กลุ่มแรนซัมแวร์เพิ่มกลยุทธ์การเรียกค่าไถ่ โดยการใช้บริการคอลเซ็นเตอร์โทรกดดันหาเหยื่อที่ถูกแฮก

Evgueni Erchov หัวหน้าทีม IR & Cyber ​​Threat Intelligence จาก Arete Incident Response ได้เปิดเผยถึงพฤติกรรมของกลุ่มแรนซัมแวร์ที่ได้ใช้กลยุทธ์ใหม่ในการกดดันและเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อ โดยใช้บริการคอลเซ็นเตอร์โทรหาเหยื่อที่ถูกแฮกและอาจพยายามกู้คืนระบบจากการสำรองข้อมูลและหลีกเลี่ยงการจ่ายค่าไถ่

พฤติกรรมดังกล่าวยังสอดคล้องตามรายงานของ Emsisoft และ Coveware ที่ได้เห็นเเนวโน้มกลยุทธ์ใหม่ในการเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อตั้งแต่อย่างน้อยเมื่อเดือนสิงหาคมที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่เคยโทรหาเหยื่อเพื่อข่มขู่เหยื่อในอดีตได้แก่กลุ่ม Sekhmet Ransomware, Maze Ransomware, Conti Ransomware และ Ryuk Ransomware

ตามรายงานของบริษัททั้ง 3 พบว่ากลุ่มคอลเซ็นเตอร์ที่โทรข่มขู่เหยื่อที่หลีกเลี่ยงการจ่ายค่าไถ่นั้นเป็นกลุ่มเดียวกับที่ทำงานให้กับกลุ่มแรนซัมแวร์ เนื่องจากมีเทมเพลตและสคริปต์ที่ใช้ในการติดต่อที่เหมือนกัน

ทั้งนี้บริษัทหรือองค์กรต่างๆ ควรทำการตรวจสอบระบบความปลอดภัยภายในเครือข่ายและทำการอัปเดตซอฟต์แวร์ที่ใช้อยู่สม่ำเสมอ เพื่อเป็นการป้องกันกการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet

 

กลุ่มมัลแวร์เรียกค่าไถ่ DarkSide ย้ายระบบไปอยูในอิหร่าน ส่งผลให้การจ่ายค่าไถ่อาจได้รับผลกระทบจากมาตรการคว่ำบาตร

บริษัท Coveware ซึ่งให้บริการด้านการเจรจาค่าไถ่กับกลุ่มมัลแวร์เรียกค่าไถ่ได้มีการนำปฏิบัติการของกลุ่มมัลแวร์เรียกค่าไถ่ DarkSide ไปยังรายการห้ามจ่ายค่าไถ่หลังจากที่กลุ่มมัลแวร์เรียกค่าไถ่ DarkSide มีการย้ายระบบไปอยู่ในประเทศอิหร่าน

ปัญหาของการจ่ายค่าไถ่ได้เคยถูกพูดถึงไปแล้วโดยไอ-ซีเคียวในประเด็นที่ว่า การจ่ายค่าไถ่ให้กับกลุ่มมัลแวร์เรียกค่าไถ่อาจเป็นการละเมิดมาตรการคว่ำบาตรของรัฐบาลสหรัฐฯ แม้เงื่อนไขจะยังไม่ชัดเจนนักว่าจะมีการพิสูจน์ได้อย่างไรถึงความเชื่อมโยงระหว่างกลุ่มมัลแวร์เรียกค่าไถ่กับประเทศที่ถูกคว่ำบาตรอยู่

กลุ่ม DarkSide มีการประกาศในเว็บไซต์ของทางกลุ่มว่าทางกลุ่มจะมีการพัฒนาระบบแบบกระจายใหม่เพื่อเป็นที่เก็บข้อมูล โดยจะเป็นระบบซึ่งอยู่ในประเทศอิหร่านและอื่น ๆ เพื่อป้องกันการโดนปิด ดังนั้นจึงอาจมีความเป็นไปได้ว่าเงินค่าไถ่ซึ่งได้รับจากเหยื่อนั้น ส่วนหนึ่งจะถูกนำมาใช้เพื่อเป็นค่าใช้จ่ายให้แก่ระบบที่อยู่ในประเทศอิหร่านและเป็นการละเมิดมาตรการคว่ำบาตรในทางอ้อมด้วย

มาตรการของ Coveware ถูกเปิดเผยออกมาโดยคาดว่าเป็นการตัดสินใจดำเนินการของ Coveware เอง ไม่ได้มีส่วนเกี่ยวข้องกับนโยบายใด ๆ จากรัฐบาลสหรัฐฯ นอกเหนือจากมาตรการคว่ำบาตรที่มีอยู่ต่ออิหร่าน

ที่มา: bleepingcomputer

รวมสถิติ Ransomware ที่โกหกจาก Coveware Q3 2020 Ransomware Report

บริษัทด้านความปลอดภัย Coveware ออกรายงานเกี่ยวกับ Ransomware ประจำ Q3 2020 เมื่อวานที่ผ่านมา โดยหนึ่งในประเด็นของรายงานที่น่าสนใจนั้นคือสถิติเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ไม่รักษาคำพูดกับเหยื่อ ตัวอย่างการโป้ปดที่น่าสนใจมีดังนี้

กลุ่ม REvil หรือ Sodinokibi มีการเรียกค่าเหยื่อรายเดิมซ้ำอีกครั้งหลังจากเหยื่อจ่ายเงินค่าไถ่ไปแล้วหนึ่งอาทิตย์ โดยการใช้ข้อมูลจากข้อมูลชุดเดิม
กลุ่ม Netwalker และ Mespinoza มีการปล่อยข้อมูลของเหยื่อแม้ว่าเหยื่อจะมีการจ่ายค่าไถ่เพื่อไม่ให้มีการปล่อยข้อมูล
กลุ่ม Conti มีการลบไฟล์ปลอมโชว์เหยื่อหลังจากที่เหยื่อจ่ายค่าไถ่แล้ว โดยเก็บไฟล์จริงเอาไว้

ด้วยพฤติกรรมดังกล่าว Coveware จึงมีการเพิ่มคำแนะนำเพิ่มเติมเพื่อแจ้งให้ผู้ที่อาจตกเป็นเหยื่อหรือเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ ดังนี้

ข้อมูลที่ถูกนำไปโดยผู้โจมตีอาจไม่สามารถพิสูจน์ได้ว่าถูกลบจริงหลังจากมีการจ่ายค่าไถ่แล้ว พึงระลึกไว้เสมอว่ากลุ่มมัลแวร์เรียกค่าไถ่อาจมีการแลกเปลี่ยน นำไปขายต่อหรือถือครองข้อมูลเดิมไว้เพื่อเรียกค่าไถ่ซ้ำ
ข้อมูลที่ถูกขโมยไปอาจถูกถือครองโดยบุคคลหลายกลุ่มและอาจไม่ได้รับความปลอดภัยอย่างเหมาะสม แม้กลุ่มมัลแวร์เรียกค่าไถ่จะลบข้อมูลไปแล้วจริง ก็อาจมีการลักลอบเข้าถึงและทำสำเนาข้อมูลเก็บเอาไว้ได้โดยบุคคลที่สาม
ข้อมูลที่ถูกขโมยไปอาจถูกโพสต์หรือถูกปล่อยสู่สาธารณะไม่ว่าจะได้ความตั้งใจหรือไม่ก็ตาม ในบางครั้งกลุ่มมัลแวร์เรียกค่าไถ่อาจตั้งใจโพสต์ก่อนที่จะมีการเรียกค่าไถ่ด้วย

ไอ-ซีเคียวขอแนะนำให้ผู้อ่านพิจารณาข้อเท็จจริงด้านบนเพื่อนำไปใช้ปรับปรุงแผนและแนวทางเพื่อรับมือและตอบสนองเหตุการณ์ความปลอดภัยจากมัลแวร์เรียกค่าไถ่ให้มีประสิทธิภาพมากยิ่งขึ้น

ที่มา: bleepingcomputer

Sodinokibi Ransomware May Tip NASDAQ on Attacks to Hurt Stock Prices

มัลแวร์เรียกค่าไถ่ Sodinokibi วางแผนแจ้งตลาดหุ้นหลังจากทำการโจมตี

มัลแวร์เรียกค่าไถ่ Sodinokibi หรือ REvil เป็นมัลแวร์เรียกค่าไถ่ที่ดำเนินการในลักษณะของการให้เช่ามัลแวร์เพื่อโจมตี (Ransomware-as-a-Service) โดยเงินที่ได้จากการเรียกค่าไถ่จะถูกแบ่งกันระหว่างผู้เช่าและผู้ให้เช่ามัลแวร์ โดยเน้นโจมตีองค์กรและยังไม่มีตัวถอดรหัสที่สามารถถอดรหัสได้ฟรีโดยไม่เสียเงินค่าไถ่

ในช่วงที่ผ่านมากลุ่มเบื้องหลัง Sodinokibi มีการพัฒนาไปอีกขั้นด้วยการสนับสนุนให้ผู้เช่ามัลแวร์ขโมยข้อมูลออกมาก่อนจะทำการปล่อยมัลแวร์ให้เข้ารหัส เพื่อในกรณีที่องค์กรตัดสินใจไม่ยอมจ่ายค่าไถ่กู้คืนไฟล์จะข่มขู่เพื่อปล่อยข้อมูลเพิ่มเติม ทำให้กลายเป็นเหตุการณ์ข้อมูลหลุดซึ่งอาจจะนำไปสู่การผิดกฏหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR หรือกฏหมายในลักษณะเดียวกัน ซึ่งอาจนำไปสู่การปรับเงินที่สูงกว่าค่าไถ่มาก กดดันให้องค์กรตัดสินใจจ่ายค่าไถ่แทน

จากข้อมูลล่าสุดที่ BleepingComputer รวบรวมมานี้พบว่ากลุ่มเบื้องหลัง Sodinokibi มีการวางแผนเพิ่มว่าจะทำการส่งอีเมลแจ้งไปยังตลาดหุ้นอย่างดัชนี NASDAQ เพื่อให้การเทขายหุ้นจนราคาตก ทั้งนี้ในปี 2017 บริษัท Centrify ได้ทำการสำรวจผลกระทบที่เกิดจากการโจมตีทางด้านไซเบอร์กับราคาหุ้นของบริษัทที่ถูกโจมตี พบว่าในวันที่มีการประกาศข่าวร้ายดังกล่าวจะเกิดการเทขายทำให้หุ้นตกเฉลี่ย 5% ของราคาเดิม

บริษัท Coveware สรุปสถิติของ Q4 ปี 2019 ไว้ว่าค่าเฉลี่ยของค่าไถ่จากมัลแวร์เรียกค่าไถ่อยู่ที่ 84,116 ดอลลาร์สหรัฐ (ประมาณ 2 ล้านหกแสนบาท) พบการโจมตีจาก Sodinokibi ถึง 29.4% จากการโจมตีทั้งหมด และการติดมัลแวร์เรียกค่าไถ่ส่วนใหญ่ (57.4%) เกิดจากการโจมตีผ่าน RDP

ที่มา: bleepingcomputer