ពីរថ្ងៃបន្ទាប់ពីក្រុមអាជ្ញាធរអន្តរជាតិបានវាយបង្ក្រាបលើក្រុមមេរោគ LockBit ដែលជាមេរោគចាប់ជម្រិតដ៏ល្បីល្បាញនៅលើអ៊ីនធឺណិត អ្នកស្រាវជ្រាវបានរកឃើញថា មានការវាយប្រហារថ្មីផ្សេងទៀតដែលកំពុងដំឡើងមេរោគ Malware ពាក់ព័ន្ធជាមួយនឹងក្រុមមេរោគ LockBit។
ការវាយប្រហារបានរកឃើញកាលពី២៤ម៉ោងមុន កំពុងតែកេងចំណេញលើភាពងាយរងគ្រោះនៅក្នុង ScreenConnect ដែលជាកម្មវិធីបញ្ជា Desktop ពីចម្ងាយលក់ចេញដោយក្រុមហ៊ុន Connectwise។ បើយោងតាមអ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនសុវត្ថិភាព SophosXOps និង Huntress បានឱ្យដឹងថា ហេគឃ័រដែលកេងចំណេញលើភាពងាយរងគ្រោះនៅតែបន្តដំឡើងមេរោគ LockBit និងមេរោគ Post-exploit ផ្សេងទៀត។ វាមិនច្បាស់ថាតើមេរោគចាប់ជម្រិតទាំងនេះគឺជាមេរោគ LockBit ផ្លូវការ ឬមិនមែននោះទេ។
អ្នកស្រាវជ្រាវសន្តិសុខនៅ Huntress លោក John Hammond បានសរសេរនៅលើអ៊ីម៉ែលថា យើងមិនអាចប្រាប់ឈ្មោះអតិថិជននៅពេលនេះបានទេ ប៉ុន្តែយើងអាចបញ្ជាក់ថាមេរោគ Malware ដែលបានដាក់ពង្រាយគឺជាប់ពាក់ព័ន្ធនឹងមេរោគ LockBit ដែលគួរឱ្យចាប់អារម្មណ៍ពីការប្រឆាំងនឹងការបង្រ្កាបរបស់មេរោគ LockBit កាលពីពេលថ្មីៗនេះ។ នៅពេលដែលយើងមិនអាចចាត់ទុកថា វាជាស្នាដៃរបស់ក្រុម LockBit ដោយផ្ទាល់ ប៉ុន្តែវាប្រាកដថាក្រុម LockBit មានទំហំធំធេងលាតសន្ធឹង និងការប្រើប្រាស់ Tool ដល់ក្រុមផ្សេងៗ និងបង្ហាញយ៉ាងច្បាស់ថា ក្រុមនេះមិនទាន់ត្រូវបានបង្ក្រាបទាំងស្រុងនោះទេ។ លោក Hammond បានបន្តថា មេរោគចាប់ជម្រិតកំពុងតែត្រូវបានដាក់ពង្រាយនៅតាម ការិយាល័យ គ្លីនិចសុខភាព និងស្ថាប័នរដ្ឋាភិបាលក្នុងតំបន់ ដែលរួមមានការវាយប្រហារប្រឆាំងនឹងប្រព័ន្ធសង្គ្រោះបន្ទាន់ ៩១១។
ក្រុមការងារ SophosXOps និង Huntress មិនបាននិយាយថា តើមេរោគចាប់ជម្រិតដែលកំពុងតែត្រូវបានដំឡើងនោះគឺជាមេរោគ LockBit ផ្លូវការនោះទេ ឬក៏ជាមេរោគ LockBit ដែលត្រូវបានលួចប្រើដោយក្រុមផ្ទៃក្នុងមេរោគ LockBit ដែលខឹងសម្បារកាលពីឆ្នាំ២០២២ ឬយ៉ាងណានោះដែរ។ អ្នកអភិវឌ្ឍមេរោគ (Leaked Builder) បានផ្សព្វផ្សាយមេរោគយ៉ាងទូលំទូលាយតាំងពីពេលនោះមក និងបានវាយប្រហារលក្ខណៈមិនមែនផ្លូវការ។ អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Trend Micro បានថ្លែងថា នៅពេលដែលមេរោគត្រូវបានលេចធ្លាយ វាក៏បណ្តាលឱ្យមានបញ្ហាទាក់ទងនឹងការចែកចាយ។ ឧទាហរណ៍ ដូចកាលពីខែសីហា ឆ្នាំ២០២៣ យើងសង្កេតឃើញក្រុមដែលហៅខ្លួនឯងថា ជាក្រុម Flamingo បានប្រើមេរោគ Leaked LockBit Payload ជាកញ្ចប់ជាមួយនឹង Rhadamanthys Stealer។ កាលពីខែវិច្ឆិកា ឆ្នាំ២០២៣ យើងរកឃើញក្រុមផ្សេងទៀតឈ្មោះ Moniker Spacecolon បានបន្លំខ្លួនជា LockBit។ ក្រុមដែលប្រើអាសយដ្ឋានអ៊ីម៉ែល និង URLs បានធ្វើឱ្យជនរងគ្រោះច្រលំថាពួកគេកំពុងតែជួបបញ្ហាជាមួយមេរោគ LockBit។
ក្រុមហ៊ុន SophosXOps បានថ្លែងថា ពួកគេបានសង្កេតការវាយប្រហារ LockBit ជាច្រើនលើកច្រើនសារ ហើយអ្នកនាំពាក្យក្រុមហ៊ុនមិនយល់ព្រមផ្តល់ព័ត៌មានលម្អិតទេ។ លោក Hammond បានថ្លែងថា មេរោគសហការជាមួយក្រុមមេរោគចាប់ជម្រិត និងមិនអាចបញ្ជាក់ថា មេរោគនោះគឺជាមេរោគផ្លូវការ ឬអត់នោះទេ។ ការវាយប្រហារចាប់ផ្តើមរយៈពេលពីរថ្ងៃ បន្ទាប់ពីមន្រ្តីនៅអង់គ្លេស អាមេរិក និង Europol បានប្រកាសពីការបង្រ្កាបទៅលើមេរោគ LockBit។ សកម្មភាពទាំងនោះរួមមានការរឹបអូសគណនីប្រមាណជា ១៤,០០០ និងម៉ាស៊ីនមេ ៣៤ ឃាត់ខ្លួនជនសង្ស័យចំនួន ២រូប និងការចេញដីកា (Indictments) ចំនួន ៥ និងដីកាឃាត់ខ្លួនចំនួន ៣ (Arrest Warrants)។ អាជ្ញាធរក៏បានបង្កកគណនីប្រាក់គ្រីបតូ ២០០ ពាក់ព័ន្ធនឹងប្រតិបត្តិការមេរោគចាប់ជម្រិត។ ការបង្រ្កាបត្រូវបានធ្វើឡើង បន្ទាប់ពីអ្នកស៊ើបអង្កេតបានលួចចូលហេគ និងគ្រប់គ្រងលើរចនាសម្ព័ន្ធរបស់មេរោគ LockBit។ អាជ្ញាធរក៏បានថ្លែងថា ក្រុម LockBit បានជម្រិតទារប្រាក់ប្រមាណជាង ១២០លានដុល្លារពីជនរងគ្រោះរាប់ពាន់នាក់នៅទូទាំងពិភពលោក ដែលធ្វើឱ្យវាក្លាយជាមេរោគចាប់ជម្រិតដ៏សកម្មមួយ។ ដូចក្រុមមេរោគចាប់ជម្រិតផ្សេង ក្រុម LockBit ដំណើរការក្រុមគម្រូ Ransomware-as-a-service ដែលក្នុងនោះសាខា (affiliates) ចែករំលែកប្រាក់ចំណូលដែលពួកគេរកបានជាថ្នូរនឹងការប្រើមេរោគ LockBit រួមទាំងរចនាសម្ព័ន្ធ។ បើគិតពីចំនួនសាខា និងការបែងចែកភូមិសាស្រ្ត និងអង្គការយ៉ាងទូលំទូលាយ វាមិនអាចទៅរួចសម្រាប់ការប្រកាសកាលពីថ្ងៃអង្គារនោះទេ។ វាគួរតែសាខាខ្លះនៅតែអាចប្រតិបត្តិការ និងសិទ្ធិផ្តាច់មុខ (Ransomware Franchise) ដែលនៅតែបន្តដំណើរការ។ វាក៏អាចដែរថា ការចម្លងដែលក្រុម SophosXOps និង Huntress កំពុងតែឃើញគឺជាការងាររបស់ក្រុមសាខាផ្សេង។ ក្រៅពីការដំឡើងមេរោគចាប់ជម្រិតពាក់ព័ន្ធនឹង LockBit លោក Hammond បានថ្លែងថា ហេគឃ័រកំពុងដំឡើងកម្មវិធីអាក្រក់ផ្សេងទៀត ដែលរួមមានទាំង Backdoor Cobalt Strike ដែលជាអ្នករុករកប្រាក់គ្រីបតូ និង SSH Tunnels សម្រាប់ការភ្ជាប់ពីចម្ងាយទៅកាន់រចនាសម្ព័ន្ធដែលត្រូវបានគ្រប់គ្រងរួចរាល់។ ភាពងាយរងគ្រោះកម្មវិធី ScreenConnect ស្ថិតក្រោមការកេងចំណេញ និងត្រូវបានកត់ត្រាជា CVE-2024-1708 និង CVE-2024-1709។ ក្រុមហ៊ុន ConnectWise ក៏បានបញ្ចេញ Patches សម្រាប់ជំនាន់ដែលងាយនឹងរងគ្រោះផងដែរ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៣ ខែកុម្ភៈ ឆ្នាំ២០២៤
