តាមរយៈការលេចធ្លាយរបស់មេរោគចាប់ជម្រិត LockBit 3.0 builder បណ្តាលឱ្យហេគឃ័រអាចប្រើ Tool មួយនេះ ដើម្បីបង្កើតអញ្ញត្តិមេរោគថ្មីជាច្រើនទៀត។ក្រុមហ៊ុនសន្តិសុខរុស្ស៊ីបានថ្លែងថា វាបានរកឃើញការឈ្លានពានរបស់មេរោគចាប់ជម្រិតដែលដាក់ពង្រាយអញ្ញត្តិថ្មីនៃ LockBit ប៉ុន្តែមាននីតិវិធីទាមទារតម្លៃលោះខុសគ្នា។ អ្នកស្រាវជ្រាវបានថ្លែងថា ហេគឃ័រនៅពីក្រោយឧប្បត្តិហេតុសម្រេចចិត្តប្រើសារជំរិតទារប្រាក់ខុសគ្នា (ransom note) ជាមួយនឹងចំណងជើងពាក់ព័ន្ធនឹងក្រុមដែលមិនស្គាល់ឈ្មោះ NATIONAL HAZARD AGENCY។ សារជំរិតទារប្រាក់បានកែប្រែ ដោយបានបញ្ជាក់ពីចំនួនទឹកប្រាក់ដែលត្រូវបង់ ដើម្បីទទួលបានសោរឌីគ្រីប (Decrypted) និងទំនាក់ទំនងទៅ Tox service និងអុីម៉ែលដោយផ្ទាល់ មិនដូចក្រុម LockBit ដែលមិនបានបង្ហាញពីចំនួនទឹកប្រាក់ និងប្រើវាសម្រាប់ការទំនាក់ទំនង និងផ្លេតហ្វម (Platform) ចរចានោះទេ។
ភ្នាក់ងារ NATIONAL HAZARD AGENCY ខុសពីក្រុមឧក្រឹដ្ឋជនសាយប័រដែលប្រើ LockBit 3.1។ ហេគឃ័រខ្លះគេស្គាល់ថាបានប្រើ BI00dy និង Buhti។ ក្រុមហ៊ុន Kaspersky បានកត់សម្គាល់ថា វារកឃើញLockBit Samples ប្លែកៗចំនួន 396 នៅក្នុង Telemetry (កន្លែងបញ្ជូន និងត្រួតពិនិត្យ) ដែល 312 artifacts ត្រូវបានបង្កើតឡើងដោយប្រើ leaked builders។ និង 77 samples មិនសំដៅអំពី LockBit នៅក្នុងសារជំរិតទារប្រាក់នោះទេ។ អ្នកស្រាវជ្រាវបានថ្លែងថា ប៉ារ៉ាម៉ែត្រដែលបានរកឃើញភាគច្រើនត្រូវគ្នានឹង Default Configuration នៃ Builder ប៉ុន្តែមួយចំនួនតូចមានការផ្លាស់ប្តូរ។ នេះចង្អុលបង្ហាញថា Samples ត្រូវបានអភិវឌ្ឍសម្រាប់តម្រូវការបន្ទាន់ ឬដោយហេគឃ័រ។ ការលាតត្រដាងនេះត្រូវបានផ្តល់ដោយអ្នកស្រាវជ្រាវមេរោគចាប់ជំរិតឈ្មោះ ADHUBLLKA ដែលបានប្តូរឈ្មោះជាច្រើនដងចាប់ពីឆ្នាំ២០១៩ (BIT, LOLKEK, OBZ, U2K និង TZW) ខណៈពេលដែលការកំណត់គោលដៅលើបុគ្គល និងអាជីវកម្មខ្នាតតូចជាថ្នូរនឹងការបង់ប្រាក់លោះពីចន្លោះ 800$-1,600$។ បើទោះជា ការអុីនគ្រីបទាំងនេះបានកែប្រែបន្តិចក្តី សារជំរិតទារប្រាក់ និងវិធីទំនាក់ទំនងបានបង្ហាញថាគឺជាស្នាដៃ ADHUBLLKA ដោយសារតែប្រភពកូដ និងរចនាសម្ព័ន្ធមានភាពស្រដៀងគ្នា។ អ្នកស្រាវជ្រាវសន្តិសុខបានបន្តថា នៅពេលករណីជំរិតទារប្រាក់ទទួលបានជោគជ័យ គេតែងតែឃើញឧក្រឹដ្ឋជនប្រើ samples ជំរិតទារប្រាក់ដូចគ្នា (គ្រាន់តែកែប្រែមូលដ្ឋានកូដបន្តិចបន្តួចប៉ុណ្ណោះ) ដើម្បីសាកល្បងគម្រោងផ្សេងទៀត។ ឧទាហរណ៍ ពួកគេអាចប្តូរ encryption scheme, សារជម្រិតទារប្រាក់ ឬ command-and-control communication channels និងប្តូរឈ្មោះមេរោគចាប់ជំរិតថ្មី។ មេរោគចាប់ជំរិតនៅតែជា ecosystem ដែលវិវត្តយ៉ាងសកម្ម ដោយមើលឃើញពីការផ្លាស់ប្តូរជាញឹកញាប់នៃការប្រើយុទ្ធសាស្រ្ត និងការកំណត់គោលដៅកាន់តែខ្លាំងលើ Linux Environment ពីគ្រួសារមេរោគ Trigona, Monti និង Akira និងក្រោយមកចែករំលែកលីងទៅហេគឃ័រដែលពាក់ព័ន្ធ។
Akira ជាប់ពាក់ព័ន្ធនឹងការវាយប្រហារនៃ Cisco VPN products ដែលជាវុិចទ័រវាយប្រហារសម្រាប់បង្កើនសិទ្ធិដំណើរការចូលបណ្តាញណេតវកសហគ្រាស។ Cisco បានដឹងថា ហេគឃ័រកំពុងតែមានបំណងវាយប្រហារលើ Cisco VPNs ដែលមិនបានកំណត់រចនាសម្ព័ន្ធរឹងមាំ MFA នោះ។ អ្នកជំនាញឧបករណ៍ណេតវកបានថ្លែងថា ហេគឃ័រតែងតែផ្តោតលើចំណុចអវិជ្ជមានរបស់ភាពងាយរងគ្រោះនៅក្នុង Multi-factor Authentication (MFA) និងភាពងាយរងគ្រោះនៅក្នុងកម្មវិធី VPN។ នៅពេលដែលហេគឃ័របានចូលទៅដល់ណេតវកគោលដៅ ពួកគេព្យាយាមទាញយកអត្តសញ្ញាណតាមរយៈធុងសំរាម(dumps) LSASS (Local Security Authority Subsystem Service) ដើម្បីបញ្ជានៅក្នុងណេតវក និងបង្កើនសិទ្ធិពិសេសក្នុងករណីចាំបាច់។
ការអភិវឌ្ឍក៏កើតមានឡើងនៅពេលមានការកើនឡើងនូវកំណត់ត្រានៃការប្រហាររបស់មេរោគចាប់ជំរិតពីក្រុម C10p ដែលបានបំពានលើស្ថាប័នចំនួន ១ពាន់តាមរយៈការកេងចំណេញលើបញ្ហានៅក្នុង MOVEit Transfer app ដើម្បីអាចដំណើរការ និងអុីនគ្រីបណេតវកគោលដៅបាន។ គណនីស្ថាប័នដែលមានមូលដ្ឋាននៅប្រទេសអាមេរិករងគ្រោះចំនួន 83.9% នៅអាឡឺម៉ង់ 3.6% កាណាដា 2.6% និងអង់គ្លេស 2.1%។ មានបុគ្គលជាង 60លាននាក់ត្រូវបានគេនិយាយថា រងផលប៉ះពាល់ដោយសារយុទ្ធនាការនេះចាប់តាំងពីខែឧសភា ឆ្នាំ២០២៣មក។ តែទោះជាយ៉ាងណា ទំហំនៃការផ្គត់ផ្គង់ការវាយប្រហារអាចនឹងមានទ្រង់ទ្រាយធំ។ បើយោងតាមវិភាគបានបង្ហាញថា ហេគឃ័រអាចរកប្រាក់ខុសច្បាប់បានពីចន្លោះ 75-100លានដុល្លារ។ ខណៈពេលដែលយុទ្ធនាការ MOVEit អាចនឹងធ្វើឱ្យប៉ះពាល់ដល់ក្រុមហ៊ុនដោយផ្ទាល់ចំនួន ១ពាន់ និងបុគ្គលមួយចំនួនតូចផងដែរ។ បើយោងតាមក្រុមហ៊ុនសន្តិសុខសាយប័របានឱ្យដឹងថា នៅក្នុងចំនួន 81% នៃការវាយប្រហារភាគច្រើនប្រព្រឹត្តិទៅនៅក្រៅម៉ោងធ្វើការ ជាក់ស្តែងមិនតិចជាង 43% នៃការវាយប្រហារត្រូវបានរកឃើញនៅថ្ងៃសុក្រ ឬថ្ងៃសៅរ៍៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៦ ខែសីហា ឆ្នាំ២០២៣
ប្រែសម្រួលដោយ៖ កញ្ញា
