กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการเพิ่มราคาค่าไถ่จากเหยื่อในเหตุการณ์การโจมตี "Kaseya" ในลักษณะ Supply Chain Attack เมื่อวันที่ 2 ก.ค.64 ที่ผ่านมา
เป็นเรื่องปกติที่กลุ่ม REvil จะทำการศึกษาข้อมูลขององค์กรที่ตกเป็นเหยื่อในการโจมตีด้วยการวิเคราะห์ข้อมูลที่ขโมยมาได้ รวมถึงข้อมูลขององค์กรที่เผยแพร่ต่อสาธารณะ เช่น ข้อมูลทางการเงิน นโยบายการประกันภัยทางไซเบอร์ รวมถึงข้อมูลอื่น ๆ ที่เกี่ยวข้อง เมื่อนำมาประกอบกับจำนวนของเครื่องคอมพิวเตอร์ที่ถูกเข้ารหัสและปริมาณของข้อมูลที่ถูกขโมยออกมาก่อนหน้า กลุ่มอาชญากรจะสามารถประมาณการณ์ราคาค่าไถ่สูงสุดที่เป็นไปได้เท่าที่เหยื่อจะจ่ายไหวสำหรับใช้ในการเจรจาต่อรอง
แต่อย่างไรก็ตามในเหตุการณ์การโจมตี Kaseya VSA Server นั้น ทางกลุ่มอาชญากร REvil มุ่งเป้าโจมตีไปที่ Kaseya ในฐานะที่เป็น Managed Service Providers (MSP) เป็นหลัก ไม่ได้พุ่งเป้าโจมตีไปที่กลุ่มลูกค้าของ MSP เพราะฉะนั้นในตอนแรกกลุ่มอาชญากรจึงยังตัดสินใจไม่ได้ว่าควรจะกำหนดราคาค่าไถ่ที่จำนวนเท่าไหร่ในกรณีที่เหยื่อคือกลุ่มลูกค้าของ MSP
ผลปรากฏว่ากลุ่มอาชญากรกำหนดราคากลางสำหรับราคาค่าไถ่ดังนี้
- 5 ล้านดอลล่าสหรัฐ หรือประมาณ 160,500,000 บาท สำหรับ MSP
- 44,999 ดอลล่าสหรัฐ หรือประมาณ 1,444,467 บาท สำหรับกลุ่มลูกค้าของ MSP
แต่ทว่ากลุ่มอาชญากรเริ่มไม่ซื่อสัตย์ และไม่ยอมใช้ราคากลางของค่าไถ่ดังกล่าวในการเจรจาต่อรอง ซึ่งเห็นได้จากบทสนทนาในการเจรจาต่อรองค่าไถ่ที่มีการแชร์ไปยัง BleepingComputer
สิ่งที่เกิดขึ้นในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ REvil นั้น ตัวมัลแวร์ฯจะทำเข้ารหัสไฟล์ต่างๆ และสามารถสร้างนามสกุลไฟล์ขึ้นมาได้หลายชนิด ซึ่งโดยปกติแล้วเครื่องมือสำหรับถอดรหัสข้อมูลที่กลุ่มอาชญากรส่งมอบให้เหยื่อหลังจ่ายค่าไถ่เรียบร้อยแล้ว จะสามารถใช้ในการถอดรหัสไฟล์ได้ทุกชนิด
แต่ในกรณีของเหยื่อจากเหตุการณ์การโจมตี Supply Chain Attack Kaseya กลับแตกต่างออกไป เพราะกลุ่ม REvil คิดราคาค่าไถ่ 40,000 - 45,000 ดอลล่าสหรัฐ ต่อนามสกุลไฟล์ที่ถูกเข้ารหัสบนระบบของเหยื่อ
หนึ่งในเหตุการณ์ตัวอย่างคือ เหยื่อแจ้งว่าในระบบของตัวเองมีนามสกุลไฟล์ที่ถูกเข้ารหัสอยู่เกือบ 12 ชนิด ซึ่งทางกลุ่มอาชญากรได้แจ้งกลับมาว่าต้องการค่าไถ่จำนวน 500,000 ดอลล่าสหรัฐ แลกกับการถอดรหัสไฟล์ทั้งหมด
อย่างไรก็ตามยังมีข่าวดีอยู่บ้างเมื่อตัวแทนของกลุ่ม REvil ได้บอกกับเหยื่อรายนี้ว่า การโจมตีมีเพียงการเข้ารหัสไฟล์เท่านั้น และไม่มีอะไรอย่างอื่นนอกเหนือจากนี้ นั่นหมายความว่า มีความเป็นไปได้ที่กลุ่ม REvil จะไม่ได้ขโมยข้อมูลขององค์กรของเหยื่อรายนี้ออกไป ซึ่งเป็นที่ทราบกันดีว่าข้อมูลดังกล่าวมักจะถูกนำมาใช้ในการข่มขู่เรียกค่าไถ่ที่เพิ่มขึ้น
แสดงให้เห็นว่าในการโจมตีที่เกิดขึ้น กลุ่ม REvil ยังไม่สามารถเข้าถึงระบบเครือข่ายขององค์กรอื่นๆได้ คาดว่าน่าจะทำได้เพียงแค่การใช้เทคนิคสั่งการจากระยะไกล (Remotely Exploited) ในการโจมตีช่องโหว่ Kaseya VSA เพื่อส่งเครื่องมือเข้ารหัสเข้าไปยังระบบของเหยื่อและทำการเรียกใช้งานเครื่องมือดังกล่าว
สถานการณ์หลังเหตุโจมตี
หลังเหตุการณ์โจมตีในลักษณะ Supply Chain Attack กับ Kaseya โดยกลุ่ม REvil ที่เกิดขึ้นในวันที่ 2 ก.ค.64 ทางผู้ผลิตซอฟต์แวร์ Kaseya ได้ทำการปล่อยแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่เกิดขึ้น
ช่องโหว่ zero-day ดังกล่าวถูกค้นพบโดยนักวิจัยจาก DIVD ซึ่งมีส่วนช่วยในการทดสอบแพตช์ดังกล่าวอีกด้วย แต่เป็นที่น่าเสียดายเมื่อกลุ่ม REvil ก็ค้นพบช่องโหว่ดังกล่าวในเวลาไล่เลี่ยกันและนำมาใช้ในการโจมตีก่อนที่แพตช์จะถูกปล่อยออกมาก่อนหน้าวันหยุดยาวซึ่งเป็นวันชาติของประเทศสหรัฐอเมริกา
จากการโจมตีที่เกิดขึ้น เชื่อว่ามีธุรกิจมากกว่า 1,000 แห่ง ได้รับผลกระทบ เช่น บริษัทยายักษ์ใหญ่สัญชาติสวีเดน, บริษัทระบบขนส่ง SJ และรวมไปถึงบริษัท Coop ซึ่งเป็นผู้ให้บริการซุปเปอร์มาร์เก็ตยักษ์ใหญ่สัญชาติสวีเดน ทำให้ต้องปิดการให้บริการไปมากกว่า 500 สาขา ซึ่งเป็นผลมาจากการโจมตีดังกล่าว
โจ ไบเดน ประธานาธิบดีสหรัฐ ได้สั่งการให้หน่วยข่าวกรองสหรัฐทำการสืบสวนเหตุการณ์โจมตีที่เกิดขึ้น แต่ปัจจุบันยังไม่ถึงขั้นที่จะบอกได้ว่ารัสเซียเป็นผู้อยู่เบื้องหลังในการโจมตีครั้งนี้
Federal Bureau of Investigation (FBI) ได้ออกประกาศเมื่อวันที่ 4 ก.ค.64 ว่ากำลังสืบสวนเรื่องนี้และทำงานร่วมกับ Cybersecurity and Infrastructure Security Agency (CISA) รวมถึงหน่วยงานอื่นๆ อย่างใกล้ชิด ซึ่งคำประกาศมีรายละเอียดดังนี้
"FBI กำลังสืบสวนเหตุการณ์การโจมตี Kaseya ด้วยมัลแวร์เรียกค่าไถ่ และทำงานร่วมกับ CISA อย่างใกล้ชิด รวมถึงร่วมมือกับหน่วยงานอื่นๆ เพื่อทำความเข้าใจขอบเขตของภัยคุกคามดังกล่าว"
"ถ้าหากคุณเชื่อว่าระบบของตนถูกโจมตีจากเหตุการณ์นี้ เราขอให้คุณทำตามคำแนะนำในรับมือ ด้วยการปฏิบัติตามขั้นตอนของ Kaseya ในการปิดเครื่องแม่ข่าย VSA โดยทันทีและรีบรายงานมายัง FBI ที่เว็บไซต์ ic3.gov"
ที่มา : bleepingcomputer