ธนาคาร Western Alliance ซึ่งตั้งอยู่ในรัฐแอริโซนา กำลังแจ้งลูกค้าจำนวนเกือบ 22,000 รายว่าข้อมูลส่วนบุคคลของพวกเขาถูกขโมยไปในเดือนตุลาคม 2024 หลังจากซอฟต์แวร์ secure file transfer ที่เป็นของ third-party ของธนาคารถูกเจาะระบบ
Western Alliance เป็นบริษัทย่อยที่ถือหุ้นทั้งหมดโดย Western Alliance Bancorporation ซึ่งเป็นบริษัทธนาคารชั้นนำของสหรัฐฯ ที่มีสินทรัพย์มากกว่า 80 พันล้านดอลลาร์
ธนาคารได้เปิดเผยข้อมูลนี้ครั้งแรกในการยื่นเอกสารต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ (SEC) ในเดือนกุมภาพันธ์ 2025 โดยระบุว่า ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Zero-day ในซอฟต์แวร์ของ third-party (ซึ่งผู้ให้บริการ third-party เปิดเผยช่องโหว่เมื่อวันที่ 27 ตุลาคม 2024) เพื่อแฮ็กระบบของ Western Alliance บางส่วน และขโมยไฟล์ที่เก็บอยู่ในอุปกรณ์ที่ถูกบุกรุก
Western Alliance พบว่า ข้อมูลของลูกค้าถูกขโมยออกจากเครือข่าย หลังจากพบว่าผู้โจมตีได้เผยแพร่ไฟล์บางส่วนที่ถูกขโมยจากระบบของธนาคาร
ในจดหมายแจ้งการละเมิดข้อมูลที่ส่งถึงลูกค้าที่ได้รับผลกระทบจำนวน 21,899 ราย และยื่นต่อสำนักงานอัยการสูงสุดของรัฐเมน บริษัทระบุว่า "ตรวจสอบพบว่าผู้ไม่ประสงค์ดีได้เข้าถึงไฟล์บางรายการจากระบบของธนาคารในช่วงวันที่ 12 ตุลาคม 2024 ถึงวันที่ 24 ตุลาคม 2024"
จากการวิเคราะห์ไฟล์ที่ถูกขโมยเมื่อวันที่ 21 กุมภาพันธ์ 2025 และพบว่าไฟล์เหล่านั้นมีข้อมูลส่วนบุคคลของลูกค้า รวมถึงชื่อ และหมายเลขประกันสังคม, รวมถึงวันเกิด, หมายเลขบัญชีทางการเงิน, หมายเลขใบขับขี่, หมายเลขประจำตัวผู้เสียภาษี และ/หรือข้อมูลหนังสือเดินทาง หากลูกค้าได้ให้ข้อมูลดังกล่าวแก่ Western Alliance
Western Alliance กล่าวเสริมว่า "ยังไม่พบหลักฐานบ่งชี้ว่าข้อมูลส่วนบุคคลของลูกค้าถูกนำไปใช้ในทางที่ผิดเพื่อการฉ้อโกง หรือขโมยข้อมูลประจำตัว" พร้อมระบุว่าได้เสนอบริการปกป้องข้อมูลส่วนบุคคล Experian IdentityWorks Credit 3B ให้กับผู้ได้รับผลกระทบฟรีเป็นระยะเวลา 1 ปี
"แม้ว่าจะยังไม่มีหลักฐานว่าข้อมูลส่วนบุคคลของลูกค้าถูกนำไปใช้ในทางที่ผิดจากเหตุการณ์นี้ แต่ขอแนะนำให้ใช้บริการตรวจสอบเครดิตฟรีที่ระบุไว้ในจดหมายฉบับนี้"
การละเมิดข้อมูลถูกอ้างความรับผิดชอบโดยกลุ่มแรนซัมแวร์ Clop
แม้ว่าซอฟต์แวร์ secure file transfer ที่ถูกละเมิดจะไม่ถูกระบุชื่อในจดหมายแจ้งเหตุละเมิดข้อมูล หรือในการยื่นเอกสารต่อ SEC ในเดือนกุมภาพันธ์ แต่ธนาคาร Western Alliance เป็นหนึ่งใน 58 บริษัทที่กลุ่มแรนซัมแวร์ Clop เพิ่มเข้าไปในเว็บไซต์เผยแพร่ข้อมูลรั่วไหลของตนในเดือนมกราคม
กลุ่มอาชญากรรมทางไซเบอร์นี้อยู่เบื้องหลังการโจมตีที่ใช้ประโยชน์จากช่องโหว่ Zero-day แบบ Pre-authentication (CVE-2024-50623) ในซอฟต์แวร์ Cleo LexiCom, VLTransfer และ Harmony ซึ่งได้รับการอัปเดตแพตช์ในเดือนตุลาคม โดยในขณะนั้นบริษัท Cleo ได้ออกเตือนลูกค้าให้อัปเกรดระบบทันที
ในเดือนธันวาคม Cleo ได้ออกอัปเดตความปลอดภัยเพิ่มเติมเพื่อแก้ไขช่องโหว่ Zero-day ครั้งที่สอง (CVE-2024-55956) ซึ่งถูกกลุ่ม Clop ใช้เพื่อแทรก JAVA backdoor ที่เรียกว่า "Malichus" โดยมีเป้าหมายเพื่อขโมยข้อมูล, ดำเนินการคำสั่ง และเข้าถึงเครือข่ายของเหยื่อเพิ่มเติม
Cleo อธิบายในคำแนะนำเพิ่มเติมว่า "ช่องโหว่นี้ถูกนำไปใช้เพื่อติดตั้งโค้ด Backdoor ที่เป็นอันตรายลงในระบบ Cleo Harmony, VLTrader และ LexiCom ผ่าน Freemarker template ที่เป็นอันตราย ซึ่งมีโค้ด Server-side JavaScript ฝังอยู่"
ขณะนี้ยังไม่ทราบจำนวนบริษัทที่ได้รับผลกระทบจากการโจมตีนี้ แต่ Cleo อ้างว่าซอฟต์แวร์ของตนถูกใช้งานโดยองค์กรกว่า 4,000 แห่งทั่วโลก
ก่อนหน้านี้ กลุ่ม Clop เคยมีส่วนเกี่ยวข้องกับแคมเปญการโจมตี และขโมยข้อมูลหลายครั้ง โดยใช้ประโยชน์จากช่องโหว่ Zero-day ใน MOVEit Transfer, GoAnywhere MFT และ Accellion FTA
ที่มา : bleepingcomputer
You must be logged in to post a comment.