หน้าแรก Security Hacker มารู้จักกับ แรนซั่มแวร์ LockBit ที่แอบโจมตีสายการบินในไทยชื่อดัง

มารู้จักกับ แรนซั่มแวร์ LockBit ที่แอบโจมตีสายการบินในไทยชื่อดัง

แบ่งปัน

แรนซั่มแวร์ LockBit ถูกค้นพบในเดือนกันยายน 2019 ซึ่งเดิมมีชื่อว่าแรนซั่มแวร์ “ABCD” ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ อาชญากรไซเบอร์ปรับใช้แรนซั่มแวร์นี้บนตัวควบคุมโดเมนของเหยื่อ จากนั้นจะแพร่กระจายการติดเชื้อโดยอัตโนมัติ และเข้ารหัสระบบคอมพิวเตอร์ที่เข้าถึงได้ทั้งหมดบนเครือข่าย แรนซั่มแวร์นี้ใช้ในการโจมตีที่กำหนดเป้าหมายประเภทเอ็นเทอร์ไพรซ์และองค์กรอื่นๆ เป้าหมายในอดีตที่โดดเด่น ได้แก่ องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)

นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก โดยเมื่อเร็วๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซั่มแวร์ LockBit ก็ได้ประกาศผลงานร้ายและอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB”

LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) ซึ่งให้บริการโครงสร้างพื้นฐานและมัลแวร์แก่ผู้โจมตี และรับส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมา LockBit มีเทคโนโลยีที่โดดเด่นและสามารถแพร่กระจายแรนซั่มแวร์ได้ทั่วทั้งเครือข่าย

เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนได้ก็จะเรียกใช้งานมัลแวร์เพื่อสร้างนโยบายกลุ่มใหม่สำหรับผู้ใช้ ซึ่งจะถูกส่งต่อไปยังอุปกรณ์แต่ละเครื่องบนเครือข่ายโดยอัตโนมัติ นโยบายนี้จะปิดใช้งานเทคโนโลยีความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นนโยบายอื่นๆ จะสร้างงานที่กำหนดไว้แล้วบนเครื่อง Windows ทั้งหมดเพื่อเรียกใช้โปรแกรมเรียกค่าไถ่

ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Kaspersky Endpoint Security for Business

หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซั่มแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ “กุญแจ” เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ