Clop ransomware กลับมาแล้ว โจมตีเหยื่อ 21 รายภายในเดือนเดียว

หลังจากการหยุดปฏิบัติการไปหลายเดือนตั้งแต่ช่วงเดือนพฤศจิกายนจนถึงกุมภาพันธ์ ตอนนี้ Clop ransomware กลับมาแล้ว จากรายงานของนักจัยจาก NCC Group

"CL0P กลับมาอยู่ในระดับแนวหน้าของภัยคุกคามจากแรนซัมแวร์ โดยเพิ่มขึ้นจากการที่มีความเคลื่อนไหวน้อยที่สุดในเดือนมีนาคม มาเป็นมีความเคลื่อนไหวมากที่สุดลำดับที่สี่ในเดือนเมษายน"

ปฏิบัติการที่เพิ่มขึ้นนี้ถูกพบหลังจากกลุ่ม CL0P เพิ่มรายการเหยื่อรายใหม่กว่า 21 รายภายในเดือนเมษายนเพียงเดือนเดียว บนไซต์ที่ใช้รายงานข้อมูลรั่วไหลของเหยื่อของพวกเขา

"มีความเปลี่ยนแปลงที่น่าสนใจในการรายงานในเดือนเมษายน ในขณะที่ Lockbit 2.0 มีเหยื่อ 103 ราย และ Conti มีเหยื่อ 45 ราย ซึ่งยังคงเป็นกลุ่มผู้โจมตีที่มากที่สุด กลุ่มเป้าหมายที่ตกเป็นเหยื่อจากการโจมตีของ CL0P กลับเพิ่มขึ้นอย่างมากจาก 1 รายเป็น 21 ราย" กลุ่ม NCC กล่าว

โดยเป้าหมายมากที่สุดของกลุ่ม CL0P คือภาคอุตสาหกรรม โดยคิดเป็น 45% จากการโจมตี และอีก 27% คือกลุ่มเป้าหมายบริษัทเทคโนโลยี ด้วยเหตุนี้ NCC Group จึงแจ้งเตือนองค์กรต่างๆ ที่อยู่ในกลุ่มเป้าหมายของกลุ่ม ransomware ให้เฝ้าระวัง และเตรียมความพร้อม

อย่างไรก็ตาม กลุ่ม CL0P ransomware กลับดูเหมือนจะไม่มีการเคลื่อนไหวมากนักหลังจากที่ปล่อยรายชื่อเหยื่อรวดเดียวกว่า 21 รายดังกล่าว

ในขณะที่เหยื่อรายล่าสุดได้รับการยืนยันว่าเป็นการโจมตีครั้งใหม่ แต่ในอีกทฤษฎีหนึ่งก็คือกลุ่ม CL0P อาจยุติปฏิบัติการแล้วจริงๆหลังจากที่หยุดปฏิบัติการไปหลายเดือน โดยการเผยแพร่ข้อมูลของเหยื่อล่าสุด คือเหยื่อที่ยังไม่ได้ถูกปล่อยข้อมูลออกมาก่อนหน้านี้ ซึ่งก็คล้ายกันกับกลุ่ม Conti ที่กำลังทำอยู่ซึ่งเป็นส่วนหนึ่งของการยุติปฏิบัติการ

ในขณะที่มุ่งเป้าโจมตีไปที่เหยื่อทั่วโลกตั้งแต่ปี 2019 (เหยื่อบางราย ได้แก่ Maastricht University, Software AG IT, ExecuPharm และ Indiabulls) กลุ่ม CL0P ก็ยังถูกเชื่อมโยงเข้ากับการโจมตี Accellion ในการโจมตี Accellion กลุ่ม CL0P ได้ทำการขโมยข้อมูลจำนวนมากจากหลายบริษัทที่มีชื่อเสียงโดยใช้ File Transfer Appliance (FTA) ของ Accellion

ต่อมา CL0P ใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่กับบริษัท โดยบีบให้ต้องจ่ายค่าไถ่จำนวนมากเพื่อไม่ให้ข้อมูลถูกเผยแพร่ รายชื่อบริษัทที่ถูกขโมยข้อมูลจาก Accellion FTA ได้แก่ บริษัทพลังงานยักษ์ใหญ่อย่าง Shell, บริษัทรักษาความปลอดภัยทางไซเบอร์ Qualys, ซูเปอร์มาร์เก็ตยักษ์ใหญ่ Kroger และมหาวิทยาลัยหลายแห่งทั่วโลก( University of Colorado, University of Miami, Stanford Medicine, University of Maryland บัลติมอร์ (UMB) และมหาวิทยาลัยแคลิฟอร์เนีย)

ที่มา : bleepingcomputer

Qualys ตกเป็นเหยื่อล่าสุดของกลุ่ม Ransomware Clop จากช่องโหว่ Accellion FTA

บริษัทด้านความปลอดภัย Qualys ออกมาประกาศว่าตนเป็นเหยื่อรายล่าสุด ได้รับผลกระทบจากการรั่วไหลของข้อมูลซึ่งเกิดจากการโจมตีช่องโหว่ในระบบ Accellion FTA โดยกลุ่มมัลแวร์เรียกค่าไถ่ Clop ซึ่งเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ได้มีการปล่อยตัวอย่างของไฟล์ทีได้มาจากการโจมตี ขึ้นบนเว็บไซต์ของกลุ่มแล้ว

ช่องโหว่ในระบบ Accellion FTA ถูกแจ้งเตือนตั้งแต่ช่วงกลางเดือนกุมภาพันธ์ โดยมี Singtel และอีกหลายบริษัทตกเป็นเหยื่อ ย้อนดูข่าวเก่าของเราได้ที่นี่ facebook

อ้างอิงการยืนยันโดยทีมงานของ Bleeping Computer นั้น Qualys เคยมีการใช้งานระบบ Accellion FTA อยู่จริงที่ fts-na.

FireEye แจ้งเตือนกลุ่มแฮกเกอร์โจมตีช่องโหว่ Zero day ใน Accellion FTA ขโมยข้อมูลไปเรียกค่าไถ่

FireEye Mandiant ออกรายงานล่าสุดถึงความเคลื่อนไหวของกลุ่มแฮกเกอร์อย่างน้อย 2-3 กลุ่มที่มีพฤติกรรมเชื่อมโยงกัน โดยกลุ่มแฮกเกอร์ดังกล่าวกำลังทำการโจมตีช่องโหว่ Zero-day ใน ซอฟต์แวร์ Accellion FTA เพื่อเข้าไปขโมยข้อมูล บางส่วนถูกนำมาใช้เรียกค่าไถ่

Accellion FTA เป็นซอฟต์แวร์สำหรับจัดการไฟล์ในองค์กร อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคม โดยในปัจจุบันช่องโหว่ที่ได้รับการยืนยันแล้วมีตามรายการดังนี้

CVE-2021-27101: ช่องโหว่ SQL injection ใน Host header
CVE-2021-27102: ช่องโหว่ OS command execution ผ่านทางเว็บเซอร์วิส
CVE-2021-27103: ช่องโหว่ SSRF ผ่านทาง POST request แบบพิเศษ
CVE-2021-27104: ช่องโหว่ OS command execution ผ่านทาง POST request แบบพิเศษ
จากรายงานของ FireEye Mandiant กลุ่มผู้โจมตีที่เกี่ยวข้องกับการโจมตีในครั้งนี้มีอยู่ 2 กลุ่ม โดยในกลุ่มแรกนั้นถูกระบุด้วยรหัส UNC2546 ซึ่งมีพฤติกรรมในการโจมตีช่องโหว่, ฝัง Web shell และขโมยข้อมูลออกไป และกลุ่ม UNC2582 ซึ่งมีการนำข้อมูลที่ได้จากการโจมตีมาเรียกค่าไถ่ผ่านทางหน้าเว็บไซต์ของ Clop ransomware

ทั้งกลุ่ม UNC2546 และ UNC2582 ถูกเชื่อมโยงเข้ากับพฤติกรรมของกลุ่ม FIN11 และกลุ่ม Clop ransonware ด้วยพฤติกรรมการโจมตีหลายอย่างที่เหมือนกัน

อ้างอิงจากข่าวเก่าที่ทางไอ-ซีเคียวได้มีการนำเสนอไปเมื่อวันที่ 16 กุมภาพันธ์ Singtel คือหนึ่งในเหยื่อที่ถูกโจมตีในครั้งนี้ facebook

เราขอแนะนำให้ทำการตรวจสอบการมีอยู่ของซอฟต์แวร์และแอปที่มีช่องโหว่ ปรับใช้ข้อมูลตัวบ่งชี้ภัยคุกคามอย่างเหมาะสม และเฝ้าระวังระบบอย่างใกล้ชิด

ดูข้อมูลเพิ่มเติม: fireeye
IOC เพิ่มเติม: twitter

ที่มา: securityweek, wsj, threatpost, zdnet, bleepingcomputer

Singtel ถูกโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ File Transfer ความเสียหายยังไม่ทราบแน่ชัด

Singtel บริษัทเทเลคอมสัญชาติสิงคโปร์ประกาศการค้นพบการบุกรุกเครือข่ายซึ่งมีที่มาจากช่องโหว่ของผลิตภัณฑ์ Accellion File-transfer Appliance (FTA) หลังจากที่มีการตรวจพบและมีการแก้ไขแพตช์ไปบางส่วนแล้วเมื่อช่วงต้นปีที่ผ่านมา เหยื่อจากการโจมตี จากช่องโหว่ยังรวมไปถึงหน่วยงานวิจัยด้านสุขภาพในออสเตรเลียด้วย

อ้างอิงจากประกาศของ Accellion ผลิตภัณฑ์ FTA ถูกตรวจพบว่ามีช่องโหว่ตั้งแต่ในช่วงกลางเดือนธันวาคมโดยทางบริษัทได้ดำเนินการแก้ไขแพตช์โดยทันที อย่างไรก็ตามการแก้ไขแพตช์ที่เกิดขึ้นนั้นครอบคลุมช่องโหว่เพียงแค่บางส่วน Accellion ระบุว่าทางบริษัทมีการตรวจพบในภายหลังว่ามีช่องโหว่อยู่อีกหลายรายการ จนดำเนินการมาถึงช่วงเดือนมกราคมที่ช่องโหว่ถูกนำมาใช้ในการโจมตี ในปัจจุบัน แพตช์ล่าสุดของอุปกรณ์ได้รับการปล่อยไปแล้วในวันที่ 27 ธันวาคม อย่างไรก็ตามความสามารถในการรับแพตช์ไปอัปเดตก็อาจเป็นปัญหาหนึ่งที่ผู้โจมตีนำมาใช้เพื่อฉวยโอกาสในการโจมตีได้

จากประกาศของ Singtel ทางบริษัทยังไม่สามารถระบุความเสียหาย ผลกระทบ รวมไปถึงเป้าหมายในการโจมตีได้อย่างชัดเจน เนื่องจาก Singtel มีบริการอยู่ในหลายประเทศรวมไปถึงกับทาง AIS ในประเทศไทย การประเมินผลกระทบจึงจำเป็นต้องทำอย่างถี่ถ้วนเพื่อให้แน่ใจถึงขอบเขตของความเสียหายอย่างชัดเจน ไอ-ซีเคียวจะรายงานหากมีข้อมูลเพิ่มเติมต่อไป

ที่มา: threatpost