GTD ผู้ให้บริการด้านโทรคมนาคมรายใหญ่ของชิลี ถูกโจมตีโดยกลุ่ม Rorschach ransomware

บริษัท Grupo GTD จากชิลีแจ้งเตือนเหตุการณ์การโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อแพลตฟอร์ม Infrastructure as a Service (IaaS) ซึ่งส่งผลกระทบต่อการให้บริการ

Grupo GTD เป็นบริษัทโทรคมนาคมที่ให้บริการทั่วละตินอเมริกา โดยมีสำนักงานหลักอยู่ที่ชิลี สเปน โคลัมเบีย และเปรู โดยบริษัทให้บริการด้านไอทีหลากหลายประเภท รวมถึงการเข้าถึงอินเทอร์เน็ต โทรศัพท์เคลื่อนที่ และโทรศัพท์บ้าน และบริการ Data Center และบริการจัดการทางด้านไอที

ในเช้าวันที่ 23 ตุลาคม 2023 ที่ผ่านมา GTD ได้รับผลกระทบจากการโจมตีทางไซเบอร์ที่ส่งผลกระทบต่อบริการต่าง ๆ อาทิ Data Center การเข้าถึงอินเทอร์เน็ต และระบบ Voice-over-IP (VoIP)

โดยผลกระทบจำกัดอยู่เพียงส่วนหนึ่งของแพลตฟอร์ม laas และบริการที่ให้บริการร่วมกัน (บริการโทรศัพท์ IP, VPN และระบบโทรทัศน์ OTT) ส่วน communication COR รวมถึง ISP ยังทำงานได้ตามปกติ

เพื่อป้องกันการแพร่กระจายของการโจมตี บริษัทจึงยกเลิกการเชื่อมต่อแพลตฟอร์ม IaSS จากอินเทอร์เน็ต ซึ่งทำให้ส่งผลกระทบต่อการให้บริการของระบบเหล่านี้

โดยในวันนี้ (25 ตุลาคม 2023) ทีมตอบสนองเหตุการณ์ด้านความปลอดภัยคอมพิวเตอร์ของชิลี (CSIRT) ยืนยันว่า GTD ได้รับผลกระทบจากการโจมตีของ ransomware

ทีมตอบสนองเหตุการณ์ด้านความปลอดภัยทางคอมพิวเตอร์ (Government CSIRT) ของกระทรวงมหาดไทย และความมั่นคงสาธารณะได้รับแจ้งเหตุการณ์การโจมตีทางไซเบอร์จากบริษัท GTD เกี่ยวกับ ransomware ที่ส่งผลกระทบต่อแพลตฟอร์ม IaaS บางส่วนในช่วงเช้าของวันจันทร์ที่ 23 ตุลาคม 2023 จึงทำให้บริการสาธารณะบางอย่างในประเทศ จึงไม่สามารถใช้งานได้จากเหตุการณ์นี้

CSIRT กำหนดให้สถาบันสาธารณะทุกแห่งที่ใช้บริการ IaaS ของ GTD แจ้งต่อรัฐบาลตามกฤษฎีกาฉบับที่ 273 ซึ่งกำหนดให้หน่วยงานของรัฐทุกหน่วยงานต้องรายงานเมื่อเกิดเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ขึ้น

IOC ของ Ransomware

ในขณะที่ CSIRT ยังไม่ได้เปิดเผยชื่อของกลุ่ม ransomware ที่อยู่เบื้องหลังการโจมตี GTD แต่ Bleeping Computer ได้ข้อมูลว่าการโจมตีเกี่ยวข้องกับกลุ่ม Rorschach ransomware ที่เคยใช้ในการโจมตีบริษัทในสหรัฐอเมริกา

Rorschach ransomware (หรือที่รู้จักในชื่อ BabLock) คือตัวเข้ารหัสที่ค่อนข้างใหม่ซึ่งถูกพบโดย Check Point Research ในเดือนเมษายน 2023 แม้ว่านักวิจัยไม่สามารถเชื่อมโยงตัวเข้ารหัสกับกลุ่ม ransomware กลุ่มใดกลุ่มหนึ่งได้ แต่ก็เตือนว่า ransomware มีความซับซ้อน และมีความรวดเร็วมาก สามารถเข้ารหัสทั้งอุปกรณ์ได้ภายใน 4 นาที 30 วินาที

ในรายงานเกี่ยวกับการโจมตี GTD ที่ BleepingComputer พบ ผู้โจมตีมีการใช้วิธีการ DLL sideloading ในโปรแกรมปฏิบัติการของ Trend Micro, BitDefender และ Cortex XDR ที่ถูกต้องเพื่อโหลด DLL ที่เป็นอันตราย

DLL นี้คือ Rorschach injector ซึ่งจะแทรกเพย์โหลดแรนซัมแวร์ที่เรียกว่า "config[.]ini" ลงใน Process ของ Notepad เมื่อโหลดแล้ว ransomware จะเริ่มเข้ารหัสไฟล์บนอุปกรณ์

CSIRT ได้แชร์ IOC ที่เกี่ยวข้องกับการโจมตี GTD ด้านล่าง โดยที่ u.exe และ d.exe เป็นไฟล์ปฏิบัติการของ TrendMicro และ BitDefender ที่ใช้ในการโจมตี และ DLL ที่มีมัลแวร์ดังกล่าว

CSIRT ของชิลีแนะนำให้ทุกองค์กรที่เชื่อมต่อกับ IaaS ของ GTD ทำตามขั้นตอนต่อไปนี้เพื่อยืนยันว่าไม่ได้รับผลกระทบจากการโจมตี

  • ทำการสแกน infrastructure ด้วยโปรแกรมป้องกันไวรัส
  • ตรวจสอบว่าไม่มีซอฟต์แวร์ที่น่าสงสัยในระบบ
  • ตรวจสอบบัญชีที่มีอยู่ในเซิร์ฟเวอร์ และยืนยันว่าไม่มีการสร้างบัญชีใหม่
  • วิเคราะห์การประมวลผล และประสิทธิภาพของฮาร์ดไดรฟ์เพื่อให้แน่ใจว่าไม่มีการเปลี่ยนแปลง
  • ตรวจสอบว่ามีการเปลี่ยนแปลงข้อมูล หรือข้อมูลรั่วไหลของบริษัท และฐานข้อมูลของบริษัทหรือไม่
  • ตรวจสอบการรับส่งข้อมูลบนเครือข่าย
  • Maintain up-to-date record ระบบให้ทันสมัยอยู่เสมอเพื่อให้แน่ใจว่ามีการตรวจสอบที่มีประสิทธิภาพ
  • จำกัดการเข้าถึงผ่าน SSH ไปยังเซิร์ฟเวอร์ เฉพาะในกรณีที่จำเป็นเท่านั้น

เมื่อต้นปีที่ผ่านมา กองทัพชิลีพึ่งถูกโจมตีด้วย Rhysida ransomware โดยที่ BleepingComputer ได้รับแจ้งว่าผู้โจมตีปล่อยเอกสาร 360,000 ฉบับที่ขโมยออกมาจากรัฐบาล

ที่มา : bleepingcomputer