- ដោយ Admin
- Jun 20, 2026
កំពុងផ្ទុក...
កំពុងផ្ទុក...
មេរោគ ransomware របស់ INC បានរីកចម្រើនពីការគំរាមកំហែងថ្មីថ្មោងទៅជាប្រតិបត្តិការ ransomware ដ៏គ្រោះថ្នាក់បំផុតមួយនៅទូទាំងពិភពលោក។ អ្វីដែលបានចាប់ផ្តើមជាក្រុមឧក្រិដ្ឋជនដែលកំពុងលេចចេញនៅពាក់កណ្តាលឆ្នាំ 2023 បានឆក់យកជនរងគ្រោះជាង 800 នាក់នៅទូទាំងពិភពលោក ដោយដាក់វាក្នុងចំណោមក្រុម ransomware កំពូលៗនៅឆ្នាំនេះ។
ក្រុមនេះដំណើរការក្រោមគំរូ Ransomware-as-a-Service ដោយជ្រើសរើសសាខា និងផ្គត់ផ្គង់ពួកគេនូវឧបករណ៍ដែលត្រៀមរួចជាស្រេចដើម្បីអនុវត្តការវាយប្រហារក្នុងទ្រង់ទ្រាយធំ។
ការគំរាមកំហែងនេះបានវិវត្តតាមរយៈការធ្វើឱ្យប្រសើរឡើងខាងបច្ចេកទេសជាបន្តបន្ទាប់ ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការរកឃើញ និងមានសមត្ថភាពកាន់តែច្រើនក្នុងការកំណត់គោលដៅជនរងគ្រោះជាច្រើនប្រភេទ។
វិស័យថែទាំសុខភាព និងការអប់រំគឺជាវិស័យមួយក្នុងចំណោមវិស័យដែលរងផលប៉ះពាល់ដំបូងបំផុត ប៉ុន្តែចាប់តាំងពីពេលនោះមក ក្រុមនេះបានពង្រីកខ្លួនទៅជាសេវាកម្មផ្នែកច្បាប់ ផលិតកម្ម សំណង់ និងបច្ចេកវិទ្យា។
ការកំណត់គោលដៅកាន់តែទូលំទូលាយនេះឆ្លុះបញ្ចាំងពីការផ្លាស់ប្តូរដោយចេតនាឆ្ពោះទៅរកឧស្សាហកម្មដែលមានសម្ពាធផ្នែកបទប្បញ្ញត្តិ និងទំនងជាបង់ប្រាក់លោះយ៉ាងឆាប់រហ័ស។
អ្នកវិភាគនៅ Acronis បានកំណត់អត្តសញ្ញាណការអភិវឌ្ឍគួរឱ្យកត់សម្គាល់នៅក្នុងសំណុំឧបករណ៍ និងហេដ្ឋារចនាសម្ព័ន្ធរបស់ក្រុម ដោយសង្កេតឃើញការឈ្លានពានថ្មីៗដែលបង្ហាញពីរបៀបដែល INC មានភាពចាស់ទុំ។
Acronis បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលបានចែករំលែកជាមួយ Cyber Security News (CSN) ថា កម្មវិធីអ៊ិនគ្រីប Windows និង Linux/ESXi ទាំងត្រូវបានសរសេរឡើងវិញទាំងស្រុងនៅក្នុង Rust ដែលបង្ហាញពីការវិនិយោគរយៈពេលវែងលើសមត្ថភាពវាយប្រហារឆ្លងវេទិកា។
ក្រុមនេះក៏បានធ្វើបច្ចុប្បន្នភាពឧបករណ៍លួចអត្តសញ្ញាណរបស់ខ្លួន និងកែលម្អកម្មវិធីសម្ព័ន្ធរបស់ខ្លួនដើម្បីធ្វើឱ្យការចូលកាន់តែងាយស្រួលសម្រាប់ប្រតិបត្តិករថ្មី។
មេរោគចាប់ជំរិត INC ពឹងផ្អែកលើវិធីសាស្រ្តជំរិតទារប្រាក់ទ្វេដង ដោយរួមបញ្ចូលគ្នានូវការអ៊ិនគ្រីបឯកសារជាមួយនឹងការគំរាមកំហែងនៃការលេចធ្លាយទិន្នន័យដែលត្រូវបានគេលួចជាសាធារណៈ។ ជនរងគ្រោះដែលបដិសេធមិនបង់ប្រាក់មិនត្រឹមតែប្រឈមមុខនឹងប្រព័ន្ធចាក់សោប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងការលាតត្រដាងកំណត់ត្រាសាជីវកម្មដ៏រសើបនៅលើគេហទំព័រលេចធ្លាយទិន្នន័យរបស់ INC ផងដែរ។
សម្ពាធទ្វេនេះវាយប្រហារទាំងការព្រួយបារម្ភអំពីការស្តារប្រតិបត្តិការ និងហានិភ័យផ្នែកច្បាប់ ឬកេរ្តិ៍ឈ្មោះដែលកើតឡើងបន្ទាប់ពីការរំលោភទិន្នន័យសាធារណៈ។
ចាប់តាំងពីការរំខានដល់អ្នកលក់កូដប្រភពរបស់ខ្លួននៅឆ្នាំ 2024 មក ក្រុមគ្រួសារមេរោគ ransomware ដែលពាក់ព័ន្ធដូចជា Lynx និង Knoba បានលេចចេញមកជាមួយនឹងការត្រួតស៊ីគ្នានៃកូដសំខាន់ៗដែលភ្ជាប់ទៅនឹង INC។
INC Ransomware ប្រើប្រាស់កម្មវិធីអ៊ិនគ្រីប Windows និង Linux/ESXi ដែលមានមូលដ្ឋានលើ Rust
ការអាប់ដេតដ៏សំខាន់បំផុតមួយនៅក្នុងឧបករណ៍របស់ INC គឺការសរសេរឡើងវិញនូវ payloads Windows និង Linux/ESXi របស់ខ្លួននៅក្នុង Rust។ Rust អនុញ្ញាតឱ្យមានការអភិវឌ្ឍឆ្លងវេទិកាដើម ដែលអនុញ្ញាតឱ្យក្រុមរក្សាមូលដ្ឋានកូដមួយ ខណៈពេលដែលកំណត់គោលដៅបរិស្ថានប្រព័ន្ធខុសគ្នាទាំងស្រុង។
កម្មវិធីអ៊ិនគ្រីប Windows ដែលបានធ្វើបច្ចុប្បន្នភាពឥឡូវនេះទាញយកការកំណត់ការតភ្ជាប់មូលដ្ឋានទិន្នន័យដោយស្វ័យប្រវត្តិពីបញ្ជីឈ្មោះ ហើយប្រើម៉ាស៊ីនមេ SQL សូន្យដើម្បីកំណត់គោលដៅការដាក់ពង្រាយបម្រុងទុក Veeam។
វាណែនាំទម្លាប់អ៊ិនគ្រីបបម្រុងសម្រាប់កំណែ Veeam ថ្មីៗ និងធ្វើទ្រង់ទ្រាយលទ្ធផលយ៉ាងស្អាតសម្រាប់ការវិភាគដោយស្វ័យប្រវត្តិ ដែលធ្វើឱ្យឧបករណ៍កាន់តែអាចទុកចិត្តបានក្នុងការប្រើប្រាស់ប្រតិបត្តិការ។
វ៉ារ្យ៉ង់ Linux/ESXi ផ្តោតលើហេដ្ឋារចនាសម្ព័ន្ធ VMware ដោយកំណត់អត្តសញ្ញាណបរិមាណសកម្ម និងបែងចែកថាសថេរក្នុងស្រុកពីការចែករំលែកបណ្តាញដែលបានគូសផែនទីដែលអាចដកចេញបាន ដើម្បីបង្កើនល្បឿនអ៊ិនគ្រីប។
កម្មវិធីអ៊ិនគ្រីបទាំងពីរប្រើទម្លាប់អ៊ិនគ្រីបដោយផ្នែកដោយផ្អែកលើទំហំឯកសារ ដើម្បីបង្កើនល្បឿនដំណើរការ ខណៈពេលដែលរំលងឯកសារប្រព័ន្ធសំខាន់ៗ។ នេះការពារម៉ាស៊ីនពីការក្លាយជាមិនអាចប្រើបានទាំងស្រុង ដោយធានាថាកំណត់ចំណាំលោះនៅតែអាចមើលឃើញដោយជនរងគ្រោះ។
បន្ទុកអាចកំណត់រចនាសម្ព័ន្ធបានពេញលេញតាមរយៈអាគុយម៉ង់បន្ទាត់ពាក្យបញ្ជាដែលផ្តល់ដោយប្រតិបត្តិករ ដែលផ្តល់ឱ្យសាខានូវការគ្រប់គ្រងលម្អិតលើការវាយប្រហារនីមួយៗ។
បច្ចេកទេសឧបករណ៍ និងចលនាចំហៀងដែលបានធ្វើបច្ចុប្បន្នភាព
ក្រៅពីកម្មវិធីអ៊ិនគ្រីបថ្មី សាខា INC ប្រើប្រាស់ឧបករណ៍ចូលប្រើពីចម្ងាយស្របច្បាប់ និងកម្មវិធីពាណិជ្ជកម្មចម្រុះ ដើម្បីផ្លាស់ទីតាមរយៈបរិស្ថានជនរងគ្រោះដោយមិនបង្កើនការជូនដំណឹង។
CobaltStrike, AnyDesk, ScreenConnect និង TeamViewer សុទ្ធតែបានបង្ហាញខ្លួននៅក្នុងឧប្បត្តិហេតុថ្មីៗដែលបង្កឡើងដោយ INC ដោយលាយបញ្ចូលគ្នាទៅក្នុងសកម្មភាព IT ធម្មតាដើម្បីគេចវេះការត្រួតពិនិត្យសុវត្ថិភាព។ ភ្នាក់ងារក៏ដាក់ពង្រាយឧបករណ៍ដូចជា PsKill និងឧបករណ៍បញ្ចប់ដំណើរការផ្ទាល់ខ្លួនដើម្បីសម្លាប់ការការពារចំណុចបញ្ចប់មុនពេលទម្លាក់បន្ទុកចុងក្រោយ។
ចំពោះការលួចព័ត៌មានសម្ងាត់ ក្រុមនេះប្រើស្គ្រីបដែលបានកែប្រែដែលកំណត់គោលដៅការដាក់ពង្រាយបម្រុងទុក Veeam ថ្មីជាងដែលការពារដោយការអ៊ិនគ្រីប DPAPI អំបិល។ ទិន្នន័យដែលត្រូវបានគេលួចត្រូវបានបង្ហាប់ជាមួយ 7-Zip មុនពេលត្រូវបានផ្ទុកឡើងទៅក្នុងកន្លែងផ្ទុកដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារតាមរយៈ rclone។
