สหรัฐฯ แฮ็กเซิร์ฟเวอร์ และสั่งปิดเว็บไซต์ของกลุ่มมัลแวร์เรียกค่าไถ่ REvil

การหายตัวไปของกลุ่มมัลแวร์เรียกค่าไถ่ REvil ในต้นสัปดาห์นี้ เป็นผลจากการร่วมมือกันของผู้บังคับใช้กฎหมายสหรัฐ และหน่วยงานจากหลายประเทศ

กลุ่มมัลแวร์เรียกค่าไถ่ REvil หรือที่รู้จักในอีกชื่อ Sodinokibi เป็นกลุ่มที่อยู่เบื้องหลังการโจมตี May cyberattack ที่ได้ทำการโจมตีบริษัท Colonial Pipeline ผู้ให้บริการเครือข่ายท่อส่งน้ำมันรายใหญ่ของสหรัฐ ซึ่งส่งผลให้เกิดการขาดแคลนน้ำมันเป็นวงกว้างในบริเวณชายฝั่งทางตะวันออกของสหรัฐอเมริกา

ทางการสหรัฐกล่าวว่าการโจมตีบริษัท Colonial Pipeline นั้นใช้ซอฟต์แวร์เข้ารหัสที่ชื่อว่า DarkSide ซึ่งถูกสร้างโดยผู้ที่เกี่ยวข้องกับ REvil

กลุ่มมัลแวร์เรียกค่าไถ่ REvil ปิดเซิร์ฟเวอร์ไปครั้งแรก เมื่อเดือนกรกฎาคม ซึ่งเป็นช่วงเดียวกันกับที่มีการกดดันให้รัสเซียดำเนินการจัดการกับกลุ่มมัลแวร์เรียกค่าไถ่ ภายในประเทศ และเซิร์ฟเวอร์ของกลุ่มได้กลับมาออนไลน์อีกครั้งในเดือนกันยายนจนถึงปัจจุบัน ก่อนจะถูกปิดไปอีกครั้งโดยหน่วยงานของสหรัฐฯ

ผู้ที่ถูกกล่าวหาว่าเป็นตัวแทนของกลุ่ม REvil กล่าวว่ามีบุคคลที่ไม่ทราบตัวตน ได้เข้าถึงระบบภายในของเว็บไซต์บางส่วนของกลุ่ม REvil ได้แก่ Landing page และ Blog ทำให้เขาคาดว่า ข้อมูลสำรอง (Backups) ของเว็บไซต์ และ Key สำหรับจัดการกับ Onion service นั้นถูกบุคคลที่สามเข้าถึงได้แล้ว

แหล่งข่าวไม่เปิดเผยตัวรายหนึ่งบอกกับสำนักข่าว Reuters ว่าบุคคลที่ไม่ทราบตัวตน และเป็นคนลงมือแฮ็กเซิร์ฟเวอร์ของ REvil นั้นเป็นชาวต่างชาติที่ร่วมมือกับสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) กองบัญชาการไซเบอร์ (U.S. Cyber Command) หน่วยสืบราชการลับ (Secret Service) และรัฐบาลของอีกหลายประเทศที่ไม่ได้เปิดเผยชื่อ “เอฟบีไอ ร่วมมือกับ กองบัญชาการไซเบอร์ หน่วยสืบราชการลับ และประเทศอื่น ๆ ที่มีความตั้งใจแบบเดียวกัน ได้มีส่วนร่วมสำคัญในการช่วยกันจัดการกับกลุ่มแฮ็กเกอร์ลักษณะนี้ โดย REvil นั้นอยู่ในอันดับต้น ๆ ของลิสต์เลย” กล่าวโดย Kellermann ที่ปรึกษาของหน่วยสืบราชการลับ

รายงานยังกล่าวว่า ทางสหรัฐฯ ได้ทำการแฮ็กเข้าไปยังระบบ Network infrastructure ของกลุ่ม REvil ได้สำเร็จ และสามารถเข้าควบคุมเครื่องเซิร์ฟเวอร์บางส่วนได้ตั้งแต่เดือนกรกฎาคม ช่วงเดียวกับที่ทางกลุ่ม REvil ประกาศยุติการดำเนินการ และเมื่อช่วงเดือนกันยายน ทางกลุ่ม REvil ได้ทำการ Restore เซิร์ฟเวอร์เว็บไซต์ให้กลับมาใช้งานได้ด้วยข้อมูลสำรอง (Backups) ซึ่งทางกลุ่มไม่รู้เลยว่าได้ไป Restart ระบบภายในบางอย่างซึ่งอยู่บน Server ที่ถูกเข้าควบคุมโดยแฮ็กเกอร์ที่ร่วมมือกับสหรัฐแล้ว ทำให้ทางการตรวจพบและได้สั่งปิด Service ของกลุ่ม REvil ไปในต้นสัปดาห์นี้ ทางการยังกล่าวอีกว่าขณะนี้ก็ยังทำการเจาะระบบของ REvil อยู่อย่างต่อเนื่อง

ทาง FBI และรัฐบาลสหรัฐฯ ปฏิเสธที่จะให้ความเห็นเกี่ยวกับเรื่องนี้ เพี่ยงแต่ระบุว่าตั้งใจจะจัดการกับปัญหามัลแวร์เรียกค่าไถ่กลุ่มนี้ และมัลแวร์เรียกค่าไถ่อื่น ๆ ที่โจมตีระบบโครงสร้างพื้นฐานสำคัญของประเทศ โดยจัดอยู่ลำดับเดียวกันกับภัยความมั่นคงแห่งชาติ เช่นเดียวกับการก่อการร้าย

 

ที่มา: siliconangle.

FujiFilm กำลังตรวจสอบการถูกโจมตีด้วยแรนซัมแวร์ และได้ดำเนินการปิดเครือข่ายบางส่วนเพื่อป้องกันการแพร่กระจาย

FujiFilm หรือที่รู้จักในชื่อ Fuji เป็นกลุ่มบริษัทข้ามชาติของญี่ปุ่นที่มีสำนักงานใหญ่อยู่ในกรุงโตเกียว ประเทศญี่ปุ่น เมื่อเริ่มต้นบริษัท Fuji เป็นผู้จัดจำหน่ายฟิล์ม และกล้อง ภายหลังจากที่บริษัทเติบโตขึ้นก็มีการทำธุรกิจทางด้านยา อุปกรณ์จัดเก็บข้อมูล เครื่องถ่ายเอกสาร และเครื่องพิมพ์ รวมไปถึงกล้องดิจิตอลในปัจจุบันด้วย โดย Fuji เป็นบริษัทที่ทำรายได้ถึง 20.1 พันล้านดอลลาร์ในปี 2020 และมีพนักงานมากถึง 37,151 คนทั่วโลก

วันที่ 2/6/21 FUJIFILM ประกาศว่าสำนักงานใหญ่ในโตเกียวถูกโจมตีด้วยแรนซัมแวร์ ในวันอังคารที่ 1/6/21 และกำลังดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตจากภายนอกบริษัท มีการปิดเครือข่ายบางส่วน และตัดการเชื่อมต่อจากภายนอก โดยมีการประสานงานไปยังสาขาต่าง ๆ ทั่วโลก

นอกจากนี้ทาง FUJIFILM USA ได้ประกาศบนเว็บไซต์ โดยระบุว่าเนื่องจากระบบเครือข่ายบางส่วนกำลังประสบปัญหา ทำให้ส่งผลกระทบต่อระบบอีเมลและโทรศัพท์

FUJIFILM ยังไม่ได้มีการระบุถึงกลุ่มแรนซัมแวร์ที่ทำการโจมตี แต่ทาง Vitali Kremez ซีอีโอของ Advanced Intel ได้บอกกับแหล่งข่าว BleepingComputer ว่า FUJIFILM พบการติดโทรจัน Qbot เมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอาจส่งผลกระทบถึงการโจมตีในครั้งนี้และปัจจุบันกลุ่มมัลแวร์ Qbot มีการทำงานร่วมกับกลุ่มแรนซัมแวร์ REvil และในอดีตเคยร่วมมือกับกลุ่มแรนซัมแวร์ ProLock และ Egregor อีกด้วย

แม้ว่าแรนซัมแวร์จะถูกใช้งานมาตั้งแต่ปี 2555 แล้ว แต่เมื่อเร็วๆ นี้ การโจมตีบริษัท Colonial Pipeline ท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดของสหรัฐ และบริษัท JBS ผู้ผลิตเนื้อวัวรายใหญ่ที่สุดของโลก ทำให้การโจมตีนี้กลับได้รับความสนใจจากทั่วโลก โดยรัฐบาลสหรัฐฯ ได้มีการจัดตั้งคณะทำงานขึ้นเพื่อแนะนำนโยบายและแนวทางในการต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

Darkside Ransomware Gang Received Nearly $5 Million as the Extortion Amount from the Victims of Colonial Pipeline Attack

ผู้เชี่ยวชาญด้านความปลอดภัยด้านการวิเคราะห์ Blockchain จาก Elliptic ค้นพบ bitcoin wallet ที่ถูกใช้โดยกลุ่ม DarkSide Ransomware และข้อมูลการจ่ายค่าไถ่ หลังจากประสบความสำเร็จในการโจมตี Colonial Pipeline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกรายใหญ่ของสหรัฐฯ

ตามรายงานของ Elliptic ระบุว่ากลุ่ม DarkSide Ransomware ได้รับเงินค่าไถ่จาก Colonial Pipeline เป็นจำนวน 75 Bitcoin หรือประมาณ 5 ล้านเหรียญ เนื่องจากโจมตีดังกล่าวส่งผลกระทบให้ประเทศสหรัฐฯ ขาดแคลนเชื้อเพลิงอย่างกว้างขวาง และถือเป็นการโจมตีทางไซเบอร์ที่เลวร้ายที่สุดกับโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯอีกด้วย

นักวิจัยด้านความปลอดภัยพบการโจมตีของกลุ่ม DarkSide Ransomware ครั้งแรกในเดือนสิงหาคม 2020 ซึ่งคาดว่ากลุ่ม DarkSideได้รับเงินจากการเรียกค่าไถ่เป็นสกุลเงิน Bitcoin มากกว่า 90 ล้านเหรียญ โดยมาจาก Bitcoin wallet ที่แตกต่างกัน

จากรายงานของ DarkTracer ระบุว่ากลุ่ม DarkSide Ransomware ได้ทำการโจมตีองค์กรกว่า 99 องค์กรและส่วนใหญ่ขององค์กรที่ถูกโจมตีจะยอมจ่ายเงินค่าไถ่เป็นจำนวนเฉลี่ยอยู่ที่ 1.9 ล้านดอลลาร์ Darkside จะมีเป้าหมายในการโจมตีเฉพาะบริษัทขนาดใหญ่ และมีข้อห้ามกลุ่ม Ransomware ในเครือโจมตีในองค์กรที่เกี่ยวข้องกับอุตสาหกรรมต่างๆ รวมถึงธุรกิจด้านสุขภาพ, บริการงานศพ, การศึกษา, ภาครัฐ, และองค์กรไม่แสวงหาผลกำไร

ที่มา: ehackingnews.

U.S. Declares Emergency in 17 States Over Fuel Pipeline Cyber Attack

สหรัฐออกกฎหมายฉุกเฉินหลัง Colonial Pipeline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกรายใหญ่ของสหรัฐฯ ออกประกาศว่าถูกโจมตีระบบเครือข่ายด้วย DarkSide Ransomware ส่งผลกระทบต่อการจัดหา น้ำมันเบนซิน, ดีเซล, น้ำมันเครื่องบินและผลิตภัณฑ์ปิโตรเลียมกลั่นอื่น ๆ และต้องทำการปิดท่อส่งเชื้อเพลิง 5,500 ไมล์จากเมืองฮุสตันของเท็กซัสไปยังท่าเรือนิวยอร์ก

Colonial Pipeline เป็นบริษัทที่ทำการขนส่งน้ำมันเชื้อเพลิงปริมาณ 2.5 ล้านบาร์เรลต่อวันหรือคิดเป็น 45% ของปริมาณการใช้น้ำมันดีเซล น้ำมันเบนซินและเชื้อเพลิงอากาศยานในฝั่งตะวันออกของสหรัฐฯ การโจมตีทำให้กลุ่มแฮกเกอร์ได้ข้อมูลภายในของบริษัทเกือบ 100 กิกะไบต์ และทำการเข้ารหัสคอมพิวเตอร์และเซิร์ฟเวอร์บางส่วนเพื่อเรียกค่าไถ่ ซึ่งหากบริษัทไม่ยอมจ่ายเงิน ก็จะทำการปล่อยข้อมูลดังกล่าวสู่สาธารณะ

จากรายงานของ Crowdstrike คาดว่า DarkSide เป็นฝีมือแฮกเกอร์ที่เรียกว่า Carbon Spider (aka Anunak, Carbanak หรือ FIN7) ซึ่งผู้จัดการระดับสูงและผู้ดูแลระบบเพิ่งถูกตัดสินจำคุกในสหรัฐฯเป็นเวลา 10 ปี และจากการตรวจสอบบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ชื่อว่า DarkSide's data leak ยังพบการเผยแพร่ข้อมูลของธุรกิจน้ำมันและก๊าซอื่นๆ เช่น Forbes Energy Services และ Gyrodata
ปัจจุบันบริษัทและหน่วยงานที่เกี่ยวข้องกำลังเร่งกู้คืนระบบ และพยายามทำให้ระบบบางส่วนกลับมาให้บริการได้อย่างเต็มรูปแบบอีกครั้ง

ที่มา : thehackernews