กลุ่ม PYSA ransomware ได้ใช้ remote access trojan (RAT) ที่ชื่อว่า ChaChi ในการฝัง Backdoor บนระบบขององค์กรด้านสุขภาพ และด้านการศึกษาเพื่อขโมยข้อมูล และเข้ารหัสเครือข่ายของเหยื่อในลักษณะการโจมตีที่ถูกเรียกว่า double extortion (นอกจากเรียกค่าไถ่จากการเข้ารหัสไฟล์ด้วย ransomware แล้ว ยังมีการเรียกค่าไถ่จากข้อมูลที่ถูกขโมยออกไป โดยการข่มขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะ)
ChaChi เป็น Malware ที่ถูกพัฒนามาจากภาษา Golang ในช่วงต้นปี 2563 โดยกลุ่ม PYSA เพื่อใช้ในการเข้าถึง และควบคุมเครื่องของเหยื่อ มีการพบ ChaChi Malware ครั้งแรกในฐานะเครื่องมือที่ยังไม่มีคุณสมบัติจำพวก obfuscation, port-forwarding และ DNS tunneling แต่ภายหลังได้มีการเพิ่มคุณสมบัติเหล่านี้เข้ามาโดยมีการตรวจพบได้จากการโจมตีครั้งต่อ ๆ ไป หลังจากที่มีการพบเห็นการโจมตีครั้งแรกของ ChaChi Malware ในช่วงไตรมาสแรกของปี 2563 พบว่าได้มีการเพิ่มคุณสมบัติ obfuscation และ persistence ในช่วงปลายเดือนมีนาคมหรือต้นเดือนเมษายนจากรายงานของทีมนักวิจัยด้านภัยคุกคามของ BlackBerry
เป้าหมายแรกของ ChaChi Malware คือ หน่วยงานรัฐบาลท้องถิ่นของฝรั่งเศสในเดือนมีนาคม 2563 และได้มีการอัพเกรดเวอร์ชันในภายหลังเพื่อโจมตีเป้าหมายที่เป็นกลุ่มอุตสาหกรรมต่าง ๆ ตั้งแต่ด้านสุขภาพไปจนถึงบริษัทเอกชน ซึ่งการโจมตีเหล่านี้ได้ยกระดับการโจมตีของ PYSA Ransomware สูงขึ้น เนื่องจากมีการกำหนดเป้าหมายไปที่สถาบันการศึกษาของสหราชอาณาจักร และ 12 รัฐในสหรัฐอเมริกา ตามที่ได้มีการแจ้งเตือน FBI flash alert ในเดือนมีนาคม 2564 ว่ามีอาชญากรไซเบอร์ที่ไม่ระบุชื่อ ได้กำหนดเป้าหมายไปที่สถาบันการศึกษาระดับอุดมศึกษา โรงเรียน K-12 และวิทยาลัยบาทหลวงโดยเฉพาะ
ข้อเท็จจริงที่ว่าองค์กรด้านสุขภาพ และการศึกษามีข้อมูลส่วนบุคคล และข้อมูลด้านสุขภาพที่มีความสำคัญเป็นจำนวนมากทำให้พวกเขาเป็นเหยื่อที่กลุ่ม Ransomware เช่น PYSA มุ่งเป้าโจมตีเพื่อขโมยข้อมูลออกมาก่อนที่จะทำการเข้ารหัสเครือข่ายของเหยื่อ ซึ่งโรงพยาบาล และโรงเรียนที่ไม่มีการสำรองข้อมูล และใช้ระบบที่ไม่ค่อยมีการ Update Patch จะเป็นเป้าหมายที่ง่ายสำหรับกลุ่ม Ransomware เนื่องจากสามารถเกลี้ยกล่อมให้ทำการจ่ายค่าไถ่เพื่อกู้คืนระบบ และรับข้อมูลที่ถูกขโมยไปกลับคืนได้ง่าย
PYSA ransomware ถูกพบครั้งแรกในเดือนตุลาคมปี 2562 จากรายงานของบริษัทที่โดน Ransomware ตัวใหม่ปรากฏให้เห็น โดยกลุ่ม Ransomware นี้เป็นที่รู้จักจากพฤติกรรมในการขโมยข้อมูลที่มีความสำคัญจำนวนมากจากเซิร์ฟเวอร์ของเหยื่อ ซึ่งรวมถึงข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลภาษี หรือเงินเดือน และข้อมูลประเภทอื่น ๆ
สำหรับผู้ที่สนใจข้อมูลทางด้านเทคนิคเกี่ยวกับ ChaChi RAT รวมถึง IOC และ YARA rules สามารถดูได้ในรายงานของนักวิจัยด้านภัยคุกคามของ BlackBerry
ที่มา : BleepingComputer
You must be logged in to post a comment.