สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) และหน่วยสืบราชการลับแห่งสหรัฐอเมริกา (USSS) ร่วมมือกันในการให้คำปรึกษาด้านความปลอดภัยทางไซเบอร์ร่วมกันเพื่อให้ข้อมูลเกี่ยวกับแรนซัมแวร์ BlackByte แรนซัมแวร์ BlackByte แพร่ระบาดในองค์กรในสหรัฐอเมริกาและต่างประเทศจำนวนมาก ณ เดือนพฤศจิกายน 2021 รวมถึงภาคโครงสร้างพื้นฐานที่สำคัญอย่างน้อย 3 แห่งในสหรัฐอเมริกา (สิ่งอำนวยความสะดวกของรัฐบาล การเงิน อาหารและการเกษตร)
BlackByte Ransomware คืออะไร
BlackByte เป็นกลุ่ม ransomware-as-a-service (RaaS) ที่เข้ารหัสไฟล์บนระบบโฮสต์ Windows ที่ติดไวรัส รวมถึงเซิร์ฟเวอร์จริงและเซิร์ฟเวอร์เสมือน
Modus Operandi ของ Blackbyte Ransomware คืออะไร
แรนซัมแวร์ BlackByte ทำงานได้สองวิธี คือ การโจมตีโดยตรง และอีกวิธีหนึ่งคือแรนซัมแวร์เป็นเวอร์ชันบริการที่เรียกใช้โดยอาชญากรรายอื่นที่จ่ายเงินให้ผู้เขียนมัลแวร์เพื่อใช้เครื่องมือซอฟต์แวร์ของตน และเช่นเดียวกับผลิตภัณฑ์มัลแวร์หลายๆ ตัว มันใช้ประโยชน์จากความสามารถในการแพร่เชื้อไปยังบูตเซกเตอร์ของคอมพิวเตอร์ ซึ่งหมายถึงการปิดพีซีของคุณและเริ่มต้นใหม่
BlackByte สามารถแทรกซึมองค์กรของคุณโดยกำหนดเป้าหมายเซิร์ฟเวอร์ Microsoft Exchange ธุรกิจใดๆ อาจได้รับความเสียหายอย่างรุนแรงจากการสูญหายของเครือข่ายอีเมล แต่ Exchange มีความเสี่ยงเป็นพิเศษเนื่องจากบริษัทจำนวนมากยังคงใช้เวอร์ชันก่อนหน้า เนื่องจากการอัปเกรด Exchange ไม่ใช่ขั้นตอนที่ตรงไปตรงมาหรือรวดเร็ว ผู้ดูแลระบบไอทีจำนวนมากยังคงใช้เวอร์ชัน 2013 และ 2016 อยู่
แรนซัมแวร์ BlackByte จะเข้ารหัสไฟล์และสร้างบันทึกเรียกค่าไถ่ (ไฟล์ “BlackByte restoremyfiles.hta”) พร้อมคำแนะนำเกี่ยวกับวิธีการติดต่อผู้โจมตีเพื่อกู้คืนข้อมูลและข้อมูลอื่นๆ ส่วนขยาย “.blackbyte” ยังต่อท้ายชื่อไฟล์ที่เข้ารหัสโดย BlackByte ตัวอย่างเช่น “1.jpg” กลายเป็น “1.jpg.blackbyte” “2.jpg” กลายเป็น “2.jpg.blackbyte” เป็นต้น ค่าไถ่นี้สร้างขึ้นโดยอาชญากรไซเบอร์เพื่อแจ้งให้เหยื่อทราบว่าเอกสาร ฐานข้อมูล และรายการอื่นๆ ของพวกเขาได้รับการเข้ารหัสแล้ว
เหยื่อจะต้องได้รับเครื่องมือถอดรหัสเพื่อถอดรหัสไฟล์ของพวกเขา การติดต่ออาชญากรไซเบอร์ผ่านที่อยู่อีเมล [email protected] จะให้คำแนะนำเกี่ยวกับวิธีการรับเครื่องมือถอดรหัส เพื่อแสดงให้เห็นว่าผู้บุกรุก BlackByte ransomware สามารถถอดรหัสไฟล์ได้ พวกเขาเสนอให้ปลดล็อกสองไฟล์ฟรี
ตัวอย่างล่าสุดของ BlackByte Attack
ทีมฟุตบอล San Francisco 49ers เพิ่งถูกโจมตีโดยผู้ให้บริการ BlackByte ซึ่งอ้างว่าได้รับข้อมูลทางการเงินจากพวกเขา ตามการแจ้งเตือนร่วม เหยื่อหลายคนค้นพบว่าผู้โจมตีสามารถเข้าถึงสภาพแวดล้อมของพวกเขาในขั้นต้นได้โดยใช้ช่องโหว่ของ Microsoft Exchange Server ที่รู้จัก ก่อนที่จะรวบรวมและเข้ารหัสข้อมูล ตัวดำเนินการ ransomware ใช้เครื่องมือที่อนุญาตให้ย้ายไปที่ด้านข้างในเครือข่ายและพยายามยกระดับการเข้าถึง
พีซีติดแรนซัมแวร์ได้อย่างไร
ในการแพร่กระจายมัลแวร์ อาชญากรไซเบอร์ใช้โทรจัน อีเมล แหล่งที่น่าสงสัยในการรับไฟล์หรือโปรแกรม เครื่องมือแคร็กซอฟต์แวร์ และโปรแกรมอัปเดตซอฟต์แวร์ปลอม เมื่อมีการติดตั้งโทรจันบนคอมพิวเตอร์ ก็สามารถแพร่เชื้อได้ โทรจันส่วนใหญ่ปลอมตัวเป็นโปรแกรมที่ถูกกฎหมาย เอกสาร Microsoft Office ที่เป็นอันตราย ไฟล์ปฏิบัติการ (เช่น EXE) ไฟล์ JavaScript เอกสาร PDF และรายการอื่นๆ จะรวมอยู่ในอีเมลที่ส่งมัลแวร์ การเปิดไฟล์ที่ดาวน์โหลดจากหรือผ่านอีเมลที่ใช้สำหรับการแพร่กระจายมัลแวร์ ผู้รับจะติดเชื้อในระบบของตน
ผู้ใช้ถูกหลอกให้ดาวน์โหลดและเปิดไฟล์ที่เป็นอันตรายโดยใช้แหล่งที่ไม่น่าไว้วางใจในการดาวน์โหลดไฟล์และโปรแกรม ซอฟต์แวร์แคร็กได้รับการออกแบบมาเพื่อให้คุณเปิดใช้งานซอฟต์แวร์ลิขสิทธิ์ได้ฟรี (ในลักษณะที่ผิดกฎหมาย) ส่วนสำคัญของโปรแกรมเหล่านี้มีจุดมุ่งหมายเพื่อทำให้คอมพิวเตอร์ติดมัลแวร์ แทนที่จะอัปเกรดหรือแก้ไขซอฟต์แวร์ โปรแกรมอัปเดตซอฟต์แวร์ปลอมจะสร้างความเสียหายโดยการใช้ประโยชน์จากจุดบกพร่อง ช่องโหว่ในซอฟต์แวร์ที่ล้าสมัย หรือเพียงแค่ติดไวรัสในเครื่อง
ธุรกิจสามารถทำอะไรได้บ้างเพื่อปกป้องตัวเอง
ต่อไปนี้คือกลยุทธ์บางประการที่คุณสามารถนำไปใช้เพื่อปกป้องธุรกิจของคุณจาก BlackByte Ransomware
- หากคุณใช้ Exchange เวอร์ชันที่มีช่องโหว่ คุณควรใช้การแก้ไขต่างๆ ของ Microsoft โดยเร็วที่สุด ดีกว่า คุณควรกำหนดกลยุทธ์เพื่ออัปเกรดเป็นเวอร์ชัน Exchange ล่าสุด หรือย้ายไปยัง Office365 หรือ Google Workspace โดยเร็วที่สุด
- ตรวจสอบให้แน่ใจว่าข้อมูลสำรองของคุณเป็นปัจจุบันและสามารถใช้เพื่อกู้คืนเซิร์ฟเวอร์ของคุณได้
- แยกเซิร์ฟเวอร์ Exchange ของคุณออกจากกลุ่มเครือข่ายแยกต่างหากเพื่อลดความเสี่ยงของภัยคุกคามที่เกิดจากอีเมล นี่คือสิ่งที่หลายองค์กรเคยทำมาในอดีต และเป็นเหตุผลว่าทำไม BlackByte จึงไม่ทำลายสถาปัตยกรรมเครือข่ายทั้งหมด
- หากคุณได้รับผลกระทบ คุณควรใช้คีย์ถอดรหัสที่สร้างขึ้นสำหรับการโจมตี BlackByte ก่อนหน้าเพื่อถอดรหัสข้อมูล แม้ว่านี่จะเป็นขั้นตอนที่ชาญฉลาด แต่ก็ไม่มีการรับประกันว่าคีย์นี้จะใช้งานได้หากผู้โจมตีใช้มัลแวร์เวอร์ชันใหม่กว่า
- ที่สำคัญที่สุด ให้แยกเครื่อง/อุปกรณ์ที่คุณตรวจพบแรนซัมแวร์ออก
- ใช้เว็บไซต์อย่างเป็นทางการ เพื่อดาวน์โหลดแอปและอัปเดต
- ใช้โปรแกรมป้องกันไวรัสแบบเรียลไทม์เพื่อให้พีซีของคุณปลอดภัย
โบนัส:Systweak Antivirus ต่อสู้กับมัลแวร์
Systweak Antivirus ปกป้องคอมพิวเตอร์ของคุณในแบบเรียลไทม์จากภัยคุกคามที่เป็นอันตรายทุกรูปแบบ นอกจากนี้ยังมีปลั๊กอินเบราว์เซอร์ StopAllAds ซึ่งกรองโฆษณาที่ไม่ต้องการและปกป้องคอมพิวเตอร์ด้วยการป้องกันไม่ให้ดาวน์โหลดหรือเข้าถึงมัลแวร์และซอฟต์แวร์ที่เป็นอันตรายประเภทอื่นๆ Systweak Antivirus ปกป้องคอมพิวเตอร์ของคุณจากการถูกโจมตีตลอดเวลา 365 วันต่อปี ช่วยเพิ่มประสิทธิภาพการทำงานของคอมพิวเตอร์ในปัจจุบันโดยทำหน้าที่เป็นร้านค้าครบวงจรสำหรับทุกความต้องการด้านความปลอดภัย
การรักษาความปลอดภัยแบบเรียลไทม์ Systweak Antivirus เป็นหนึ่งในแอนตี้ไวรัสไม่กี่ตัวที่สามารถตรวจจับภัยคุกคาม/แอพที่อาจเกิดขึ้นตามลักษณะการทำงานบนคอมพิวเตอร์ของคุณ
ใช้งานง่ายมาก . โปรแกรมนี้มีส่วนต่อประสานกับผู้ใช้ที่ใช้งานง่ายและทุกคนในครอบครัวสามารถใช้ได้
การรักษาความปลอดภัยแบบเรียลไทม์ หนึ่งในระบบแอนตี้ไวรัสไม่กี่ระบบที่สามารถตรวจจับภัยคุกคาม/แอปที่อาจเกิดขึ้นโดยพิจารณาจากพฤติกรรมบนคอมพิวเตอร์ของคุณคือ Systweak Antivirus
น้ำหนักเบา ซอฟต์แวร์ที่ใช้ทรัพยากรระบบน้อยที่สุดถือว่าดีที่สุดเพราะไม่เปลืองทรัพยากร CPU ของคุณ
ปลอดภัย แอปพลิเคชั่นนี้ให้คุณท่องอินเทอร์เน็ตในขณะที่ตัวบล็อกโฆษณาป้องกันไม่ให้คุณเห็นโฆษณา
จัดระเบียบเมนูเริ่มต้น . ผู้ใช้สามารถปิดส่วนประกอบที่ทำให้เวลาเริ่มต้นของคอมพิวเตอร์ช้าลงได้
คำสุดท้ายเกี่ยวกับ BlackByte Ransomware คืออะไรและจะป้องกันได้อย่างไร
ข้อควรระวังและการป้องกันที่กล่าวถึงข้างต้นจะช่วยให้คุณรักษาพีซีของคุณให้ปลอดภัยในระดับหนึ่ง และลดโอกาสที่พีซีของคุณจะติดแรนซัมแวร์ได้อย่างมาก การรักษาสุขอนามัยของพีซีและอัปเดตคอมพิวเตอร์ของคุณอยู่เสมอจะช่วยรับประกันว่าคุณจะปลอดภัยอยู่เสมอ Systweak Antivirus ทำหน้าที่เป็นข้อได้เปรียบเพิ่มเติมสำหรับผู้ใช้ทุกคน เนื่องจากสามารถตรวจจับมัลแวร์และกิจกรรมที่อาจคุกคามได้แบบเรียลไทม์
ติดตามเราบนโซเชียลมีเดีย – Facebook, Instagram และ YouTube สำหรับข้อสงสัยหรือข้อเสนอแนะโปรดแจ้งให้เราทราบในส่วนความคิดเห็นด้านล่าง เรายินดีที่จะติดต่อกลับหาคุณพร้อมวิธีแก้ปัญหา เราโพสต์คำแนะนำและเคล็ดลับต่างๆ เป็นประจำ พร้อมคำตอบสำหรับปัญหาทั่วไปที่เกี่ยวข้องกับเทคโนโลยี