แพลตฟอร์มการชำระเงิน MoneyGram ระบุว่าไม่มีหลักฐานใดที่แสดงให้เห็นว่าการโจมตีทางไซเบอร์เมื่อเร็ว ๆ นี้ ซึ่งทำให้ระบบหยุดให้บริการเป็นเวลา 5 วันในเดือนกันยายนมีความเกี่ยวข้องกับแรนซัมแวร์
MoneyGram เป็นแพลตฟอร์มการชำระเงิน และการโอนเงินของอเมริกา ที่ให้ผู้ใช้งานสามารถโอน และรับโอนเงินผ่านเครือข่ายที่ครอบคลุมกว่า 350,000 แห่งใน 200 ประเทศ หรือผ่านแอปมือถือ และเว็บไซต์
โดยบริษัทยืนยันว่าถูกโจมตีทางไซเบอร์ และได้ปิดระบบเพื่อควบคุมเหตุการณ์ดังกล่าวในวันที่ 20 กันยายน สามวันหลังจากลูกค้าเริ่มรายงานว่าประสบปัญหา
การหยุดชะงักของระบบทำให้ลูกค้าไม่สามารถเข้าถึง และโอนเงิน รวมถึงทำธุรกรรมออนไลน์อื่น ๆ ได้ แม้ว่าหลายคนจะสงสัยว่าเป็นการโจมตีด้วยแรนซัมแวร์ แต่ทาง MoneyGram ก็ไม่ได้เปิดเผยรายละเอียดเพิ่มเติม และไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบในครั้งนี้
ในอีเมลที่มีข้อมูลอัปเดตเกี่ยวกับการโจมตีที่ส่งถึงผู้ได้รับผลกระทบเมื่อวันที่ 25 กันยายน และจากการตรวจสอบโดย BleepingComputer นั้น ทาง MoneyGram แจ้งว่าลูกค้าสามารถโอนเงินได้แล้ว
MoneyGram ยืนยันว่าระบบขององค์กรถูกบุกรุก แต่หลังจากสอบสวนการโจมตีดังกล่าวร่วมกับ CrowdStrike เจ้าหน้าที่ทางกฎหมาย และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์รายอื่น ๆ ระบุว่าไม่มีหลักฐานใด ๆ ที่บ่งชี้ว่าการโจมตีดังกล่าวเกิดจากแรนซัมแวร์
อีเมลที่ BleepingComputer ได้รับระบุว่า "หลังจากทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำ รวมถึง CrowdStrike และประสานงานกับหน่วยงานทางกฎหมายของสหรัฐฯ ระบบส่วนใหญ่ของบริษัทกลับมาทำงานได้ตามปกติแล้ว และพร้อมกลับมาให้บริการอีกครั้ง"
"บริษัทตระหนักถึงความสำคัญของการรักษาความปลอดภัยระบบ โดยสามารถกู้คืนระบบได้หลังจากใช้มาตรการป้องกันที่ครอบคลุม ในเวลานี้ยังไม่มีหลักฐานว่าปัญหาในครั้งนี้เกี่ยวข้องกับแรนซัมแวร์ และไม่มีเหตุผลใดว่าปัญหานี้ส่งผลกระทบต่อระบบของตัวแทนของบริษัท"
แหล่งข่าวที่เกี่ยวข้องกับการโจมตีดังกล่าวได้เปิดเผยข้อมูลเพิ่มเติม โดยบอกกับ BleepingComputer ว่า MoneyGram ถูกเจาะระบบด้วยวิธีการ social engineering กับระบบ help desk ของบริษัท
การโจมตีครั้งนี้ทำให้แฮ็กเกอร์สามารถเข้าถึงเครือข่ายของ MoneyGram โดยใช้ข้อมูล credentials ของพนักงาน และกำหนดเป้าหมายไปยังข้อมูลพนักงานใน Windows Active Directory Services ของบริษัท
อย่างไรก็ตามทาง MoneyGram สามารถตรวจพบ และบล็อกข้อมูลดังกล่าวได้ก่อนที่จะเกิดความเสียหายเพิ่มเติม โดย BleepingComputer ได้ติดต่อไปเพื่อสอบถามเกี่ยวกับการละเมิดข้อมูลดังกล่าว แต่ยังไม่ได้รับการตอบกลับ
แม้ว่า MoneyGram จะไม่ได้ระบุว่าการโจมตีครั้งนี้เกิดจากกลุ่มผู้โจมตีรายใด แต่กลยุทธ์ดังกล่าวทำให้นึกถึงการโจมตีของกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ Scattered Spider (หรือที่รู้จักในชื่อ UNC3944, Com และ 0ktapus)
ในเดือนกันยายน 2023 Scattered Spider อยู่เบื้องหลังการโจมตีทางไซเบอร์ที่ MGM Resorts ซึ่งพวกเขาเจาะระบบได้โดยการปลอมตัวเป็นพนักงานของ MGM และโทรติดต่อฝ่ายช่วยเหลือด้านไอทีเพื่อขอรีเซ็ตรหัสผ่าน จากนั้นเมื่อเข้าถึงเครือข่ายได้แล้ว แฮ็กเกอร์ก็ใช้แรนซัมแวร์ BlackCat เพื่อเข้ารหัสเซิร์ฟเวอร์ VMware ESXi หลายร้อยเครื่อง
เนื่องจากการโจมตีทาง social engineering มีความซับซ้อน ทางMicrosoft, FBI/CISA และ Mandiant จึงได้เคยออกคำแนะนำเกี่ยวกับวิธีการ และวิธีป้องกันการโจมตีเหล่านี้
ที่มา : bleepingcomputer
You must be logged in to post a comment.