การโจรกรรม การขู่กรรโชก และการแอบอ้างบุคคลอื่นมีอยู่ทั่วไปในโลกออนไลน์ โดยมีผู้คนหลายพันคนที่ตกเป็นเหยื่อของการหลอกลวงและการโจมตีต่างๆ ทุกเดือน วิธีการโจมตีวิธีหนึ่งใช้ แรนซัมแวร์ประเภทหนึ่งที่เรียกว่า LockBit 3.0 แล้วแรนซัมแวร์นี้มาจากไหน มีการใช้งานอย่างไร และคุณสามารถทำอะไรได้บ้างเพื่อป้องกันตัวเอง?
LockBit 3.0 มาจากไหน?
ล็อคบิต 3.0
LockBit 3.0 (หรือเรียกอีกอย่างว่า LockBit Black) เป็นตระกูลของแรนซัมแวร์ที่เกิดจากตระกูล LockBit ransomware นี่คือกลุ่มโปรแกรมเรียกค่าไถ่ที่ถูกค้นพบครั้งแรกในเดือนกันยายน 2019 หลังจากเกิดการโจมตีระลอกแรก ในตอนแรก LockBit ถูกเรียกว่า ".abcd virus" แต่ในขณะนั้นไม่ทราบว่าผู้สร้างและผู้ใช้ของ LockBit จะยังคงสร้างโปรแกรมแรนซัมแวร์ดั้งเดิมเวอร์ชันใหม่ต่อไป
ตระกูลแรนซัมแวร์ของ LockBit แพร่กระจายไปในตัวเอง แต่มีเพียงเหยื่อบางรายเท่านั้นที่ถูกกำหนดเป้าหมาย โดยส่วนใหญ่เป็นผู้ที่สามารถจ่ายค่าไถ่ก้อนใหญ่ได้ ผู้ที่ใช้แรนซัมแวร์ LockBit มักจะซื้อการเข้าถึง Remote Desktop Protocol (RDP) บนเว็บที่มืดเพื่อให้พวกเขาสามารถเข้าถึงอุปกรณ์ของเหยื่อจากระยะไกลและง่ายดายยิ่งขึ้น
ผู้ให้บริการของ LockBit ได้กำหนดเป้าหมายไปที่องค์กรหลายแห่งทั่วโลกนับตั้งแต่ใช้งานครั้งแรก ซึ่งรวมถึงสหราชอาณาจักร สหรัฐอเมริกา ยูเครน และฝรั่งเศส โปรแกรมที่เป็นอันตรายตระกูลนี้ใช้โมเดล Ransomware-as-a-Service (RaaS) ซึ่งผู้ใช้สามารถจ่ายเงินให้ผู้ให้บริการเพื่อเข้าถึงแรนซัมแวร์บางประเภทได้ ซึ่งมักจะเกี่ยวข้องกับการลงทะเบียนบางรูปแบบ บางครั้งผู้ใช้สามารถตรวจสอบสถิติเพื่อดูว่าการใช้ LockBit ransomware ประสบความสำเร็จหรือไม่
จนกระทั่งปี 2021 LockBit ก็กลายเป็นแรนซัมแวร์ยอดนิยมผ่านทาง LockBit 2.0 (ซึ่งเป็นบรรพบุรุษของแรนซัมแวร์สายพันธุ์ปัจจุบัน) เมื่อมาถึงจุดนี้ กลุ่มอาชญากรที่ใช้แรนซั่มแวร์นี้จึงตัดสินใจนำโมเดลการขู่กรรโชกแบบคู่มาใช้ สิ่งนี้เกี่ยวข้องกับการเข้ารหัสและการกรอง (หรือการถ่ายโอน) ไฟล์ของเหยื่อไปยังอุปกรณ์อื่น วิธีการโจมตีเพิ่มเติมนี้ทำให้สถานการณ์ทั้งหมดน่ากลัวยิ่งขึ้นสำหรับบุคคลหรือองค์กรเป้าหมาย
ประเภทล่าสุดของ LockBit ransomware ที่ระบุคือ LockBit 3.0 LockBit 3.0 ทำงานอย่างไร และปัจจุบันมีการใช้งานอย่างไร?
LockBit 3.0 คืออะไร?
LockBit 3.0 สามารถเข้ารหัสและถอนไฟล์ทั้งหมดบนอุปกรณ์ที่ติดไวรัสได้
ในช่วงปลายฤดูใบไม้ผลิปี 2022 มีการค้นพบกลุ่มแรนซัมแวร์ LockBit เวอร์ชันใหม่: LockBit 3.0 ในฐานะโปรแกรมเรียกค่าไถ่ LockBit 3.0 สามารถเข้ารหัสและกรองไฟล์ทั้งหมดบนอุปกรณ์ที่ติดไวรัส ช่วยให้ผู้โจมตีจับข้อมูลของเหยื่อเป็นตัวประกันได้จนกว่าจะชำระค่าไถ่ที่ร้องขอ แรนซั่มแวร์นี้กำลังแพร่ระบาดและก่อให้เกิดความกังวลอย่างมาก
กระแสของการโจมตี LockBit 3.0 โดยทั่วไปคือ:
1. LockBit 3.0 แพร่เชื้อไปยังอุปกรณ์ของเหยื่อ เข้ารหัสไฟล์ และแนบนามสกุลไฟล์ที่เข้ารหัส"HLjkNskOq"
2. จากนั้น จำเป็นต้องใช้คีย์อาร์กิวเมนต์บรรทัดคำสั่งที่เรียกว่า"-pass"เพื่อทำการเข้ารหัส
3. LockBit 3.0 สร้างเธรดที่แตกต่างกันมากมายเพื่อทำงานหลายอย่างพร้อมกัน ดังนั้นการเข้ารหัสข้อมูลจึงเสร็จสิ้นได้ในเวลาน้อยลง
4. LockBit 3.0 จะลบบริการหรือคุณสมบัติบางอย่างออกเพื่อทำให้กระบวนการเข้ารหัสและการกรองง่ายขึ้นมาก
5. API ใช้เพื่อบรรจุการเข้าถึงฐานข้อมูลของผู้จัดการฝ่ายควบคุมบริการ
6. เปลี่ยนวอลเปเปอร์คอมพิวเตอร์ของเหยื่อเพื่อให้รู้ว่ากำลังถูกโจมตี
หากเหยื่อไม่จ่ายค่าไถ่ภายในระยะเวลาที่อนุญาต ผู้โจมตี LockBit 3.0 จะขายข้อมูลที่ขโมยมาบนเว็บมืดให้กับอาชญากรไซเบอร์รายอื่น นี่อาจเป็นหายนะสำหรับทั้งเหยื่อและองค์กร
ในขณะที่เขียนบทความนี้ LockBit 3.0 ใช้ประโยชน์จาก Windows Defender อย่างโดดเด่นที่สุดเพื่อปรับใช้Cobalt Strike ซอฟต์แวร์นี้ยังทำให้เกิดการติดมัลแวร์ต่อเนื่องในอุปกรณ์หลายเครื่อง
ในระหว่างกระบวนการนี้ เครื่องมือบรรทัดคำสั่ง MpCmdRun.exe ถูกใช้เพื่อให้ผู้โจมตีสามารถถอดรหัสและเปิดใช้คำเตือนได้ ซึ่งทำได้โดยการหลอกระบบให้จัดลำดับความสำคัญและโหลด DLL ที่เป็นอันตราย (Dynamic-Link Library)
Windows Defender ใช้ ไฟล์ปฏิบัติการ MpCmdRun.exe เพื่อสแกนหามัลแวร์ จึงปกป้องอุปกรณ์จากไฟล์และโปรแกรมที่เป็นอันตราย Cobalt Strike สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยของ Windows Defender ได้ ดังนั้นจึงมีประโยชน์มากสำหรับผู้โจมตีแรนซัมแวร์
เทคนิคนี้เรียกอีกอย่างว่าไซด์โหลด และอนุญาตให้ผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลจากอุปกรณ์ที่ติดไวรัสได้
จะป้องกันแรนซัมแวร์ LockBit 3.0 ได้อย่างไร?
LockBit 3.0 เป็นปัญหาที่เพิ่มมากขึ้น โดยเฉพาะในองค์กรขนาดใหญ่ที่มีข้อมูลจำนวนมากที่สามารถเข้ารหัสและกรองข้อมูลได้ สิ่งสำคัญคือต้องแน่ใจว่าคุณหลีกเลี่ยงการโจมตีที่เป็นอันตรายประเภทนี้
ในการดำเนินการนี้ คุณควรตรวจสอบให้แน่ใจว่าคุณใช้รหัสผ่านที่รัดกุมเป็นพิเศษและการตรวจสอบสิทธิ์แบบสองปัจจัยในทุกบัญชีของคุณ การรักษาความปลอดภัยอีกชั้นหนึ่งอาจทำให้อาชญากรไซเบอร์โจมตีคุณด้วยแรนซัมแวร์ได้ยากขึ้น ตัวอย่างเช่น ลองพิจารณาการโจมตีแรนซัมแวร์ Remote Desktop Protocol ในกรณีเช่นนี้ ผู้โจมตีจะสแกนอินเทอร์เน็ตเพื่อหาการเชื่อมต่อ RDP ที่มีช่องโหว่ ดังนั้นหากการเชื่อมต่อของคุณมีการป้องกันด้วยรหัสผ่านและใช้ 2FA คุณจะมีโอกาสตกเป็นเป้าหมายน้อยลงมาก
นอกจากนี้ คุณควรปรับปรุงระบบปฏิบัติการและโปรแกรมป้องกันไวรัสบนอุปกรณ์ของคุณให้ทันสมัย อยู่เสมอ การอัปเดตซอฟต์แวร์อาจใช้เวลานานและน่ารำคาญ แต่ก็มีเหตุผลอยู่ การอัปเดตดังกล่าวมักจะมาพร้อมกับการแก้ไขข้อบกพร่องและคุณลักษณะด้านความปลอดภัยเพิ่มเติมเพื่อปกป้องอุปกรณ์และข้อมูลของคุณ ดังนั้นอย่าพลาดโอกาสในการอัปเดตอุปกรณ์ของคุณ
มาตรการสำคัญอีกประการหนึ่งที่ต้องดำเนินการเพื่อหลีกเลี่ยงการโจมตีของแรนซัมแวร์คือการสำรองไฟล์ บางครั้งผู้โจมตีแรนซัมแวร์จะระงับข้อมูลสำคัญที่คุณต้องการด้วยเหตุผลหลายประการ ดังนั้นการสำรองข้อมูลจะช่วยลดความเสียหายได้ในระดับหนึ่ง สำเนาแบบออฟไลน์ เช่น สำเนาที่จัดเก็บไว้ในแท่ง USB อาจมีคุณค่าอย่างยิ่งเมื่อข้อมูลถูกขโมยหรือลบออกจากอุปกรณ์ของคุณ
มาตรการหลังจากติดแรนซัมแวร์
แม้ว่าคำแนะนำข้างต้นสามารถปกป้องคุณจากแรนซัมแวร์ LockBit ได้ แต่ก็ยังสามารถแพร่เชื้อได้ ดังนั้น หากคุณพบว่าคอมพิวเตอร์ของคุณติดไวรัส LockBit 3.0 สิ่งสำคัญคืออย่าดำเนินการอย่างเร่งรีบ มีขั้นตอนต่างๆ ที่คุณสามารถทำได้เพื่อลบแรนซัมแวร์ออกจากอุปกรณ์ของคุณ ซึ่งคุณควรปฏิบัติตามอย่างระมัดระวัง
คุณควรแจ้งเจ้าหน้าที่หากคุณตกเป็นเหยื่อของการโจมตีของแรนซัมแวร์ สิ่งนี้ช่วยให้ผู้มีส่วนได้ส่วนเสียเข้าใจและจัดการกับแรนซัมแวร์บางประเภทได้ดียิ่งขึ้น
ไม่มีใครรู้ว่า LockBit 3.0 ransomware จะถูกใช้เพื่อคุกคามและหาประโยชน์จากเหยื่ออีกกี่ครั้ง ด้วยเหตุนี้การปกป้องอุปกรณ์และบัญชีของคุณในทุกวิถีทางที่เป็นไปได้จึงเป็นสิ่งสำคัญ เพื่อให้ข้อมูลที่ละเอียดอ่อนของคุณปลอดภัย
ล่าสุด Microsoft เปิดตัวการอัปเดตสะสมล่าสุดสำหรับผู้ใช้พีซี Windows 10 ที่เรียกว่า Build 14393.222 การอัปเดตนี้เผยแพร่สำหรับ Windows 10 โดยส่วนใหญ่จะแก้ไขจุดบกพร่องตามคำติชมของผู้ใช้ และปรับปรุงประสบการณ์ด้านประสิทธิภาพของระบบปฏิบัติการ
คุณมีคอมพิวเตอร์บนเครือข่ายท้องถิ่นที่ต้องการการเข้าถึงจากภายนอกหรือไม่? การใช้โฮสต์ป้อมปราการเป็นผู้ดูแลเครือข่ายของคุณอาจเป็นทางออกที่ดี
หากคุณต้องการใช้แป้นพิมพ์คลาสสิกรุ่นเก่า เช่น IBM Model M ที่ไม่มีคีย์ Windows มาให้ มีวิธีง่ายๆ ในการเพิ่มคีย์เพิ่มเติมโดยการยืมคีย์ที่คุณไม่ได้ใช้บ่อย
บางครั้งคุณอาจต้องลบบันทึกเหตุการณ์เก่าทั้งหมดพร้อมกัน ในคู่มือนี้ Quantrimang.com จะแสดง 3 วิธีในการลบบันทึกเหตุการณ์ทั้งหมดใน Windows 10 Event Viewer อย่างรวดเร็ว
ในบทความก่อนหน้านี้หลายบทความ เราได้กล่าวไว้ว่าการไม่เปิดเผยตัวตนทางออนไลน์เป็นสิ่งสำคัญอย่างยิ่ง ข้อมูลส่วนตัวรั่วไหลทุกปี ทำให้การรักษาความปลอดภัยออนไลน์มีความจำเป็นมากขึ้น นั่นคือเหตุผลที่เราควรใช้ที่อยู่ IP เสมือน ด้านล่างนี้เราจะเรียนรู้เกี่ยวกับวิธีการสร้าง IP ปลอม!
WindowTop เป็นเครื่องมือที่มีความสามารถในการหรี่หน้าต่างแอปพลิเคชันและโปรแกรมทั้งหมดที่ทำงานบนคอมพิวเตอร์ Windows 10 หรือคุณสามารถใช้อินเทอร์เฟซพื้นหลังสีเข้มบน windows ได้
แถบภาษาบน Windows 8 เป็นแถบเครื่องมือภาษาขนาดเล็กที่ออกแบบมาเพื่อแสดงบนหน้าจอเดสก์ท็อปโดยอัตโนมัติ อย่างไรก็ตาม หลายๆ คนต้องการซ่อนแถบภาษานี้บนทาสก์บาร์
การเชื่อมต่อไร้สายถือเป็นสิ่งจำเป็นในปัจจุบัน และด้วยเหตุนี้ การรักษาความปลอดภัยแบบไร้สายจึงถือเป็นสิ่งสำคัญในการรับรองความปลอดภัยในเครือข่ายภายในของคุณ
การเพิ่มความเร็วอินเทอร์เน็ตให้สูงสุดถือเป็นสิ่งสำคัญในการเพิ่มประสิทธิภาพการเชื่อมต่อเครือข่ายของคุณ คุณสามารถมีความบันเทิงและประสบการณ์การทำงานที่ดีที่สุดโดยใช้คอมพิวเตอร์ ทีวีที่เชื่อมต่ออินเทอร์เน็ต เครื่องเล่นเกม ฯลฯ
หากคุณกำลังแชร์คอมพิวเตอร์กับเพื่อนหรือสมาชิกในครอบครัว หรือจัดการคอมพิวเตอร์หลายเครื่องโดยเฉพาะ คุณอาจเผชิญกับสถานการณ์ที่ไม่พึงประสงค์ซึ่งคุณต้องการเตือนพวกเขาด้วยบันทึกย่อก่อนที่พวกเขาจะเข้าสู่ระบบคอมพิวเตอร์ต่อไป
