ទីភ្នាក់ងារសន្តិសុខសាយប័រអាមេរិក បានព្រមានពីការវាយប្រហាររបស់មេរោគចាប់ជម្រិត Phobos ដែលមានគោលដៅលើស្ថាប័ន និងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរបស់រដ្ឋាភិបាល ដែលរួមមានការប្រើប្រាស់តិចនិក និងបច្ចេកទេសផ្សេងៗដើម្បីដាក់ពង្រាយមេរោគប្រភេទអ៊ីនគ្រីបឯកសារ (File-Encrypting)។
រដ្ឋាភិបាលបានថ្លែងថា គម្រូនៃការផ្តល់សេវាមេរោគចាប់ជម្រិតទាំងនោះ (Ransomware as a Service (RaaS) Model) ដូចជាមេរោគ Phobos មានគោលដៅលើរដ្ឋាភិបាលក្រុង និងស្រុក សេវាសង្គ្រោះបន្ទាន់ វិស័យអប់រំ មណ្ឌលសុខភាពសាធារណៈ និងហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗ ដើម្បីអាចជម្រិតទារប្រាក់រាប់លានដុល្លារបាន។ ទីភ្នាក់ងារសន្តិសុខ (CISA) ទីភ្នាក់ងារស៊ើបអង្កេតការិយាល័យសហព័ន្ធ (FBI) និងមជ្ឈមណ្ឌលវិភាគ និងស្ថាបនចែករំលែកព័ត៌មានរដ្ឋចម្រុះ (MS-ISAC) ក៏បានផ្តល់ដំបូន្មានផងដែរ។ មេរោគ Phobos មានសកម្មភាពតាំងពីខែឧសភា ឆ្នាំ២០១៩ អញ្ញត្តិចម្រុះរបស់មេរោគ Phobos ត្រូវបានកំណត់អត្តសញ្ញាណមកដល់ពេលនេះរួមមានឈ្មោះ Eking, Eight, Elbie, Devos, Faust និង Backmydata។ កាលពីឆ្នាំមុន ក្រុមហ៊ុន Cisco Talos បានបង្ហាញថា ហេគឃ័រនៅពីក្រោយមេរោគចាប់ជម្រិត 8Base ត្រូវបានជំរុញដោយអញ្ញត្តិមេរោគ Phobos ដើម្បីលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុសម្រាប់ការវាយប្រហារ។ មានភស្តុតាងបង្ហាញថា មេរោគ Phobos ទំនងជាត្រូវបានគ្រប់គ្រងដោយអាជ្ញាធរកណ្តាល (Central Authority) ដែលគ្រប់គ្រងលើ Key សម្រាប់អ៊ីនគ្រីបឯកជន (Private Decryption Key) របស់មេរោគ។ ខ្សែច្រវាក់នៃការវាយប្រហារដែលពាក់ព័ន្ធនឹងមេរោគចាប់ផ្តើមប្រើការឆបោកបែប Phishing ដើម្បីទម្លាក់ Payloads លួចជាសម្ងាត់ដូចជា Smokeloader។ ជាមួយនឹង បណ្តាញណិតវើកងាយរងគ្រោះត្រូវបានលួចចូលដោយការស្វែងរកសេវា RDP ដែលបើកចំហ (Exposed) និងកេងចំណេញលើសេវាដោយការវាយប្រហារបែបបង្ខំ (Brute-Force Attack)។
បន្ទាប់ពីលួចចូលបាន ហេគឃ័រចាប់ផ្តើមទម្លាក់ឧបករណ៍ដំណើរការបញ្ជាបន្ថែម (Additional Remote Access Tools) ដែលទាញប្រយោជន៍ពីដំណើរការតិចនិកក្នុងការចាក់បញ្ចូល (Process Injection Techniques) ដើម្បីប្រតិបត្តិការកូដអាក្រក់ និងគេចពីការតាមចាប់ ព្រមទាំងបានផ្លាស់ប្តូរនូវ Windows Registry ដើម្បីអាចរក្សាវត្តមាននៅក្នុងមជ្ឈដ្ឋាន Compromised បាន។ ទីភ្នាក់ងារបានថ្លែងថា ក្រៅពីនេះ មេរោគ Phobos បានប្រើមុខងារ Built-in Windows API ដើម្បីលួច Tokens ឆ្លងកាត់ Access Controls បង្កើតនូវដំណើរការថ្មីដើម្បីអាចទទួលបានសិទ្ធិពិសេសដោយជំរុញដំណើរការ SeDebugPrivilege។ ក្រុម Phobos មានបំណងផ្ទៀងផ្ទាត់ដោយប្រើ Password Hashes ដែលបានរក្សាទុក (Cached) នៅលើម៉ាស៊ីនជនរងគ្រោះរហូតដល់ពួកគេអាចដំណើរការ Domain Administrator។
ក្រុមឧក្រឹដ្ឋកម្មអេឡិចត្រូនិកត្រូវបានគេដឹងថា ប្រើ Open-Source Tools ដូចជា Bloodhound និង Sharphound នៅក្នុង Active Directory។ ការច្រោះយកឯកសារត្រូវបានធ្វើឡើងតាមរយៈ WinSCP និង Mega.io បន្ទាប់ពីច្បាប់ចម្លង (Volume Shadow Copies) ត្រូវបានលុបចេញ ក្នុងបំណងធ្វើឱ្យការស្តារឡើងវិញកាន់តែស្មុគស្មាញ។ ក្រុមហ៊ុន Bitdefender បានលម្អិតថា មេរោគចាប់ជម្រិតបានធ្វើឱ្យប៉ះពាល់ដល់ក្រុមហ៊ុន២ ផ្សេងគ្នានៅពេលតែមួយ។ ការវាយប្រហាររួមមានបច្ចេកទេស Synchonized និង Multifaceted ដែលជាផ្នែកមួយនៃការចាប់ជម្រិតរបស់ CACTUS។ មេរោគ CACTUS បានបន្តលួចចូលណេតវើករបស់អង្គភាព ដាក់បញ្ចូលឧបករណ៍ (Tools) ដំណើរការពីចម្ងាយ និងលួចចូលឆ្លងទៅកាន់ម៉ាស៊ីនមេផ្សេងៗទៀត បើយោងតាម Martin Zugec នាយកបច្ចេកទេសនៅក្រុមហ៊ុន Bitdefender។ នៅពេលពួកគេបានកំណត់ឱកាសដើម្បីផ្លាស់ទីទៅកាន់ក្រុមហ៊ុនផ្សេង ពួកគេផ្អាកដំណើរការមួយរយៈដើម្បីលួចចូលទៅកាន់បណ្តាញណេតវើកផ្សេងទៀត។ ក្រុមហ៊ុនទាំងអស់ជាក្រុមហ៊ុននៅក្នុងក្រុមតែមួយ (Same Group) ប៉ុន្តែប្រតិបត្តិការឯករាជ្យ ដែលអាចមានបណ្តាញណេតវើក និង Domain ផ្សេងគ្នាដោយគ្មានទំនាក់ទំនងគ្នា (Established Trust Relationship) ឡើយ។
ការវាយប្រហារត្រូវបានកត់សម្គាល់សម្រាប់គោលដៅ Virtualization infrastructure របស់ក្រុមហ៊ុនមិនស្គាល់ឈ្មោះ (Unnamed) ដែលបង្ហាញថា មេរោគ CACTUS បានពង្រីកខ្លួនទៅកាន់គោលដៅរបស់ពួកគេលើម៉ាស៊ីនដែលប្រើប្រាស់ Windows ដើម្បីវាយប្រហារលើ Hyper-V និង VMware ESXi។ មេរោគេនះក៏បានធ្វើការកេងចំណេញលើបញ្ហាសុវត្ថិភាព (CVE-2023-38035, CVSS score: 9.8) នៅក្នុង Internet-exposed Ivanti Sentry Server ប្រមាណជា ២៤ម៉ោង កាលពីខែសីហា ឆ្នាំ២០២៣ ជាថ្មីម្តងទៀត វាបានបង្ហាញពីឱកាសនិយម និងការវាយប្រហារលើភាពងាយរងគ្រោះថ្មីៗ (Rapid Weaponization of Newly Published Vulnerabilities)។
មេរោគចាប់ជម្រិតបន្តជំរុញហេគឃ័រផ្នែកហិរញ្ញវត្ថុដោយការជម្រិតទារប្រាក់រហូតដល់ទៅ ៦០០,០០០ដុល្លារក្នុងឆ្នាំ២០២៣ ដែលមានកំណើនដល់ទៅ២០% ធៀបទៅនឹងឆ្នាំមុន បើយោងតាម Arctic Wolf ។ នៅក្នុងត្រីមាសទី៤ ឆ្នាំ២០២៣ ប្រាក់លោះជាមធ្យមមានចំនួន ៥៦៨,០០០ដុល្លារក្នុងជនរងគ្រោះម្នាក់។ អ្វីដែលគួរចាប់អារម្មណ៍នោះគឺថា ការបង់ប្រាក់លោះតាមតម្រូវការរបស់ហេគឃ័រមិនប្រាកដថាទទួលបានការការពារនាពេលអនាគតនោះទេ។ មិនធានាថា ទិន្នន័យ និងប្រព័ន្ធរបស់ជនរងគ្រោះនឹងមានសុវត្ថិភាពអាចស្តារឡើងវិញនោះទេ ហើយហេគឃ័រនឹងមិនលក់ទិន្នន័យដែលបានលួចនោះនៅលើវេទិកាទីផ្សារងងឹត ឬវាយប្រហារជនរងគ្រោះម្តងទៀតនោះដែរ។ ក្រុមហ៊ុន Cybereason បានបង្ហាញថា ៧៨%នៃអង្គការត្រូវបានវាយប្រហារម្តងទៀតបន្ទាប់ពីបង់ប្រាក់លោះ (៨២% នៃជនរងគ្រោះក្នុងរយៈពេលមួយឆ្នាំ) នៅក្នុងករណីហេគឃ័រដដែល។ នៅក្នុងចំណោមជនរងគ្រោះទាំងនេះ ៦៣% ត្រូវបានជម្រិតទារប្រាក់ជាលើកទីពីរ៕
https://thehackernews.com/2024/03/phobos-ransomware-aggressively.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែមីនា ឆ្នាំ២០២៤
