ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

RansomWeb – The New Term

RansomWeb គឺជាពាក្យថ្មីមួយ

អ្នកវាយប្រហារកំពុងតែស្វែងរកនូវវិធីសាស្ត្រនានា ដើម្បីធ្វើឲ្យគ្រោះថ្នាក់ដល់អភិបាលគ្រប់គ្រងវិបសាយ។ ដូចជានៅក្នុងរបាយការណ៍មួយ ដែលចេញផ្សាយដោយ ក្រុមហ៊ុនសន្តិសុខ High-Tech Bridge បានឲ្យដឹងថា អ្នកវាយប្រហារបានធ្វើការផ្លាស់ប្តូរ (switching) នូវកូនសោរបំលែង (encryption keys) ហើយបន្ទាប់មកធ្វើការជំរិតអភិបាលគ្រប់គ្រងដើម្បីយកលុយ។

ស្វែងយល់បន្ថែម >> តើអ្វីទៅជា CryptoLocker?

ការវាយប្រហារនេះគឺត្រូវបានគេហៅថា “RansomWeb” ដែលអាចមានលទ្ធភាពក្នុងការផ្លាស់ប្តូរនូវ encryption keys បច្ចុប្បន្ន ជាមួយនឹង encryption keys របស់អ្នកវាយប្រហារ ឬជាមួយនឹង keys ដែលមិនដំណើរការ។ ដើម្បីឲ្យអភិបាលគ្រប់គ្រងវិបសាយ ទទួលបានសិទ្ធិគ្រប់គ្រងមកវិញ ពួកគាត់ត្រូវតែបង់លុយ ទៅឲ្យអ្នកវាយប្រហារ ។

Encryption គឺជាយន្តការមួយសម្រាប់ក្នុងវិស័យសន្តិសុខអ៊ិនធឺណិតបច្ចុប្បន្ន ប៉ុន្តែជាមួយនឹងវិធីសាស្ត្រនៃការវាយប្រហារនេះ វាបានធ្វើការចាក់សោរនូវទិន្នន័យវិបសាយ ហើយមិនមានវិធីសាស្ត្រក្នុងការទទួលយកវាមកវិញទេ។ ទោះបីជាម្ចាស់វិបសាយបញ្ជូនលុយទៅឲ្យអ្នកវាយប្រហារហើយក៍ដោយ ក៍វាមិនធានាថា ម្ចាស់ទទួលបានវិបសាយមកវិញនោះទេ ឬក៍អ្នកវាយប្រហារមិនធ្វើការវាយប្រហារវិបសាយអ្នកដូចគ្នានេះនៅថ្ងៃខាងមុខនោះទេ។

តាមនាយកប្រតិបត្តិ Ilia Kolochenko នៃក្រុមហ៊ុន Hight-Tech Bridge បាននិយាយថា “យើងកំពុងតែជួប្រទៈនូវការវាយប្រហារក្នុងទម្រង់ថ្មីមួយហើយចំពោះវិបសាយ ដែលវានឹងទៅជំនួសការវាយប្រហារបែប Defacements និង ​DDoS។ RansomWeb គឺវាបណ្តាលឲ្យមានការខូចខាតដែលមិនអាច ជួសជុលបាន។ វាងាយស្រួលក្នុងការវាយប្រហារ ហើយមានការលំបាកក្នុងការការពារ។”

លោក Kolochenko បានអៈអាងថា នេះគឺជាការផ្លាស់ប្តូរនូវអត្តសញ្ញាណអ្នកវាយប្រហារ ដែលធ្វើការផ្លាស់ប្តូរទៅកាន់កិច្ចការហិរញ្ញវត្ថុ។ លោកបានជឿជាក់ថា ជំហានបន្ទាប់របស់អ្នកវាយប្រហារ គឺស្វែងរកនូវវិបសាយដើម្បីចាប់ជំរិត ជាជាងការធ្វើ Defacing វិបសាយ។

ស្វែងយល់បន្ថែម >> តើអ្វីទៅជា RansomWare?

ក្នុងខែធ្នូ ឆ្នាំ២០១៤ ក្រុមអ្នកជំនាញសន្តិសុខរបស់ក្រុមហ៊ុនខាងលើបានរកឃើញនូវករណីមួយដ៍គួរឲ្យភ្ញាក់ផ្អើល ចំពោះក្រុមហ៊ុន Financial Company Website មួយដែលត្រូវបានវាយប្រហារ។

វិបសាយគឺមិនដំណើរការដោយមានបង្ហាញនូវ database error ហើយម្ចាស់វិបសាយបានទទួលនូវអីុម៉ែលស្នើសុំឲ្យមានការបង់ប្រាក់ សម្រាប់ការបំលែង (decrypt) នូវដាតាបេសមកវិញ។

Web Application នោះគឺមានទំហំតូច និងធម្មតាតែប៉ុណ្ណោះ ប៉ុន្តែវាមានសារៈសំខាន់ណាស់សម្រាប់ការងារអាជីវកម្មនៃក្រុមហ៊ុនហិរញ្ញវត្ថុនោះ ដែលមិនអាច បិទវាឡើយ ហើយក៍មិនអាចធ្វើការប្រកាសថាត្រូវបានវាយប្រហារឡើយ (compromise)។ បន្ទាប់ពីការស៊ើបអង្កេតមក មានការរកឃើញដូចខាងក្រោម៖

– Web Application ត្រូវបានជ្រៀតចូលក្នុងរយៈពេល ៦ខែមុន ហើយបន្ទាប់មក server scripts ជាច្រើនត្រូវបានកែសម្រួលដើម្បីធ្វើការ encrypt ទិន្នន័យមុនពេលដែលបញ្ចូលទៅក្នុង database ហើយធ្វើការ decrypt មកវិញនៅពេលដែលទាញទិន្នន័យពី database។

– មានតែ fields សំខាន់ៗនៃ database ប៉ុណ្ណោះដែលត្រូវបាន encrypted (ដែលមិនប៉ៈពាល់ដល់ដំណើរការវិបសាយច្រើនឡើយ)។ រាល់ទិន្នន័យ ដែលមាននៅពេលមុន គឺក៍ត្រូវបានធ្វើការ encrypted ដែរ។

– Encrypted Key គឺត្រូវបានធ្វើការរក្សាទុកនៅលើ remoate web server ដែលអាចចូលទៅកាន់បានតាមរយៈ HTTPS (ដើម្បីធ្វើការជៀសវាង នូវការចាប់យកពីប្រព័ន្ធឃ្លាំមើលផ្សេងៗ – traffic monitoring systems)

– ក្នុងរយៈពេល ៦ខែ អ្នកវាយប្រហារមានភាពស្ងប់ស្ងាត់រងចាំ នៅពេលដែល backups ត្រូវបានថតចំលងជាន់ (overwritten) ដោយ database ថ្មីៗ

– នៅក្នុងថ្ងៃណាមួយ អ្នកវាយប្រហារធ្វើការលុបចោលនូវ key ចេញពី Remote Server ពេលនោះគឺ database នឹងមិនអាចប្រើប្រាស់បាន ធ្វើឲ្យវិបសាយមិនអាចបម្រើសេវាកម្មបាន ហើយអ្នកវាយប្រហារធ្វើការចាំជំរិតម្ចាស់វិបសាយ ដើម្បីទទួលបាននូវ enryption key។

នេះគឺជាករណីនៃការវាយប្រហារយ៉ាងច្បាស់ជាប្រភេទ APT ចំពោះក្រុមហ៊ុនណាមួយច្បាស់លាស់។

រូបភាពនៃកូដគម្រូមួយចំនួន នៃការវាយប្រហារ

ព័ត៌មានបន្ថែម៖

http://www.forbes.com/sites/thomasbrewster/2015/01/28/ransomweb-50000-dollar-extortion/

https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button