Nova Scotia Power ออกมายืนยันอย่างเป็นทางการว่าตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ข้อมูลส่วนบุคคลลูกค้าราว 280,000 รายถูกละเมิด
บริษัทสาธารณูปโภคจากแคนาดาระบุเมื่อวันศุกร์ที่ผ่านมาว่า กลุ่มผู้โจมตีสามารถแทรกซึมเข้าสู่ระบบเครือข่ายขององค์กรได้สำเร็จ และได้ทำการเผยแพร่ข้อมูลที่ถูกขโมยออกไป หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ตามที่ถูกเรียกร้อง
การโจมตีทางไซเบอร์ถูกตรวจพบครั้งแรกเมื่อวันที่ 25 เมษายน 2025 โดยทีมรักษาความปลอดภัยของ Nova Scotia Power ซึ่งตรวจพบการเข้าถึงระบบเครือข่าย และเซิร์ฟเวอร์ของ business application บางส่วนโดยไม่ได้รับอนุญาต
Nova Scotia Power ถูกโจมตีด้วยแรนซัมแวร์
อย่างไรก็ตาม การสืบสวนทาง forensic ในภายหลังได้เปิดเผยว่า การละเมิดระบบเบื้องต้นเกิดขึ้นก่อนหน้านั้นนานมาก หรือประมาณวันที่ 19 มีนาคม 2025 ทำให้ผู้โจมตีสามารถเข้าถึงระบบเครือข่ายได้โดยไม่ถูกตรวจจับเป็นเวลาราว 5 สัปดาห์
นี่เป็นตัวอย่างคลาสสิกของการโจมตีแบบ double extortion ของแรนซัมแวร์ ซึ่งไม่เพียงแค่เข้ารหัสระบบของเหยื่อ แต่ยังขโมยข้อมูลที่มีความสำคัญเพื่อเพิ่มอำนาจต่อรองอีกด้วย
ระยะเวลาดำเนินการที่ขยายออกไปทำให้ผู้โจมตีสามารถดำเนินการสำรวจเครือข่าย และขโมยข้อมูลอย่างครอบคลุมก่อนที่จะใช้งานเพย์โหลดการเข้ารหัสของพวกเขา
ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า แรนซัมแวร์ยุคใหม่มักใช้เทคนิคการเข้ารหัสแบบ AES-256 ร่วมกับการเข้ารหัส RSA public-key เพื่อให้มั่นใจว่าไฟล์จะไม่สามารถเข้าถึงได้หากไม่มี
private decryption keys เฉพาะของผู้โจมตี
ข้อมูลที่ถูกขโมยไปนั้นครอบคลุมถึงข้อมูลส่วนบุคคล (PII) เช่น ชื่อ-นามสกุล, วันเดือนปีเกิด, เบอร์โทรศัพท์, อีเมล, ที่อยู่สำหรับให้บริการ และประวัติการใช้งานบัญชี
สิ่งที่น่ากังวลยิ่งกว่านั้นคือ ข้อมูลทางการเงินที่มีความสำคัญ เช่น หมายเลขประกันสังคม, หมายเลขใบขับขี่ และข้อมูลบัญชีธนาคาร ของลูกค้าที่ใช้บริการหักบัญชีอัตโนมัติ
ข้อมูลส่วนบุคคล และข้อมูลทางการเงินที่มีความสำคัญถูกเปิดเผย
การโจมตีครั้งนี้แสดงให้เห็นถึงลักษณะเฉพาะของ crypto-ransomware โดยเฉพาะอย่างยิ่งการกำหนดเป้าหมายไฟล์ข้อมูลที่มีค่าโดยใช้ขั้นตอนการเข้ารหัสที่ซับซ้อน
แตกต่างจาก locker ransomware ทั่วไปที่เพียงแค่จำกัดการเข้าถึงระบบ การโจมตีนี้เกี่ยวข้องกับการขโมยข้อมูลอย่างเป็นระบบก่อนที่จะใช้การเข้ารหัส
กลุ่มผู้โจมตีมีแนวโน้มว่าใช้เทคนิคต่าง ๆ เช่น lateral movement ผ่านเเครือข่าย และการเพิ่มสิทธิ์การเข้าถึง เพื่อเข้าถึงแหล่งเก็บข้อมูลที่มีมูลค่าสูงภายในโครงสร้างพื้นฐานของ Nova Scotia Power
นักวิเคราะห์ด้านความมั่นคงไซเบอร์แนะนำว่า ผู้โจมตีอาจใช้ช่องทางการโจมตีโดยทั่วไป เช่น การส่งอีเมลฟิชชิง, การโจมตีแบบเดาสุ่มรหัสผ่านจากข้อมูลที่รั่วไหล หรือการใช้ประโยชน์จากช่องโหว่ของระบบที่ไม่ได้รับการแก้ไข
ลักษณะที่ซับซ้อนของการโจมตีนี้แสดงให้เห็นถึงความเป็นไปได้ที่มีการดำเนินการโดยองค์กรอาชญากรรมที่ใช้รูปแบบบริการแรนซัมแวร์ (RaaS)
Nova Scotia Power ระบุอย่างชัดเจนว่าไม่ได้มีการจ่ายค่าไถ่ให้แก่ผู้โจมตี โดยอ้างอิงถึง “การประเมินต่อกฎหมายคว่ำบาตรที่เกี่ยวข้อง และการปฏิบัติตามคำแนะนำจากหน่วยงานบังคับใช้กฎหมาย”
การตัดสินใจนี้แสดงให้เห็นว่า กลุ่มแรนซัมแวร์อาจอยู่ภายใต้การคว่ำบาตรจากหน่วยงานของแคนาดา หรือสหรัฐอเมริกา ซึ่งทำให้การจ่ายเงินใด ๆ อาจเข้าข่ายผิดกฎหมาย
ทางบริษัทได้ร่วมมือกับ TransUnion เพื่อให้บริการตรวจสอบเครดิตแบบครอบคลุมแก่ลูกค้าที่ได้รับผลกระทบโดยไม่มีค่าใช้จ่าย เป็นระยะเวลา 2 ปี ผ่านบริการ TransUnion myTrueIdentity®
แนะนำลูกค้าควรเฝ้าระวังการโจมตีด้วย social engineering และความพยายามในการฟิชชิงที่อาจใช้ประโยชน์จากข้อมูลที่ถูกขโมยไป
ที่สำคัญ การโจมตีด้วยแรนซัมแวร์ครั้งนี้ไม่ส่งผลกระทบต่อโครงสร้างพื้นฐานทางกายภาพของ Nova Scotia Power ซึ่งรวมถึงระบบผลิตไฟฟ้า, ระบบการส่ง และระบบการจำหน่าย
Nova Scotia ให้บริการลูกค้าประมาณ 550,000 ราย และยังคงทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากภายนอกเพื่อกู้คืนระบบที่ได้รับผลกระทบ และนำการป้องกันความปลอดภัยเพิ่มเติมมาใช้
เหตุการณ์นี้เน้นย้ำถึงภัยคุกคามที่เพิ่มมากขึ้นต่อโครงสร้างพื้นฐานที่สำคัญจากการดำเนินการของแรนซัมแวร์ที่มีความซับซ้อน และแสดงให้เห็นถึงความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งในภาคพลังงาน
ที่มา : cybersecuritynews
You must be logged in to post a comment.