- ដោយ Admin
- Apr 01, 2026
កំពុងផ្ទុក...
កំពុងផ្ទុក...
ការវាយប្រហាររបស់ Ransomware បានលើសពីកូដព្យាបាទសាមញ្ញៗទៅទៀត។ សព្វថ្ងៃនេះ អ្នកវាយប្រហារដំណើរការដោយភាពជាក់លាក់នៃអាជីវកម្មដែលមានផែនការល្អ ដោយប្រើប្រាស់ឧបករណ៍ Windows ដែលអាចទុកចិត្តបាន ដើម្បីបំផ្លាញការការពារដោយស្ងាត់ៗ មុនពេលដែល ransomware ចូលមកក្នុងរូបភាព។
ការផ្លាស់ប្តូរនេះបានធ្វើឱ្យយុទ្ធនាការ ransomware ទំនើបពិបាករកឃើញ និងបង្កគ្រោះថ្នាក់កាន់តែខ្លាំង។
ឧបករណ៍នៅចំកណ្តាលនៃការគំរាមកំហែងនេះមិនត្រូវបានរចនាឡើងសម្រាប់ឧក្រិដ្ឋកម្មទេ។ ឧបករណ៍ប្រើប្រាស់ដូចជា Process Hacker, IOBit Unlocker, PowerRun និង AuKill ត្រូវបានបង្កើតឡើងដំបូងដើម្បីជួយក្រុម IT គ្រប់គ្រងដំណើរការ ដោះសោឯកសារ និងដោះស្រាយបញ្ហាប្រព័ន្ធប្រចាំថ្ងៃ។
អ្នកវាយប្រហារបានប្រើប្រាស់វាឡើងវិញ ដើម្បីបញ្ចប់កម្មវិធីកំចាត់មេរោគ និងកម្មវិធីរកឃើញ និងឆ្លើយតបចំណុចបញ្ចប់ (EDR) ដោយស្ងាត់ៗ មុនពេលទម្លាក់បន្ទុក ransomware។
ដោយសារតែឧបករណ៍ទាំងនេះត្រូវបានចុះហត្ថលេខាឌីជីថល និងប្រើប្រាស់យ៉ាងទូលំទូលាយនៅក្នុងបរិយាកាសសហគ្រាស ប្រព័ន្ធសុវត្ថិភាពភាគច្រើនចាត់ទុកសកម្មភាពរបស់ពួកគេជាការងាររដ្ឋបាលស្តង់ដារ — ដោយបន្សល់ទុកនូវដានតិចតួចណាស់។
អ្នកស្រាវជ្រាវ Seqrite បានកំណត់អត្តសញ្ញាណគំរូដែលកំពុងកើនឡើងនេះ ហើយបានកត់សម្គាល់ថា ការរំលោភបំពានឧបករណ៍កម្រិតទាបស្របច្បាប់បានក្លាយជាលក្ខណៈពិសេសនៃយុទ្ធនាការ ransomware សព្វថ្ងៃនេះ — ចាប់ពី LockBit 3.0 និង BlackCat រហូតដល់ Dharma, Phobos និង MedusaLocker។
ការស្រាវជ្រាវបង្ហាញថា អ្នកគំរាមកំហែងទាំងនេះមិនពឹងផ្អែកលើមេរោគផ្ទាល់ខ្លួនតែម្នាក់ឯងនោះទេ។ ផ្ទុយទៅវិញ ពួកគេសិក្សាដោយប្រុងប្រយ័ត្នអំពីគោលដៅរបស់ពួកគេ កំណត់ចំណុចខ្សោយសុវត្ថិភាព និងប្រើប្រាស់ឧបករណ៍ដែលបង្កើតឡើងដើម្បីរក្សាសុខភាពប្រព័ន្ធ។
ការបិទកំចាត់មេរោគមិនមែនជាជំហានបន្ទាប់បន្សំនៅក្នុងការវាយប្រហារទាំងនេះទេ — វាគឺជាផ្នែកមួយដោយចេតនា និងសំខាន់នៃផែនការទាំងមូល។ នៅពេលដែលកម្មវិធីសុវត្ថិភាពសកម្ម វាអាចរារាំងបន្ទុកផ្ទុកមេរោគនៅពេលប្រតិបត្តិ ចាប់យកឥរិយាបថអ៊ិនគ្រីបមិនប្រក្រតី និងជូនដំណឹងដល់ក្រុមសន្តិសុខក្នុងពេលវេលាជាក់ស្តែង។
ដោយការបិទការការពារទាំងនេះជាមុន អ្នកវាយប្រហារបង្កើតបង្អួចស្ងាត់មួយដែល ransomware អាចដំណើរការដោយសេរី និងដោយគ្មានការរំខាន។
យុទ្ធសាស្ត្រនេះបានរីកចម្រើនគួរឱ្យកត់សម្គាល់ក្នុងរយៈពេលប៉ុន្មានឆ្នាំមកនេះ ដោយផ្លាស់ប្តូរពីស្គ្រីបបន្ទាត់ពាក្យបញ្ជាជាមូលដ្ឋានដែលប្រើដោយការគំរាមកំហែងដំបូងៗដូចជា CryptoLocker និង WannaCry រហូតដល់ការរៀបចំកម្មវិធីបញ្ជាកម្រិតខឺណែលដែលឃើញនៅក្នុងយុទ្ធនាការ Conti និង LockBit 2.0 ហើយឥឡូវនេះទៅកាន់ម៉ូឌុលសម្លាប់មេរោគដែលបានវេចខ្ចប់ជាមុនដែលបានបង្កប់ដោយផ្ទាល់ទៅក្នុងឧបករណ៍ ransomware-as-a-service (RaaS)។
វិសាលភាពនៃការគំរាមកំហែងនេះឈានដល់អង្គការគ្រប់ទំហំ — ចាប់ពីអាជីវកម្មខ្នាតតូចរហូតដល់សហគ្រាសធំៗ — ហើយផ្លូវវាយប្រហារតែងតែធ្វើតាមលំដាប់ដោយចេតនាដែលកេងប្រវ័ញ្ចឧបករណ៍ដែលគួរឱ្យទុកចិត្តនៅគ្រប់ដំណាក់កាលដើម្បីជៀសវាងការរកឃើញ។
ការរំលោភបំពានឧបករណ៍ Windows ស្របច្បាប់ពីរដំណាក់កាល
នៅពេលដែលអ្នកវាយប្រហារបង្កើតទីតាំងឈរជើង ពួកគេធ្វើតាមដំណើរការពីរដំណាក់កាលដែលរុះរើសុវត្ថិភាពជាប្រព័ន្ធមុនពេលដែល payload ransomware ដំណើរការ។
នៅដំណាក់កាលដំបូង គោលបំណងគឺការបន្សាបកំចាត់មេរោគទាំងស្រុង និងការកើនឡើងសិទ្ធិ។ ឧបករណ៍ដូចជា IOBit Unlocker លុបឯកសារគោលពីរកំចាត់មេរោគដោយប្រើ NtUnlockFile API ខណៈពេលដែល TDSSKiller — ដើមឡើយជាឧបករណ៍លុប rootkit — ត្រូវបានប្រើឡើងវិញដើម្បីដកកម្មវិធីបញ្ជាខឺណែលកំចាត់មេរោគ ដោយការពារពួកវាពីការផ្ទុកឡើងវិញ។
Process Hacker បញ្ចប់ដំណើរការកំចាត់មេរោគដោយកេងប្រវ័ញ្ច SeDebugPrivilege ហើយ Atool_ExperModel លុបធាតុចុះឈ្មោះចាប់ផ្តើមកំចាត់មេរោគ ដោយលុបភារកិច្ចដែលបានកំណត់ពេល និងបំបែកភាពស្ថិតស្ថេរទាំងស្រុង។
ដំណាក់កាលទីពីរគឺជាកន្លែងដែលការវាយប្រហារឈានដល់ចំណុចគ្រោះថ្នាក់បំផុតរបស់វា។ នៅពេលដែលកម្មវិធីសុវត្ថិភាពត្រូវបានបន្សាប អ្នកវាយប្រហារប្តូរការផ្តោតអារម្មណ៍ទៅការលួចអត្តសញ្ញាណ ការរៀបចំខឺណែល និងការដាក់ពង្រាយ ransomware។
YDArk ភ្ជាប់ការហៅត្រឡប់កម្រិតខឺណែលដើម្បីរក្សាភាពស្ថិតស្ថេរលួចលាក់ ខណៈពេលដែល PowerRun ប្រតិបត្តិ payload ransomware នៅសិទ្ធិកម្រិតប្រព័ន្ធពេញលេញ។
Mimikatz អានអង្គចងចាំ LSASS ដើម្បីទាញយកព័ត៌មានសម្ងាត់អ្នកគ្រប់គ្រងដែលបានរក្សាទុកក្នុងឃ្លាំងសម្ងាត់ ដែលអនុញ្ញាតឱ្យមានចលនាចំហៀងឆ្លងកាត់បណ្តាញ។
Unlock_IT លុបធាតុចុះបញ្ជី និងដានកោសល្យវិច្ច័យដើម្បីសម្អាតភស្តុតាង ខណៈពេលដែល AuKill បញ្ចប់ដំណើរការ EDR ដែលនៅសល់ទាំងអស់យ៉ាងច្បាស់លាស់។
ជាមួយនឹងដំណាក់កាលទាំងពីរបានបញ្ចប់ បរិស្ថានត្រូវបានរៀបចំយ៉ាងពេញលេញសម្រាប់ការអ៊ិនគ្រីបឯកសារទ្រង់ទ្រាយធំដោយស្ងៀមស្ងាត់ ដោយគ្មានការការពារដែលនៅសល់ដើម្បីធ្វើអន្តរាគមន៍។
អង្គការនានាគួរតែអនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តាលើគណនីដែលមានសិទ្ធិទាំងអស់ បើកដំណើរការបញ្ជីសកម្មវិធីដើម្បីរារាំងឧបករណ៍ប្រើប្រាស់ដែលមិនត្រូវបានអនុម័ត និងត្រួតពិនិត្យយ៉ាងសកម្មចំពោះពាក្យបញ្ជាបញ្ចប់ដែលគួរឱ្យសង្ស័យដូចជា sc stop, net stop និង taskkill។
ក្រុមសន្តិសុខគួរតែធ្វើសវនកម្មការផ្លាស់ប្តូរបញ្ជីឈ្មោះដែលទាក់ទងនឹងការកំណត់រចនាសម្ព័ន្ធកំចាត់មេរោគ និងការចាប់ផ្តើម កំណត់ការចូលប្រើឧបករណ៍រដ្ឋបាលកម្រិតទាបចំពោះតែបុគ្គលិកដែលបានត្រួតពិនិត្យប៉ុណ្ណោះ និងបណ្តុះបណ្តាលអ្នកវិភាគ SOC ឱ្យស្គាល់សញ្ញាដំបូងនៃការបន្សាបការការពារ។
ចំណុចបញ្ចប់ណាមួយដែលរងផលប៉ះពាល់គួរតែត្រូវបានញែកចេញភ្លាមៗដើម្បីការពារចលនាចំហៀង និងទប់ស្កាត់ផលប៉ះពាល់។
