ລາຍລະອຽດ ແລະ ປະຕິບັດການຂອງມັນແວຮຽກຄ່າໄຖ່ Maze RANSOMWARE

ມັ​ນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ Maze ເປັນ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ທີ່ຈັດຢູ່ໃນກຸ່ມມັນແວຮຽກຄ່າໄຖ່ ທີ​ມີ​ຈຸດປະສົງ​ໃນ​ການ​ແຜ່ກ​ະ​ຈາຍ ​ເພື່ອ​ເຂົ້າລະ​ຫັດ​ຂໍ້​ມູນ​ຂອງ​​ເປົ້າ​ໝາຍ​ແລ້ວ​ ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ນີ້​ຈະມີເປົ້າ​ໝາຍໃນ​ການ​ເຂົ້າ​ເຖິງ ​ແລະ ​ລັກ​ຂໍ້​ມູນ​ອອກ​ມາ​ ເພື່ອ​ສ້າງ​ເງື່ອນ​ໄຂ​ຂອງ​ການບັງຄັບຂົ່ມຂູ່ ​ແລະ ​ຮຽກ​ຄ່າ​ໄຖ່​ອີກ​ດ້ວຍ​.

Microsoft ໄດ້ລະບຸຄຳ​ທີ່ໃຊ້ເອີ້ນ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ​ ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ນີ້​ວ່າ​ Human-operated Ransomware ຊຶ່ງສ່ວນຫນຶ່ງ​ໃນ​ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ທີ່​ສຳຄັນ​ ຄື​​ຜູ້ ປະສົງຮ້າຍລໍ​ຖ້າ​ຄວບ​ຄຸມ ​ແລະ ​ຈັດການ​ ເພື່ອ​ໃຫ້​ສາມາດ​ສ້າງ​ຜົນ​ກະທົບ​ຕໍ່​ເຫຍື່ອ ​ແລະ ​ຜົນ​ປະໂຫຍດ​ຕໍ່​ຜູ້​ບໍ່​ປະສົງ​ດີ​ໃຫ້​ໄດ້​ຫຼາຍ​ທີ່ສຸດ​.

ໃນ​ທາງ​ເຕັກ​ນິກ​ແລ້ວ​ ຄວາມ​ແຕກ​ຕ່າງ​ລະຫວ່າງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ​ ປະຕິບັດການ​ແບບ​ທົ່ວ​ໄປ ​ຊຶ່ງ​ອາໄສ​ການສ້າງ​ເງື່ອນ​ໄຂ​ເພື່ອ​ບັງຄັບຂົ່ມຂູ່​ດ້ວຍ​ການ​ເຂົ້າລະ​ຫັດ​ໄຟ​ລ໌​ ຫຼື​ Classic ransomware campaign ກັບ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ ແລະ​ ກຸ່ມ​ປະຕິບັດການ​ແບບ​ Human-operated ransomware ມີ​ລາຍລະອຽດ​ດັ່ງ​ລຸ່ມນີ້​:

1. ເວລາ​ທີ່​ໃຊ້​ໃນ​ປະຕິບັດການ​ (Operation time):

  • Classic ransomware campaign: ຈຸດ​ອ່ອນ​ສຳຄັນ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່ ແລະ​ ປະຕິບັດການ​ແບບ​ທົ່ວ​ໄປ​ ຊຶ່ງ​ອາໄສ​ການສ້າງ​ເງື່ອນ​ໄຂ​ ເພື່ອບັງຄັບຂົ່ມຂູ່​ດ້ວຍ​ການ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌ ຢູ່​ໃນ​ຈຸດ​ທີ່ຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຖືກ​ກວດ​ພົບ​ ຫຼື ​ຖືກ​ຂັດ​ຂວາງ​ກ່ອນທີ່ຈະ​ດຳ​ເນີນ​ການ​ສຳເລັດ​​. ດັ່ງ​ນັ້ນ​, ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ນີ້​ຈະ​ດຳ​ເນີນ​ການ​ສຳເລັດ​ໃຫ້​ໄວ ​ແລະ ​ຫຼີກ​ລ່ຽງ​ການ​ທີ່​ຈະ​ຖືກ​ກວດ​ຈັບ​ໃຫ້​ໄດ້​ຫຼາຍ​ທີ່ສຸດ​ ເຮັດໃຫ້​ການ​ກວດ​ຈັບ​ນັ້ນ​ຈະ​ສາມາດ​ເຮັດ​ໄດ້​ສະເພາະ​ໃນ​ຊ່ວງ​ເວລາ​ທີ່​ມີ​ການເຮັດວຽກ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ເທົ່າ​ນັ້ນ​.
  • Human-operated ransomware: ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ແລະ ​ປະຕິບັດການ​ໃນ​ກຸ່ມ​ນີ້​ ມີ​ການ​ສະແດງ​ພຶດຕິກຳ​ຂອງ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ ເຄື່ອນ​ຍ້າຍ​ຕົວ​ເອງ​ໄປຫາລະບົບ​ອື່ນ​ ພະຍາຍາມ​ຍົກ​ລະດັບ​ສິດທິ ​ແລະ​ ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ຄ້າຍ​ກັບ​ພຶດຕິກຳ​ຂອງ​ກຸ່ມ​ Advanced Persistent Threat (APT) ທີ່​ມີ​ເປົ້າ​ໝາຍ​ໃນ​ການ​ລັກ​ຂໍ້​ມູນ​ ເຮັດ​ໃຫ້​ຂອບແຂດ ​ແລະ ໄລ​ຍະ​ເວລາ​ໃນ​ການ​ປະຕິບັດການ​ນັ້ນ​ຍາວນານ ​ແລະ ​ອາດຈະ​ເພີ່ມ​ໂອ​ກາດ​ໃນ​ການ​ກວດ​ຈັບ​ຄວາມ​ຜິດ​ປົກກະຕິ​ຈາກ​ພຶດຕິກຳ​ໄດ້ອີກ​ດ້ວຍ​.

2. ຫຼັກ​ຖານ​ຫຼັງ​ຈາກ​ການ​ໂຈມ​ຕີ​ (Operation time):

  • Classic ransomware campaign: ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຈະ​ສະແດງ​ຕົວ​ກໍ່​ຕໍ່​ເມື່ອຂະ​ບວນ​ການ​ເຂົ້າ​ລະ​ຫັດ​ໄຟ​ລ໌​ສຳເລັດ​​ແລ້ວ​ ຜ່ານ​ທາງ​ Ransom note ຫຼື ​ຂໍ້ຄວາມ​ ຊຶ່ງ​ອະທິບາຍ​ເຫດການ​ ແລະ ​ຂັ້ນ​ຕອນ​​ ດ້ວຍ​ຂໍ້​ມູນ​ໃນ​ Ransom note ດັ່ງ​ກ່າວ​ ການ​ລະ​ບຸ​ຫາປະ​ເພດ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່ ​ແລະ ​ຜົນ​ກະທົບ​ອື່ນ​ໆ​ ທີ່​ອາດ​ເກີດ​ຂຶ້ນ​ຈຶ່ງ​ສາມາດ​ເຮັດ​ໄດ້​ໂດຍ​ງ່າຍ​.
  • Human-operated ransomware: ເນື່ອງ​ຈາກ​ໄລຍະ​ເວລາ​ຂອງ​ປະຕິບັດການ​ທີ່​ດົນນານ ​ແລະ ​ໂອ​ກາດ​ທີ່​ປະຕິບັດການ​ຂອງ​ມັນ​ແວ​ຮຽກ​ຄ່າ​ໄຖ່​ຈະ​ຖືກ​ກວດ​ພົບ​ລະຫວ່າງ​ດຳ​ເນີນ​ການ​ ໂດຍ​ທີ່ຍັງ​ບໍ່​ມີ​ຫຼັກ​ຖານ​ເຊັ່ນ:​ Ransom note ຢ່າງ​ຊັດເຈນ​ ຈຶ່ງ​ມີ​ໂອ​ກາດ​​ສູງ​ທີ່ຈະສົ່ງ​ຜົນ​ໃຫ້​ການ​ລະ​ບຸປະ​ເພດ​ຂອງ​ໄພ​ຄຸກ​ຄາມ ​ແລະ ​ຜົນ​ກະທົບ​ຂອງ​ເຫດການ​ນັ້ນ​ເຮັດ​ໄດ້​ຍາກ​ ການ​ຮັບ​ມື ​ແລະ ​ຕອບສະໜອງ​ເຫດການ​ໃນ​ລັກສະນະ​ນີ້ ​ຈຳ​ເປັນ​ຕ້ອງ​ປະ​ເມີນ​ເຖິງ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ວ່າ ​ເຫດການ​ດັ່ງ​ກ່າວ​ອາດຈະຈົບ​ທີ່​ມີ​ການ​ໃຊ້​ Ransomware ໃນ​ທີ່ສຸດ​.​

v  ພຶດຕິກຳ​ຂອງ​ Maze Ransomware

Microsoft ​ໄດ້​ເປີດ​ເຜີຍ​ພຶດຕິກຳ​ຂອງ​ມັນ​ແວ​​ຮຽກ​ຄ່າ​ໄຖ່​ໃນ​ກຸ່ມ​ Human-operated Ransomware ລວມທັງ​ພຶດຕິກຳ​ຂອງ​ Maze ໃນ​ບົດ​ຄວາມ​ Ransomware groups continue to target healthcare, critical services; here’s how to reduce risk ຊຶ່ງສາມາດ​ສະຫຼຸບ​ໂດຍສັງເຂບ​ໄດ້​ດັ່ງ​ນີ້​:

ໝາຍ​ເຫດ​ຂໍ້​ມູນ​ພຶດຕິກຳ​ຂອງ​ໄພຄຸກ​ຄາມ​ສາມາດ​ປ່ຽນ​ແປງ​ໄດ້​ຕະຫຼອດ​ເວລາ​ ແນະ​ນຳ​ໃຫ້​ເກັບກໍານຳ​ຂໍ້​ມູນ​ເຫຼົ່າ​ນີ້​ໄວ້ເພື່ອໃຊ້ງານໃຫ້ເກີດປະໂຫຍດຕໍ່ໄປ ຊຶ່ງມີ​ການຈັດ​ລຳ​ດັບ​ຄວາມ​ສຳຄັນ​, ປະ​ເມີນ​ຄວາມ​ພ້ອມ​ໃນ​ການ​ກວດ​ຈັບ​ ແລະ​ ຕອບສະໜອງ​ ແລະ​ດຳ​ເນີນ​ການ​ຕາມ​ທີ່​ວາງ​ແຜນ​.​

  1. Maze ມັກ​ສະແດງ​ການ​ເຂົ້າ​ເຖິງ​ລະບົບ​ທີ່​ມີ​ຄວາມ​ສ່ຽງ​ດ້ວຍ​ການ​ໂຈມ​ຕີ​ຜ່ານ​ບໍລິການ​ Remote Desktop ຊຶ່ງ​ຕັ້ງ​ຄ່າ​ໄວ້​ແບບບໍ່ປອດໄພ ໃນ​ຂະນະ​ທີ່​ມັນ​ແວ​ກຸ່ມ​ອື່ນ​ມີ​ການ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່ ​ຊຶ່ງ​​ມີ​ການ​ເປີດ​ເຜີຍ​ມາ​ກ່ອນ​ແລ້ວ​ ເຊັ່ນ: ຊ່ອງ​ໂຫວ່​ໃນ​ Citrix Application Delivery Controller (CVE-2019-19781) ຫຼື ​ຊ່ອງ​ໂຫວ່​ໃນ​ Pulse Secure VPN (CVE-2019-11510) Microsoft ​ຍັງມີ​ການລະ​ບຸ​ວ່າ​ເປົ້າ​ໝາຍ​ຫຼັກ​ຂອງ​ Maze ຄື​ການ​ໂຈມ​ຕີກຸ່ມ​ຜູ້​ໃຫ້​ບໍລິການ​ (Managed Service Provider) ເພື່ອ​ໃຊ້​ເປັນ​ຊ່ອງ​ທາງ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ຜູ້​ໃຊ້​ບໍລິການ​ໃນ​ກຸ່ມ​ທຸລະກິດ​ນີ້​ອີກດ້ວຍ​;
  2. Maze ໃຊ້​ໂປຣ​ແກຣມ​ Mimikatz ໃນ​ການ​ລະ​ບຸ​ຫາ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕັວ​ຕົນ​ໃນ​ລະບົບ​ ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕັວ​ຕົນ​ນີ້​ຈະ​ຖືກ​ໃຊ້ ​ເພື່ອ​ເຂົ້າ​ເຖິງ​ລະບົບ​ອື່ນ​ໆ​;
  3. ຂະ​ບວນ​ການ​ເຄື່ອນ​ຍ້າຍ​ຕົວ​ເອງ​ໃນ​ລະບົບ​ພາຍ​ໃນ​ຂອງ​ອົງ​ກອນ​ມັກ​ເກີດ​ຂຶ້ນ​ຜ່ານ​ການ​ໃຊ້​ໂປຣ​ແກຣມ​ Cobalt Strike ຊຶ່ງ​ເຕັກ​ນິກ ​ແລະ ​ວິທີ​ການ​ທີ່​ Cobalt Strike ຮອງ​ຮັບ​ນັ້ນ​ ​ສ່ວນ​ໃຫຍ່​ເປັນ​ເຕັກ​ນິກ​​ທີ່​ຮູ້​ຈັກ​ກັນ​ຢູ່​ແລ້ວ​ ເຊັ່ນ: ການ​ໂຈມ​ຕີ​ແບບ​ Pass-the-Hash, WinRM ຫຼື ​ການ​ໃຊ້​ PsExec ໃນ​ການ​ເຂົ້າ​ເຖິງ​ດ້ວຍ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕັວ​ຕົນ​ທີ່​ໄດ້​ມາ​;
  4. ຂະ​ບວນ​ການ​ຝັງ​ຕົວ​ຂອງ​ Maze ມີ​​ການ​ໃຊ້​ຄຸນສົມບັດ​ Scheduled Tasks ຮ່ວມ​ກັບ​ການ​ໃຊ້​ຄຳ​ສັ່ງ​ PowerShell ຊຶ່ງ​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ເຂົ້າ​ເຖິງ​ລະບົບ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ໄປ​ແລ້ວ​ໄດ້​ Maze ຍັງມີ​ການ​ໃຊ້​ຄຸນສົມບັດ WinRM ໃນ​ການ​ຄວບ​ຄຸມ​ລະບົບ​ເມື່ອ​ໄດ້​ບັນຊີ ​ທີ່ມີ​ສິດ​ທິຂອງ​ Domain admin ອີກດ້ວຍ​;
  5. Maze ມີ​ການ​ແກ້​ໄຂ​ການຕັ້ງ​ຄ່າ​ໃນ​ Group Policy ຫຼາຍ​ລາຍ​ການ ​ເພື່ອ​ຊ່ວຍ​ອຳ​ນວຍ​ຄວາມສະດວກ​ໃນ​ການ​ໂຈມ​ຕີ​.

ນອກ​ຈາກ​ຂໍ້​ມູນ​ການ​ວິ​ໄຈຈາກ ​Microsoft, FireEye ຍັງ​ໄດ້​ລະ​ບຸ​ຂໍ້​ມູນ​ພຶດຕິກຳ​ເພີ່ມເຕີມ​ຂອງ​ປະຕິບັດການ​ Maze ຊຶ່ງ​ພົບ​ກຸ່ມ​ຂອງ​ພຶດຕິກຳ​ ທີ່​ແຕກ​ຕ່າງ​ກັນ​ໃນ​ການ​ແຜ່ກ​ະ​ຈາຍ ​ແລະ ​ສາມາດ​ໃຊ້​​ຊີ້ບອກ​ໃຫ້​ເຫັນ​ວ່າ​ຜູ້​ຢູ່​ເບື້ອງ​ຫຼັງ​ໃນ​ການ​ປະຕິບັດການ​ຂອງ​ Maze ອາດ​ມີ​ຫຼາຍກວ່າ​ໜຶ່ງ​ກຸ່ມ​ (https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html)

v  ຄຳ​ແນະ​ນຳ​ໃນ​ການ​ກວດ​ຈັບ ​ແລະ​ ປ້ອງ​ກັນ​ໄພ​ຄຸກ​ຄາມ​

  1. ໃນ​ກໍລະນີ​ທີ່​ກວດ​ພົບ​ພຶດຕິກຳ​ຕ້ອງ​ສົງໄສ,​ ພິຈາລະນາ​ການເຮັດ​ Endpoint segmentation ໂດຍ​ການ​ກຳນົດ​ Policy ຂອງ​ Windows Firewall ຫຼື ​ດ້ວຍ​ອຸປະກອນ​ອື່ນ​ໆ​ ເພື່ອ​ຈຳ​ກັດ​ການ​ຕິດ​ຕໍ່​ລະຫວ່າງ​ Host ​ຫາກ​ມີ​ການ​ພະຍາຍາມ​ຕິດ​ຕໍ່​ຮັບ​ສົ່ງ​ຂໍ້​ມູນ​ຜ່ານ​ທາງ​ໂປຣ​ໂຕຄອນ (protocol);
  2. ໃນ​ກໍລະນີ​ທີ່​ກວດ​ພົບ​ພຶດຕິກຳ​ໜ້າສົງໄສ​ ພິຈາລະນາ​ການເຮັດ​ Endpoint segmentation ໂດຍ​ການ​ຈຳ​ກັດ​ ຫຼື ​ປິດ​ການ​ໃຊ້​ງານ​ຄຸນສົມບັດ Administrative shares ໄດ້​ແກ່​ ADMIN$ (ໃຊ້​ໂດຍ​ PsExec), C$, D$ ແລະ​ IPC$ ອົງ​ກອນຄວນ​ມີ​ການ​ປະ​ເມີນ​ຄວາມ​ສ່ຽງ​ກ່ອນ​ດຳ​ເນີນ​ການ​ ເນື່ອງ​ຈາກ​ການ​ຈຳ​ກັດ​ ຫຼື ​ປິດ​ການ​ໃຊ້​ງານ​ຄຸນສົມບັດ​ດັ່ງ​ກ່າວ​ ອາດ​ສົ່ງ​ຜົນ​ຕໍ່​ການ​ເຮັດ​ວຽກຂອງ​ລະບົບ​ພາຍ​ໃນ​ອົງ​ກອນ;
  3. ຈຳ​ກັດ​ການ​ໃຊ້​ງານ​ບັນ​ຊີ​ຜູ້​ໃຊ້​ໃນ​ລະບົບ​ ໃນ​ກໍລະນີ​ທີ່​ມີ​ການ​ໃຊ້​ງານ​ ເພື່ອ​ແຜ່ກ​ະ​ຈາຍ​ມັນ​ແວ​;
  4. ຕັ້ງ​ຄ່າ​ຫາກ​ມີ​ການ​ໃຊ້​ Remote Desktop Protocol (RDP) ໂດຍ​ໃຫ້​ພິຈາລະນາ​ປະ​ເດັນ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:
  • ຈຳ​ກັ​ດ​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ອິນ​ເຕີ​ເນັດ​ ຫຼື ​ໃນ​ກໍລະນີ​ທີ່​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ເຂົ້າ​ເຖິງ​ ໃຫ້​​ກຳນົດ​ໝາຍ​ເລກ​ໄອ​ພີ​ແອດ​ເດສ (IP Address) ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້ ​ຜ່ານ​ Windows Firewall;
  • ພິຈາລະນາ​ໃຊ້​ງານ​ Multi-factor authentication ທັງ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ໃຊ້​ງານ​ Remote Desktop Gateway ຫຼື ​ເຕັກ​ໂນ​ໂລຊີ​ອື່ນ​ໆ​ ທີ່​ກ່ຽວ​ຂ້ອງ​;
  • ຈຳ​ກັດ​ສິດທິ ​ແລະ​ ການ​ຈຳ​ກັດ​ບັນຊີ​ຜູ້​ໃຊ້​ງານ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ລະບົບ​ຈາກ​ໄລຍະ​ໄກ​ຜ່ານ​ໂປຣ​ໂຕຄອນ;​
  • ໃນ​ກໍລະນີ​ທີ່​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ເຂົ້າ​ເຖິງ ​ແລະ ​ໃຊ້​ງານ​ Remote Desktop Protocol (RDP) ຈາກ​ອິນ​ເຕີ​ເນັດ​ ໃຫ້​ພິຈາລະນາ​ໃຊ້​ງານ​ Network Leveal Authentication (NLA) ເພື່ອ​ປ້ອງ​ກັນ​ການ​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ຂອງ​ການ​ເດົາ​ສຸ່ມລະ​ຫັດ​ຜ່ານ​ ​ຫາກ​ມີ​ການ​ໃຊ້​ງານ​ NLA ຄວນ​ກວດ​ສອບ​ໃຫ້​ແນ່​ໃຈ​ວ່າ​ລະບົບ​ທີ່​ມີ​ການ​ເຊື່ອມ​ຕໍ່​ນັ້ນ​ຮອງ​ຮັບ​ການ​ໃຊ້​ງານ​ ແລະ ​ບໍ່​ຄວນ​ໃຊ້​ຄຸນສົມບັດ​ CredSSP ເພື່ອ​ປ້ອງ​ກັນ​ການ​ບັນ​ທຶກ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕົວ​ຕົນ​ໄວ້​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຂອງ​ລະບົບ​.
  • ​ຕັ້ງ​ຄ່າ​ Group Policy ເພື່ອ​ຄວບ​ຄຸມ​ສິດທິ​ໃນ​ການ​ໃຊ້​ຕາມ​ຄວາມ​ເໝາະ​ສົມ​ ເຊັ່ນ:​ ​ຕັ້ງ​ຄ່າ​ເພື່ອ​ປ້ອງ​ກັນ​ການ​ເຂົ້າ​ເຖິງ​ຂໍ້​ມູນ​ສຳລັບ​ຢືນຢັນ​ຕົວ​ຕົນ ​ທີ່​ບໍ່​ໄດ້​ຖືກ​ປົກ​ປ້ອງ​ໃນ​ໜ່ວຍ​ຄວາມ​ຈຳ​ຜ່ານ​ທາງ​ Group Policy ຫຼື ​ການຕັ້ງ​ຄ່າ registry​ ລວມທັງ​ດຳ​ເນີນ​ການຕັ້ງ​ຄ່າ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ຄວາມ​ເຂັ້ມແຂງ​ຂອງ​ລະຫັດ​ຜ່ານບັນ​ຊີ​ຜູ້​ໃຊ້​ງານ​ ໃນ​ Group Policy;

5. ຕິ​ດ​ຕັ້ງຊອບແວ​ປ້ອງ​ກັນ​ມັນ​ແວ​ເທິງ​ເຄື່ອງຄອມພິວເຕີທຸກເຄື່ອງ​ໃນ​ອົງ​ກອນ, ອັບ​ເດດ​ຂໍ້​ມູນ ​ແລະ ​ເວີ​ຊັ່ນຂອງ​ຊອບແວໃຫ້ໃໝ່ຫຼ້າສຸດ​ ສະເໝີ​;

6. ພິຈາລະນາ​ການ​ໃຊ້​ງານ​ຂໍ້​ມູນ​ຕົວຊີ້ບອກ​ໄພ​ຄຸກ​ຄາມ​ (Indicator of Compromise — IOC) ເພື່ອ​ຊ່ວຍ​ເຝົ້າ​ລະ​ວັງ ​ແລະ ​ກວດ​ຈັບ​            ການ​ໄພ​ຄຸກ​ຄາມ​ ແຫຼ່ງ​ຂໍ້​ມູນ​ທີ່​ສາມາດ​ຄົ້ນ​ຫາ​ຂໍ້​ມູນ​ຕົວຊີ້ບອກໄພ​ຄຸກ​ຄາມ​ຂອງ​ Maze ມີ​ຕາມ​ລາຍ​ການ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

  • ຄົ້ນ​ຫາ​ຂ່າວ ​ແລະ​ IOC ທັງ​ໝົດ​ຂອງ​ Maze ດ້ວຍ​ APT & Malware CSE;
  • ແນະ​ນຳ​ ລາຍ​ງານ​ການ​ວິ​ເຄາະ​ພຶດຕິກຳ​ຂອງ​ Maze ຈາກ​ FireEye;
  • ແນະ​ນຳ​ ລາຍ​ງານ​ການ​ວິ​ເຄາະ​ການ​ເຮັດ​ວຽກ​ຂອງ​ໄຟ​ລ໌​ມັນ​ແວ​​ໃນ​ປະຕິບັດການ​ Maze ໂດຍ​ McA.

ເອກະສານອ້າງອີງ:

  1. https://www.i-secure.co.th/2020/06/threat-information-maze-ransomware/

Leave a Reply

Your email address will not be published. Required fields are marked *