LockBit หยุดทำงานแล้ว แต่ภัยคุกคามแรนซัมแวร์อื่นๆ 5 อันดับแรกจะเข้ามาแทนที่
ลิงค์ด่วน
⭐LockBit Ransomware คืออะไร?
⭐ เกิดอะไรขึ้นกับ LockBit
⭐ 5 ประเภทของ Ransomware ที่จะเข้ามาแทนที่ LockBit
⭐ LockBit Ransomware เสร็จสิ้นแล้วหรือยัง?
ประเด็นที่สำคัญ
หน่วยงานบังคับใช้กฎหมายประสบความสำเร็จในการลดความสามารถในการปฏิบัติงานของ LockBit ซึ่งเป็นกลุ่มแรนซัมแวร์ที่โดดเด่น โดยการกำหนดเป้าหมายไปที่โครงสร้างพื้นฐานและเครือข่ายพันธมิตรของพวกเขา อย่างไรก็ตาม เป็นที่น่าสังเกตว่ายังมีกลุ่มแรนซัมแวร์กลุ่มอื่นๆ ที่กำลังรอที่จะใช้ประโยชน์จากโอกาสใดๆ ก็ตามเพื่อเติมเต็มช่องว่างที่หลงเหลืออยู่จากความล้มเหลวของ LockBit
มีรายงานว่าองค์กรบางแห่งที่รับผิดชอบในการล้ม LockBit ได้เริ่มจัดเตรียมเครื่องมือถอดรหัสสำหรับผู้ที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว อย่างไรก็ตาม ควรสังเกตว่าไม่สามารถรับประกันการฟื้นตัวได้สำเร็จได้ในขณะนี้
แม้ว่า LockBit จะลดลง แต่กลุ่มแรนซัมแวร์กลุ่มใหม่จำนวนหนึ่งก็มีความโดดเด่น โดยปัจจุบันมีกลุ่มแรนซัมแวร์ที่น่าสนใจหลายกลุ่มที่รับบทบาทเดิมในแวดวงอาชญากรไซเบอร์
ในช่วงไม่กี่ครั้งที่ผ่านมา LockBit ได้รับความอับอายในฐานะกลุ่มแรนซัมแวร์ที่ชั่วร้ายโดยเฉพาะอย่างยิ่ง ซึ่งรวบรวมเงินจำนวนมากผ่านการขู่กรรโชก ซึ่งคาดว่าจะมีมูลค่าเกินหลายร้อยล้านดอลลาร์ ในขณะเดียวกันก็สร้างความเสียหายอย่างกว้างขวางต่อข้อมูลดิจิทัลจำนวนมหาศาล
จากผลของการดำเนินการบังคับใช้กฎหมายที่ประสานงานกัน LockBit ประสบกับความล้มเหลวอย่างมากจากการถูกลบเว็บไซต์และการเปิดเผยเครือข่ายพันธมิตรและทุนสำรองสกุลเงินดิจิทัล อย่างไรก็ตาม ควรสังเกตว่าสิ่งนี้ไม่ได้หมายความว่ากิจกรรมของแรนซัมแวร์จะหยุดลง เนื่องจากมีรูปแบบทางเลือกมากมายที่ยังคงมีอยู่และเป็นภัยคุกคาม
LockBit Ransomware คืออะไร?
Ransomware เป็นซอฟต์แวร์ที่เป็นอันตรายในรูปแบบที่ชั่วร้ายอย่างยิ่ง ซึ่งขู่กรรโชกเหยื่อโดยการห่อหุ้มอุปกรณ์คอมพิวเตอร์ของพวกเขาไว้ในแผงกั้นที่ไม่สามารถเจาะเข้าไปได้ ทำให้ไม่สามารถใช้งานได้จนกว่าจะจ่ายค่าไถ่สำหรับการเปิดเผยข้อมูลที่ละเอียดอ่อน
LockBit เป็นองค์กรผิดกฎหมายที่รับผิดชอบในการพัฒนา ปฏิบัติการ และเผยแพร่แรนซัมแวร์ชื่อเดียวกันที่เรียกว่า LockBit ความอับอายอย่างหลังนี้เกิดจากการส่งผลกระทบอย่างกว้างขวางต่อองค์กร สถาบัน และบุคคลจำนวนมากทั่วโลก โดยมีการประมาณการที่บ่งชี้ถึงรายได้ที่อาจเกิดขึ้นในช่วงหลายพันล้านดอลลาร์
LockBit มีลักษณะที่ไม่ธรรมดาตรงที่มีความสามารถในการเผยแพร่ตัวเองได้โดยอัตโนมัติ ทำให้สามารถแพร่เชื้อได้ง่ายและมีความท้าทายในการกักกัน ลักษณะการจำลองตัวเองของ LockBit ทำให้ LockBit แตกต่างจากแรนซัมแวร์รูปแบบอื่นๆ ทำให้มีอันตรายเป็นพิเศษ เนื่องจากความสามารถในการแพร่กระจายอย่างรวดเร็วโดยมีการแทรกแซงจากมนุษย์เพียงเล็กน้อย ด้วยเหตุนี้ การระบาดของแรนซัมแวร์ LockBit จึงทำให้เกิดปัญหาอย่างมาก เนื่องจากซอฟต์แวร์ที่เป็นอันตรายมีความสามารถในการกำหนดเป้าหมายเหยื่อรายใหม่ได้อย่างอิสระ
แท้จริงแล้ว กลุ่ม LockBit มีชื่อเสียงในด้านการอัปเดตแรนซัมแวร์ของตนอย่างต่อเนื่องด้วยคุณสมบัติที่เป็นนวัตกรรมและปรับปรุงขีดความสามารถเพื่อรักษาศักยภาพของมัน LockBit 3.0 ที่โดดเด่นล่าสุดเกิดขึ้นในเดือนมิถุนายน 2022
เกิดอะไรขึ้นกับ LockBit?
เมื่อวันที่ 19 กุมภาพันธ์ 2024 มีการประกาศโดยหน่วยงานบังคับใช้กฎหมายต่างๆ เช่น สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI), หน่วยงานอาชญากรรมแห่งชาติของสหราชอาณาจักร และ Europol ว่าความพยายามในการประสานงานได้ทำให้การทำงานขององค์กรอาชญากรรมของ LockBit ลดลงอย่างมีประสิทธิภาพ
ผลจากปฏิบัติการโครโนส เจ้าของและผู้ร่วมงานของ LockBit รวมถึงผู้ที่เข้าร่วมในเครือข่ายพันธมิตรที่ใช้แรนซัมแวร์ในรูปแบบบริการ ถูกแยกออกจากเครือข่าย ส่งผลให้ชื่อโดเมนและเซิร์ฟเวอร์ประมาณ 11,000 รายการต้องปิดตัวลง นอกจากนี้ ยังมีการจับกุมบุคคลสองคนที่เกี่ยวข้องกับการพัฒนา LockBit และสมาชิกของโปรแกรมพันธมิตร LockBit เพิ่มเติมก็ถูกควบคุมตัวโดยเป็นส่วนหนึ่งของปฏิบัติการนี้
จากข้อมูลของ CISA การโจมตีของ LockBit คิดเป็นมากกว่า 15 เปอร์เซ็นต์ของการโจมตีด้วยแรนซัมแวร์ทั้งหมดทั่วทั้งสหรัฐอเมริกา สหราชอาณาจักร แคนาดา และออสเตรเลีย และนิวซีแลนด์ในปี 2565 ซึ่งเป็นตัวเลขมหัศจรรย์ แต่ด้วยบัญชีและแพลตฟอร์มการดูแลระบบหลักของ LockBit ที่อยู่ภายใต้การควบคุมของหน่วยงาน ความสามารถในการเปิดและควบคุมเครือข่ายจึงถูกกำจัดออกไปอย่างมีประสิทธิภาพ
เครื่องมือถอดรหัส LockBit จะมีวางจำหน่ายเมื่อใด
หน่วยงานที่เข้าร่วมหลายแห่งที่รับผิดชอบปฏิบัติการ LockBit ได้ดำเนินการอย่างรวดเร็วโดยแจกจ่ายเครื่องมือถอดรหัสและจัดเตรียมรหัสกุญแจเพื่อช่วยบุคคลที่ได้รับผลกระทบในการกู้คืนข้อมูลที่ถูกเข้ารหัสระหว่างการโจมตีทางไซเบอร์
⭐ US/FBI: ติดต่อ FBI เพื่อรับกุญแจผ่าน LockBit Victims
โปรดติดต่อสำนักงานอาชญากรรมแห่งชาติ (NCA) โดยใช้ที่อยู่อีเมลที่ให้ไว้ [email protected] เพื่อขอกุญแจการเข้าถึงสำหรับบัญชีของคุณกับพวกเขา
⭐ อื่นๆ/Europol, Polite (NL) ทำตามคำแนะนำสำหรับการถอดรหัส Lockbit 3.0 บน No More Ransom
แม้ว่าจะไม่รับประกันว่าจะสามารถกู้คืนไฟล์ที่เข้ารหัสโดยใช้ LockBit ได้สำเร็จ แต่ความพยายามที่จะดึงข้อมูลเหล่านั้นกลับเป็นสิ่งที่รับประกันได้อย่างแน่นอน โดยเฉพาะอย่างยิ่งเนื่องจาก LockBit ไม่ได้ให้คีย์ถอดรหัสที่แม่นยำอย่างสม่ำเสมอ แม้ในกรณีที่มีการชำระค่าไถ่ก็ตาม
5 ประเภทของ Ransomware ที่จะเข้ามาแทนที่ LockBit
LockBit ซึ่งเป็นผู้เล่นที่โดดเด่นในขอบเขตของแรนซัมแวร์ เป็นผู้รับผิดชอบต่อซอฟต์แวร์ที่เป็นอันตรายดังกล่าวจำนวนมาก อย่างไรก็ตาม พวกเขาเป็นเพียงหนึ่งในกลุ่มแรนซัมแวร์หลายกลุ่มที่ใช้งานอยู่ในปัจจุบัน การยุติการดำเนินงานของ LockBit อาจส่งผลให้เกิดโมฆะชั่วคราวซึ่งกลุ่มแรนซัมแวร์อื่นๆ สามารถใช้ประโยชน์ได้ ด้วยความเป็นไปได้นี้ ฉันขอนำเสนอแรนซัมแวร์ที่แตกต่างกันห้าประเภทที่ดึงดูดความสนใจ:
ข้อเสนอ Ransomware-as-a-service (RaaS) เช่น ALPHV/BlackCat มีหน้าที่รับผิดชอบในการแพร่เชื้อหน่วยงานทั่วโลกจำนวนมาก ความน่าสังเกตของสายพันธุ์นี้อยู่ที่โครงสร้างที่เป็นเอกลักษณ์ เขียนด้วยภาษาโปรแกรม Rust ทั้งหมด ทำให้สามารถใช้ประโยชน์จากระบบปฏิบัติการ Windows และ Linux ได้อย่างมีประสิทธิภาพ
มีรายงานว่ากลุ่ม Cl0p เปิดใช้งานมาตั้งแต่อย่างน้อยปี 2019 และเชื่อว่าสามารถรวบรวมเงินได้มากกว่าครึ่งพันล้านดอลลาร์ผ่านการเรียกร้องค่าไถ่ องค์กรอาชญากรรมแห่งนี้ขึ้นชื่อในเรื่องการขโมยข้อมูลที่เป็นความลับจากเป้าหมาย โดยใช้ข้อมูลที่ถูกขโมยมาเพื่อบังคับจ่ายค่าไถ่ ไม่เพียงแต่เพื่อปลดล็อกไฟล์ที่เข้ารหัสเท่านั้น แต่ยังป้องกันไม่ให้ข้อมูลที่ละเอียดอ่อนถูกเปิดเผยต่อสาธารณะอีกด้วย
มีรายงานการเกิดขึ้นของ Play ransomware หรืออีกชื่อหนึ่งว่า PlayCrypt ในปี 2022 ซอฟต์แวร์ที่เป็นอันตรายสายพันธุ์นี้ใช้นามสกุลไฟล์ “.play” ในระหว่างการโจมตีทางไซเบอร์ เช่นเดียวกับ Cl0p กลุ่มแรนซัมแวร์นี้ถูกพบว่าใช้กลยุทธ์การขู่กรรโชกซ้ำซ้อนและใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยต่างๆ เพื่อกำหนดเป้าหมายผู้ใช้ที่ไม่สงสัย
Royal ใช้แนวทางที่เป็นนวัตกรรมใหม่โดยนำเสนอแรนซัมแวร์เป็นรูปแบบบริการ ในขณะเดียวกันก็รักษามาตรการความเป็นส่วนตัวที่เป็นเอกลักษณ์สำหรับการดำเนินงานเมื่อเทียบกับกลุ่มแรนซัมแวร์อื่นๆ อย่างไรก็ตาม เช่นเดียวกับกลุ่มอื่นๆ Royal ใช้เทคนิคการขู่กรรโชกหลายครั้งที่เกี่ยวข้องกับการได้มาซึ่งข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต และความต้องการค่าไถ่ตามมาตามข้อมูลที่ขโมยมาดังกล่าว
ในช่วงกลางปี 2023 การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นอย่างที่ไม่เคยเกิดขึ้นมาก่อนเกิดขึ้นจากที่ไหนก็ไม่รู้ โดยมีวิธีการขู่กรรโชกหลายวิธี และการเชื่อมต่อที่ชัดเจนกับกลุ่มแรนซัมแวร์ที่โดดเด่น เช่น RansomHouse
การวิจัยของ Malwarebytes แสดงให้เห็นว่าในขณะที่ LockBit เป็นหนึ่งในประเภทที่มีประสิทธิผลมากที่สุด ในส่วนของแรนซัมแวร์ องค์กรแรนซัมแวร์ 10 อันดับแรกมีส่วนรับผิดชอบต่อการโจมตีแรนซัมแวร์ถึง 70 เปอร์เซ็นต์ ดังนั้นแม้จะไม่มี LockBit แต่แรนซัมแวร์ก็ยังรออยู่อย่างแน่นอน
LockBit Ransomware เสร็จสมบูรณ์แล้วหรือยัง?
ที่น่าทึ่งพอๆ กับข่าวการตายของ LockBit คือไม่ แรนซั่มแวร์ LockBit ไม่ได้อยู่ในระบบอย่างสมบูรณ์ Ars Technica รายงานการโจมตี LockBit ใหม่หลายวันหลังจากการลบออก และนั่นก็ด้วยเหตุผลสองประการ
แม้ว่าโครงสร้างพื้นฐานของ LockBit จะประสบปัญหาการปิดระบบ แต่ก็ไม่ได้หมายความว่าไม่มีโค้ดแรนซัมแวร์อยู่ ในปี 2022 เวอร์ชันของซอร์สโค้ดของ LockBit ได้รับการเปิดเผยต่อสาธารณะ ซึ่งอาจก่อให้เกิดเหตุการณ์ล่าสุดเหล่านี้ นอกจากนี้ LockBit ยังมีเครือข่ายทั่วโลกที่กว้างขวางซึ่งขยายไปทั่วหลายประเทศ แม้ว่าศูนย์กลางการดำเนินงานหลักจะตั้งอยู่ในรัสเซีย แต่ก็มีความเป็นไปได้สูงที่องค์กรที่มีขนาดและความซับซ้อนดังกล่าวจะมีมาตรการฉุกเฉิน รวมถึงระบบสำรองข้อมูลและกลยุทธ์ในการฟื้นฟูการเชื่อมต่อ แม้ว่าอาจต้องใช้เวลาพอสมควรในการจัดทำใหม่ก็ตาม
ไม่ต้องสงสัยเลยว่า เรายังไม่แน่ใจว่าเราจะได้เห็นการกลับมาของแรนซัมแวร์ LockBit อีกครั้งหรือไม่ในอนาคต