บริษัทในเครือด้านการผลิตรถจักรยานยนต์ในฟิลิปปินส์ของยามาฮ่ามอเตอร์ ได้รับผลกระทบจากการถูกโจมตีด้วยแรนซัมแวร์เมื่อเดือนที่ผ่านมา ส่งผลให้ข้อมูลส่วนบุคคลของพนักงานถูกขโมยออกไป
โดยบริษัทดังกล่าวกำลังสืบสวนเหตุการณ์ที่เกิดขึ้น โดยได้รับความช่วยเหลือจากผู้เชี่ยวชาญด้านความปลอดภัยภายนอก หลังจากตรวจพบเหตุการณ์ผิดปกติครั้งแรกเมื่อวันที่ 25 ตุลาคม 2023
บริษัทยามาฮ่าระบุว่า "หนึ่งในเซิร์ฟเวอร์ ที่จัดการโดยบริษัทในเครือด้านการผลิต และการขายรถจักรยานยนต์ในฟิลิปปินส์ Yamaha Motor Philippines, Inc. (YMPH) ถูกเข้าถึงโดยไม่ได้รับอนุญาต และถูกโจมตีด้วยแรนซัมแวร์ ทำให้ข้อมูลบางส่วนของพนักงานที่บริษัทจัดเก็บไว้มีการรั่วไหลออกไป” โดยยามาฮ่ามอเตอร์ได้จัดตั้งทีมทำงานเพื่อป้องกันความเสียหายเพิ่มเติม และดำเนินการกู้คืนระบบร่วมกับบริษัทด้านความปลอดภัย
โดยผู้โจมตีสามารถเข้าถึงได้เพียงเซิร์ฟเวอร์เดียวเท่านั้น และการโจมตีดังกล่าวไม่ส่งผลกระทบต่อสำนักงานใหญ่ หรือบริษัทในเครืออื่น ๆ ภายในกลุ่มยามาฮ่ามอเตอร์ บริษัทยังได้รายงานเหตุการณ์ดังกล่าวไปยังหน่วยงานที่เกี่ยวข้องของฟิลิปปินส์ และขณะนี้กำลังประเมินผลกระทบของการโจมตีทั้งหมด
การโจมตีจากกลุ่ม INC Ransom
แม้บริษัทยังไม่ได้ระบุแหล่งที่มาของการโจมตีอย่างแน่ชัด แต่กลุ่ม INC Ransom ได้อ้างความรับผิดชอบในการโจมตี และปล่อยข้อมูลที่อ้างว่าได้ขโมยออกมาจากเครือข่ายของยามาฮ่ามอเตอร์ฟิลิปปินส์
INC Ransom ถูกพบครั้งแรกในเดือนสิงหาคม 2023 โดยมีเป้าหมายไปยังองค์กรในภาคส่วนต่าง ๆ เช่น การดูแลสุขภาพ การศึกษา และหน่วยงานรัฐบาล ในการโจมตีด้วยวิธีการ double extortion attacks ตั้งแต่นั้นมา INC Ransom ได้โจมตีเหยื่อไปแล้วกว่า 30 ราย จากประกาศบนเว็บไซต์ที่เผยแพร่ข้อมูลรั่วไหลของทางกลุ่ม อย่างไรก็ตามจำนวนองค์กรที่ถูกโจมตีมีแนวโน้มที่จะมีมากกว่านี้ เนื่องจากมีเพียงองค์กรที่ปฏิเสธที่จะจ่ายค่าไถ่เท่านั้นที่ถูกเปิดเผยข้อมูลต่อสาธารณะ และจะมีการปล่อยข้อมูลออกมาในภายหลัง
ผู้โจมตีจะใช้วิธีการเข้าถึงเครือข่ายของเป้าหมายผ่านทางอีเมลฟิชชิ่ง แต่ก็พบว่ามีการโจมตีโดยใช้ประโยชน์จากช่องโหว่ Citrix NetScaler CVE-2023-3519 โดยหลังจากที่สามารถเข้าถึงระบบของเป้าหมายได้ ผู้โจมตีจะดาวน์โหลดไฟล์ที่มีความสำคัญออกมา เพื่อนำมาใช้ประโยชน์จากการเรียกค่าไถ่ จากนั้นจึงติดตั้งเพย์โหลดแรนซัมแวร์เพื่อเข้ารหัสระบบที่ถูกโจมตี นอกจากนี้ไฟล์ INC-README.TXT และ INC-README.HTML จะถูกทิ้งไว้โดยอัตโนมัติภายในแต่ละโฟลเดอร์ที่มีการเข้ารหัส
ผู้ที่ตกเป็นเหยื่อจะมีเวลา 72 ชั่วโมง เพื่อเจรจากับกับกลุ่มแรนซัมแวร์ ก่อนที่ข้อมูลจะถูกเปิดเผยออกสู่สาธารณะ โดยผู้ที่ยอมจ่ายค่าไถ่จะได้รับการรับรองว่าจะได้รับการช่วยเหลือในการถอดรหัสไฟล์ที่ถูกเข้ารหัส นอกจากนี้ผู้โจมตีจะให้รายละเอียดเกี่ยวกับวิธีการโจมตีเบื้องต้น คำแนะนำในการรักษาความปลอดภัยเครือข่าย หลักฐานการทำลายข้อมูล และรับประกันว่าจะไม่ถูกโจมตีอีกจากกลุ่ม INC Ransom
ที่มา : bleepingcomputer
You must be logged in to post a comment.