Microsoft က Ransomware အမှုတစ်ခုကို စုံစမ်းစစ်ဆေးတဲ့အခါမှာ မတူညီတဲ့ တိုက်ခိုက်သူ ၂ ဖွဲ့ဟာ တစ်ပြိုင်နက်တည်း ဝင်ရောက်လှုပ်ရှားခဲ့တာကို တွေ့ရှိခဲ့ပါတယ်။ ဒါက ဘာကိုပြနေလဲဆိုရင် ခေတ်သစ် ဆိုက်ဘာတိုက်ခိုက်မှုတွေဟာ အရင်လို သီးခြားစီ တစ်ခုတည်းလာတာမျိုး မဟုတ်တော့ဘဲ တုံ့ပြန်တဲ့အခါမှာလည်း နည်းလမ်းမျိုးစုံ လိုအပ်လာတယ်ဆိုတာကို ပြသနေတာပါ။ ဒီတိုက်ခိုက်မှုဟာ အရင်ကတည်းက လူသိများပြီးသား အားနည်းချက်တွေကနေတစ်ဆင့် ပစ်မှတ်ထားခံခဲ့ရတဲ့ on-premises SharePoint ဆာဗာတွေနဲ့ ဆက်စပ်နေပါတယ်။(SharePoint ဆိုတာကတော့ မိုက်ခရိုဆော့ကပဲ ထုတ်ထားတာပါ။ ပုံမှန်အားဖြင့် ရုံးတွေမှာ Office သုံးပြီး ဖိုင်တစ်ခုကို တစ်ယောက်က ရို-က်ထားလိုက်၊ အဲဒါကိုပဲ နောက်တစ်ယောက်က ပြန်ပြင်လိုက်၊ ပြန်ပြင်တဲ့အခါမှာလည်း အရင်တစ်ယောက်က ပြင်ပြီး ရိုက်နေပြန်ဆိုတော့ကာ၊ ဘယ်ဟာကနောက်ဆုံး update ဖြစ်နေမှန်းမသိပဲ ဘယ်ဟာကို သုံးလို့သုံးရမှန်းမသိ ဖြစ်တတ်ပါတယ်။ အဲလိုမျိုးဖြစ်နေတတ်တာကို Share Point သုံးပြီး တပေါင်းတစည်းထဲ အလုပ်လုပ်နိုင်ပါတယ်။ ဘယ်အချိန်မှာ ဘယ်သူပြင်သွားတယ်။ ဘယ်အချိန်မှာ ဘယ်သူက commit လုပ်လိုက်လဲဆိုတာကို သိနိုင်တယ်။ SharePoint က ဆာဗာတွေကနေ Web Base အလုပ်လုပ်တာပါ)
Microsoft ရဲ့ Incident Response(DART) အဖွဲ့က ထုတ်ပြန်တဲ့ အစီရင်ခံစာထဲမှာတော့ကနဦးစစ်ဆေးမှုတွေအရ တိုက်ခိုက်သူတွေဟာ ပထမဆုံးဝင်ရောက်တဲ့ နေရာကနေတဆင့် ဒုတိယမြောက် အဖွဲ့အစည်းတစ်ခုဆီကိုပါ ကူးစက်သွားတယ်လို့ ညွှန်ပြနေတဲ့အတွက်၊ သုတေသီတွေက အဲဒီ ဒုတိယအဖွဲ့အစည်းကို ဆက်သွယ်ခဲ့ကြပါတယ်။ အဲဒီအခါမှာတော့ သူတို့ဆီကိုလည်း ပထမကုမ္ပဏီကို တိုက်ခိုက်ခဲ့တဲ့ Storm-2603 အဖွဲ့ရဲ့ အဲဒီ ransomware တိုက်ခိုက်မှုမျိုး ဝင်ရောက်ခံထားရကြောင်း အတည်ပြုနိုင်ခဲ့ပါတယ်။
Microsoft Threat Intelligence အဖွဲ့နဲ့ ပူးပေါင်းပြီး နောက်ထပ် ဆက်လက်စစ်ဆေးကြည့်တဲ့အခါမှာတော့၊ ဒီလိုတရားမဝင် ဝင်ရောက်လုပ်ဆောင်မှုတွေထဲမှာ ပထမအဖွဲ့နဲ့ လုံးဝမသက်ဆိုင်တဲ့ ဒုတိယ ဟက်ကာအဖွဲ့တစ်ဖွဲ့ကပါ တစ်ပြိုင်နက်တည်း ဝင်ရောက်လှုပ်ရှားနေတာကို ဖော်ထုတ်နိုင်ခဲ့ပါတယ်။
“လုံးဝမတူညီတဲ့ တိုက်ခိုက်မှု လှုပ်ရှားမှု နှစ်ခုက ရှေ့နောက် သွားနေတာမဟုတ်ဘဲ တစ်ပြိုင်နက်တည်း အပြိုင်လည်ပတ်နေတဲ့အတွက် သီးခြားစီခွဲပြီး သိမြင်နိုင်ဖို့ ခက်ခဲပါတယ်” လို့ သုတေသီတွေက ပြောပါတယ်။ ဒါ့အပြင် အသုံးပြုသူအထောက်အထား (identity)၊ စက်ပစ္စည်း (endpoint) နဲ့ cloud က ရတဲ့ အချက်အလက်တွေကို ချိတ်ဆက်ပြီး ခွဲခြမ်းစိတ်ဖြာကြည့်မှသာ ဒီတိုက်ခိုက်မှုရဲ့ အတိုင်းအတာ အပြည့်အစုံကို ရှင်းရှင်းလင်းလင်း သိလာရတာလို့လည်း သူတို့က ထပ်လောင်းပြောဆိုခဲ့ပါတယ်။
Storm-2603 အဖွဲ့ဟာ လူသိရှင်ကြား ထုတ်ပြန်ထားတဲ့ အားနည်းချက်တွေကို အသုံးချပြီး ၂၀၂၅ ခုနှစ်၊ နှစ်လယ်လောက်ကတည်းက on-premises SharePoint ဆာဗာတွေကို ပစ်မှတ်ထားနေခဲ့တာကို ကုမ္ပဏီက တွေ့ရှိခဲ့ပါတယ်။ တစ်ချိန်တည်းမှာပဲ၊ ဒုတိယ ဟက်ကာအဖွဲ့ကတော့ ယုံကြည်ရတဲ့ ဆော့ဖ်ဝဲလ်တွေနောက်ကွယ်မှာ ပုန်းကွယ်နေပြီး ဗိုင်းရပ်စ်တွေ run ဖို့၊ နောက်ပေါက်(backdoor) တွေ ဖောက်ဖို့ ဒါမှမဟုတ် စနစ်ထဲမှာ အမြဲရှိနေစေဖို့ အသုံးပြုတဲ့ Dynamic Link Library (DLL) sideloading နည်းလမ်း အသုံးပြုထားတဲ့ လက္ခဏာတွေကို ချန်ထားခဲ့ပါတယ်။
ဒီတိုက်ခိုက်သူတွေကြောင့် ဆုံးရှုံးမှု ဘယ်လောက်အထိ ရှိသွားနိုင်တယ် ဆိုတာကိုတော့ အစီရင်ခံစာမှာ တိတိကျကျ ဖော်ပြထားတာ မရှိပါဘူး။
“ဒီအဖြစ်အပျက်ဟာ တိုးပွားလာနေတဲ့ လက်တွေ့အခြေအနေတစ်ခုကို မီးမောင်းထိုးပြနေပါတယ်။ ခေတ်သစ် တိုက်ခိုက်မှုတွေဟာ အရင်လို သီးခြားစီ ဖြစ်လေ့မရှိတော့ပါဘူး။ တစ်ခါတလေမှာ တစ်ခုနဲ့တစ်ခု ထပ်နေတဲ့ တိုက်ခိုက်မှုတွေဖြစ်တတ်လို့ အခြေအနေအရပ်ရပ်ကို ခြုံငုံသိမြင်နိုင်စွမ်းနဲ့ ဟန်ချက်ညီတဲ့ တုံ့ပြန်မှုတွေ လိုအပ်လာပါတယ်” လို့ Microsoft က ပြောကြားခဲ့ပြီး၊ သုံးစွဲသူတွေအနေနဲ့ ကိုယ့်ရဲ့ လုံခြုံရေးကို မြှင့်တင်ဖို့ လုပ်ဆောင်နိုင်တဲ့ နည်းလမ်းပေါင်းများစွာကိုလည်း အကြံပြုထားပါတယ်။
ဥပမာအနေနဲ့ ပြောရရင် ကုမ္ပဏီတွေအနေနဲ့ တခြားနည်းလမ်းတွေအပြင် အင်တာနက်နဲ့ ချိတ်ဆက်ထားတဲ့ စနစ်တွေနဲ့ သိထားပြီးသား အားနည်းချက်တွေကို အချိန်မီ patch (ပြင်ဆင်) ဖို့ကို ဦးစားပေးလုပ်ဆောင်ဖို့၊ လုပ်ပိုင်ခွင့်အမြင့်ဆုံးပေးထားတဲ့ အကောင့်တွေကို အဓိက တိုက်ခိုက်ခံရနိုင်တဲ့ နေရာတွေအနေနဲ့ သတိထားကိုင်တွယ်ဖို့၊ ပြဿနာတစ်ခုခု မဖြစ်ခင်ကတည်းက စနစ်တစ်ခုလုံးမှာ endpoint protection (စက်ပစ္စည်းလုံခြုံရေး) ဖြေရှင်းချက်တွေ တပ်ဆင်ထားဖို့နဲ့ လုံခြုံရေးတူးလ်တွေကို လိုအပ်တဲ့အချိန်မှသာ တပ်ဆင်အသုံးပြုခြင်းကြောင့် ဖြစ်ပေါ်လာနိုင်တဲ့ လစ်ဟာမှုတွေကို ရှောင်ကြဉ်ဖို့ အစရှိတဲ့အချက်တွေရဲ့ အရေးကြီးပုံကို အထူးအလေးပေး ပြောကြားခဲ့ပါတယ်။