10 มัลแวร์เรียกค่าไถ่ที่โจมตีมากที่สุดในปี 2022

ในช่วงต้นปี เราจะเห็นบทความที่คาดการณ์แนวโน้มเกี่ยวกับแรนซัมแวร์ มัลแวร์ และการโจมตีอื่นๆ แต่ละรายการเป็นการทำนายที่ถูกต้องและไม่ถูกต้อง ในปี 2018 Ransomware ได้รับการพิจารณาให้เป็นหนึ่งในภัยคุกคามมัลแวร์ที่ใหญ่ที่สุด ซึ่งในช่วงปลายปีเริ่มไม่เป็นที่นิยม เนื่องจากอาชญากรไซเบอร์เริ่มให้ความสำคัญกับการขุด cryptocurrency

แต่นี่ไม่ได้หมายความว่าแรนซัมแวร์สายพันธุ์ใหม่จะหยุดพัฒนา พวกเขายังคงเกิดขึ้นและด้วยสิ่งนี้ เราสามารถพูดได้ว่าภัยคุกคามจากแรนซัมแวร์จะไม่หายไปในเร็วๆ นี้

ธุรกิจแบบเบ็ดเสร็จของแรนซัมแวร์สำหรับอาชญากรไซเบอร์

SamSam ransomware เป็นหนึ่งในการโจมตี ransomware ที่ใหญ่ที่สุดในปี 2018 เมืองแอตแลนตาได้รับความบอบช้ำจากมัน เนื่องจากมันทำให้การดำเนินธุรกิจ ชีวิตประจำวันของผู้คนหยุดชะงัก ทำให้ข้อมูลบางส่วนไม่สามารถกู้คืนได้อย่างสมบูรณ์ นี่เป็นเพียงตัวอย่างเดียวที่มีการโจมตีแรนซัมแวร์อื่นๆ อีกหลายสิบรายการที่ส่งผลกระทบต่อธุรกิจ อุตสาหกรรมการดูแลสุขภาพ และองค์กรภาครัฐในปี 2018

เมื่อต้นปี 2022 ภูมิทัศน์ของแรนซัมแวร์เริ่มมีความหลากหลาย จนถึงขณะนี้นักวิจัยด้านความปลอดภัยได้ติดตามแรนซัมแวร์ที่แตกต่างกันกว่า 1,100 ตัว จำนวนนี้เพิ่มขึ้นอย่างต่อเนื่องและการโจมตีของแรนซัมแวร์ยังคงท้าทายองค์กรต่างๆ

ดังนั้น เราขอนำเสนอ 10 การโจมตีแรนซัมแวร์ที่ใหญ่ที่สุดที่คุณควรรู้ในปี 2022

1) Bad Rabbit

แรนซัมแวร์ขนาดใหญ่สองตัวโจมตี WannaCry และ NotPetya ทำให้เกิด ransomware สายพันธุ์ที่สาม แรนซัมแวร์ตัวใหม่นี้มีชื่อว่า Bad Rabbit องค์กรในยุโรปอีสเตอร์ซึ่งมีสำนักงานใหญ่ในรัสเซียและยุโรปตะวันออกติดไวรัสแรนซัมแวร์ Bad Rabbit ยิ่งกว่านั้น ransomware นี้แพร่กระจายผ่านไดรฟ์โดยการดาวน์โหลด มันไม่ใช้การหาประโยชน์

แรนซัมแวร์ Bad Rabbit ปลอมตัวเป็นตัวติดตั้ง Adobe Flash เมื่อตัวติดตั้งปลอมถูกดาวน์โหลดจากไซต์ที่ติดไวรัส มันจะล็อกคอมพิวเตอร์และเรียกค่าไถ่ ไซต์ที่ใช้ JavaScript ติดไวรัสแรนซัมแวร์ Bad Rabbit ในการรับระบบคืนเหยื่อจะต้องจ่าย $280 ใน Bitcoin ภายในกำหนดเวลา 40 ชั่วโมง

2) เซอร์เบอร์

Cerber ransomware เป็น ransomware-as-a-service (RaaS) ซึ่งหมายความว่าทุกคนสามารถซื้อใบอนุญาต Cerber ทางออนไลน์และเผยแพร่เพื่อแลกกับส่วนแบ่งกำไร 40% ที่ได้รับจากการเรียกค่าไถ่กับนักพัฒนา แรนซัมแวร์นี้ใช้คีย์ RSA-2048 สำหรับการเข้ารหัสข้อมูล ทำให้เป็นแรนซัมแวร์ที่น่ากลัวที่สุด

เมื่อติดตั้ง Cerber ransomware แล้ว มันจะสร้างไฟล์ปฏิบัติการแบบสุ่มใน %LocalAppData% หรือ %AppData% หรือโฟลเดอร์ จากนั้นจะสแกนไดรฟ์ทั้งหมดเพื่อเข้ารหัสไฟล์และเพิ่มนามสกุล .cerber ให้กับไฟล์ที่เข้ารหัสแต่ละไฟล์ นอกจากนี้ Cerber ransomware ยังตั้งเป้าไปที่ผู้ใช้ Office 365 บนคลาวด์ โดยใช้แคมเปญฟิชชิ่งแบบละเอียด จนถึงตอนนี้ ransomware ได้แพร่ระบาดผู้ใช้นับล้านทั่วโลก

ผู้สร้าง Cerber ส่งเอกสาร Microsoft Office ที่ติดไวรัสเป็นไฟล์แนบ เมื่อดาวน์โหลดและเปิด Cerber ransomware เริ่มทำงานอย่างเงียบ ๆ ในพื้นหลัง

ในการถอดรหัสข้อมูล เหยื่อจำเป็นต้องซื้อซอฟต์แวร์ชนิดพิเศษ ransomware นี้ขอให้เหยื่อจ่ายค่าไถ่เป็น Bitcoin ภายใน 7 วัน หากไม่สามารถทำได้ จำนวนเงินจะเพิ่มขึ้นเป็นสองเท่า

3) ธรรมะ

Dharma ตัวแปร ransomware ใหม่คือ cryptovirus เช่นเดียวกับ ransomware อื่น ๆ มันขอให้เหยื่อจ่ายค่าไถ่สำหรับคีย์ถอดรหัส ผู้โจมตีที่ใช้ประโยชน์จากบริการ Remote Desktop Protocol ผ่านพอร์ต TCP 3389 จะส่ง Dharma ransomware ด้วยตนเอง ในการเข้ารหัสไฟล์ Dharma ransomware ใช้อัลกอริทึม AES 256 ตั้งแต่ปี 2559 มีการเปิดตัว Dharma ransomware 15 สายพันธุ์ เวอร์ชันล่าสุดของแรนซัมแวร์นี้มีที่อยู่อีเมลของผู้โจมตีและมีนามสกุลไฟล์ .gif AUF, .USA, .xwx, .best และ .heets การแพร่กระจายของตัวแปรธรรมะใหม่แสดงให้เห็นอย่างชัดเจนถึงการกระจายแรนซัมแวร์ในวงกว้างไปยังกลุ่มแฮกเกอร์กลุ่มใหม่

อ่านเพิ่มเติม : Dharma Ransomware: Ransomware อีกตัวที่กลับมาจากการลืมเลือน

4) GandCrab

GandCrab ransomware ที่ค้นพบในปี 2018 เช่น Cerber ransomware เป็นส่วนหนึ่งของ Ransomware-as-a-Service (RaaS) เป็นแรนซัมแวร์ตัวแรกและตัวหนึ่งในไม่กี่ตัวที่ต้องการเรียกค่าไถ่ในรูปแบบของสกุลเงินดิจิทัล DASH ทีมงานของ GandCrab ใช้ PowerShell, มาโคร Microsoft Office, VBScript เพื่อหลีกเลี่ยงการตรวจจับ

แรนซัมแวร์เวอร์ชันก่อนหน้าใช้เทคนิคการเข้ารหัส RSA และ AES ในขณะที่แรนซัมแวร์ GandCrab เวอร์ชัน 4.0 ใช้ Salsa20 อย่างรวดเร็ว นอกจากนี้ GandCrab ยังตรวจสอบภาษาของระบบเพื่อระบุว่าสามารถทิ้ง payload ได้หรือไม่ เครื่องที่มีภาษารัสเซียหรือภาษาโซเวียตในอดีตอื่น ๆ จะถูกข้ามไป

แรนซัมแวร์นี้มีการพัฒนาอย่างต่อเนื่องและเป็นภัยคุกคามแรนซัมแวร์แบบลีสซิ่งสำหรับทั้งธุรกิจและบุคคล ทีมงานที่อยู่เบื้องหลัง ransomware นี้คอยอัปเดตเพื่อให้มีความคดโกงมากขึ้น

ต้องอ่าน : GandCrab v5.1 Ransomware ใหม่พร้อมคุณสมบัติเพิ่มเติม

5) จิ๊กซอว์

Jigsaw ransomware สร้างขึ้นในปี 2016 ในตอนแรกมีชื่อว่า “BitcoinBlackmailer” แต่เนื่องจากภาพลักษณ์ของ Billy the Puppet จากหนังสยองขวัญ Saw จึงได้ชื่อว่า Jigsaw ransomware แรนซัมแวร์นี้ไม่เพียงแต่เข้ารหัสไฟล์ของผู้ใช้แต่ยังค่อยๆ ลบออกด้วย ซึ่งหมายความว่าเหยื่อต้องจ่ายค่าไถ่ภายใน 24 ชั่วโมง เนื่องจากแรนซัมแวร์เริ่มลบไฟล์ทุก ๆ ชั่วโมง ความล่าช้าที่มากขึ้นหมายถึงโอกาสในการกู้คืนข้อมูลน้อยลง

6) SimpleLocker

SimpleLocker ยังเป็นที่รู้จักในชื่อ Andr/Slocker-A เป็นแรนซัมแวร์ที่เปิดใช้งาน Tor ซึ่งกำหนดเป้าหมายระบบปฏิบัติการ Android มันแพร่กระจายผ่านโปรแกรมดาวน์โหลดโทรจันที่ปลอมตัวเป็นแอปพลิเคชั่นของแท้ เมื่อติดตั้งแล้ว SimpleLocker จะสแกนอุปกรณ์เพื่อหาไฟล์ประเภทต่างๆ และใช้ AES เพื่อเข้ารหัสไฟล์ SimpleLocker เปลี่ยนนามสกุลไฟล์เป็น .enc และรวบรวมข้อมูล เช่น หมายเลข IMEI รุ่นอุปกรณ์ ฯลฯ รายละเอียดทั้งหมดเหล่านี้จะถูกแชร์กับเซิร์ฟเวอร์ C2

7) ล็อกเกอร์โกก้า

LockerGoga แรนซัมแวร์สายพันธุ์ใหม่ที่น่ารังเกียจซึ่งกำหนดเป้าหมายไปยังบริษัทอุตสาหกรรมและการผลิต ก่อให้เกิดอันตรายร้ายแรง หลังจากแพร่เชื้อ Altran (บริษัทที่ปรึกษาด้านวิศวกรรมของฝรั่งเศส) บริษัทได้โจมตี Norsk Hydro และบริษัทเคมีรายใหญ่อีกสองแห่งในสหรัฐฯ

LockerGoga ransomware มัลแวร์สายพันธุ์ล่าสุดที่ก่อกวน ปิดเครื่องคอมพิวเตอร์โดยสิ้นเชิง ล็อคผู้ใช้ซึ่งทำให้เหยื่อจ่ายค่าไถ่ได้ยาก แรนซัมแวร์นี้มีชื่อว่า LockerGoga โดยกลุ่มวิจัยด้านความปลอดภัย วิธีการที่แรนซัมแวร์นี้เข้าถึงเครือข่ายเหยื่อยังคงเป็นปริศนา อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยบางคนกล่าวว่าผู้โจมตีรู้ข้อมูลประจำตัวของเป้าหมายอยู่แล้ว และสิ่งนี้ช่วยให้พวกเขาโจมตีได้

8) PewCrypt

ไม่เหมือนกับแรนซัมแวร์อื่น ๆ ตัวนี้ไม่ได้สร้างมาเพื่อทำเงิน ดูเหมือนว่าผู้สร้าง PewCrypt จะมีเป้าหมายอื่นในใจ แรนซัมแวร์ล่าสุดนี้สร้างขึ้นโดยมีจุดมุ่งหมายเดียว นั่นคือ ผู้เขียนต้องการให้ผู้ที่ตกเป็นเหยื่อสมัครรับข้อมูลจาก YouTuber PewDiePie และช่วยให้เขามีผู้ติดตามถึง 100 ล้านคน แรนซัมแวร์นี้เข้ารหัสใน Java และเข้ารหัสไฟล์ในลักษณะที่สามารถถอดรหัสได้ในภายหลัง สิ่งที่จับได้คือข้อมูลจะถูกถอดรหัสเมื่อ PewDiePie มีผู้ติดตาม 100 ล้านคน

PewCrypt ถูกแจกจ่ายผ่านข้อความอีเมลขยะ ในขั้นต้น ผู้คนมองว่าเป็นเรื่องตลก แต่มีผู้ใช้เพียงไม่กี่คนติดเชื้อ ต่อมาผู้สร้างเนื่องจากกลัวว่าจะถูกจับได้ว่าปล่อยซอร์สโค้ดของแรนซัมแวร์ที่ GitHub ด้วยเครื่องมือถอดรหัสตามบรรทัดคำสั่ง

9) ริวคุ

Ryuk แรนซัมแวร์ที่กำหนดเป้าหมายและวางแผนมาอย่างดีซึ่งเปิดตัวในเดือนสิงหาคม 2018 ตั้งแต่นั้นมา ทำเงินได้ 3.7 ล้านเหรียญใน bitcoin แรนซัมแวร์นี้ถูกแจกจ่ายอย่างเป็นระบบผ่านแคมเปญสแปมขนาดใหญ่และหาประโยชน์จากชุดอุปกรณ์ ใช้เทคนิคการเข้ารหัส AES-256' และ RSA4096 เพื่อกำหนดเป้าหมายการดำเนินการขนาดเล็ก

นักวิจัยด้านความปลอดภัยคิดว่า Ryuk ransomware เชื่อมต่อกับเกาหลีเหนือ เนื่องจากรหัสของ ransomware นี้ใช้ Hermes ransomware อย่างไรก็ตาม นักวิจัยในภายหลังระบุว่า Ryuk อยู่ในรัสเซียและสร้างขึ้นโดยใช้รหัส Hermes ที่ถูกขโมยมา

10) ซัมซัม

มัลแวร์เรียกค่าไถ่ SamSam มักใช้ในการโจมตีแรนซัมแวร์แบบกำหนดเป้าหมาย มักใช้ การโจมตีแบบเดรัจฉานหรือการโจมตี ที่หลากหลาย แรนซัมแวร์นี้ได้โจมตีอุตสาหกรรมที่หลากหลายในสหรัฐอเมริกาและประเทศอื่นๆ

กลุ่มที่อยู่เบื้องหลัง SamSam ransomware (Ransom.SamSam) ยังคงโจมตีเป้าหมายที่ตั้งอยู่ในสหรัฐอเมริกา แรนซัมแวร์ตัวนี้เจาะเข้าไปในเครือข่ายและเข้ารหัสคอมพิวเตอร์หลายเครื่องทั่วทั้งองค์กร วิธีดำเนินการของกลุ่ม SamSam คือการเข้าถึงเครือข่ายขององค์กรและใช้เวลาในการทำแผนที่เครือข่ายก่อนที่จะเข้ารหัสข้อมูล แรนซัมแวร์นี้ยังคงเป็นภัยคุกคามร้ายแรงต่อองค์กรในสหรัฐอเมริกา การโจมตี SamSam ที่ประสบความสำเร็จนั้นก่อกวนเนื่องจากข้อมูลที่เข้ารหัสโดยมันสามารถสูญหายอย่างถาวรหลังจากการโจมตี

Ransomware สามารถหลีกเลี่ยงได้!

แม้ว่าการใช้ตัวถอดรหัสลับเป็นบางกรณีที่เหยื่อสามารถกู้คืนข้อมูลได้ แต่ไม่มีผู้ค้ำประกันในเรื่องนี้ แรนซัมแวร์รูปแบบใหม่ที่สร้างขึ้นในแต่ละวันนั้นก่อกวน ดังนั้น วิธีที่ดีที่สุดในการจัดการกับการโจมตีของแรนซัมแวร์คือการสำรองข้อมูลที่สำคัญ สำหรับสิ่งนี้ เราสามารถใช้เครื่องมือสำรองข้อมูลที่อนุญาตให้อัปโหลดข้อมูลบนคลาวด์ได้ หากคุณสนใจและกำลังมองหาเครื่องมือดังกล่าว ลองใช้ RightBackup

เครื่องมือสำรองข้อมูลบนคลาวด์ที่น่าทึ่งนี้เป็นที่ชื่นชอบของผู้ใช้หลายล้านคน เนื่องจากมีฟีเจอร์ที่หลากหลาย หลังจากใช้เครื่องมือนี้ คุณจะไม่ต้องกังวลกับข้อมูลของคุณอีกต่อไป หากคุณตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ คุณจะยังคงสามารถใช้ข้อมูลของคุณได้เนื่องจากข้อมูลจะถูกจัดเก็บไว้ในคลาวด์

เราหวังว่าคุณจะพึงระลึกไว้เสมอว่า ข้อมูลของคุณไม่เพียงแต่มีความสำคัญสำหรับคุณเท่านั้น แต่สำหรับอาชญากรไซเบอร์ด้วย

แสดงความคิดเห็นเพื่อแบ่งปันความคิดของคุณ