Ransomware สามารถเข้ารหัสข้อมูลบนคลาวด์ได้

Ransomware มีขนาดเล็กเท่าเม็ดทรายและมีอยู่ทุกหนทุกแห่ง และพวกเขาสามารถเข้ารหัสได้มากกว่าที่คุณคิด การที่ไฟล์ส่วนตัวของคุณถูกทำลายถือเป็นการสูญเสียครั้งใหญ่ แต่เมื่อแรนซัมแวร์โจมตีสำเนาของคุณ ความเจ็บปวดนี้จะเพิ่มมากขึ้น

มีแรนซัมแวร์หลายรูปแบบที่โจมตีไม่เพียงแต่ฮาร์ดไดรฟ์เท่านั้น แต่ยังโจมตีไดรฟ์ระบบอื่นๆ ด้วยเช่นกัน และไดรฟ์บนคลาวด์ก็ไม่ได้อยู่นอกสายตาเช่นกัน ถึงเวลาแล้วที่คุณจะต้องตรวจสอบว่าไฟล์สำรองคืออะไรและสำเนาถูกเก็บไว้ที่ไหน

Ransomware โจมตีทุกที่

เรารู้ว่าการโจมตีด้วยแรนซัมแวร์สามารถทำลายล้างได้Ransomwareถือเป็นอุปสรรคอย่างหนึ่งเพราะไฟล์เป้าหมายคือรูปภาพ เพลง ภาพยนตร์ และเอกสารทุกประเภท ฮาร์ดไดรฟ์ของคุณเก็บไฟล์ส่วนตัว ไฟล์งาน และธุรกิจที่เป็นเป้าหมายหลักสำหรับการเข้ารหัส เมื่อเข้ารหัสแล้ว คุณจะเห็นข้อความเรียกค่าไถ่เรียกร้องให้ชำระเงิน ซึ่งโดยปกติจะเป็น Bitcoin ที่ติดตามได้ยาก เพื่อการปล่อยไฟล์ของคุณอย่างปลอดภัย

และถึงอย่างนั้น ก็ไม่รับประกันว่าคุณจะได้รับรหัสผ่านการเข้ารหัสหรือเครื่องมือถอดรหัส

CryptoLocker

CryptoLocker เป็นแรนซัมแวร์เข้ารหัสรูปแบบหนึ่งที่สามารถเข้ารหัสฮาร์ดไดรฟ์ของคุณได้หลายตัว ปรากฏตัวครั้งแรกในปี 2013 โดยแพร่กระจายผ่านไฟล์แนบอีเมลที่ติดไวรัส เมื่อติดตั้ง CryptoLocker บนคอมพิวเตอร์ จะสามารถสแกนฮาร์ดไดรฟ์เพื่อดูรายการนามสกุลไฟล์ที่ต้องการได้ นอกจากนี้ยังสแกนไดรฟ์ทั้งหมดที่เชื่อมต่อกับเครื่อง ไม่ว่าจะเป็น USB หรือเครือข่าย

ไดรฟ์เครือข่ายที่มีสิทธิ์การเข้าถึงแบบอ่าน/เขียนจะถูกเข้ารหัสเช่นเดียวกับฮาร์ดไดรฟ์ ถือเป็นความท้าทายสำหรับธุรกิจที่พนักงานเข้าถึงโฟลเดอร์เครือข่ายที่ใช้ร่วมกัน

โชคดีที่นักวิจัยด้านความปลอดภัยได้เผยแพร่สำเนาฐานข้อมูลเหยื่อของ CryptoLocker และจับคู่การเข้ารหัสแต่ละรายการ พวกเขาสร้างพอร์ทัล Decrypt CryptoLocker เพื่อช่วยเหยื่อถอดรหัสไฟล์ของพวกเขา

วิวัฒนาการ: CryptoFortress

CryptoLocker ปรากฏตัวและอ้างว่ามีเหยื่อ 500,000 ราย ตามข้อมูลของ Keith Jarvis จาก Dell SecureWorks CryptoLocker อาจได้รับเงิน 30 ล้านดอลลาร์ใน 100 วันแรกนับจากการดำเนินการขู่กรรโชก (มันจะสูงถึง 150 ล้านดอลลาร์หากเหยื่อแต่ละรายจ่ายค่าไถ่ 300 ดอลลาร์) อย่างไรก็ตาม การลบ CryptoLocker ไม่ใช่จุดเริ่มต้นของการป้องกันแรนซัมแวร์แมปไดรเวอร์เครือข่าย

CryptoFortress ถูกค้นพบในปี 2558 โดยนักวิจัยด้านความปลอดภัย Kafein มันมีรูปลักษณ์และแนวทางของ TorrentLocker แต่เป็นหนึ่งในความก้าวหน้าที่สำคัญ มันสามารถเข้ารหัสไดรเวอร์เครือข่ายที่ไม่ได้แมป

โดยทั่วไปแล้ว แรนซัมแวร์จะดึงรายการไดรฟ์เครือข่ายที่แมปไว้ เช่น C:, D:, E: เป็นต้น จากนั้นจะสแกนไดรฟ์ เปรียบเทียบนามสกุลไฟล์ แล้วเข้ารหัส เข้ารหัสไฟล์ที่เกี่ยวข้อง นอกจากนี้ CryptoFortress ยังระบุการแชร์เครือข่าย Server Message Block (SMB) ที่เปิดอยู่ทั้งหมดและเข้ารหัสทุกเครือข่ายที่พบ

ล็อคกี้

Locky เป็นแรนซัมแวร์อีกรูปแบบหนึ่ง ซึ่งมีชื่อเสียงในการเปลี่ยนไฟล์แต่ละไฟล์เป็น .locky รวมถึง wallet.da ซึ่งเป็นกระเป๋าเงินของ Bitcoin Locky ยังกำหนดเป้าหมายไฟล์บนคอมพิวเตอร์หรือไฟล์บนเครือข่ายที่ใช้ร่วมกันที่ไม่ได้แมป ซึ่งจะเปลี่ยนไฟล์ในกระบวนการ ความสับสนวุ่นวายนี้ทำให้กระบวนการกู้คืนยากขึ้น

นอกจากนี้ Locky ยังไม่มีตัวถอดรหัส

แรนซัมแวร์บนคลาวด์

แรนซัมแวร์ข้ามเครือข่ายและหน่วยความจำกายภาพของคอมพิวเตอร์ และยังก้าวข้ามข้อมูลบนคลาวด์อีกด้วย นี่เป็นปัญหาสำคัญ ที่เก็บข้อมูลบนคลาวด์มักถูกมองว่าเป็นหนึ่งในตัวเลือกการสำรองข้อมูลที่ปลอดภัยที่สุด โดยช่วยสำรองข้อมูลของคุณให้ห่างจากการแชร์เครือข่ายภายใน สร้างการแยกตัวจากอันตรายโดยรอบ แต่น่าเสียดายที่แรนซัมแวร์หลากหลายรูปแบบได้ข้ามการรักษาความปลอดภัยนี้ไปแล้ว

ตามรายงาน State of the Cloud ของ RightScale พบว่า 82% ของธุรกิจใช้กลยุทธ์มัลติคลาวด์ และการศึกษาเพิ่มเติม (ebook Slideshare) โดย Intuit แสดงให้เห็นว่าภายในปี 2020 ธุรกิจขนาดเล็ก 78% จะใช้ฟีเจอร์คลาวด์ การเปลี่ยนแปลงครั้งใหญ่ของธุรกิจทั้งขนาดใหญ่และขนาดเล็กทำให้บริการคลาวด์กลายเป็นเป้าหมายหลักสำหรับผู้จำหน่ายแรนซัมแวร์

Ransom_Cerber.cad

ผู้จำหน่ายมัลแวร์จะหาทางแก้ไขปัญหานี้ วิศวกรรมสังคมและฟิชชิ่งอีเมลเป็นเครื่องมือสำคัญ และสามารถใช้เพื่อหลีกเลี่ยงการควบคุมความปลอดภัยที่แข็งแกร่งได้ นักวิจัยด้านความปลอดภัยของ Trend Micro ค้นพบแรนซัมแวร์รูปแบบพิเศษที่เรียกว่า RANSOM_CERBER.CAD มีวัตถุประสงค์เพื่อกำหนดเป้าหมายผู้ใช้ตามบ้านและธุรกิจของ Microsoft 365, การประมวลผลแบบคลาวด์ และแพลตฟอร์มประสิทธิภาพการทำงาน

ตัวแปร Cerber สามารถเข้ารหัสไฟล์ได้ 442 ประเภทโดยใช้ AES-265 และ RSA ร่วมกัน แก้ไขการตั้งค่าโซน Internet Explorer บนคอมพิวเตอร์ ลบ Shadow Copy ปิดการใช้งาน Windows Startup Repair และยุติโปรแกรม Outlook , The bat!, Thunderbird และ Microsoft Word

นอกจากนี้ และนี่คือพฤติกรรมที่นำเสนอโดยแรนซัมแวร์สายพันธุ์อื่นๆ โดย Cerber จะสอบถามตำแหน่งทางภูมิศาสตร์ของระบบที่ได้รับผลกระทบ หากระบบโฮสต์เป็นสมาชิกของเครือรัฐเอกราช (อดีตประเทศสหภาพโซเวียต เช่น รัสเซีย มอลโดวา และเบลารุส) แรนซัมแวร์จะยุติการทำงานโดยอัตโนมัติ

เมฆเป็นเครื่องมือในการปนเปื้อน

Ransomware Petya ปรากฏตัวครั้งแรกในปี 2559 สิ่งที่น่าสังเกตบางประการเกี่ยวกับตัวแปรนี้ประการแรกคือ Petya สามารถเข้ารหัส Master Boot Record (MBR) ทั้งหมดของคอมพิวเตอร์ส่วนบุคคลทำให้ระบบขัดข้อง ภาพสีเขียว ทำให้ใช้ไม่ได้ทั้งระบบ จากนั้นเมื่อรีบูต ข้อความเรียกค่าไถ่ Petya ก็ปรากฏขึ้นแทน โดยมีรูปหัวกะโหลกและคำขอชำระเงินเป็น Bitcoin

ประการที่สอง Petya แพร่กระจายไปยังหลายระบบผ่านไฟล์ที่ติดไวรัสซึ่งจัดเก็บไว้ใน Dropbox โดยปลอมแปลงเป็นข้อมูลสรุป ลิงก์นี้ปลอมแปลงเป็นรายละเอียดแอปพลิเคชัน เมื่อลิงก์ดังกล่าวเชื่อมโยงไปยังไฟล์ปฏิบัติการที่ขยายได้เองเพื่อติดตั้งแรนซัมแวร์

โชคดีที่โปรแกรมเมอร์นิรนามพบวิธีถอดรหัสการเข้ารหัสของ Petya วิธีนี้สามารถตรวจจับคีย์เข้ารหัสที่จำเป็นในการปลดล็อค MBR และปล่อยไฟล์ที่บันทึกไว้

การใช้บริการคลาวด์เพื่อแพร่กระจายแรนซัมแวร์เป็นสิ่งที่เข้าใจได้ ผู้ใช้ได้รับการสนับสนุนให้ใช้โซลูชันการจัดเก็บข้อมูลบนคลาวด์เพื่อสำรองข้อมูลเนื่องจากมีการรักษาความปลอดภัยอีกชั้นหนึ่ง ความปลอดภัยคือกุญแจสู่ความสำเร็จของบริการคลาวด์ แต่ความไว้วางใจของผู้ใช้ในการรักษาความปลอดภัยบนคลาวด์สามารถถูกนำไปใช้ประโยชน์เพื่อวัตถุประสงค์ที่ไม่ดีได้

ในระยะสั้น

ที่เก็บข้อมูลบนคลาวด์ ไดรเวอร์เครือข่ายที่แมปหรือไม่แมป และไฟล์ระบบยังคงเสี่ยงต่อแรนซัมแวร์ นี่ไม่ใช่เรื่องใหม่อีกต่อไป อย่างไรก็ตาม ผู้จัดจำหน่ายมัลแวร์มุ่งเป้าไปที่ไฟล์สำรองข้อมูลซึ่งเพิ่มระดับความกังวลให้กับผู้ใช้ ในทางกลับกัน ต้องใช้ความระมัดระวังเพิ่มเติม

ผู้ใช้ตามบ้านและธุรกิจควรสำรองไฟล์สำคัญไปยังฮาร์ดไดรฟ์แบบถอดได้ การดำเนินการตอนนี้คือการดำเนินการที่จะช่วยให้คุณกู้คืนระบบของคุณหลังจากการติดแรนซัมแวร์ที่ไม่พึงประสงค์จากแหล่งที่ไม่น่าเชื่อถือ