พบ Ransomware ตัวใหม่ที่มีการอ้างว่าได้ทำการโจมตีองค์กรต่าง ๆ สำเร็จไปแล้วกว่า 30 แห่ง
Unit 42 จาก Palo Alto Networks ได้ให้รายละเอียดเกี่ยวกับ Ransomware ตัวใหม่ที่มีชื่อว่า Prometheus ว่าน่าจะมีความเกี่ยวข้องกับ Thanos Ransomware
Prometheus Ransomware ปรากฏตัวครั้งแรกในเดือนกุมภาพันธ์ที่ผ่านมา โดยนอกจากการเข้ารหัสเครือข่ายและเรียกค่าไถ่สำหรับคีย์ที่ใช้ในการถอดรหัสแล้ว พวกเขายังขู่ว่าจะทำการปล่อยข้อมูลของเหยื่อ หากไม่ยอมจ่ายค่าไถ่ให้กับตน โดยจ่ายเป็นสกุลเงิน Monero cryptocurrency
โดยการปฏิบัติการของ Ransomware หลาย ๆ ครั้งที่เกิดขึ้นในปี 2564 นี้ ดูเหมือนว่า Prometheus จะเป็นกลุ่มที่เป็นมืออาชีพ และมีการเรียกเหยื่อที่ถูกโจมตีว่าลูกค้า พวกเขาใช้ Ticket system เป็นช่องทางการติดต่อเจรจากับเหยื่อ และได้อ้างว่าทำการโจมตีองกรค์ต่าง ๆ ไปแล้วมากกว่า 30 รายทั่วโลก ซึ่งรวมถึงองค์กรในอเมริกาเหนือ ยุโรป และเอเชีย โดยกลุ่มภาคส่วนที่ได้รับผลกระทบ คือ รัฐบาล ธนาคาร อุตสาหกรรมการผลิต การขนส่ง สถาบันหรือศูนย์วิจัยให้คำปรึกษา อุตสาหกรรมการเกษตร ผู้ให้บริการทางด้านสุขภาพ ตัวแทนประกันภัย กลุ่มพลังงาน และกลุ่มทางด้านกฏหมาย แต่ยังไงก็ตามมีเหยื่อเพียง 4 รายที่ได้ทำการจ่ายค่าไถ่ ประกอบไปด้วยบริษัททางด้านการเกษตรกรรมของเปรู ผู้ใหับริการด้านการดูแลสุขภาพของบราซิล องค์การด้านการขนส่งและโลจิสติกส์ในออสเตรียและสิงคโปร์ ที่ได้ทำการจ่ายค่าไถ่ แต่ไม่สามารถยืนยันจำนวนเงินได้
ที่น่าสนใจคือ Prometheus ได้มีการอ้างว่าตนเองมีส่วนเกี่ยวกับกับกลุ่ม ReVIL หรือ กลุ่ม Sodinokibi แต่นักวิจัยยังไม่พบความเชื่อมโยงกันระหว่างกลุ่ม จึงเชื่อได้ว่ากลุ่ม Prometheus อาจจะแค่ยืมเอาชื่อของกลุ่ม ReVIL มาเพื่อเพิ่มโอกาสในการที่จะได้รับเงินค่าไถ่ เนื่องจาก ReVIL เป็น 1 ใน Ransomware ที่ไม่ค่อยได้รับความนิยมแต่ประสบความสำเร็จอย่างมากที่สุด โดยเหยื่อส่วนใหญ่เป็นบริษัทหรือองค์กรที่มีชื่อเสียงจำนวนมาก และเมื่อเร็ว ๆ นี้ FBI ได้พบการโจมตีอีกครั้งของกลุ่ม ReVILซึ่งมีเป้าหมาย คือ บริษัทแปรรูปเนื้อสัตว์ JBS ที่ใหญ่ที่สุดในโลก ซึ่งเชื่อกันว่าเป็นการโจมตีมาจากประเทศรัสเซีย
Thanos Ransomware ได้มีการปรากฏตัวครั้งแรกว่าถูกขายอยู่บนเว็บไซต์ใต้ดินในช่วงครี่งปีแรกของปี 2563 และพบว่ามีพฤติกรรมและโครงสร้างพื้นฐานเหมือนกันกับ Prometheus ซึ่งทำให้เชื่อว่า Thanos และ Prometheus อาจเป็นอาชญากรกลุ่มเดียวกัน ในขณะที่นักวิจัยยังไม่สามารถระบุวิธีที่ Prometheus ถูกส่งไปยังเหยื่อได้ แต่พบว่า Thanos นั้นจะใช้วิธีการซื้อข้อมูลการเข้าถึงเครือข่ายของเหยื่อที่เคยถูกโจมตีสำเร็จด้วยวิธีการต่าง ๆ เช่นมัลแวร์ การสุ่มพาสเวิร์ดหรือฟิชชิ่ง เป็นต้น ซึ่งหลังจากที่ Prometheus สามารถเข้าถึงเครื่องของเหยื่อได้แล้ว จะทำการกำหนดเงินค่าไถ่ $6,000 - $100,000 ซึ่งจะเพิ่มขึ้นเป็นสองเท่าหากเหยื่อยังไม่ยอมจ่ายค่าไถ่ภายในระยะเวลา 1 สัปดาห์ โดยในการเรียกค่าไถ่นั้นจะเรียกเป็น Monero Cryptocurrency แทนที่จะเป็น Bitcoin ซึ่งน่าจะเป็นเพราะว่า Monero Cryptocurrency นั้นยากต่อการติดตามมากกว่า Bitcoin และเชื่อกันว่ากลุ่มนี้ยังคงมีการเลือกเหยือเพื่อโจมตีอยู่เรื่อย ๆ ตราบใดที่ยังคงสามารถทำกำไรได้อยู่ และเมื่อพิจารณาถึงวิธีที่ Prometheus และกลุ่มอื่น ๆ ใช้ มักจะอาศัยการละเมิดบัญชีผู้ใช้เพื่อสามารถเข้าถึงเครือข่ายของเป้าหมาย ซึ่งสิ่งหนึ่งที่องค์กรสามารถทำเพื่อป้องกันการโจมตีได้ทันที คือ ใช้การยืนยันตัวตนมากกว่า 1 ขั้นตอน หรือที่เรียกว่า Multi-Factor Authentication
ที่มา : zdnet computerweekly unit42 alienvault
You must be logged in to post a comment.