เมื่อวันที่ 6 มิถุนายนที่ผ่านมา กลุ่ม LockBit ransomware ได้เผยแพร่ข้อมูลลงบนเว็บไซต์รายงานข้อมูลรั่วไหล ในเนื้อหากล่าวว่าจะมีการเผยแพร่ข้อมูลกว่า 356,841 ไฟล์ ของบริษัท Mandiant ที่เป็นบริษัทรักษาความปลอดภัยทางไซเบอร์ของอเมริกาในอีก 3 ชั่วโมงข้างหน้า
ซึ่งทาง LockBit ยังไม่ได้เปิดเผยว่าเป็นไฟล์ชนิดใด พบเพียงตัวอย่างเป็นไฟล์ชื่อ 'mandiantyellowpress.com.7z ขนาด 0 byte แต่ชื่อไฟล์นี้สอดคล้องกับโดเมนที่ชื่อว่า mandiantyellowpress[.]com ที่ได้มีการจดทะเบียนในวันเดียวกับที่ LockBit แถลง เมื่อเข้าไปที่เว็ปไซต์ดังกล่าวจะถูก redirect ไปที่ ninjaflex[.].com
จากเหตุการณ์ดังกล่าว ทีมงานของ BleepingComputer ได้ทำการสอบถามเรื่องนี้ไปยัง Mandiant ซึ่งได้รับคำตอบจาก Mark Karayan ผู้จัดการอาวุโสฝ่ายสื่อสารการตลาดว่า ทาง Mandiant ยังไม่พบว่ามีหลักฐานใด ๆ ที่แสดงว่ามีข้อมูลรั่วไหลตามที่ LockBit กล่าวอ้าง และบริษัทจะเฝ้าระวัง และตรวจสอบต่อไปอย่างต่อเนื่อง โดย Mandiant เป็นบริษัทที่พึ่งจะถูกซื้อจาก Google เป็นมูลค่ากว่า 5.4 พันล้านดอลลาร์เมื่อเดือนมีนาคมที่ผ่านมา
จากการคาดการของผู้เชี่ยวชาญ เหตุการณ์ทั้งหมดอาจเกิดจากการที่ Mandiant ได้ทำการเปิดเผยรายงานเมื่อสัปดาห์ที่แล้วว่ากลุ่มแฮ็กเกอร์ของรัสเซียที่ชื่อ Evil Corp ได้เปลี่ยนมาใช้งาน LockBit ransomware ในการโจมตีบนเครือข่ายของเป้าหมายแทน เพื่อหลบเลี่ยงมาตรการคว่ำบาตรจากสหรัฐอเมริกา(บริษัทใดที่ยอมจ่ายเงินให้กับกลุ่ม Ransomware ที่ถูกคว่ำบาตรโดยสหรัฐอเมริกา อาจถูกคว่ำบาตรด้วยเช่นเดียวกัน จึงทำให้หลายๆบริษัทจะไม่กล้าจ่ายค่าไถ่ให้กับกลุ่ม ransomware ที่ถูกคว่ำบาตร)
ล่าสุดหลังจากที่ LockBit เผยแพร่ไฟล์ที่อ้างว่าขโมยออกมาจาก Mandiant ผู้เชี่ยวชาญพบว่าไฟล์ดังกล่าวไม่น่าจะเป็นไฟล์ที่เป็นข้อมูลที่เกี่ยวข้องกับ Mandiant แต่สิ่งที่ LockBit ทำ เป็นการพยายามประกาศให้โลกรู้ว่าพวกเขาไม่เกี่ยวข้องกับกลุ่ม Evil Corp ที่มีการนำ LockBit ransomware ไปใช้กับปฏิบัติการของพวกเขามากกว่า เนื่องจาก LockBit เกรงจะถูกคว่ำบาตรจากมาตรการของสหรัฐอเมริกาเช่นเดียวกัน
ข้อมูลเพิ่มเติมของ LockBit
LockBit Ransomware เปิดตัวตั้งแต่เดือนกันยายน 2562 เป็น ransomware-as-a-service (RaaS) และเปลี่ยนชื่อใหม่เป็น LockBit 2.0 RaaS ในเดือนมิถุนายน 2564
โดยผู้เชี่ยวชาญจาก Sophos ได้รายงานว่า LockBit เคยแอบซ่อนอยู่ในเครือข่ายของหน่วยงานรัฐบาลท้องถิ่นของสหรัฐอเมริกาเป็นเวลาหลายเดือนก่อนที่จะเริ่มกระบวนการติดตั้งแรนซัมแวร์
ในเดือนกุมภาพันธ์ 2565 FBI ได้ออกมาแจ้งเตือนพร้อมรายละเอียด IOC ที่เกี่ยวข้องกับการโจมตีของ LockBit และขอให้บริษัทที่ตกเป็นเป้าหมายของ RaaS รายงานเหตุการณ์ที่เกิดขึ้นกับ FBI Cyber Squad ในพื้นที่ของตนโดยด่วน
ที่มา : bleepingcomputer
You must be logged in to post a comment.