RansomWeb គឺជាពាក្យថ្មីមួយ
អ្នកវាយប្រហារកំពុងតែស្វែងរកនូវវិធីសាស្ត្រនានា ដើម្បីធ្វើឲ្យគ្រោះថ្នាក់ដល់អភិបាលគ្រប់គ្រងវិបសាយ។ ដូចជានៅក្នុងរបាយការណ៍មួយ ដែលចេញផ្សាយដោយ ក្រុមហ៊ុនសន្តិសុខ High-Tech Bridge បានឲ្យដឹងថា អ្នកវាយប្រហារបានធ្វើការផ្លាស់ប្តូរ (switching) នូវកូនសោរបំលែង (encryption keys) ហើយបន្ទាប់មកធ្វើការជំរិតអភិបាលគ្រប់គ្រងដើម្បីយកលុយ។
ស្វែងយល់បន្ថែម >> តើអ្វីទៅជា CryptoLocker?
ការវាយប្រហារនេះគឺត្រូវបានគេហៅថា “RansomWeb” ដែលអាចមានលទ្ធភាពក្នុងការផ្លាស់ប្តូរនូវ encryption keys បច្ចុប្បន្ន ជាមួយនឹង encryption keys របស់អ្នកវាយប្រហារ ឬជាមួយនឹង keys ដែលមិនដំណើរការ។ ដើម្បីឲ្យអភិបាលគ្រប់គ្រងវិបសាយ ទទួលបានសិទ្ធិគ្រប់គ្រងមកវិញ ពួកគាត់ត្រូវតែបង់លុយ ទៅឲ្យអ្នកវាយប្រហារ ។
Encryption គឺជាយន្តការមួយសម្រាប់ក្នុងវិស័យសន្តិសុខអ៊ិនធឺណិតបច្ចុប្បន្ន ប៉ុន្តែជាមួយនឹងវិធីសាស្ត្រនៃការវាយប្រហារនេះ វាបានធ្វើការចាក់សោរនូវទិន្នន័យវិបសាយ ហើយមិនមានវិធីសាស្ត្រក្នុងការទទួលយកវាមកវិញទេ។ ទោះបីជាម្ចាស់វិបសាយបញ្ជូនលុយទៅឲ្យអ្នកវាយប្រហារហើយក៍ដោយ ក៍វាមិនធានាថា ម្ចាស់ទទួលបានវិបសាយមកវិញនោះទេ ឬក៍អ្នកវាយប្រហារមិនធ្វើការវាយប្រហារវិបសាយអ្នកដូចគ្នានេះនៅថ្ងៃខាងមុខនោះទេ។
តាមនាយកប្រតិបត្តិ Ilia Kolochenko នៃក្រុមហ៊ុន Hight-Tech Bridge បាននិយាយថា “យើងកំពុងតែជួប្រទៈនូវការវាយប្រហារក្នុងទម្រង់ថ្មីមួយហើយចំពោះវិបសាយ ដែលវានឹងទៅជំនួសការវាយប្រហារបែប Defacements និង DDoS។ RansomWeb គឺវាបណ្តាលឲ្យមានការខូចខាតដែលមិនអាច ជួសជុលបាន។ វាងាយស្រួលក្នុងការវាយប្រហារ ហើយមានការលំបាកក្នុងការការពារ។”
លោក Kolochenko បានអៈអាងថា នេះគឺជាការផ្លាស់ប្តូរនូវអត្តសញ្ញាណអ្នកវាយប្រហារ ដែលធ្វើការផ្លាស់ប្តូរទៅកាន់កិច្ចការហិរញ្ញវត្ថុ។ លោកបានជឿជាក់ថា ជំហានបន្ទាប់របស់អ្នកវាយប្រហារ គឺស្វែងរកនូវវិបសាយដើម្បីចាប់ជំរិត ជាជាងការធ្វើ Defacing វិបសាយ។
ស្វែងយល់បន្ថែម >> តើអ្វីទៅជា RansomWare?
ក្នុងខែធ្នូ ឆ្នាំ២០១៤ ក្រុមអ្នកជំនាញសន្តិសុខរបស់ក្រុមហ៊ុនខាងលើបានរកឃើញនូវករណីមួយដ៍គួរឲ្យភ្ញាក់ផ្អើល ចំពោះក្រុមហ៊ុន Financial Company Website មួយដែលត្រូវបានវាយប្រហារ។
វិបសាយគឺមិនដំណើរការដោយមានបង្ហាញនូវ database error ហើយម្ចាស់វិបសាយបានទទួលនូវអីុម៉ែលស្នើសុំឲ្យមានការបង់ប្រាក់ សម្រាប់ការបំលែង (decrypt) នូវដាតាបេសមកវិញ។
Web Application នោះគឺមានទំហំតូច និងធម្មតាតែប៉ុណ្ណោះ ប៉ុន្តែវាមានសារៈសំខាន់ណាស់សម្រាប់ការងារអាជីវកម្មនៃក្រុមហ៊ុនហិរញ្ញវត្ថុនោះ ដែលមិនអាច បិទវាឡើយ ហើយក៍មិនអាចធ្វើការប្រកាសថាត្រូវបានវាយប្រហារឡើយ (compromise)។ បន្ទាប់ពីការស៊ើបអង្កេតមក មានការរកឃើញដូចខាងក្រោម៖
– Web Application ត្រូវបានជ្រៀតចូលក្នុងរយៈពេល ៦ខែមុន ហើយបន្ទាប់មក server scripts ជាច្រើនត្រូវបានកែសម្រួលដើម្បីធ្វើការ encrypt ទិន្នន័យមុនពេលដែលបញ្ចូលទៅក្នុង database ហើយធ្វើការ decrypt មកវិញនៅពេលដែលទាញទិន្នន័យពី database។
– មានតែ fields សំខាន់ៗនៃ database ប៉ុណ្ណោះដែលត្រូវបាន encrypted (ដែលមិនប៉ៈពាល់ដល់ដំណើរការវិបសាយច្រើនឡើយ)។ រាល់ទិន្នន័យ ដែលមាននៅពេលមុន គឺក៍ត្រូវបានធ្វើការ encrypted ដែរ។
– Encrypted Key គឺត្រូវបានធ្វើការរក្សាទុកនៅលើ remoate web server ដែលអាចចូលទៅកាន់បានតាមរយៈ HTTPS (ដើម្បីធ្វើការជៀសវាង នូវការចាប់យកពីប្រព័ន្ធឃ្លាំមើលផ្សេងៗ – traffic monitoring systems)
– ក្នុងរយៈពេល ៦ខែ អ្នកវាយប្រហារមានភាពស្ងប់ស្ងាត់រងចាំ នៅពេលដែល backups ត្រូវបានថតចំលងជាន់ (overwritten) ដោយ database ថ្មីៗ
– នៅក្នុងថ្ងៃណាមួយ អ្នកវាយប្រហារធ្វើការលុបចោលនូវ key ចេញពី Remote Server ពេលនោះគឺ database នឹងមិនអាចប្រើប្រាស់បាន ធ្វើឲ្យវិបសាយមិនអាចបម្រើសេវាកម្មបាន ហើយអ្នកវាយប្រហារធ្វើការចាំជំរិតម្ចាស់វិបសាយ ដើម្បីទទួលបាននូវ enryption key។
នេះគឺជាករណីនៃការវាយប្រហារយ៉ាងច្បាស់ជាប្រភេទ APT ចំពោះក្រុមហ៊ុនណាមួយច្បាស់លាស់។
រូបភាពនៃកូដគម្រូមួយចំនួន នៃការវាយប្រហារ
ព័ត៌មានបន្ថែម៖
http://www.forbes.com/sites/thomasbrewster/2015/01/28/ransomweb-50000-dollar-extortion/
https://www.htbridge.com/blog/ransomweb_emerging_website_threat.html
