บริษัท Telecom Argentina ผู้ให้บริการ ISP รายใหญ่ของประเทศอาเจนติน่าได้เปิดเผยถึงกลุ่ม REVIL Ransomware หรือ Sodinokibi ได้ทำการโจมตีบริษัทและทำการเรียกร้องค่าไถ่เป็นเงินจำนวน $7.5 ล้านเหรียญเพื่อเป็นค่าไถ่สำหรับการปลดล็อกไฟล์ที่ถูกเข้ารหัส
เหตุการณ์เกิดในวันเสาร์ที่ 18 กรกฎาคม 2020 โดยกลุ่ม REVIL Ransomware ได้ทำการโจมตีเครือข่ายของบริษัทหลังจากที่พนักงานคนหนึ่งของบริษัทเปิดไฟล์ที่เเนบมากับอีเมลที่เป็นอันตรายของกลุ่ม REVIL Ransomware จึงทำให้กลุ่ม REVIL Ransomware สามารถเข้าควบคุม Domain Admin ภายในเครือข่ายบริษัทและทำแพร่กระจาย Ransomware ภายในเครือข่าย ซึ่งในช่วงเวลาที่ถูกบุกรุกนั้นทาง ISP ได้ทำการตรวจจับการบุกรุกในทันทีและได้แจ้งเตือนพนักงานผ่านการแจ้งเตือนภายใน เพื่อจำกัดการเชื่อมภายในเครือข่ายขององค์กรกับเครือข่าย VPN ภายในและยังสั่งห้ามพนักงานไม่ให้ทำการเปิดอีเมลที่มีไฟล์แนบ
ผู้ให้บริการ ISP กล่าวว่าอีกว่าเหตุการณ์ครั้งนี้ไม่ส่งผลกระทบต่อบริการโทรศัพท์พื้นฐานหรือเคเบิลทีวีและไม่ได้ทำให้การเชื่อมต่ออินเทอร์เน็ตสำหรับลูกค้าของ ISP มีปัญหา หลังจากเกิดเหตุการณ์ภายในเว็บพอร์ทัลของ REVIL Ransomware มีข้อความแสดงความต้องการค่าไถ่จำนวน 109,345.35 เหรียญ Monero หรือประมาณ 7.5 ล้านเหรียญและถ้าหากไม่ทำการจ่ายภายใน 3 วันจำนวนเงินเรียกค่าไถ่จะเพิ่มเป็น 2 เท่า
ทั้งนี้ผู้สื่อข่าวของ ZDNet ให้ความเห็นว่าการโจมตีผ่านอีเมลของกลุ่ม REVIL ในครั้งนี้แตกต่างจากพฤติกรรมในอดีตที่มักโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ระดับองค์กรอย่างที่เคยมีประวัติโจมตีด้วยช่องโหว่ Pulse Secure และ Citrix VPN ซึ่งนักวิจัยด้านความปลอดภัยจากบริษัท Bad Packets พบว่าบริษัท Telecom Argentina นั้นมีการใช้ Citrix VPN และใช้ Citrix ที่มีช่องโหว่ CVE-2019-19781 อีกด้วย
ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบเเหล่งที่มาของอีเมลและทำการตรวจสอบไฟล์ที่แนบมากับอีเมลทุกครั้งที่เปิดเพื่อป้องกันการโจมตีด้วย Ransomware ซึ่งอาจจะทำให้ระบบของผู้ใช้งานได้รับผลกระทบและเสียหาย รวมถึงผู้ดูแลระบบควรอัพเดตแพตช์ความปลอดภัยของผลิตภัณฑ์ระดับองค์กรเพื่อลดความเสี่ยงจากการโจมตี
ที่มา: zdnet.com