CaddyWiper ជាមេរោគ Malware លុបទិន្នន័យម្យ៉ាងទៀតកំពុងតែវាយប្រហារលើអ៊ុយក្រែន

0

ពីរសប្តាហ៍មកនេះ មានព័ត៌មានទាក់ទងនឹងការវាយប្រហារលើអ៊ុយក្រែន ប៉ុន្តែ មេរោគត្រូវបានគេរកឃើញថាជាស្នាដៃរបស់រ៉ូស្ស៊ី។

ក្រុមហ៊ុនសុវត្ថិភាពអ៊ីនធឺណីត ESET បានហៅមេរោគថា “CaddyWiper” ដែលខ្លួនបានតាមដាននៅថ្ងៃទី ១៤ ខែមីនា វេលាម៉ោងប្រហែល ៩ព្រឹក ម៉ោងសកល។ Metadata រួមគ្នាជាមួយនឹង “caddy.exe” រួចមេរោគត្រូវបានបម្លែងខ្លួននៅម៉ោងប្រហែល ៧ព្រឹក ម៉ោងសកល មេរោគ ត្រូវការពេលប្រហែលពីរម៉ោងដើម្បីប្រតិបត្តិការ។

គួរកត់សម្គាល់ផងដែរថា មេរោគ CaddyWiper វាមិនចែករំលែកភាពស្រដៀងគ្នាដែលវារកឃើញនៅអ៊ុយក្រែនទេ រួមមាន HermericWiper (aka FoxBlade or KillDisk) និង IsaacWiper (aka Lasainraw) ដែលមេរោគទាំងពីរនេះ ធ្វើការវាយប្រហារនៅក្នុងប្រព័ន្ធរបស់រដ្ឋាភិបាល និងស្ថាប័នពាណិជ្ជកម្ម។

Jean-lan Boutin ប្រធានស្រាវជ្រាវនៅ ESET បានថ្លែងប្រាប់ The Hacker News ថា៖ “គោលដៅចុងក្រោយរបស់អ្នកវាយប្រហារគឺដូចគ្នានឹង IsaacWiper និង HermeticWiper: គឺធ្វើឱ្យប្រព័ន្ធខូច មិនអាចដំណើរការបាន ដោយលុបទិន្នន័យអ្នកប្រើប្រាស់ និង partition information”។ ”គ្រប់ ស្ថាប័នទាំងអស់សុទ្ធតែជាគោលដៅរបស់ wiper មានទាំងរដ្ឋាភិបាល និងស្ថាប័នហិរញ្ញវត្ថុ”។

ការរកឃើញថ្មី បានបង្ហាញថា មេរោគ wiper ត្រូវបានដាក់ពង្រាយតាមរយៈ Windows domain controller ដែលបង្ហាញថាអ្នកវាយប្រហារគ្រប់គ្រងលើ Active Directory server។

ក្រុមហ៊ុនបានពោលថា៖ “អ្វីដែលគួរឱ្យចាប់អារម្មណ៍នោះគឺថា CaddyWiper ជៀសវាងមិន បំផ្លាញទិន្នន័យនៅលើ domain controller ទេ”។ “នេះប្រហែលជាវិធីសាស្រ្តដែលហេគឃ័រ រក្សាដំណើរការរបស់ពួកគេនៅក្នុងអង្គភាពដែលពួកគេកំពុងតែរំខាន”។

Microsoft បានបន្ថែមលើ HermeticWiper ថាគឺជាការ cluster tracked ដែលមានឈ្មោះថា DEV-0665 ថា៖ “មេរោគនេះមានគោលបំណងវាយប្រហារដោយការរំខាន កាត់បន្ថយសមត្ថភាព និងបំផ្លាញស្ថាប័នគោលដៅ” នៅក្នុងប្រទេស។

ការអភិវឌ្ឍមកដល់ ខណៈពេលដែលឧក្រឹដ្ឋកម្មអ៊ីនធឺណីតមានឱកាសបង្កើនទុនទៅលើ phishing lures រួមមានជំនួយមនុស្សធម៌ និងការរៃអង្គាសប្រាក់តាមរូបភាពផ្សេងៗ ដើម្បី បញ្ជូន backdoors ផ្សេងៗដូចជា Remcos។

អ្នកស្រាវជ្រាវ Cisco Talos បានថ្លែងថា៖ “ចំណាប់អារម្មណ៍របស់ពិភពលោកទៅលើសង្រ្គាមនៅអ៊ុយក្រែន ធ្វើឱ្យគេទទួលបានព័ត៌មានដ៏មានប្រសិទ្ធភាពពីការវាយប្រហារ”។ “ប្រសិនបើ ប្រធានបទទាក់ទាញ នោះវានឹងបង្កើនឱកាសគ្រោះថ្នាក់ដល់ជនរងគ្រោះ”។

មិនត្រឹមតែអ៊ុយក្រែនទេ ទទួលរងការវាយប្រហារពី wiper។ កាលពីសប្តាហ៍មុន ក្រុមហ៊ុន អ៊ីនធឺណីត Trend Micro បានបង្ហាញលម្អិតពី .NET-based wiper ឈ្មោះថា RURansom ដែលប្រតិ បត្តិលើស្ថាប័នមួយចំនួននៅរ៉ូស្ស៊ីដោយអ៊ីនគ្រីបឯកសារ ជាមួយនឹង randomly cryptographic key។

អ្នកស្រាវជ្រាវបានបញ្ជាក់ថា៖ “keys គឺជារបស់តែមួយគត់សម្រាប់ឯកសារដែលបានអ៊ីនគ្រីប និងមិនបានរក្សាទុកទេ រឿងនេះធ្វើឱ្យការអ៊ីនគ្រីបមិនអាចបកមកវិញបាន និងសម្គាល់ថាជាមេរោគ wiper malware ជាជាងមេរោគ ransomware”។

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៥ ខែមីនា ឆ្នាំ២០២២
ប្រែសម្រួលដោយ៖ កញ្ញា

LEAVE A REPLY

Please enter your comment!
Please enter your name here