Crypto Ransomware คืออะไร? การศึกษาอย่างละเอียด
การแนะนำ
เมื่อการพึ่งพาของเราในโครงสร้างพื้นฐานดิจิทัลเติบโต ผลกระทบจากการโจมตีแรนซัมแวร์ก็เริ่มมีความรุนแรงมากขึ้น โดยทำให้การดำเนินงานประจำวันขัดขวาง และทำให้เกิดความสูญเสียทางการเงิน การจับกุมผู้ก่อการโจมตีทางไซเบอร์ก็ยิ่งยากขึ้นเนื่องจากพวกเขาใช้วิธีการที่ซับซ้อนเพื่อซ่อนรากศัพท์ของพวกเขา หนึ่งในเครื่องมือที่พวกเขานำมาใช้งานคือการรับการชำระเงินไถ่ค่าด้วยเหรียญรูปแบบหนึ่งที่เรียกว่าคริปโตคัร์เรนซี พวกเขาใช้เอื้อเริ่มจากคุณสมบัติที่กระจายและไม่ระบุตัวตนของคริปโตคัร์เรนซี ในปี 2023 เท่านั้น การโจมตีแรนซัมแวร์ได้ผลิตเงินไถ่ค่ากว่า 1 พันล้านเหรียญรูปแบบ รายงานโดยบริษัทวิเคราะห์บล็อกเชน Chainalysis
Ransomwareคืออะไร?
แรนซัมแวร์เป็นซอฟต์แวร์ที่เป็นอันตรายที่ออกแบบมาเพื่อเข้ารหัสข้อมูลของระบบทําให้ไม่สามารถเข้าถึงได้จนกว่าจะมีการจ่ายเงินค่าไถ่ การโจมตีทางไซเบอร์นี้มุ่งเป้าไปที่บุคคลธุรกิจและองค์กรของรัฐใช้ประโยชน์จากช่องโหว่ในระบบของตนเพื่อเข้าถึงโดยไม่ได้รับอนุญาต เมื่อปรับใช้มัลแวร์แล้วมัลแวร์จะเข้ารหัสไฟล์และเรียกร้องการชําระเงินโดยปกติจะเป็นสกุลเงินดิจิทัลเพื่อถอดรหัสข้อมูล
ในขณะที่วัตถุประสงค์หลักของการโจมตีด้วยมัลแวร์เรียกค่าไถ่คือเป็นเงิน ในบางกรณี มันยังถูกใช้เพื่อทำให้เกิดความไม่เป็นที่ดำเนินงาน ได้รับการเข้าถึงข้อมูลที่เป็นประกอบ หรือกดดันองค์กรให้ปฏิบัติตามความต้องการอื่น ๆ มันยังถูกใช้เป็นเครื่องมือสงครามไซเบอร์ระหว่างประเทศที่มีความตึงเครียดทางการเมือง
ประวัติศาสตร์และการวิวัคครูของมัลแวร์เรียกค่าไถ่
การโจมตีแรนซัมแวร์ครั้งแรกที่รู้จักคือโทรจันเอดส์ในปี 1988 หรือที่เรียกว่า PC Cyborg Virus มันถูกแจกจ่ายผ่านฟล็อปปี้ดิสก์ให้กับผู้เข้าร่วมการประชุมองค์การอนามัยโลก หลังจากรีบูตคอมพิวเตอร์จํานวนหนึ่งโทรจันเข้ารหัสไฟล์และเรียกร้องค่าไถ่ $ 189 จ่ายให้กับตู้ปณ. ในปานามา การโจมตีนี้ใช้การเข้ารหัสแบบดั้งเดิมเมื่อเทียบกับมาตรฐานในปัจจุบัน แต่เป็นการวางรากฐานสําหรับแรนซัมแวร์สมัยใหม่ ในปี 2006 การเข้ารหัส Advanced RSA ถูกใช้เพื่อส่งแรนซัมแวร์ไปยังเว็บไซต์และผ่านอีเมลสแปมโดยมีการชําระเงินค่าไถ่ด้วยบัตรกํานัล paysafecards และวิธีการทางอิเล็กทรอนิกส์อื่น ๆ ที่ยากต่อการติดตาม
แหล่งที่มา: Chainalysis
ในปี 2010 เมื่อบิตคอยน์เพิ่มความนิยม ผู้โจมตีเริ่มต้นเรียกร้องค่าไถ่ด้วยสกุลเงินที่เป็นจริงแต่ไม่สามารถติดตามได้ง่ายมากขึ้น ตั้งแต่นั้นเป็นต้นมา มีการพัฒนาโฉมใหม่และทันสมัยของ ransomware ที่ซับซ้อนมากขึ้น เป็นอุตสาหกรรมอาชญากรรมที่สะสมกำไรมากกว่า 3 พันล้านดอลลาร์จากปี 2019 ถึง 2024
บทบาทของคริปโตคอร์เรนซีในมัลแวร์เรียกค่าไถ่
หนึ่งในคุณสมบัติที่สําคัญของ cryptocurrencies โดยเฉพาะ Bitcoin คือลักษณะนามแฝงของพวกเขา ในขณะที่ธุรกรรมถูกบันทึกไว้บนบล็อกเชนข้อมูลประจําตัวของฝ่ายที่เกี่ยวข้องจะถูกปิดบังด้วยที่อยู่กระเป๋าเงินทําให้ยากต่อการติดตามกลับไปยังผู้โจมตี ระบบการชําระเงินแบบดั้งเดิมเช่นบัตรเครดิตและการโอนเงินผ่านธนาคารทิ้งร่องรอยตัวตนที่ชัดเจนซึ่งหน่วยงานบังคับใช้กฎหมายสามารถใช้เพื่อตรวจสอบอาชญากรไซเบอร์
ด้วยการทำธุรกรรม Bitcoin ที่สามารถตรวจสอบได้สาธารณะบนบล็อกเชน บางผู้ทำผิดกฎหมายด้านไซเบอร์ได้เปลี่ยนไปใช้สกุลเงินดิจิทัลที่ให้ความเป็นส่วนตัวเช่น Monero ซึ่งมีคุณสมบัติการปกปิดและใช้ที่อยู่ลับและลายเซ็นแหวนเพิ่มเติมเพื่อซ่อนรายละเอียดการทำธุรกรรมอีกต่อไป
วิธีการทำงานของมัลแวร์เรียกค่าไถ่คริปโต
มัลแวร์เรียกค่าไถ่คริปโตซอฟต์แวร์ทำการบุกรุกระบบเป้าหมายโดยทั่วไปผ่านทางอีเมลการจู่โจมด้วยความร้ายแรงดาวน์โหลดที่ไม่ดีหรือการใช้ช่องโหว่ของระบบ หลังจากเข้าไปแล้วมัลแวร์จะเข้ารหัสไฟล์บนคอมพิวเตอร์หรือเครือข่ายของเหยื่อโดยใช้อัลกอริทึมการเข้ารหัสที่ซับซ้อนทำให้ข้อมูลไม่สามารถเข้าถึงได้
Source: ComodoSSL
ขั้นตอนการดำเนินการถูกดำเนินการในขั้นตอน;
- การติดเชื้อ
- การเข้ารหัส
- มัลแวร์เรียกค่าไถ่
การติดเชื้อ
คริปโตมัลแวร์เรียกค่าไถ่เข้าสู่อุปกรณ์ของเหยื่อผ่านช่องทางเช่น;
การโจมตีด้วยอีเมลล์ขู่เหลือที่มีการส่งอีเมลล์ที่ดูเหมือนมาจากแหล่งที่มีความถูกต้อง หลอกลวงผู้รับให้คลิกที่ลิ้งค์ที่ไม่ดีหรือดาวน์โหลดไฟล์แนบที่ติดเชื้อ ไฟล์เหล่านี้มักปลอมตัวเป็นเอกสารที่สำคัญหรือการอัปเดต ปกปิดลักษณะที่แท้จริงของพวกเขา
ซอฟต์แวร์ที่ล้าสมัย: มัลแวร์เรียกค่าไถ่สามารถใช้ช่องโหว่ในซอฟต์แวร์เวอร์ชันเก่าของระบบปฏิบัติการหรือแอปพลิเคชัน นี่เป็นเรื่องที่ชัดเจนในการโจมตี WannaCry ที่ใช้ช่องโหว่ใน Microsoft Windows
มัลแวร์โฆษณา: ผู้ใช้อาจจะมีปฏิกิริยาโดยไม่รู้ตัวกับโฆษณาที่หลอกลวงเพื่อดาวน์โหลดอัปเดตซอฟต์แวร์ปลอมที่ทำให้ติดตั้งมัลแวร์เรียกค่าไถ่
Remote Desktop Protocol Hacks: Remote Desktop Protocol (RDP) ใช้เพื่อรักษาการเชื่อมต่อระยะไกลไปยังเซิร์ฟเวอร์ในสถานการณ์ที่พนักงานขององค์กรทํางานจากสถานที่ต่างๆ อินเทอร์เฟซ RDP บนคอมพิวเตอร์ของพนักงานสื่อสารผ่านโปรโตคอลการเข้ารหัสกับส่วนประกอบ RDP บนเซิร์ฟเวอร์ แม้ว่าจะเข้ารหัส แต่โหมดการเชื่อมต่อนี้มีแนวโน้มที่จะแฮ็กที่ผู้ไม่หวังดีใช้เพื่ออัปโหลดแรนซัมแวร์ไปยังเซิร์ฟเวอร์ของบริษัท
การเข้ารหัส
เมื่ออยู่ในระบบแล้ว มัลแวร์เรียกค่าไถ่จะเริ่มเข้ารหัสไฟล์ของเหยื่อ มัลแวร์เรียกค่าไถ่แบบคริปโตใช้วิธีการเข้ารหัส เช่น:
- RSA (Rivest–Shamir–Adleman): อัลกอริทึมเข้ารหัสแบบไม่对称ที่ใช้คู่กุญแจสาธารณะและส่วนตัว กุญแจสาธารณะเข้ารหัสไฟล์ และกุญแจส่วนตัวซึ่งผู้โจมตีถือครอบครองจำเป็นต้องใช้เพื่อถอดรหัส
- AES (Advanced Encryption Standard): เป็นวิธีการเข้ารหัสแบบทรมานซึ่งใช้กุญแจเดียวกันสำหรับการเข้ารหัสและการถอดรหัส มัลแวร์เรียกค่าไถ่ใช้วิธีนี้ในการเข้ารหัสไฟล์และกุญแจถูกจัดเก็บไว้กับผู้โจมตี
มัลแวร์กําหนดเป้าหมายประเภทไฟล์รวมถึงเอกสารรูปภาพวิดีโอและฐานข้อมูลสิ่งที่อาจมีคุณค่าต่อเหยื่อ ในระหว่างกระบวนการนี้ผู้ใช้อาจไม่สังเกตเห็นว่าข้อมูลของพวกเขาถูกล็อคจนกว่าการเข้ารหัสจะเสร็จสมบูรณ์ทําให้พวกเขาไม่มีตัวเลือกในการกู้คืนทันที
หนึ่งในแบบแผนที่สำคัญในการโจมตีแบบแรนซอมแวร์ที่สำคัญคือการเกิดขึ้นในช่วงวันหยุดหรือเวลาที่ส่วนใหญ่ของพนักงานไม่ได้ออนไลน์เพื่อหลีกเลี่ยงการตรวจจับ
มัลแวร์เรียกค่าไถ่
แหล่งที่มา: Proofpoint
หลังจากที่เข้ารหัสข้อมูลแล้ว มัลแวร์เรียกค่าไถ่จะแสดงหมายเหตุการขอค่าไถ่ให้กับเหยื่อ โดยทั่วไปจะทางหน้าต่างแสดงผล ไฟล์ข้อความ หรือหน้า HTML
หน้าจอต้องการค่าไถ่ที่ร้องขอ Bitcoin เป็นตัวแลกกับกุญแจส่วนตัว
Source: Varonis
จำนวนค่าไถ่ทั่วไปจะถูกร้องขอใน Bitcoin หรือ Monero พร้อมลิงก์ไปยังเว็บไซต์ชำระเงินหรือวิธีการติดต่อกับผู้โจมตี (บางครั้งจะโฮสต์บนเว็บมืด)
แหล่งที่มา: Proofpoint
หากเหยื่อปฏิบัติตามคำขอและโอนจำนวนที่ขอไป ผู้โจมตีอาจให้คีย์การถอดรหัสเพื่อปลดล็อกไฟล์ อย่างไรก็ตาม การจ่ายค่าไถ่ไม่ได้รับการรับรองว่าผู้โจมตีจะทำตาม ในบางกรณี เหยื่อไม่เคยได้รับคีย์การถอดรหัสแม้จากการชำระเงิน หรือพวกเขาอาจเผชิญกับคำขอค่าไถ่เพิ่มเติม
ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศและหน่วยงานในการบังคับใช้กฎหมายแนะนำไม่ให้จ่ายเงินไถ่ เนื่องจาก ผู้โจมตีอาจใช้วิธีการคริปไฟล์ของเหยื่อและขโมยข้อมูลที่ละเอียดอ่อน จากนั้นเขาก็ทำการขู่เอาไตรรกะหรือขายข้อมูลถ้าหากไม่ได้รับเงินไถ่อีก
การโจมตี CryptoRansomware ที่โดดเด่น
มัลแวร์เรียกค่าไถ่ WannaCry (2017)
WannaCry เป็นหนึ่งในการโจมตีแร็นซัมแวร์ที่ชั่วร้ายและแพร่หลายที่สุดในประวัติศาสตร์ มันใช้ช่องโหว่ใน Microsoft Windows ที่เรียกว่า EternalBlue ซึ่งกลุ่มแฮ็กเกอร์ Shadow Brokers ได้โจมตีไปก่อนจาก NSA WannaCry กระทบกับเครื่องคอมพิวเตอร์มากกว่า 200,000 เครื่องคอมพิวเตอร์ใน 150 ประเทศ รวมถึงสถาบันสำคัญอย่างบริการสุขภาพแห่งชาติของสหราชอาณาจักร (NHS) ของสหรัฐอเมริกา และ Renault มันก่อให้เกิดความสับสนที่แพร่กระจายอย่างกว้างขวางโดยเฉพาะในระบบด้านสุขภาพ ที่บริการผู้ป่วยได้รับผลกระทบอย่างรุนแรง
ข้อความขอค่าไถ่ WannaCry
Source: ไซเบอร์สเปด
ผู้โจมตีเรียกร้อง $ 300 $ ใน Bitcoin เพื่อแลกกับคีย์ถอดรหัสแม้ว่าเหยื่อจํานวนมากไม่สามารถกู้คืนข้อมูลของพวกเขาได้แม้หลังจากชําระเงินแล้ว ในที่สุดการโจมตีก็หยุดลงโดยนักวิจัยด้านความปลอดภัยที่เปิดใช้งาน "kill switch" ที่ฝังอยู่ในรหัสของมัลแวร์ แต่ไม่ใช่ก่อนที่จะสร้างความเสียหายหลายพันล้านดอลลาร์
NotPetya (ค.ศ. 2017)
NotPetya เป็นมัลแวร์ double-havoc ที่เป็น ransomware และมัลแวร์ wiper ที่ออกแบบมาเพื่อก่อให้เกิดความเสียหายแทนที่จะเอาเงินไถ่
บันทึกค่าไถ่ NotPetya
Source: เค้าโครงความปลอดภัย
มัลแวร์ดูเหมือนจะเรียกร้องค่าไถ่ Bitcoin แต่แม้หลังจากชําระเงินแล้วการกู้คืนข้อมูลที่เข้ารหัสก็เป็นไปไม่ได้ซึ่งบ่งชี้ว่าผลประโยชน์ทางการเงินไม่ใช่เป้าหมายที่แท้จริง ซึ่งแตกต่างจากแรนซัมแวร์แบบดั้งเดิม NotPetya ดูเหมือนจะมีแรงจูงใจทางการเมืองโดยกําหนดเป้าหมายไปที่ยูเครนในช่วงที่มีความตึงเครียดทางภูมิรัฐศาสตร์กับรัสเซีย แม้ว่าในที่สุดมันจะแพร่กระจายไปทั่วโลก แต่ก็สร้างความเสียหายให้กับบริษัทข้ามชาติขนาดใหญ่ รวมถึง Maersk, Merck และ FedEx ส่งผลให้สูญเสียทางการเงินทั่วโลกประมาณ 10 พันล้านดอลลาร์
DarkSide (2021)
DarkSide ได้รับความสนใจจากทั่วโลกหลังจากการโจมตี Colonial Pipeline ท่อน้ำมันเชื้อเพลิงที่ใหญ่ที่สุดในสหรัฐอเมริกาซึ่งเป็นสาเหตุให้เกิดปัญหาด้านการหาเชื้อเพลิงในภาคตะวันออกของประเทศ การโจมตีได้ก่อให้เกิดความขาดแคลนเชื้อเพลิงและส่งผลให้เกิดการซื้อเร่งด่วนอย่างกว้างขวาง ในที่สุด Colonial Pipeline จึงจ่ายค่าไถ่ในจำนวน 4.4 ล้านดอลลาร์ในรูปแบบ Bitcoin แม้ว่าต่อมา FBI จะกู้คืนส่วนหนึ่งของค่าไถ่นี้
หมายถึง DarkSide Ransom Note
Source: KrebsonSecurity
มัลแวร์เรียกค่าไถ่เป็นบริการ
RaaS เป็นรูปแบบธุรกิจที่ผู้สร้างแรนซัมแวร์เช่าซอฟต์แวร์ที่เป็นอันตรายให้กับ บริษัท ในเครือหรืออาชญากรไซเบอร์อื่น ๆ บริษัท ในเครือใช้ซอฟต์แวร์นี้เพื่อทําการโจมตีโดยแบ่งผลกําไรจากค่าไถ่กับนักพัฒนาแรนซัมแวร์
รีวิล
REvil (ที่เรียกว่า Sodinokibi) เป็นหนึ่งในกลุ่ม ransomware ที่ซับซ้อนที่สุด ทำงานเป็นรายได้จากการขโมยข้อมูลและเป็นการบังคับใช้ค่าไถ่ (RaaS)
REvil ถูกเชื่อมโยงกับการโจมตีระดับสูงต่อองค์กรระดับโลก รวมถึง JBS (ผู้ผลิตเนื้อสัตว์ขนาดใหญ่ที่สุดในโลก) และ Kaseya บริษัทซอฟต์แวร์ ส่งผลกระทบต่อธุรกิจกว่า 1,000 รายที่พึ่งพาบนผลิตภัณฑ์ซอฟต์แวร์ของมัน
คล็อปป์
แหล่งที่มา: BleepingComputer
Clop เป็น Ransomware อีกตัวที่ให้บริการเป็นบริการ (RaaS) ซึ่งดำเนินการแคมเปญ spear-phishing ขนาดใหญ่เพื่อเป้าหมายที่เป็นบริษัทและขอค่าไถ่ที่มีน้ำหนักมาก ผู้ดำเนินการของ Clop ใช้เทคนิคการขู่เอาค่าไถ่สองชั้น: พวกเขาขโมยข้อมูลก่อนที่จะเข้ารหัสและขู่เรื่องการรั่วไหลข้อมูลที่ละเอียดถ้าไม่จ่ายค่าไถ่
ในปี 2020 Clop รับผิดชอบในการละเมิดข้อมูลขนาดใหญ่ที่เชื่อมโยงกับซอฟต์แวร์ถ่ายโอนไฟล์ Accellion ซึ่งมีผลกระทบต่อมหาลัยหลายแห่ง สถาบันการเงิน และหน่วยงานของรัฐ
การป้องกันการโจมตี Ransomware ใน Crypto
การป้องกันที่มีประสิทธิภาพสูงสุดเริ่มต้นด้วยการป้องกันไม่ให้มัลแวร์เข้าสู่ระบบของคุณ ต่อไปนี้คือมาตรการบางอย่างที่สามารถปกป้องคอมพิวเตอร์ของคุณจากแรนซัมแวร์ได้
การรับรู้เรื่องความปลอดภัยไซเบอร์
ผู้ใช้และพนักงานควรได้รับการฝึกอบรมเพื่อรู้จำและตอบสนองต่อความเสี่ยงเช่นอีเมลฉ้อโกงหรือไฟล์แนบที่น่าสงสัย การฝึกอบรมความตระหนักด้านความมั่นคงปลอดภัยทางไซเบอร์เป็นประจำสามารถลดความเสี่ยงของการติดเชื้อโดยบังเอิญอย่างมีนัยยะ
การอัปเดตซอฟต์แวร์
การอัพเดทและซ่อมแซมประจำเป็นระบบสำหรับระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์รักษาความปลอดภัย ช่วยลดความเสี่ยงของการโจมตีด้วยเรื่องมัลแวร์เรียกค่าไถ่ที่เกิดจากซอฟต์แวร์ที่เก่าไปแล้ว
สำรองข้อมูล
หากเกิดการโจมตีด้วย ransomware การมีการสำรองข้อมูลล่าสุดจะช่วยให้เหยื่อสามารถกู้คืนข้อมูลของตนโดยไม่ต้องจ่ายค่าไถ่ การสำรองข้อมูลควรเก็บไว้ในสถานการณ์ออฟไลน์หรือในสภาวะเชิงพระนามที่ไม่เชื่อมต่อโดยตรงกับเครือข่ายเพื่อป้องกันการติดเชื้อ ransomware
ตัวกรองอีเมล
ระบบกรองอีเมลสแกนข้อความที่เข้ามาเพื่อหาลิงก์ ไฟล์แนบ หรือลักษณะที่น่าสงสัย กรองเหล่านี้สามารถบล็อกอีเมลที่มีองค์ประจำที่รู้จักเป็นองค์ประจำแรงเสียดสีก่อนที่พวกเขาจะถึงกล่องจดหมายของผู้ใช้
การแบ่งเครือข่ายและการควบคุมการเข้าถึง
การแบ่งกลุ่มเครือข่าย จำกัดการแพร่ของมัลแวร์เรียกค่าไถ่เมื่อมันเข้าสู่ระบบของคุณ แม้แต่หนึ่งส่วนของเครือข่ายจะถูกคอมไพล์ ความเสียหายสามารถจำกัดได้ ผู้เชี่ยวชาญแนะนำให้ออกแบบระบบให้แยกจากระบบที่มีความสำคัญและข้อมูลจากการดำเนินการทั่วไป จำกัดการเข้าถึงบริเวณที่สำคัญ
การควบคุมการเข้าถึง เช่น การตรวจสอบตัวตนแบบหลายระยะ (MFA) และหลักการสิทธิ์ที่น้อยที่สุด (ให้ผู้ใช้เข้าถึงเฉพาะสิ่งที่ต้องการ) สามารถจำกัดการเข้าถึงของผู้ใช้ได้ หากผู้โจมตีได้รับการเข้าถึงหนึ่งบัญชีหรือระบบ การแบ่งส่วนและการควบคุมการเข้าถึงสามารถป้องกันการเคลื่อนไหวข้ามเครือข่าย จำกัดขอบเขตของมัลแวร์เรียกค่าไถ่
Endpoint Detection and Response (EDR) Solutions
EDR solutions ให้การตรวจสอบและวิเคราะห์กิจกรรมของอุปกรณ์ปลายทางอย่างต่อเนื่อง เพื่อช่วยตรวจหาอาการติดเชื้อ ransomware ในระยะเริ่มต้น เครื่องมือเหล่านี้สามารถตอบสนองอัตโนมัติต่อพฤติกรรมที่น่าสงสัย แยกอุปกรณ์ที่ติดเชื้อและป้องกันการแพร่กระจายของ ransomware ไปทั่วทั้งเครือข่าย
สรุป
คริปโตมัลแวร์เรียกค่าไถ่เน้นหนึ่งในการใช้คริปโตเงินด้วยวิธีที่ผิดกฎหมาย โดยที่คนอาชญากรรมใช้ประโยชน์จากความเป็นนิรันดร์ของเทคโนโลยีบล็อกเชน ในขณะที่ไม่มีอะไรที่สามารถทำเกี่ยวกับการเรียกค่าไถ่เป็นเงินด้วยวิธีที่เป็นคริปโต มาตรการที่ดีที่สุดคือป้องกันผู้ใช้และระบบจากการติดเชื้อมัลแวร์เรียกค่าไถ่โดยการหลีกเลี่ยงลิงก์การฟิชชิ่งและดำเนินการอัปเดตซอฟต์แวร์เป็นประจำ
นอกจากนี้ การบูรณาการการสำรองข้อมูลเป็นประจำ จะทำให้ไฟล์ที่สำคัญสามารถกู้คืนได้โดยไม่ต้องจ่ายค่าไถ่เมื่อเกิดการโจมตี การแบ่งส่วนเครือข่ายเป็นส่วนๆ ยังเป็นมาตรการป้องกันที่สำคัญอีกอย่างหนึ่ง เนื่องจากมันจำกัดการแพร่กระจายของมัลแวร์เรียกค่าไถ่ โดยจำกัดไว้ในส่วนที่เฉพาะเจาะจงของระบบและป้องกันพื้นที่ที่ไม่เป็นโทรม
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน
โซลานาคืออะไร?
Crypto Ransomware คืออะไร? การศึกษาอย่างละเอียด
Ransomware คืออะไร?
วิธีการทำงานของมัลแวร์เรียกค่าไถ่คริปโต
การโจมตี CryptoRansomware ที่น่าสนใจ
มัลแวร์เรียกค่าไถ่เป็นบริการ
การป้องกันการโจมตีด้วยมัลแวร์เรียกค่าไถ่ในโลกคริปโต
สรุป
การแนะนำ
เมื่อการพึ่งพาของเราในโครงสร้างพื้นฐานดิจิทัลเติบโต ผลกระทบจากการโจมตีแรนซัมแวร์ก็เริ่มมีความรุนแรงมากขึ้น โดยทำให้การดำเนินงานประจำวันขัดขวาง และทำให้เกิดความสูญเสียทางการเงิน การจับกุมผู้ก่อการโจมตีทางไซเบอร์ก็ยิ่งยากขึ้นเนื่องจากพวกเขาใช้วิธีการที่ซับซ้อนเพื่อซ่อนรากศัพท์ของพวกเขา หนึ่งในเครื่องมือที่พวกเขานำมาใช้งานคือการรับการชำระเงินไถ่ค่าด้วยเหรียญรูปแบบหนึ่งที่เรียกว่าคริปโตคัร์เรนซี พวกเขาใช้เอื้อเริ่มจากคุณสมบัติที่กระจายและไม่ระบุตัวตนของคริปโตคัร์เรนซี ในปี 2023 เท่านั้น การโจมตีแรนซัมแวร์ได้ผลิตเงินไถ่ค่ากว่า 1 พันล้านเหรียญรูปแบบ รายงานโดยบริษัทวิเคราะห์บล็อกเชน Chainalysis
Ransomwareคืออะไร?
แรนซัมแวร์เป็นซอฟต์แวร์ที่เป็นอันตรายที่ออกแบบมาเพื่อเข้ารหัสข้อมูลของระบบทําให้ไม่สามารถเข้าถึงได้จนกว่าจะมีการจ่ายเงินค่าไถ่ การโจมตีทางไซเบอร์นี้มุ่งเป้าไปที่บุคคลธุรกิจและองค์กรของรัฐใช้ประโยชน์จากช่องโหว่ในระบบของตนเพื่อเข้าถึงโดยไม่ได้รับอนุญาต เมื่อปรับใช้มัลแวร์แล้วมัลแวร์จะเข้ารหัสไฟล์และเรียกร้องการชําระเงินโดยปกติจะเป็นสกุลเงินดิจิทัลเพื่อถอดรหัสข้อมูล
ในขณะที่วัตถุประสงค์หลักของการโจมตีด้วยมัลแวร์เรียกค่าไถ่คือเป็นเงิน ในบางกรณี มันยังถูกใช้เพื่อทำให้เกิดความไม่เป็นที่ดำเนินงาน ได้รับการเข้าถึงข้อมูลที่เป็นประกอบ หรือกดดันองค์กรให้ปฏิบัติตามความต้องการอื่น ๆ มันยังถูกใช้เป็นเครื่องมือสงครามไซเบอร์ระหว่างประเทศที่มีความตึงเครียดทางการเมือง
ประวัติศาสตร์และการวิวัคครูของมัลแวร์เรียกค่าไถ่
การโจมตีแรนซัมแวร์ครั้งแรกที่รู้จักคือโทรจันเอดส์ในปี 1988 หรือที่เรียกว่า PC Cyborg Virus มันถูกแจกจ่ายผ่านฟล็อปปี้ดิสก์ให้กับผู้เข้าร่วมการประชุมองค์การอนามัยโลก หลังจากรีบูตคอมพิวเตอร์จํานวนหนึ่งโทรจันเข้ารหัสไฟล์และเรียกร้องค่าไถ่ $ 189 จ่ายให้กับตู้ปณ. ในปานามา การโจมตีนี้ใช้การเข้ารหัสแบบดั้งเดิมเมื่อเทียบกับมาตรฐานในปัจจุบัน แต่เป็นการวางรากฐานสําหรับแรนซัมแวร์สมัยใหม่ ในปี 2006 การเข้ารหัส Advanced RSA ถูกใช้เพื่อส่งแรนซัมแวร์ไปยังเว็บไซต์และผ่านอีเมลสแปมโดยมีการชําระเงินค่าไถ่ด้วยบัตรกํานัล paysafecards และวิธีการทางอิเล็กทรอนิกส์อื่น ๆ ที่ยากต่อการติดตาม
แหล่งที่มา: Chainalysis
ในปี 2010 เมื่อบิตคอยน์เพิ่มความนิยม ผู้โจมตีเริ่มต้นเรียกร้องค่าไถ่ด้วยสกุลเงินที่เป็นจริงแต่ไม่สามารถติดตามได้ง่ายมากขึ้น ตั้งแต่นั้นเป็นต้นมา มีการพัฒนาโฉมใหม่และทันสมัยของ ransomware ที่ซับซ้อนมากขึ้น เป็นอุตสาหกรรมอาชญากรรมที่สะสมกำไรมากกว่า 3 พันล้านดอลลาร์จากปี 2019 ถึง 2024
บทบาทของคริปโตคอร์เรนซีในมัลแวร์เรียกค่าไถ่
หนึ่งในคุณสมบัติที่สําคัญของ cryptocurrencies โดยเฉพาะ Bitcoin คือลักษณะนามแฝงของพวกเขา ในขณะที่ธุรกรรมถูกบันทึกไว้บนบล็อกเชนข้อมูลประจําตัวของฝ่ายที่เกี่ยวข้องจะถูกปิดบังด้วยที่อยู่กระเป๋าเงินทําให้ยากต่อการติดตามกลับไปยังผู้โจมตี ระบบการชําระเงินแบบดั้งเดิมเช่นบัตรเครดิตและการโอนเงินผ่านธนาคารทิ้งร่องรอยตัวตนที่ชัดเจนซึ่งหน่วยงานบังคับใช้กฎหมายสามารถใช้เพื่อตรวจสอบอาชญากรไซเบอร์
ด้วยการทำธุรกรรม Bitcoin ที่สามารถตรวจสอบได้สาธารณะบนบล็อกเชน บางผู้ทำผิดกฎหมายด้านไซเบอร์ได้เปลี่ยนไปใช้สกุลเงินดิจิทัลที่ให้ความเป็นส่วนตัวเช่น Monero ซึ่งมีคุณสมบัติการปกปิดและใช้ที่อยู่ลับและลายเซ็นแหวนเพิ่มเติมเพื่อซ่อนรายละเอียดการทำธุรกรรมอีกต่อไป
วิธีการทำงานของมัลแวร์เรียกค่าไถ่คริปโต
มัลแวร์เรียกค่าไถ่คริปโตซอฟต์แวร์ทำการบุกรุกระบบเป้าหมายโดยทั่วไปผ่านทางอีเมลการจู่โจมด้วยความร้ายแรงดาวน์โหลดที่ไม่ดีหรือการใช้ช่องโหว่ของระบบ หลังจากเข้าไปแล้วมัลแวร์จะเข้ารหัสไฟล์บนคอมพิวเตอร์หรือเครือข่ายของเหยื่อโดยใช้อัลกอริทึมการเข้ารหัสที่ซับซ้อนทำให้ข้อมูลไม่สามารถเข้าถึงได้
Source: ComodoSSL
ขั้นตอนการดำเนินการถูกดำเนินการในขั้นตอน;
- การติดเชื้อ
- การเข้ารหัส
- มัลแวร์เรียกค่าไถ่
การติดเชื้อ
คริปโตมัลแวร์เรียกค่าไถ่เข้าสู่อุปกรณ์ของเหยื่อผ่านช่องทางเช่น;
การโจมตีด้วยอีเมลล์ขู่เหลือที่มีการส่งอีเมลล์ที่ดูเหมือนมาจากแหล่งที่มีความถูกต้อง หลอกลวงผู้รับให้คลิกที่ลิ้งค์ที่ไม่ดีหรือดาวน์โหลดไฟล์แนบที่ติดเชื้อ ไฟล์เหล่านี้มักปลอมตัวเป็นเอกสารที่สำคัญหรือการอัปเดต ปกปิดลักษณะที่แท้จริงของพวกเขา
ซอฟต์แวร์ที่ล้าสมัย: มัลแวร์เรียกค่าไถ่สามารถใช้ช่องโหว่ในซอฟต์แวร์เวอร์ชันเก่าของระบบปฏิบัติการหรือแอปพลิเคชัน นี่เป็นเรื่องที่ชัดเจนในการโจมตี WannaCry ที่ใช้ช่องโหว่ใน Microsoft Windows
มัลแวร์โฆษณา: ผู้ใช้อาจจะมีปฏิกิริยาโดยไม่รู้ตัวกับโฆษณาที่หลอกลวงเพื่อดาวน์โหลดอัปเดตซอฟต์แวร์ปลอมที่ทำให้ติดตั้งมัลแวร์เรียกค่าไถ่
Remote Desktop Protocol Hacks: Remote Desktop Protocol (RDP) ใช้เพื่อรักษาการเชื่อมต่อระยะไกลไปยังเซิร์ฟเวอร์ในสถานการณ์ที่พนักงานขององค์กรทํางานจากสถานที่ต่างๆ อินเทอร์เฟซ RDP บนคอมพิวเตอร์ของพนักงานสื่อสารผ่านโปรโตคอลการเข้ารหัสกับส่วนประกอบ RDP บนเซิร์ฟเวอร์ แม้ว่าจะเข้ารหัส แต่โหมดการเชื่อมต่อนี้มีแนวโน้มที่จะแฮ็กที่ผู้ไม่หวังดีใช้เพื่ออัปโหลดแรนซัมแวร์ไปยังเซิร์ฟเวอร์ของบริษัท
การเข้ารหัส
เมื่ออยู่ในระบบแล้ว มัลแวร์เรียกค่าไถ่จะเริ่มเข้ารหัสไฟล์ของเหยื่อ มัลแวร์เรียกค่าไถ่แบบคริปโตใช้วิธีการเข้ารหัส เช่น:
- RSA (Rivest–Shamir–Adleman): อัลกอริทึมเข้ารหัสแบบไม่对称ที่ใช้คู่กุญแจสาธารณะและส่วนตัว กุญแจสาธารณะเข้ารหัสไฟล์ และกุญแจส่วนตัวซึ่งผู้โจมตีถือครอบครองจำเป็นต้องใช้เพื่อถอดรหัส
- AES (Advanced Encryption Standard): เป็นวิธีการเข้ารหัสแบบทรมานซึ่งใช้กุญแจเดียวกันสำหรับการเข้ารหัสและการถอดรหัส มัลแวร์เรียกค่าไถ่ใช้วิธีนี้ในการเข้ารหัสไฟล์และกุญแจถูกจัดเก็บไว้กับผู้โจมตี
มัลแวร์กําหนดเป้าหมายประเภทไฟล์รวมถึงเอกสารรูปภาพวิดีโอและฐานข้อมูลสิ่งที่อาจมีคุณค่าต่อเหยื่อ ในระหว่างกระบวนการนี้ผู้ใช้อาจไม่สังเกตเห็นว่าข้อมูลของพวกเขาถูกล็อคจนกว่าการเข้ารหัสจะเสร็จสมบูรณ์ทําให้พวกเขาไม่มีตัวเลือกในการกู้คืนทันที
หนึ่งในแบบแผนที่สำคัญในการโจมตีแบบแรนซอมแวร์ที่สำคัญคือการเกิดขึ้นในช่วงวันหยุดหรือเวลาที่ส่วนใหญ่ของพนักงานไม่ได้ออนไลน์เพื่อหลีกเลี่ยงการตรวจจับ
มัลแวร์เรียกค่าไถ่
แหล่งที่มา: Proofpoint
หลังจากที่เข้ารหัสข้อมูลแล้ว มัลแวร์เรียกค่าไถ่จะแสดงหมายเหตุการขอค่าไถ่ให้กับเหยื่อ โดยทั่วไปจะทางหน้าต่างแสดงผล ไฟล์ข้อความ หรือหน้า HTML
หน้าจอต้องการค่าไถ่ที่ร้องขอ Bitcoin เป็นตัวแลกกับกุญแจส่วนตัว
Source: Varonis
จำนวนค่าไถ่ทั่วไปจะถูกร้องขอใน Bitcoin หรือ Monero พร้อมลิงก์ไปยังเว็บไซต์ชำระเงินหรือวิธีการติดต่อกับผู้โจมตี (บางครั้งจะโฮสต์บนเว็บมืด)
แหล่งที่มา: Proofpoint
หากเหยื่อปฏิบัติตามคำขอและโอนจำนวนที่ขอไป ผู้โจมตีอาจให้คีย์การถอดรหัสเพื่อปลดล็อกไฟล์ อย่างไรก็ตาม การจ่ายค่าไถ่ไม่ได้รับการรับรองว่าผู้โจมตีจะทำตาม ในบางกรณี เหยื่อไม่เคยได้รับคีย์การถอดรหัสแม้จากการชำระเงิน หรือพวกเขาอาจเผชิญกับคำขอค่าไถ่เพิ่มเติม
ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศและหน่วยงานในการบังคับใช้กฎหมายแนะนำไม่ให้จ่ายเงินไถ่ เนื่องจาก ผู้โจมตีอาจใช้วิธีการคริปไฟล์ของเหยื่อและขโมยข้อมูลที่ละเอียดอ่อน จากนั้นเขาก็ทำการขู่เอาไตรรกะหรือขายข้อมูลถ้าหากไม่ได้รับเงินไถ่อีก
การโจมตี CryptoRansomware ที่โดดเด่น
มัลแวร์เรียกค่าไถ่ WannaCry (2017)
WannaCry เป็นหนึ่งในการโจมตีแร็นซัมแวร์ที่ชั่วร้ายและแพร่หลายที่สุดในประวัติศาสตร์ มันใช้ช่องโหว่ใน Microsoft Windows ที่เรียกว่า EternalBlue ซึ่งกลุ่มแฮ็กเกอร์ Shadow Brokers ได้โจมตีไปก่อนจาก NSA WannaCry กระทบกับเครื่องคอมพิวเตอร์มากกว่า 200,000 เครื่องคอมพิวเตอร์ใน 150 ประเทศ รวมถึงสถาบันสำคัญอย่างบริการสุขภาพแห่งชาติของสหราชอาณาจักร (NHS) ของสหรัฐอเมริกา และ Renault มันก่อให้เกิดความสับสนที่แพร่กระจายอย่างกว้างขวางโดยเฉพาะในระบบด้านสุขภาพ ที่บริการผู้ป่วยได้รับผลกระทบอย่างรุนแรง
ข้อความขอค่าไถ่ WannaCry
Source: ไซเบอร์สเปด
ผู้โจมตีเรียกร้อง $ 300 $ ใน Bitcoin เพื่อแลกกับคีย์ถอดรหัสแม้ว่าเหยื่อจํานวนมากไม่สามารถกู้คืนข้อมูลของพวกเขาได้แม้หลังจากชําระเงินแล้ว ในที่สุดการโจมตีก็หยุดลงโดยนักวิจัยด้านความปลอดภัยที่เปิดใช้งาน "kill switch" ที่ฝังอยู่ในรหัสของมัลแวร์ แต่ไม่ใช่ก่อนที่จะสร้างความเสียหายหลายพันล้านดอลลาร์
NotPetya (ค.ศ. 2017)
NotPetya เป็นมัลแวร์ double-havoc ที่เป็น ransomware และมัลแวร์ wiper ที่ออกแบบมาเพื่อก่อให้เกิดความเสียหายแทนที่จะเอาเงินไถ่
บันทึกค่าไถ่ NotPetya
Source: เค้าโครงความปลอดภัย
มัลแวร์ดูเหมือนจะเรียกร้องค่าไถ่ Bitcoin แต่แม้หลังจากชําระเงินแล้วการกู้คืนข้อมูลที่เข้ารหัสก็เป็นไปไม่ได้ซึ่งบ่งชี้ว่าผลประโยชน์ทางการเงินไม่ใช่เป้าหมายที่แท้จริง ซึ่งแตกต่างจากแรนซัมแวร์แบบดั้งเดิม NotPetya ดูเหมือนจะมีแรงจูงใจทางการเมืองโดยกําหนดเป้าหมายไปที่ยูเครนในช่วงที่มีความตึงเครียดทางภูมิรัฐศาสตร์กับรัสเซีย แม้ว่าในที่สุดมันจะแพร่กระจายไปทั่วโลก แต่ก็สร้างความเสียหายให้กับบริษัทข้ามชาติขนาดใหญ่ รวมถึง Maersk, Merck และ FedEx ส่งผลให้สูญเสียทางการเงินทั่วโลกประมาณ 10 พันล้านดอลลาร์
DarkSide (2021)
DarkSide ได้รับความสนใจจากทั่วโลกหลังจากการโจมตี Colonial Pipeline ท่อน้ำมันเชื้อเพลิงที่ใหญ่ที่สุดในสหรัฐอเมริกาซึ่งเป็นสาเหตุให้เกิดปัญหาด้านการหาเชื้อเพลิงในภาคตะวันออกของประเทศ การโจมตีได้ก่อให้เกิดความขาดแคลนเชื้อเพลิงและส่งผลให้เกิดการซื้อเร่งด่วนอย่างกว้างขวาง ในที่สุด Colonial Pipeline จึงจ่ายค่าไถ่ในจำนวน 4.4 ล้านดอลลาร์ในรูปแบบ Bitcoin แม้ว่าต่อมา FBI จะกู้คืนส่วนหนึ่งของค่าไถ่นี้
หมายถึง DarkSide Ransom Note
Source: KrebsonSecurity
มัลแวร์เรียกค่าไถ่เป็นบริการ
RaaS เป็นรูปแบบธุรกิจที่ผู้สร้างแรนซัมแวร์เช่าซอฟต์แวร์ที่เป็นอันตรายให้กับ บริษัท ในเครือหรืออาชญากรไซเบอร์อื่น ๆ บริษัท ในเครือใช้ซอฟต์แวร์นี้เพื่อทําการโจมตีโดยแบ่งผลกําไรจากค่าไถ่กับนักพัฒนาแรนซัมแวร์
รีวิล
REvil (ที่เรียกว่า Sodinokibi) เป็นหนึ่งในกลุ่ม ransomware ที่ซับซ้อนที่สุด ทำงานเป็นรายได้จากการขโมยข้อมูลและเป็นการบังคับใช้ค่าไถ่ (RaaS)
REvil ถูกเชื่อมโยงกับการโจมตีระดับสูงต่อองค์กรระดับโลก รวมถึง JBS (ผู้ผลิตเนื้อสัตว์ขนาดใหญ่ที่สุดในโลก) และ Kaseya บริษัทซอฟต์แวร์ ส่งผลกระทบต่อธุรกิจกว่า 1,000 รายที่พึ่งพาบนผลิตภัณฑ์ซอฟต์แวร์ของมัน
คล็อปป์
แหล่งที่มา: BleepingComputer
Clop เป็น Ransomware อีกตัวที่ให้บริการเป็นบริการ (RaaS) ซึ่งดำเนินการแคมเปญ spear-phishing ขนาดใหญ่เพื่อเป้าหมายที่เป็นบริษัทและขอค่าไถ่ที่มีน้ำหนักมาก ผู้ดำเนินการของ Clop ใช้เทคนิคการขู่เอาค่าไถ่สองชั้น: พวกเขาขโมยข้อมูลก่อนที่จะเข้ารหัสและขู่เรื่องการรั่วไหลข้อมูลที่ละเอียดถ้าไม่จ่ายค่าไถ่
ในปี 2020 Clop รับผิดชอบในการละเมิดข้อมูลขนาดใหญ่ที่เชื่อมโยงกับซอฟต์แวร์ถ่ายโอนไฟล์ Accellion ซึ่งมีผลกระทบต่อมหาลัยหลายแห่ง สถาบันการเงิน และหน่วยงานของรัฐ
การป้องกันการโจมตี Ransomware ใน Crypto
การป้องกันที่มีประสิทธิภาพสูงสุดเริ่มต้นด้วยการป้องกันไม่ให้มัลแวร์เข้าสู่ระบบของคุณ ต่อไปนี้คือมาตรการบางอย่างที่สามารถปกป้องคอมพิวเตอร์ของคุณจากแรนซัมแวร์ได้
การรับรู้เรื่องความปลอดภัยไซเบอร์
ผู้ใช้และพนักงานควรได้รับการฝึกอบรมเพื่อรู้จำและตอบสนองต่อความเสี่ยงเช่นอีเมลฉ้อโกงหรือไฟล์แนบที่น่าสงสัย การฝึกอบรมความตระหนักด้านความมั่นคงปลอดภัยทางไซเบอร์เป็นประจำสามารถลดความเสี่ยงของการติดเชื้อโดยบังเอิญอย่างมีนัยยะ
การอัปเดตซอฟต์แวร์
การอัพเดทและซ่อมแซมประจำเป็นระบบสำหรับระบบปฏิบัติการ แอปพลิเคชัน และซอฟต์แวร์รักษาความปลอดภัย ช่วยลดความเสี่ยงของการโจมตีด้วยเรื่องมัลแวร์เรียกค่าไถ่ที่เกิดจากซอฟต์แวร์ที่เก่าไปแล้ว
สำรองข้อมูล
หากเกิดการโจมตีด้วย ransomware การมีการสำรองข้อมูลล่าสุดจะช่วยให้เหยื่อสามารถกู้คืนข้อมูลของตนโดยไม่ต้องจ่ายค่าไถ่ การสำรองข้อมูลควรเก็บไว้ในสถานการณ์ออฟไลน์หรือในสภาวะเชิงพระนามที่ไม่เชื่อมต่อโดยตรงกับเครือข่ายเพื่อป้องกันการติดเชื้อ ransomware
ตัวกรองอีเมล
ระบบกรองอีเมลสแกนข้อความที่เข้ามาเพื่อหาลิงก์ ไฟล์แนบ หรือลักษณะที่น่าสงสัย กรองเหล่านี้สามารถบล็อกอีเมลที่มีองค์ประจำที่รู้จักเป็นองค์ประจำแรงเสียดสีก่อนที่พวกเขาจะถึงกล่องจดหมายของผู้ใช้
การแบ่งเครือข่ายและการควบคุมการเข้าถึง
การแบ่งกลุ่มเครือข่าย จำกัดการแพร่ของมัลแวร์เรียกค่าไถ่เมื่อมันเข้าสู่ระบบของคุณ แม้แต่หนึ่งส่วนของเครือข่ายจะถูกคอมไพล์ ความเสียหายสามารถจำกัดได้ ผู้เชี่ยวชาญแนะนำให้ออกแบบระบบให้แยกจากระบบที่มีความสำคัญและข้อมูลจากการดำเนินการทั่วไป จำกัดการเข้าถึงบริเวณที่สำคัญ
การควบคุมการเข้าถึง เช่น การตรวจสอบตัวตนแบบหลายระยะ (MFA) และหลักการสิทธิ์ที่น้อยที่สุด (ให้ผู้ใช้เข้าถึงเฉพาะสิ่งที่ต้องการ) สามารถจำกัดการเข้าถึงของผู้ใช้ได้ หากผู้โจมตีได้รับการเข้าถึงหนึ่งบัญชีหรือระบบ การแบ่งส่วนและการควบคุมการเข้าถึงสามารถป้องกันการเคลื่อนไหวข้ามเครือข่าย จำกัดขอบเขตของมัลแวร์เรียกค่าไถ่
Endpoint Detection and Response (EDR) Solutions
EDR solutions ให้การตรวจสอบและวิเคราะห์กิจกรรมของอุปกรณ์ปลายทางอย่างต่อเนื่อง เพื่อช่วยตรวจหาอาการติดเชื้อ ransomware ในระยะเริ่มต้น เครื่องมือเหล่านี้สามารถตอบสนองอัตโนมัติต่อพฤติกรรมที่น่าสงสัย แยกอุปกรณ์ที่ติดเชื้อและป้องกันการแพร่กระจายของ ransomware ไปทั่วทั้งเครือข่าย
สรุป
คริปโตมัลแวร์เรียกค่าไถ่เน้นหนึ่งในการใช้คริปโตเงินด้วยวิธีที่ผิดกฎหมาย โดยที่คนอาชญากรรมใช้ประโยชน์จากความเป็นนิรันดร์ของเทคโนโลยีบล็อกเชน ในขณะที่ไม่มีอะไรที่สามารถทำเกี่ยวกับการเรียกค่าไถ่เป็นเงินด้วยวิธีที่เป็นคริปโต มาตรการที่ดีที่สุดคือป้องกันผู้ใช้และระบบจากการติดเชื้อมัลแวร์เรียกค่าไถ่โดยการหลีกเลี่ยงลิงก์การฟิชชิ่งและดำเนินการอัปเดตซอฟต์แวร์เป็นประจำ
นอกจากนี้ การบูรณาการการสำรองข้อมูลเป็นประจำ จะทำให้ไฟล์ที่สำคัญสามารถกู้คืนได้โดยไม่ต้องจ่ายค่าไถ่เมื่อเกิดการโจมตี การแบ่งส่วนเครือข่ายเป็นส่วนๆ ยังเป็นมาตรการป้องกันที่สำคัญอีกอย่างหนึ่ง เนื่องจากมันจำกัดการแพร่กระจายของมัลแวร์เรียกค่าไถ่ โดยจำกัดไว้ในส่วนที่เฉพาะเจาะจงของระบบและป้องกันพื้นที่ที่ไม่เป็นโทรม
บทความที่เกี่ยวข้อง
วิธีเดิมพัน ETH?
การใช้ Bitcoin (BTC) ในเอลซัลวาดอร์ - การวิเคราะห์สถานะปัจจุบัน