ในช่วงสัปดาห์ที่ผ่านมา RansomHouse ได้มีการส่งข้อความผ่าน Telegram ของพวกเขาว่าจะมีการขายข้อมูลของบริษัทที่มีชื่อสามตัวอักษร และขึ้นต้นตัวอักษร “A” ซึ่งหลังจากนั้นเมื่อวันที่ 27 มิถุนายน 2565 ที่ผ่านมาทางกลุ่ม RansomHouse ก็ได้มีการเพิ่ม AMD ลงในเว็บไซต์ Data leak ของตนเองโดยอ้างว่ามีข้อมูลที่ขโมยมาได้จาก AMD กว่า 450 GB
RansomHouse ได้บอกว่าข้อมูลที่ได้ขโมยไปนั้นเป็นข้อมูลเกี่ยวกับการวิจัย และข้อมูลทางการเงิน และข้อมูลนี้รวมถึง CSV ที่เผยแพร่ออกมา ซึ่งมีรายชื่อของอุปกรณ์กว่า 70,000 เครื่อง ที่ดูเหมือนจะเป็นเครือข่ายภายในของ AMD รวมถึงรายการ Corporate Credential ของ User ที่ตั้งรหัสผ่านไม่รัดกุม เช่น ‘password’ ‘P@ssw0rd’ ‘amd!23’ ‘Welcome1’ และพวกเขากำลังวิเคราะห์เพื่อกำหนดมูลค่าของข้อมูล
ต่อมา AMD ซึ่งเป็นบริษัทยักษ์ใหญ่ด้าน Semiconductor ผู้ผลิต CPU และการ์ดจอ โดย AMD ได้ออกมาระบุว่าพวกเขากำลังสืบสวนเกี่ยวกับข่าว และเหตุการณ์ที่อ้างว่ามีการโจมตี และได้โมยข้อมูลออกไปกว่า 450 GB โดยกลุ่ม RansomHouse ในครั้งนี้
RansomHouse ได้ให้ข้อมูลกับ BleepingComputer ว่า partner ของพวกเขาได้เริ่มการโจมตี AMD เมื่อประมาณหนึ่งปีที่แล้ว แต่สาเหตที่ในเว็บไซต์ของพวกเขาได้ระบุถึงการรั่วไหลของข้อมูลเป็นวันที่ 5 มกราคม 2565 นั้น เนื่องจากเป็นวันที่กลุ่มถูกตัดขาดการเข้าถึงเครือข่ายของ AMD
ในขณะที่ RansomHouse ถูกเชื่อมโยงเข้ากับกลุ่ม Ransomware อย่าง WhiteRabbit แต่พวกเขาระบุว่าการโจมตีครั้งนี้ไม่ได้มีการเข้ารหัสอุปกรณ์ และไม่ได้มีการใช้ Ransomware ในการโจมตี AMD และพวกเขาไม่ได้ติดต่อกับ AMD เพื่อเรียกค่าไถ่แต่อย่างใด เนื่องจากทางกลุ่มมองว่าเสียเวลาในการเจรจากับตัวแทนขององค์กร ซึ่งการขายข้อมูลให้กับหน่วยงานอื่น ๆ หรือผู้โจมตีอื่น ๆ นั้นใช้เวลาน้อยกว่ามาก และมีมูลค่ามากกว่า
RansomHouse นั้นเป็นกลุ่มที่ใช้ข้อมูลขององค์กรมาใช้ในการเรียกค่าไถ่แลกกับการไม่เผยแพร่ข้อมูลขององค์กรออกสู่สาธารณะ หรือขายให้กับผู้โจมตีรายอื่น ๆ ได้เริ่มปฏิบัติการเมื่อเดือนธันวาคม 2564 โดยมีเหยื่อรายแรกคือ Saskatchewan Liquor and Gaming Authority (SLGA) และยังพบว่ากลุ่มได้มีความเชื่อมโยงกับกลุ่ม White Rabbit Ransomware จาก Note ที่ทิ้งไว้หลังจากที่โจมตีเหยื่อตามภาพ
ตั้งแต่เดือนธันวาคม 2564 ทาง RansomHouse ได้เพิ่มเหยื่ออีกห้ารายไปยังเว็บไซต์ Dataleak ของพวกเขา รวมถึง AMD ด้วย และอีกหนึ่งในเหยื่อเหล่านี้คือ Shoprite Holdings ที่เป็นเครือข่าย Supermaket ที่ใหญ่ที่สุดในแอฟริกา ซึ่งได้ยืนยันแล้วว่าถูกโจมตี เมื่อวันที่ 10 มิถุนายน 2565
แนวทางการป้องกัน
- ไม่เปิดอีเมล หรือไฟล์แนบจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
- อัพเดตแพตช์บนระบบปฏิบัติการให้ล่าสุดเสมอ
- อัพเดท Signature หรือเวอร์ชันของ Endpoint ให้เป็นปัจจุบัน
- Backup ข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นได้ในอนาคต
- ติดตามข่าวสารอย่างใกล้ชิด
ที่มา : bleepingcomputer
You must be logged in to post a comment.