Ransomware ພັດທະນາ Storm-0501 ຫັນປ່ຽນສູ່ການໂຈມຕີ cloud

ໃນໂລກຂອງຄວາມໝັ້ນຄົງທາງໄຊເບີ, ກຸ່ມແຮກເກີບໍ່ເຄີຍຢຸດນິ້ງ. ພວກເຂົາປັບປ່ຽນຍຸດທະວິທີຢ່າງຕໍ່ເນື່ອງເພື່ອຫຼີກລ່ຽງການກວດຈັບແລະສ້າງຄວາມເສຍຫາຍສູງສຸດ. ລ່າສຸດ, Microsoft ໄດ້ອອກມາເຕືອນກ່ຽວກັບກຸ່ມແຮກເກີທີ່ຕິດຕາມໃນຊື່ Storm-0501 ເຊິ່ງໄດ້ປ່ຽນແປງກົນລະຍຸດການໂຈມຕີ Ransomware ຈາກຮູບແບບດັ້ງເດີມທີ່ຄຸ້ນເຄີຍ ມາເປັນການໂຈມຕີລະບົບຄລາວໂດຍກົງ, ເຮັດໃຫ້ເກີດຄວາມສ່ຽງໃໝ່ທີ່ທຸກອົງກອນຕ້ອງໃຫ້ຄວາມສຳຄັນ.

ຈາກການເຂົ້າລະຫັດສູ່ການທຳລາຍຂໍ້ມູນ

ເມື່ອກ່ອນ, ການໂຈມຕີແບບ Ransomware ເປັນທີ່ຮູ້ຈັກກັນດີໃນການເຂົ້າລະຫັດໄຟລ໌ທັງໝົດໃນຄອມພິວເຕີ ຫຼື ເຄືອຂ່າຍຂອງອົງກອນ. ຜູ້ຖືກເຄາະຮ້າຍຈະຖືກບັງຄັບໃຫ້ຈ່າຍເງິນຄ່າໄຖ່ເພື່ອໃຫ້ໄດ້ກຸນແຈສຳລັບການຖອດລະຫັດ. ແຕ່ Storm-0501 ໄດ້ພັດທະນາແນວຄິດນີ້ໄປອີກຂັ້ນ. ແທນທີ່ຈະພຽງແຕ່ເຂົ້າລະຫັດຂໍ້ມູນ, ຍຸດທະສາດໃໝ່ຂອງພວກເຂົາແມ່ນການໃຊ້ປະໂຫຍດຈາກຄວາມສາມາດຂອງຄລາວໃນການ ທຳລາຍຂໍ້ມູນແລະຂໍ້ມູນສຳຮອງ (backups) ໂດຍກົງ.

ຫຼັງຈາກເຂົ້າໄປໃນລະບົບແລ້ວ, Storm-0501 ຈະເລີ່ມຂະບວນການ ຂະໂມຍຂໍ້ມູນ ຈຳນວນມະຫາສານອອກໄປກ່ອນ ເພື່ອໃຊ້ໃນການບັງຄັບເອົາຄ່າໄຖ່. ຈາກນັ້ນ, ພວກເຂົາຈະໃຊ້ຄຳສັ່ງພື້ນເມືອງຂອງຄລາວ (Cloud-native capabilities) ເພື່ອ ລຶບ ຫຼື ທຳລາຍຂໍ້ມູນທັງໝົດ ຢ່າງຖາວອນ, ລວມເຖິງຂໍ້ມູນສຳຮອງ. ນັ້ນໝາຍຄວາມວ່າເຖິງແມ່ນວ່າອົງກອນຈະຍອມຈ່າຍຄ່າໄຖ່, ກໍອາດຈະບໍ່ສາມາດກູ້ຂໍ້ມູນຄືນມາໄດ້ ເພາະຂໍ້ມູນນັ້ນຖືກລົບໄປແລ້ວ.

ເປົ້າໝາຍໃໝ່: Identity ແລະ Hybrid Cloud

ເພື່ອບັນລຸເປົ້າໝາຍນີ້, Storm-0501 ໄດ້ປ່ຽນເປົ້າໝາຍຈາກການເຈາະເຂົ້າໄປໃນອຸປະກອນປາຍທາງ (endpoint) ມາເປັນການໂຈມຕີທີ່ເນັ້ນໃສ່ Identity (ການຢືນຢັນຕົວຕົນ) ຂອງຜູ້ໃຊ້ແທນ. ພວກເຂົາຈະໃຊ້ຊ່ອງຫວ່າງຄວາມປອດໄພຂອງລະບົບ Active Directory ແລະ Microsoft Entra ID (ຊື່ເກົ່າ Azure Active Directory) ເພື່ອຍົກລະດັບສິດທິຂອງຕົນເອງຂຶ້ນໄປສູ່ລະດັບ Global Administrator. ເມື່ອໄດ້ສິດທິນີ້ແລ້ວ, ພວກເຂົາຈະສາມາດເຂົ້າເຖິງແລະຄວບຄຸມຂໍ້ມູນທຸກຢ່າງໃນລະບົບຄລາວໄດ້.

ຍິ່ງໄປກວ່ານັ້ນ, ກຸ່ມນີ້ຍັງໄດ້ໃຊ້ປະໂຫຍດຈາກຈຸດເຊື່ອມຕໍ່ລະຫວ່າງລະບົບ on-premises (ລະບົບທີ່ຕັ້ງຢູ່ໃນອົງກອນ) ແລະ Hybrid Cloud ເພື່ອເຄື່ອນຍ້າຍຈາກສະພາບແວດລ້ອມໜຶ່ງໄປຍັງອີກສະພາບແວດລ້ອມໜຶ່ງ. ພວກເຂົາຈະເລີ່ມຈາກການເຈາະເຂົ້າໄປໃນເຄືອຂ່າຍຂອງອົງກອນກ່ອນ, ຫຼັງຈາກນັ້ນຈຶ່ງໃຊ້ຂໍ້ມູນທີ່ໄດ້ຮັບມາເພື່ອສ້າງ Backdoor ຫຼືຍົກລະດັບສິດທິໃນລະບົບຄລາວ, ເຮັດໃຫ້ການໂຈມຕີຍາກຕໍ່ການກວດຈັບແລະສະກັດກັ້ນ.

ຄຳແນະນຳເພື່ອປ້ອງກັນ

ການປ່ຽນແປງຍຸດທະສາດນີ້ສະແດງໃຫ້ເຫັນເຖິງການປັບຕົວຂອງກຸ່ມແຮກເກີທີ່ໄວຕໍ່ກັບການຫັນປ່ຽນຂອງໂລກທຸລະກິດສູ່ຍຸກຄລາວ. ອົງກອນຕ່າງໆຈຳເປັນຕ້ອງໃຫ້ຄວາມສຳຄັນກັບຄວາມປອດໄພຂອງລະບົບ Identity ແລະ Cloud ໃຫ້ຫຼາຍກວ່າເກົ່າ, ບໍ່ແມ່ນພຽງແຕ່ປ້ອງກັນພື້ນຖານແບບດັ້ງເດີມ.

ຂໍ້ແນະນຳທີ່ສຳຄັນລວມມີ:

• ເສີມສ້າງຄວາມປອດໄພໃຫ້ Identity: ໃຊ້ການຢືນຢັນຕົວຕົນແບບຫຼາຍປັດໄຈ (MFA) ໃນທຸກບັນຊີ, ໂດຍສະເພາະບັນຊີທີ່ມີສິດທິພິເສດສູງ.
• ກວດສອບການຕັ້ງຄ່າຄລາວ: ກວດສອບການຕັ້ງຄ່າຄວາມປອດໄພຂອງລະບົບຄລາວຢ່າງເປັນປະຈຳ ເພື່ອຊອກຫາຊ່ອງຫວ່າງທີ່ອາດຈະຖືກໃຊ້ເປັນຊ່ອງທາງໂຈມຕີ.
• ຕິດຕາມກວດກາຢ່າງຕໍ່ເນື່ອງ: ໃຊ້ເຄື່ອງມືດ້ານຄວາມປອດໄພເພື່ອຕິດຕາມການເຄື່ອນໄຫວທີ່ຜິດປົກກະຕິໃນລະບົບຄລາວ, ໂດຍສະເພາະການເຂົ້າເຖິງຂໍ້ມູນແລະການປ່ຽນແປງການຕັ້ງຄ່າ.
• ຝຶກອົບຮົມບຸກຄະລາກອນ: ໃຫ້ຄວາມຮູ້ແກ່ພະນັກງານກ່ຽວກັບອັນຕະລາຍຂອງການໂຈມຕີແບບຟິຊຊິ້ງ (phishing) ແລະວິທີການປົກປ້ອງຂໍ້ມູນສ່ວນຕົວ.