กลุ่ม Clop ransomware กำลังเลียนแบบวิธีการของกลุ่ม ALPHV ransomware โดยการสร้างเว็บไซต์สำหรับเผยแพร่ข้อมูลที่ถูกขโมยมาของเหยื่อ ที่สามารถเข้าถึงได้บนอินเทอร์เน็ตสาธารณะ ทำให้ข้อมูลที่ถูกขโมยมาถูกเข้าถึงได้ง่ายขึ้น และสร้างความกดดันกับเหยื่อให้ยอมจ่ายค่าไถ่มากขึ้น
เมื่อกลุ่ม ransomware โจมตีเป้าหมาย ขั้นแรกมันจะขโมยข้อมูลจากเครือข่ายของเหยื่อ แล้วจึงเข้ารหัสไฟล์ โดยข้อมูลที่ถูกขโมยมานี้จะถูกใช้เป็นช่องทางในการข่มขู่เหยื่อว่าข้อมูลจะถูกเผยแพร่ออกสู่สาธาณะ ถ้าหากไม่ยอมจ่ายค่าไถ่
โดยเว็ปไซต์ที่ใช้เผยแพร่ข้อมูลของกลุ่ม Ransomware ส่วนมากมักจะอยู่ในเครือข่าย Tor network เนื่องจากทำให้ยากที่เว็ปไซต์จะถูกปิด
อย่างไรก็ตาม วิธีการดังกล่าวมาพร้อมกับปัญหาสำหรับกลุ่ม ransomware ในการเรียกค่าไถ่จากเหยื่อ เนื่องจากจำเป็นต้องใช้เบราว์เซอร์ Tor ในการเข้าถึงเว็ปไซต์ที่ใช้เผยแพร่ข้อมูล และความเร็วในการดาวน์โหลดโดยทั่วไปจะช้ามาก
โดยเมื่อปีที่แล้ว การดำเนินการของกลุ่ม ALPHV หรือที่รู้จักในชื่อ BlackCat ได้ใช้กลยุทธ์ใหม่ในการสร้างเว็ปไซต์เพื่อเผยแพร่ข้อมูลที่ถูกขโมยมา ซึ่งเว็ปไซต์ดังกล่าวจะสามารถเข้าถึงได้โดยตรงบนอินเทอร์เน็ต แทนที่จะเป็นเครือข่ายที่ไม่ระบุชื่อเช่น Tor network ซึ่งต้องใช้ซอฟต์แวร์พิเศษในการเข้าถึง
วิธีนี้ช่วยให้การเข้าถึงข้อมูลทำได้ง่ายขึ้น และมีแนวโน้มที่จะทำให้ search engines สามารถ indexed ข้อมูลได้ ซึ่งจะช่วยขยายการเข้าถึงของข้อมูลที่ถูกขโมยมา
เมื่อวันอังคารที่ผ่านมา Dominic Alvieri นักวิจัยด้านความปลอดภัยให้ข้อมูลกับ BleepingComputer ว่ากลุ่ม Clop ransomware ได้เริ่มสร้างเว็ปไซต์ที่สามารถเข้าถึงได้บนอินเทอร์เน็ตสาธารณะ เพื่อเผยแพร่ข้อมูลที่ถูกขโมยมา ในระหว่างการโจมตีช่องโหว่ของ MOVEit Transfer เมื่อเร็ว ๆ นี้
โดยเว็ปไซต์แรกที่ถูกสร้างขึ้นโดยกลุ่ม Clop ransomware นั้น เป็นข้อมูลของบริษัทที่ปรึกษาทางธุรกิจ PWC โดยในเว็บไซต์มีข้อมูลที่ถูกขโมยมาของบริษัทอยู่ในไฟล์ ZIP ทั้งหมด 4 ไฟล์
ไม่นานหลังจากที่ Alvieri ให้ข้อมูลกับ BleepingComputer ผู้โจมตีก็สร้างเว็ปไซต์สำหรับข้อมูลของบริษัท Aon, EY (Ernst & Young), Kirkland และ TD Ameritrade
เว็ปไซต์ของกลุ่ม Clop ไม่มีความซับซ้อนเท่ากับเว็ปไซต์ที่สร้างโดยกลุ่ม ALPHV เมื่อปีที่แล้ว เนื่องจากมีการแสดงรายการลิงก์เพื่อดาวน์โหลดข้อมูลเท่านั้น แต่ไม่มีฐานข้อมูลที่ค้นหาได้เหมือนกับเว็ปไซต์ของกลุ่ม BlackCat
เว็ปไซต์เหล่านี้มีจุดมุ่งหมายเพื่อทำให้พนักงาน ผู้บริหาร และคู่ค้าทางธุรกิจซึ่งอาจได้รับผลกระทบจากข้อมูลที่ถูกขโมยมา กดดันบริษัทที่ตกเป็นเหยื่อให้ยินยอมในการจ่ายค่าไถ่
แม้ว่าการเผยแพร่ข้อมูลรั่วไหลด้วยวิธีนี้อาจมีประโยชน์ แต่ก็มาพร้อมกับปัญหาเช่นกัน เนื่องจากการนำข้อมูลดังกล่าวไปเผยแพร่บนอินเทอร์เน็ตแทนที่จะเป็น Tor network ก็ทำให้ข้อมูลเหล่านั้นถูกลบออกได้ง่ายกว่า
ปัจจุบันเว็ปไซต์ของกลุ่ม Clop ทั้งหมดถูกออฟไลน์เรียบร้อยแล้ว
ยังไม่แน่ชัดว่าเว็ปไซต์เหล่านี้ถูกปิดเนื่องจากการจับกุมของหน่วยงานบังคับใช้กฎหมาย การโจมตี DDoS โดยบริษัทด้านความปลอดภัยไซเบอร์ หรือผู้ให้บริการโฮสติ้ง และผู้จดทะเบียนเป็นผู้ปิดเว็ปไซต์หรือไม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.