LockBit 3.0 Ransomware คืออะไร จะทำอย่างไรเพื่อป้องกันมัน?

การโจรกรรม การขู่กรรโชก และการแอบอ้างบุคคลอื่นมีอยู่ทั่วไปในโลกออนไลน์ โดยมีผู้คนหลายพันคนที่ตกเป็นเหยื่อของการหลอกลวงและการโจมตีต่างๆ ทุกเดือน วิธีการโจมตีวิธีหนึ่งใช้ แรนซัมแวร์ประเภทหนึ่งที่เรียกว่า LockBit 3.0 แล้วแรนซัมแวร์นี้มาจากไหน มีการใช้งานอย่างไร และคุณสามารถทำอะไรได้บ้างเพื่อป้องกันตัวเอง?

LockBit 3.0 มาจากไหน?

ล็อคบิต 3.0

LockBit 3.0 (หรือเรียกอีกอย่างว่า LockBit Black) เป็นตระกูลของแรนซัมแวร์ที่เกิดจากตระกูล LockBit ransomware นี่คือกลุ่มโปรแกรมเรียกค่าไถ่ที่ถูกค้นพบครั้งแรกในเดือนกันยายน 2019 หลังจากเกิดการโจมตีระลอกแรก ในตอนแรก LockBit ถูกเรียกว่า ".abcd virus" แต่ในขณะนั้นไม่ทราบว่าผู้สร้างและผู้ใช้ของ LockBit จะยังคงสร้างโปรแกรมแรนซัมแวร์ดั้งเดิมเวอร์ชันใหม่ต่อไป

ตระกูลแรนซัมแวร์ของ LockBit แพร่กระจายไปในตัวเอง แต่มีเพียงเหยื่อบางรายเท่านั้นที่ถูกกำหนดเป้าหมาย โดยส่วนใหญ่เป็นผู้ที่สามารถจ่ายค่าไถ่ก้อนใหญ่ได้ ผู้ที่ใช้แรนซัมแวร์ LockBit มักจะซื้อการเข้าถึง Remote Desktop Protocol (RDP) บนเว็บที่มืดเพื่อให้พวกเขาสามารถเข้าถึงอุปกรณ์ของเหยื่อจากระยะไกลและง่ายดายยิ่งขึ้น

ผู้ให้บริการของ LockBit ได้กำหนดเป้าหมายไปที่องค์กรหลายแห่งทั่วโลกนับตั้งแต่ใช้งานครั้งแรก ซึ่งรวมถึงสหราชอาณาจักร สหรัฐอเมริกา ยูเครน และฝรั่งเศส โปรแกรมที่เป็นอันตรายตระกูลนี้ใช้โมเดล Ransomware-as-a-Service (RaaS) ซึ่งผู้ใช้สามารถจ่ายเงินให้ผู้ให้บริการเพื่อเข้าถึงแรนซัมแวร์บางประเภทได้ ซึ่งมักจะเกี่ยวข้องกับการลงทะเบียนบางรูปแบบ บางครั้งผู้ใช้สามารถตรวจสอบสถิติเพื่อดูว่าการใช้ LockBit ransomware ประสบความสำเร็จหรือไม่

จนกระทั่งปี 2021 LockBit ก็กลายเป็นแรนซัมแวร์ยอดนิยมผ่านทาง LockBit 2.0 (ซึ่งเป็นบรรพบุรุษของแรนซัมแวร์สายพันธุ์ปัจจุบัน) เมื่อมาถึงจุดนี้ กลุ่มอาชญากรที่ใช้แรนซั่มแวร์นี้จึงตัดสินใจนำโมเดลการขู่กรรโชกแบบคู่มาใช้ สิ่งนี้เกี่ยวข้องกับการเข้ารหัสและการกรอง (หรือการถ่ายโอน) ไฟล์ของเหยื่อไปยังอุปกรณ์อื่น วิธีการโจมตีเพิ่มเติมนี้ทำให้สถานการณ์ทั้งหมดน่ากลัวยิ่งขึ้นสำหรับบุคคลหรือองค์กรเป้าหมาย

ประเภทล่าสุดของ LockBit ransomware ที่ระบุคือ LockBit 3.0 LockBit 3.0 ทำงานอย่างไร และปัจจุบันมีการใช้งานอย่างไร?

LockBit 3.0 คืออะไร?

LockBit 3.0 สามารถเข้ารหัสและถอนไฟล์ทั้งหมดบนอุปกรณ์ที่ติดไวรัสได้

ในช่วงปลายฤดูใบไม้ผลิปี 2022 มีการค้นพบกลุ่มแรนซัมแวร์ LockBit เวอร์ชันใหม่: LockBit 3.0 ในฐานะโปรแกรมเรียกค่าไถ่ LockBit 3.0 สามารถเข้ารหัสและกรองไฟล์ทั้งหมดบนอุปกรณ์ที่ติดไวรัส ช่วยให้ผู้โจมตีจับข้อมูลของเหยื่อเป็นตัวประกันได้จนกว่าจะชำระค่าไถ่ที่ร้องขอ แรนซั่มแวร์นี้กำลังแพร่ระบาดและก่อให้เกิดความกังวลอย่างมาก

กระแสของการโจมตี LockBit 3.0 โดยทั่วไปคือ:

1. LockBit 3.0 แพร่เชื้อไปยังอุปกรณ์ของเหยื่อ เข้ารหัสไฟล์ และแนบนามสกุลไฟล์ที่เข้ารหัส"HLjkNskOq"

2. จากนั้น จำเป็นต้องใช้คีย์อาร์กิวเมนต์บรรทัดคำสั่งที่เรียกว่า"-pass"เพื่อทำการเข้ารหัส

3. LockBit 3.0 สร้างเธรดที่แตกต่างกันมากมายเพื่อทำงานหลายอย่างพร้อมกัน ดังนั้นการเข้ารหัสข้อมูลจึงเสร็จสิ้นได้ในเวลาน้อยลง

4. LockBit 3.0 จะลบบริการหรือคุณสมบัติบางอย่างออกเพื่อทำให้กระบวนการเข้ารหัสและการกรองง่ายขึ้นมาก

5. API ใช้เพื่อบรรจุการเข้าถึงฐานข้อมูลของผู้จัดการฝ่ายควบคุมบริการ

6. เปลี่ยนวอลเปเปอร์คอมพิวเตอร์ของเหยื่อเพื่อให้รู้ว่ากำลังถูกโจมตี

หากเหยื่อไม่จ่ายค่าไถ่ภายในระยะเวลาที่อนุญาต ผู้โจมตี LockBit 3.0 จะขายข้อมูลที่ขโมยมาบนเว็บมืดให้กับอาชญากรไซเบอร์รายอื่น นี่อาจเป็นหายนะสำหรับทั้งเหยื่อและองค์กร

ในขณะที่เขียนบทความนี้ LockBit 3.0 ใช้ประโยชน์จาก Windows Defender อย่างโดดเด่นที่สุดเพื่อปรับใช้Cobalt Strike ซอฟต์แวร์นี้ยังทำให้เกิดการติดมัลแวร์ต่อเนื่องในอุปกรณ์หลายเครื่อง

ในระหว่างกระบวนการนี้ เครื่องมือบรรทัดคำสั่ง MpCmdRun.exe ถูกใช้เพื่อให้ผู้โจมตีสามารถถอดรหัสและเปิดใช้คำเตือนได้ ซึ่งทำได้โดยการหลอกระบบให้จัดลำดับความสำคัญและโหลด DLL ที่เป็นอันตราย (Dynamic-Link Library)

Windows Defender ใช้ ไฟล์ปฏิบัติการ MpCmdRun.exe เพื่อสแกนหามัลแวร์ จึงปกป้องอุปกรณ์จากไฟล์และโปรแกรมที่เป็นอันตราย Cobalt Strike สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยของ Windows Defender ได้ ดังนั้นจึงมีประโยชน์มากสำหรับผู้โจมตีแรนซัมแวร์

เทคนิคนี้เรียกอีกอย่างว่าไซด์โหลด และอนุญาตให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลจากอุปกรณ์ที่ติดไวรัสได้

จะป้องกันแรนซัมแวร์ LockBit 3.0 ได้อย่างไร?

LockBit 3.0 เป็นปัญหาที่เพิ่มมากขึ้น โดยเฉพาะในองค์กรขนาดใหญ่ที่มีข้อมูลจำนวนมากที่สามารถเข้ารหัสและกรองข้อมูลได้ สิ่งสำคัญคือต้องแน่ใจว่าคุณหลีกเลี่ยงการโจมตีที่เป็นอันตรายประเภทนี้

ในการดำเนินการนี้ คุณควรตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่รัดกุมเป็นพิเศษและการตรวจสอบสิทธิ์แบบสองปัจจัยในทุกบัญชีของคุณ การรักษาความปลอดภัยอีกชั้นหนึ่งอาจทำให้อาชญากรไซเบอร์โจมตีคุณด้วยแรนซัมแวร์ได้ยากขึ้น ตัวอย่างเช่น ลองพิจารณาการโจมตีแรนซัมแวร์ Remote Desktop Protocol ในกรณีเช่นนี้ ผู้โจมตีจะสแกนอินเทอร์เน็ตเพื่อหาการเชื่อมต่อ RDP ที่มีช่องโหว่ ดังนั้นหากการเชื่อมต่อของคุณมีการป้องกันด้วยรหัสผ่านและใช้ 2FA คุณจะมีโอกาสตกเป็นเป้าหมายน้อยลงมาก

นอกจากนี้ คุณควรปรับปรุงระบบปฏิบัติการและโปรแกรมป้องกันไวรัสบนอุปกรณ์ของคุณให้ทันสมัย อยู่เสมอ การอัปเดตซอฟต์แวร์อาจใช้เวลานานและน่ารำคาญ แต่ก็มีเหตุผลอยู่ การอัปเดตดังกล่าวมักจะมาพร้อมกับการแก้ไขข้อบกพร่องและคุณลักษณะด้านความปลอดภัยเพิ่มเติมเพื่อปกป้องอุปกรณ์และข้อมูลของคุณ ดังนั้นอย่าพลาดโอกาสในการอัปเดตอุปกรณ์ของคุณ

มาตรการสำคัญอีกประการหนึ่งที่ต้องดำเนินการเพื่อหลีกเลี่ยงการโจมตีของแรนซัมแวร์คือการสำรองไฟล์ บางครั้งผู้โจมตีแรนซัมแวร์จะระงับข้อมูลสำคัญที่คุณต้องการด้วยเหตุผลหลายประการ ดังนั้นการสำรองข้อมูลจะช่วยลดความเสียหายได้ในระดับหนึ่ง สำเนาแบบออฟไลน์ เช่น สำเนาที่จัดเก็บไว้ในแท่ง USB อาจมีคุณค่าอย่างยิ่งเมื่อข้อมูลถูกขโมยหรือลบออกจากอุปกรณ์ของคุณ

มาตรการหลังจากติดแรนซัมแวร์

แม้ว่าคำแนะนำข้างต้นสามารถปกป้องคุณจากแรนซัมแวร์ LockBit ได้ แต่ก็ยังสามารถแพร่เชื้อได้ ดังนั้น หากคุณพบว่าคอมพิวเตอร์ของคุณติดไวรัส LockBit 3.0 สิ่งสำคัญคืออย่าดำเนินการอย่างเร่งรีบ มีขั้นตอนต่างๆ ที่คุณสามารถทำได้เพื่อลบแรนซัมแวร์ออกจากอุปกรณ์ของคุณ ซึ่งคุณควรปฏิบัติตามอย่างระมัดระวัง

คุณควรแจ้งเจ้าหน้าที่หากคุณตกเป็นเหยื่อของการโจมตีของแรนซัมแวร์ สิ่งนี้ช่วยให้ผู้มีส่วนได้ส่วนเสียเข้าใจและจัดการกับแรนซัมแวร์บางประเภทได้ดียิ่งขึ้น

ไม่มีใครรู้ว่า LockBit 3.0 ransomware จะถูกใช้เพื่อคุกคามและหาประโยชน์จากเหยื่ออีกกี่ครั้ง ด้วยเหตุนี้การปกป้องอุปกรณ์และบัญชีของคุณในทุกวิถีทางที่เป็นไปได้จึงเป็นสิ่งสำคัญ เพื่อให้ข้อมูลที่ละเอียดอ่อนของคุณปลอดภัย