GrandCrab ជា Ransomware មួយដែលរីករាលដាលខ្លាំងបំផុតក្នុងចំណោមទាំងអស់ដែលបន្តធ្វើឱ្យមានព័ត៌មានជារៀងរាល់ពេល ហើយបន្ទាប់មកយើងកំពុងត្រូវចែកចាយតាមរយៈការវាយប្រហារជាច្រើនប្រភេទដូចជាឧបករណ៍កេងប្រវ័ញ្ច គេហទំព័រសម្របសម្រួល យុទ្ធនាការប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងឯកសារអាវុធការិយាល័យ។វ៉ារ្យ៉ង់ថ្មីនៃ GrandCrab Ransomware ដែលត្រូវកំណត់រចនាសម្ព័ន្ធដើម្បីវាយប្រហារលើម៉ាស៊ីនបម្រើ MySQL ដែលប្រឈមនឹងបញ្ហានៅលើ Windows ត្រូវរកឃើញដោយក្រុមអ្នកស្រាវជ្រាវ។ ransomware នេះក៏ត្រូវគេរាយការណ៍ថានឹងកាន់កាប់ប្រហែល ៤0% នៃទីផ្សារ ransomware។
តើវាវាយប្រហារយ៉ាងដូចម្តេច?
ប្រតិបត្តិការព្យាបាទចាប់ផ្តើមដោយចាក់បញ្ចូលឯកសារ DLL ដែលមានបញ្ហាទៅក្នុងម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យដោយមានជំនួយពីពាក្យបញ្ជាមូលដ្ឋានទិន្នន័យ SQL ។នៅពេលការវាយប្រហារដំណើរការ DLLត្រូវគេហៅដើម្បីទទួលនូវការគិតប្រាក់ដែលត្រូវបង្ហោះនៅលើម៉ាស៊ីនបម្រើដែលមានគ្រោះថ្នាក់។
អ្នកវាយប្រហារភ្ជាប់ការតភ្ជាប់ដែលអាចទុកចិត្តជាមួយម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យ ហើយបន្ទាប់មកពន្លឿនការបង្ហោះ DLL ជំនួយដែលមានបញ្ហាដោយប្រើពាក្យបញ្ជាកំណត់។ វាត្រូវអនុវត្តនៅក្នុងសំណុំបែបបទនៃតួអក្សរគោលដប់ប្រាំមួយ។”ក្រោយមក ពួកគេចេញពាក្យបញ្ជាដើម្បីភ្ជាប់ឯកសារគោលពីរទៅឯកសារតែមួយ ហើយដាក់ពួកវាចូលក្នុងថតកម្មវិធីជំនួយរបស់ម៉ាស៊ីនបម្រើ។ អ្នកស្រាវជ្រាវសង្កេតឃើញថាពួកគេក៏ប្រើពាក្យបញ្ជាជាច្រើនដែលត្រូវប្រើដើម្បីប្តូរតួអក្សរសញ្ញានិងសញ្ញាថយក្រោយដែលហាក់ដូចជាត្រូវរចនាឡើងដើម្បីបញ្ចប់នូវលក្ខណៈពិសេសនៃសុវត្ថិភាព។
យោងតាមការស្រាវជ្រាវដែលធ្វើឡើងដោយអ្នកស្រាវជ្រាវរបស់ Sophos “ការវាយប្រហារគួរឱ្យចាប់អារម្មណ៍នៅសប្តាហ៍នេះពីម៉ាស៊ីនដែលមានមូលដ្ឋាននៅសហរដ្ឋអាមេរិក។ យើងឃ្លាំមើលចរិតលក្ខណៈនិងចរាចរបណ្តាញដែលបង្កើតឡើងដោយការឃោសនានេះ ហើយមានការភ្ញាក់ផ្អើលដែលឃើញ honeypot (ដែលដំណើរការក្រោម Linux) ទាញយក Windows ដែលអាចប្រតិបត្តិ។ “អ្វីដែលធ្វើឱ្យគួរឱ្យចាប់អារម្មណ៍នេះគឺថាអាសយដ្ឋាន IP របស់ម៉ាស៊ីននេះបង្ហោះគំរូ GrandCrab ទីតាំងភូមិសាស្ត្រទៅរដ្ឋអារីហ្សូណានៅតំបន់វាលខ្សាច់វាលខ្សាច់ភាគនិរតីនៃសហរដ្ឋអាមេរិក និងចំណុចប្រទាក់អ្នកប្រើនៃការដំឡើង HFS នៅលើម៉ាស៊ីននេះគឺនៅក្នុងភាសាចិនសាមញ្ញ»។
ពួកគេនិយាយថា ការកាត់បន្ថយការគំរាមកំហែងនេះ វាបង្កឱ្យមានគ្រោះថ្នាក់ធ្ងន់ធ្ងរដល់អ្នកគ្រប់គ្រងម៉ាស៊ីន MySQL ដែលបង្កើតរន្ធមួយតាមរយៈ firewall សម្រាប់ច្រក ៣៣០៦នៅលើម៉ាស៊ីនមេមូលដ្ឋានទិន្នន័យរបស់ពួកគេដែលអាចចូលដោយពិភពខាងក្រៅ។
