฮบริด บริการสำรองข้อมูลบนคลาวด์นำเสนอคุณประโยชน์และคุณสมบัติด้านความปลอดภัยมากมายที่ไม่มีในโซลูชันการสำรองข้อมูลแบบเดิม หากคุณต้องการรวมโซลูชันแบบเดิมเข้ากับโซลูชันคลาวด์ คุณสามารถทำได้ด้วยการสำรองข้อมูลแบบไฮบริด