กลุ่ม Silent Ransomware กำลังมุ่งเป้าหมายการโจมตีไปยังสำนักงานกฎหมาย และองค์กร professional services ในสหรัฐฯ อย่างต่อเนื่อง โดยเริ่มการโจมตีด้วย Social Engineering และสามารถขโมยข้อมูลสำคัญออกไปหลังการโจมตีเพียงไม่กี่ชั่วโมงต่อมา
ทั้งนี้ทาง Mandiant บริษัทที่เกี่ยวข้องกับการป้องกันภัยด้านไซเบอร์ ได้ออกมาให้ข้อมูล และรายละเอียดทางเทคนิคในการโจมตีของแคมเปญดังกล่าว สอดคล้องกับคำแนะนำ FLASH ของ FBI ที่เผยแพร่ก่อนหน้านี้
Mandiant ระบุว่า กลุ่ม Silent Ransomware ซึ่งถูกติดตามในชื่อ UNC3753, Luna Moth และ Chatty Spider ได้โจมตีองค์กรหลายสิบแห่งในภาคส่วนกฎหมาย การเงิน และองค์กร professional services ระหว่างเดือนมกราคมถึงพฤษภาคม 2026
Mandiant เตือนว่า บริษัทกฎหมายยังคงเป็นเป้าหมายที่น่าดึงดูดเป็นพิเศษ เนื่องจากมีข้อมูลลูกค้าที่สำคัญจำนวนมาก แผนการควบรวมกิจการ และการซื้อกิจการ ความลับทางการค้าของลูกค้า และรายงานด้านกฎระเบียบขององค์กร ซึ่งมีโอกาสสูงที่จะยอมจ่ายเงินค่ายไถ่เพื่อหลีกเลี่ยงความเสียหายต่อชื่อเสียง และกฎระเบียบ
รูปแบบการโจมตีแบบ Social Engineering
การโจมตีจะเริ่มจาก Hacker ทำการส่ง อีเมล Phishing ที่เกี่ยวกับใบแจ้งหนี้ (Invoice) ที่ส่งมาจากบัญชีอีเมลทั่วไป อีเมลเหล่านี้ไม่มีลิงก์ หรือไฟล์แนบที่เป็นอันตราย แต่จะใส่หมายเลขโทรศัพท์ไว้เพื่อให้เหยื่อหลงเชื่อ และโทรกลับไป ที่เรียกว่า Callback Phishing ซึ่งเป็นเทคนิคที่กลุ่มนี้เคยใช้มาตั้งแต่สมัยร่วมงานกับกลุ่มแรนซัมแวร์ Ryuk และ Conti Ransumware
เมื่อเหยื่อโทรไป Hacker จะสวมรอยเป็นฝ่ายไอที (IT Help Desk) และหลอกให้พนักงานเข้า remote support sessions ผ่าน Microsoft Teams, Zoom, Quick Assist หรือ Microsoft Terminal Services จากนั้นจะหลอกให้ติดตั้งเครื่องมือจัดการระบบจากระยะไกล เช่น AnyDesk, Zoho Assist, Bomgar หรือ SuperOps ซึ่งทำให้ Hacker สามารถเข้าถึงเครือข่ายของบริษัทได้ทันที
โดย Mandiant ได้พบ phishing domains ที่เชื่อมโยงกับแคมเปญนี้ ซึ่งปลอมเป็น IT portals ภายใน โดยใช้รูปแบบการตั้งชื่อ เช่น:
<organization>-itdesk[.]com
<organization>-it[.]com
<organization>-helpdesk[.]com
รวมถึง Hacker ยังใช้ privnote[.]com ซึ่งเป็นบริการส่งข้อความที่ทำลายตัวเองได้ เพื่อแชร์ลิงก์การติดตั้ง และคำสั่งกับเป้าหมายระหว่าง remote support sessions เพื่อปกปิดร่องรอย ทำให้ตรวจสอบได้ยากขึ้น
เมื่อ Hacker สามารถเข้าถึงเครื่อข่ายของเป้าหมายได้แล้ว ก็จะทำการค้นหาเอกสารทางกฎหมาย และการเงินที่มีความสำคัญ รวมถึงสัญญา บันทึกภาษี หมายเลขประกันสังคม และไฟล์การควบรวมกิจการ หรือการซื้อกิจการ Hacker มักจะกำหนดเป้าหมายไปที่แพลตฟอร์มการจัดการเอกสาร และที่เก็บข้อมูลบนคลาวด์ก่อนที่จะขโมยข้อมูลโดยใช้เครื่องมือเช่น WinSCP หรือ Rclone
หลังจากขโมยข้อมูลเสร็จแล้ว Hacker จะทำการส่งจดหมายเรียกค่าไถ่ภายใน 30 นาที ทั้งนี้หากองค์กรไม่ตอบกลับ Hacker จะขู่ว่าจะโทรศัพท์ หรืออีเมลหาพนักงาน และลูกค้าของบริษัทโดยตรงเพื่อแจ้งว่าข้อมูลรั่วไหล ซึ่งจะกดดันให้ลูกค้าฟ้องร้องสำนักงานกฎหมายนั้น ๆ
รายงานยังอ้างถึงการแจ้งเตือนล่าสุดของ FBI ที่หน่วยงานบังคับใช้กฎหมายเตือนว่า กลุ่ม Silent Ransom Group กำลังกำหนดเป้าหมายไปที่สำนักงานกฎหมายของสหรัฐฯ ด้วยการโจมตีขโมยข้อมูลแบบ in-person data theft attacks
ตามข้อมูลของ FBI ระบุว่า Hacker จะปลอมตัวเป็นเจ้าหน้าที่ไอทีภายในผ่านทางโทรศัพท์ และอีเมล จากนั้นพยายามเข้าถึงจากระยะไกล หรือไปที่สำนักงานเพื่อทำการ Copy ข้อมูลคอมพิวเตอร์ (Image) หรือทำข้อมูลสำรอง (Backup) แต่แท้จริงแล้วคือการแอบขโมยไฟล์ ซึ่ง Mandiant เชื่อว่ามีความเชื่อมโยงกับกลุ่มนี้เนื่องจากพฤติกรรม และช่วงเวลาสอดคล้องกัน
เปลี่ยนผ่านจาก Ransomware สู่ Data Theft
กลุ่ม Silent Ransomware เริ่มโจมตีมาตั้งแต่ปี 2022 โดยแยกตัวมาจากเครือข่าย Conti และ Ryuk ปัจจุบันไม่ได้ใช้มัลแวร์เรียกค่าไถ่แบบเข้ารหัสเพื่อล็อกไฟล์ (Encryption) อีกต่อไป แต่เปลี่ยนมาเน้นการขโมยข้อมูล แล้วนำมาขู่กรรโชกทรัพย์ (Data-theft extortion)
นอกจากนี้ รายงานจาก Resecurity พบว่า กลุ่มนี้ใช้โครงสร้างพื้นฐานแบบ Fast-flux DNS (การเปลี่ยน IP Address ของโดเมนเว็บเรียกค่าไถ่ business-data-leaks[.]com ไปเรื่อย ๆ ผ่านเครือข่าย Proxy ในแถบละตินอเมริกา ยุโรปตะวันออก เอเชียกลาง รวมถึงตะวันออกกลาง และผู้ให้บริการอินเทอร์เน็ตในหลายประเทศ (ISP) ทำให้เจ้าหน้าที่ตามปิดตัวเว็บไซต์ได้ยากมาก
แนวทางป้องกัน
FBI และ Mandiant แนะนำให้องค์กรต่าง ๆ มีมาตรการยืนยันตัวตนที่เข้มงวดเมื่อต้องติดต่อกับฝ่าย IT Support, จำกัดการใช้เครื่องมือรีโมตหน้าจอ, บังคับใช้ระบบล็อกอินหลายขั้นตอน (MFA), จำกัดการใช้ USB และจัดอบรมพนักงานให้รู้เท่าทันการหลอกลวงทางโทรศัพท์ (Voice Phishing)
ที่มา :Bleepingcomputer
You must be logged in to post a comment.