Philadelphia Ransomware: การแพร่ระบาดครั้งใหม่ในอุตสาหกรรมการดูแลสุขภาพ

แรนซัมแวร์สายพันธุ์ใหม่ถูกค้นพบโดยเจ้าหน้าที่รักษาความปลอดภัยของ Forcepoint, Texas ซึ่งตั้งเป้าไปที่องค์กรด้านการดูแลสุขภาพ มัลแวร์เรียกค่าไถ่ Philadelphia มาจากตระกูล Stampado ชุด ransomware นี้ขายออนไลน์ในราคาไม่กี่ร้อยดอลลาร์ และผู้โจมตีต้องการเรียกค่าไถ่ในรูปของ Bitcoins

นักวิจัยพบว่า Philadelphia ransomware ถูกส่งผ่านอีเมล spear-phishing อีเมลดังกล่าวจะถูกส่งไปยังโรงพยาบาลด้วยเนื้อหาข้อความของ URL ที่สั้นลงซึ่งนำไปยังพื้นที่จัดเก็บส่วนบุคคลที่ให้บริการไฟล์ DOCX ที่มีอาวุธพร้อมโลโก้ขององค์กรด้านการดูแลสุขภาพที่เป็นเป้าหมาย พนักงานติดกับดักและจบลงด้วยการคลิกลิงก์เหล่านี้ที่ทำให้แรนซัมแวร์แทรกซึมเข้าไปในระบบ

ที่มาของรูปภาพ: forcepoint.com

เมื่อแรนซัมแวร์ถูกสร้างขึ้นในระบบ มันจะติดต่อเซิร์ฟเวอร์ C&C และถ่ายโอนข้อมูลทั้งหมดเกี่ยวกับคอมพิวเตอร์ของเหยื่อ เช่น ระบบปฏิบัติการ ประเทศ ภาษาของระบบ และชื่อผู้ใช้ของเครื่อง จากนั้นเซิร์ฟเวอร์ C&C จะสร้าง ID เหยื่อ ราคาไถ่ และรหัสกระเป๋าเงิน Bitcoin และส่งไปยังเครื่องเป้าหมาย

เทคนิคการเข้ารหัสที่ใช้โดย Philadelphia Ransomware คือ AES-256 ซึ่งต้องการค่าไถ่ 0.3 Bitcoins เมื่อเสร็จสิ้นการล็อกไฟล์ของคุณ การรุกล้ำในอุตสาหกรรมสุขภาพสามารถสังเกตได้จากเส้นทางไดเรกทอรีที่แสดง 'โรงพยาบาล/สแปม' เป็นสตริงใน JavaScript ที่เข้ารหัสพร้อมกับ 'โรงพยาบาล/สปา' ที่อยู่ในเส้นทางเซิร์ฟเวอร์ C&C

ที่มาของภาพ: funender.com

ฟิลาเดลเฟียคืออะไร:

โอเค ทุกคนรู้ดีว่าเป็นเมืองที่ใหญ่ที่สุดในเพนซิลเวเนียและ blah blah blah…แต่เท่าที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ ยังเป็นเวอร์ชันอัปเดตของไวรัสประเภท Stampado ransomware ฉาวโฉ่ ในอีเมลฟิชชิ่ง คุณอาจพบกับการแจ้งเตือนการชำระเงินที่เกินกำหนดปลอม อีเมลเหล่านี้ส่วนใหญ่มีลิงก์ไปยังเว็บไซต์ของฟิลาเดลเฟีย ซึ่งพร้อมสำหรับการใช้งาน Java เพื่อติดตั้งแรนซัมแวร์ในระบบของคุณ

ดูเพิ่มเติม:  เครื่องมือป้องกันแรนซัมแวร์ 5 อันดับแรก

ฟิลาเดลเฟียเริ่มเข้ารหัสไฟล์ด้วยนามสกุลต่างๆ เช่น .doc, .bmp, .avi, .7z, .pdf เป็นต้น หลังจากการบุกรุกระบบสำเร็จ คุณสามารถระบุไฟล์ที่เข้ารหัสที่ถูกล็อกโดย Philadelphia โดยมีนามสกุลเป็น ' .locked ' ตัวอย่างเช่น ไฟล์ในระบบของคุณชื่อ 'abc.bmp' จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 'KD24KIH83483BJAKDF8JDR7.locked' เมื่อคุณพยายามเปิดไฟล์ที่เข้ารหัสแล้ว ransomware จะเปิดหน้าต่างใหม่พร้อมค่าไถ่ที่ต้องการในข้อความ

ข้อความเรียกค่าไถ่แจ้งให้คุณทราบว่าไฟล์ได้รับการเข้ารหัสและคุณต้องจ่ายเงินเพื่อกู้คืน ฟิลาเดลเฟียใช้อัลกอริธึมการเข้ารหัสแบบอสมมาตรซึ่งสร้างคีย์สาธารณะ (การเข้ารหัส) และคีย์ส่วนตัว (ถอดรหัส) ในขณะที่เข้ารหัสและล็อคไฟล์ การถอดรหัสไฟล์ที่ถูกล็อคโดยไม่ใช้คีย์ส่วนตัวก็เหมือนกับการเดือดของมหาสมุทร เนื่องจากไฟล์เหล่านั้นอยู่บนเซิร์ฟเวอร์ระยะไกลที่ปกป้องโดยอาชญากรไซเบอร์

หน้าต่างนี้มีตัวจับเวลาที่น่าสนใจสองตัว: เส้นตายและรูเล็ตรัสเซีย ในขณะที่ตัวจับเวลากำหนดเส้นตายบ่งบอก เวลาที่เหลืออยู่ในการรับรหัสส่วนตัวของคุณ Russian Roulette จะแสดงเวลาที่จะลบไฟล์ถัดไป (ผลักดันให้คุณซื้อโดยไม่ต้องเสียเวลาในการค้นหาความช่วยเหลือ) มันเป็นภัยคุกคามจริง ๆ แต่นั่นเป็นสิ่งเดียวที่ไม่ปลอม

ที่มาของรูปภาพ: forbes.com

คุณสามารถหลีกเลี่ยงสถานการณ์นี้ได้หรือไม่?

ใช่. คุณสามารถรอดจากการถูกเลื่อยโดย Philadelphia ransomware ; อย่างไรก็ตาม คุณต้องทำให้คอมพิวเตอร์ของคุณติดอาวุธต่อต้านแรนซัมแวร์และมัลแวร์ที่ดีที่สุด โปรดทราบว่าแรนซัมแวร์บางตัวอาจหลีกเลี่ยงแอนตี้แรนซัมแวร์ที่ดีที่สุด ดังนั้นแนวปฏิบัติที่ดีที่สุดคือการเป็นผู้ใช้ที่ระมัดระวังและไม่คลิกบนสิ่งผิดปกติและน่าสงสัย

ดูเพิ่มเติมที่:  เคล็ดลับ 5 อันดับแรกในการต่อสู้กับแรนซัมแวร์ Havoc

เมื่อพิจารณาถึงทุกสิ่งแล้ว Philadelphia Ransomware ถือได้ว่าเป็นประเภทการติดไวรัสที่แทรกซึมเข้ามา แม้ว่าจะกำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพในขณะนี้ แต่คุณสามารถตกเป็นเหยื่อได้เช่นกันเนื่องจากซอร์สโค้ดของไวรัสนี้เปิดขายในราคา 400 ดอลลาร์ผ่านทางเว็บมืด ผู้มุ่งหวังอาชญากรไซเบอร์อาจได้รับรหัสและเริ่มล่าเหยื่อ การรักษาคอมพิวเตอร์ของคุณให้มีภูมิคุ้มกันและป้องกันโดยมัลแวร์และแอนตี้แรนซัมแวร์น่าจะช่วยได้