BlackCat ransomware หรือในอีกชื่อที่เรียกว่า ALPHV ransomware ได้ปรับเปลี่ยนกลยุทธ์ในการขู่เรียกค่าไถ่เพื่อให้เหยื่อยอมที่จะจ่ายเงินเรียกค่าไถ่ โดยการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ถูกขโมยออกมา ส่งผลให้ผู้ที่ตกเป็นเหยื่อของการโจมตีต้องหาวิธีในการยับยั้งการเผยแพร่ข้อมูล

BlackCat ransomware หรือ ALPHV ransomware เป็นกลุ่ม Hackers ที่มีแรงจูงใจในการโจมตี คือ เงินเรียกค่าไถ่ โดยมุ่งเป้าหมายไปยังกลุ่มสถาบันทางการเงินฝั่งสหรัฐอเมริกา ยุโรป และเอเชีย อีกทั้งยังพบว่าประเทศไทยเป็นหนึ่งในประเทศที่ตกเป็นเป้าหมายของการโจมตีเช่นกัน

วิธีการเผยแพร่ข้อมูล

เมื่อวันที่ 26 ธันวาคม 2022 กลุ่ม BlackCat ได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยออกมาจากการโจมตีบริษัทที่ให้บริการทางการเงินรายหนึ่งบนเว็ปไซต์ที่อยู่บน Tor network เพื่อเรียกค่าไถ่ แต่เนื่องจากเหยื่อไม่ตอบสนองกลับมา กลุ่ม BlackCat จึงเผยแพร่ไฟล์ที่ถูกขโมยทั้งหมดเพื่อเป็นบทลงโทษสำหรับเหยื่อที่ไม่ยอมจ่ายค่าไถ่ ซึ่งเป็นขั้นตอนตามมาตรฐานสำหรับกลุ่มแรนซัมแวร์ แต่ด้วยวิธีการใหม่นั่นคือการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อเพื่อเผยแพร่ไฟล์ที่ขโมยมา

โดยเว็บไซต์เลียนแบบนี้มีข้อมูลที่ถูกขโมยออกมาจำนวนมาก ตั้งแต่บันทึกพนักงาน, แบบฟอร์มการชำระเงิน, ข้อมูลพนักงาน, ข้อมูลเกี่ยวกับทรัพย์สินและค่าใช้จ่าย, ข้อมูลทางการเงินสำหรับคู่ค้าและการสแกนหนังสือเดินทาง โดยมีขนาดประมาณ 3.5 GB สามารถดาวน์โหลดได้จากบริการไฟล์แชร์ที่ไม่ระบุตัวตนและเว็ปไซต์บน Tor network

โดยตอนนี้ยังไม่ทราบแน่ชัดว่าวิธีการนี้จะประสบความสำเร็จเพียงใด ซึ่งพบว่ามีจำนวนผู้เข้าถึงจำนวนมากขึ้นเรื่อย ๆ เนื่องจากข้อมูลไม่มีข้อจำกัดในการเข้าถึงใด ๆ ทั้งสิ้น แต่คาดว่าวิธีการและกลยุทธ์ในการขู่กรรโชกนี้ จะถูกนำไปใช้โดยกลุ่ม Hackers อื่น ๆ ต่อไปในอนาคต

ที่มา : bleepingcomputer

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

รัฐคารินเทียในประเทศออสเตรีย ถูกกลุ่มแรนซัมแวร์ BlackCat หรือที่รู้จักในชื่อ ALPHV เรียกค่าไถ่เป็นจำนวนเงิน 5 ล้านดอลลาร์เพื่อปลดล็อกระบบคอมพิวเตอร์ที่ถูกโจมตี

การโจมตีเกิดขึ้นในวันอังคารที่ผ่านมา ทำให้การปฏิบัติงานของบริการภาครัฐต้องหยุดชะงัก เนื่องจากคอมพิวเตอร์หลายพันเครื่องถูกล็อกโดยแรนซัมแวร์

เว็บไซต์ และบริการอีเมลของรัฐคารินเทียยังออฟไลน์อยู่ ทำให้ไม่สามารถให้บริการออกหนังสือเดินทาง หรือชําระค่าปรับทางจราจรได้

นอกจากนี้การโจมตีทางไซเบอร์ยังส่งผลกระทบต่อระบบรายงานผลการตรวจ COVID-19 และการติดตามผู้ใกล้ชิด

แฮ็กเกอร์เรียกค่าไถ่สำหรับการถอดรหัสในราคา 5 ล้านดอลลาร์ โดยโฆษกของรัฐ Gerd Kurath กล่าวกับ Euractiv ว่าจะไม่ทำตามข้อเรียกร้องของแฮ็กเกอร์

Kurath กล่าวเพิ่มเติมว่าขณะนี้ยังไม่มีหลักฐานว่า BlackCat สามารถขโมยข้อมูลจากระบบของภาครัฐออกไปได้ และแผนการของรัฐคือการกู้ข้อมูลคืนจากระบบสำรองข้อมูล

Kurath กล่าวว่าจาก 3,000 ระบบที่ได้รับผลกระทบ ระบบแรกคาดว่าจะสามารถเปิดให้บริการได้อีกครั้งภายในวันนี้

บนเว็บไซต์ของ BlackCat ซึ่งปกติจะมีการเผยแพร่ไฟล์ที่ขโมยมาได้จากเหยื่อที่ไม่ยอมจ่ายค่าไถ่ แต่พบว่ายังไม่มีการเผยแพร่ข้อมูลใดๆ ที่มาจากรัฐคารินเทีย ซึ่งอาจบ่งบอกได้ว่าการเจรจาอาจยังไม่สิ้นสุด

ALPHV/BlackCat

กลุ่มแรนซัมแวร์ ALPHV/BlackCat ถูกพบครั้งแรกในเดือนพฤศจิกายน 2564 โดยเป็นหนึ่งในกลุ่มที่มีการปฏิบัติการการโจมตีที่ค่อนข้างซับซ้อน โดยคาดกันว่ากลุ่มดังกล่าวเป็นการรีแบรนด์มาจาก DarkSide/BlackMatter ที่เป็นกลุ่มผู้โจมตี Colonial Pipeline เมื่อปีที่แล้ว

ในช่วงต้นปี 2022 กลุ่มแรนซัมแวร์ในเครือของ BlackCat ได้โจมตีหน่วยงาน และแบรนด์แฟชันสุดหรูที่มีชื่อเสียงอย่าง Moncler และ ผู้ให้บริการจัดการสินค้าของสายการบิน Swissport

ภายในสิ้นไตรมาสแรกของปี FBI ได้ประกาศแจ้งเตือนว่ากลุ่มแรนซัมแวร์ BlackCat ได้มีการโจมตีหน่วยงานต่างๆ อย่างน้อย 60 แห่งทั่วโลก

จากการโจมตีรัฐคารินเทีย และการเรียกค่าไถ่จำนวนมากนี้แสดงให้เห็นว่าผู้โจมตีมุ่งเน้นการโจมตีไปยังองค์กรที่สามารถจ่ายเงินจำนวนมากเพื่อถอดรหัสระบบ และอาจยอมจ่ายเงินเพื่อป้องกันความเสียหายเพิ่มเติม อันเป็นผลมาจากการหยุดชะงักในการปฏิบัติงานเป็นเวลานาน

ที่มา : bleepingcomputer

เพิ่มเติม IOCs : ข้อมูลการโจมตีโดย BlackCat/ALPHV ช่วงกลางเดือนกุมภาพันธ์ 2022