แฮกเกอร์ปล่อยข้อมูล Account ของ Fortinet VPN ออกมากว่า 500,000 บัญชี และมีข้อมูลขององค์กรในประเทศไทยด้วย

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel

สายการบินที่ตกเป็นข่าวว่าถูกโจมตีจากกลุ่ม LockBit 2.0 Ransomware ถูกปล่อยข้อมูลลูกค้าออกสู่สาธารณะเรียบร้อยแล้ว

จากเหตุการณ์เมื่อ วันที่ 23 สิงหาคม 2564 ที่ผ่านมานั้น สายการบินชื่อดังแห่งหนึ่งได้ถูกโจมตีโดย LockBit 2.0 Ransomware ซึ่งผู้โจมตีได้ข้อมูลออกไปมากกว่า 200 GB ประกอบไปด้วย ชื่อ นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ ช่องทางการติดต่อสื่อสาร ข้อมูลหนังสือเดินทาง ประวัติการเดินทาง ข้อมูลบัตรเครดิตบางส่วน และข้อมูลอาหารพิเศษของผู้โดยสาร และมีกำหนดระยะเวลาในการเจรจา หากไม่ทำตามเงื่อนไขของทางผู้โจมตีก็จะมีการปล่อยข้อมูลออกสู่สาธารณะ

และเมื่อวันที่ 28 สิงหาคม 2564 เวลา 19:37 ทาง LockBit 2.0 ก็ได้ทำการปล่อยข้อมูลของสายการบินออกมา แต่ทางสายการบิน ได้ยืนยันว่าเหตุการณ์ที่เกิดขึ้นนั้นไม่มีผลกระทบต่อการดำเนินธุรกิจของทางสายการบินเอง และระบบความปลอดภัยด้านการบินแต่อย่างใด

นอกจากสายการบินข้างต้นที่ถูกโจมตีแล้ว ก่อนหน้านั้นก็ได้มีการโจมตีสายการบิน ของประเทศเอธิโอเปียด้วยเช่นกัน และผู้โจมตีได้ปล่อยข้อมูลที่โจมตีสู่สาธารณะเมื่อวันที่ 23 สิงหาคม 2564 ที่ผ่านมานี้

การโจมตีทั้งสองสายการบินที่ได้กล่าวมานั้น เกิดขึ้นหลังจากที่ทางกลุ่มแฮกเกอร์ได้ทำการโจมตีบริษัทที่ปรึกษาด้านไอทีระดับโลกอย่าง Accenture และได้เรียกค่าไถ่เป็นเงินกว่า 50 ล้านดอลลาร์ เพื่อแลกกับการไม่ปล่อยให้ข้อมูลรั่วไหล ซึ่งมีขนาดข้อมูลกว่า 6TB ซึ่งแฮกเกอร์ได้อ้างว่า ได้รับความช่วยเหลือในการโจมตีนี้จากคนภายในองค์กรเอง และล่าสุดเมื่อวันที่ 1 กันยายน ทาง Accenture ได้ออกมาปฏิเสธว่าที่แฮกเกอร์ได้ข้อมูลไปนั้นไม่เป็นความจริง เพราะหลังจากที่ทางบริษัทตรวจพบการโจมตี ก็ได้ทำการ Isolated Server ออกไปในทันที

และนอกจากการโจมตีที่ได้กล่าวไปแล้วนั้น ล่าสุดทาง I-SECURE ได้พบว่าเมื่อช่วงสิ้นเดือนสิงหาคมที่ผ่านมา ยังมีอีกหนึ่งบริษัทในประเทศไทยที่โดนโจมตีโดย LockBit 2.0 Ransomware และมีกำหนดเวลาในการเจรจาให้เสร็จภายในวันที่ 7 กันยายน ที่จะถึง โดยหากไม่มีการเจรจาหรือทำตามเงื่อนไข ก็จะมีการปล่อยข้อมูลภายในให้รั่วไหลออกมา

ที่มา: BleepingComputer

 

วิเคราะห์ LockBit 2.0 Ransomware

เมื่อวันที่ 23 สิงหาคม 2564 ที่ผ่านมานั้น สายการบิน Bangkok Airways ได้ถูกโจมตีโดย LockBit 2.0 Ransomware ซึ่งผู้โจมตีได้ข้อมูลออกไปมากกว่า 200 GB ประกอบไปด้วย ชื่อ นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ ช่องทางการติดต่อสื่อสาร ข้อมูลหนังสือเดินทาง ประวัติการเดินทาง ข้อมูลบัตรเครดิตบางส่วน และข้อมูลอาหารพิเศษของผู้โดยสาร โดยทาง Bangkok Airways ได้ออกมายืนยันว่า ไม่มีผลกระทบต่อระบบความปลอดภัยด้านการบิน (more…)

Tokio Marine Singapore ยอมรับว่าถูกโจมตีโดย Ransomware

Tokio Marine Holdings เป็นบริษัทประกันภัยข้ามชาติในญี่ปุ่น ได้ประกาศว่า Tokio Marine Insurance Singapore (TMiS) ที่เป็นสาขาในสิงคโปร์ ได้ถูกโจมตีด้วย Ransomware เมื่อวันที่ 31 กรกฎาคม 2564 ที่ผ่านมา ทาง Tokio Marine ได้ให้ข้อมูลเพิ่มเติมว่าการโจมตีนี้ได้ส่งผลกระทบต่อ Marine Insurance Singapore เท่านั้น บริษัทในเครืออื่น ๆ ไม่ได้รับความเสียหาย เนื่องจากทาง TMiS ได้ยืนยันว่าได้แยกเครือข่ายทันทีหลังจากตรวจพบการโจมตี พร้อมทั้งแจ้งไปยังหน่วยงานรัฐบาลท้องถิ่น และได้ยืนยันว่าไม่มีข้อบ่งชี้ว่ามีการเข้าถึงข้อมูลของลูกค้า

แต่ยังไม่ชัดเจนว่าการโจมตีเกิดขึ้นได้อย่างไร และเมื่อไร และมีความเสียหายอะไรที่เกิดขึ้นบ้าง โดยทาง Tokio Marine ได้ทำการติดต่อ Vendor ภายนอกมาเพื่อทำการวิเคราะห์ระบบและเพื่อตรวจสอบขอบเขตของความเสียหายแล้ว

Ryan Specialty Group ได้เปิดเผยว่าเมื่อเดือนเมษายน บริษัทได้ตรวจพบการเข้าถึงบัญชีของพนักงานบางบัญชีโดยไม่ได้รับอนุญาต และภายในเดือนมิถุนายน บริษัทพบว่ามีการเข้าถึงข้อมูลส่วนบุคคลบางส่วน แต่ไม่สามารถระบุได้ว่ามีการเข้าถึงข้อมูลที่มีความสำคัญเช่น หมายเลขประกันสังคม หรือไม่

โดยตั้งแต่ต้นปีที่ผ่านมี มีบริษัทประกันภัยรายใหญ่อย่างน้อย 3 ราย ที่ถูกโจมตีโดย Ransomware ซึ่งประกอบไปด้วย CNA, AXA และ Tokio Marine เป็นรายที่ 3

ที่มา: BleepingComputer Cyberscoop

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

เมื่อวันศุกร์ที่ 7 พฤษภาคม 2021 ที่ผ่านมานั้น กลุ่มในเครือของ DarkSide Ransomware ได้โจมตี Colonial Pipeline ซึ่งเป็นท่อส่งเชื้อเพลิงของอเมริกา การโจมตีดังกล่าวนั้นส่งผลให้การขนส่งน้ำมันหยุดชะงัก และส่งผลกระทบเป็นวงกว้าง ทำให้เป็นพาดหัวข่าวไปทั่วโลก จากการกดดัน และตรวจสอบอย่างเข้มงวดของหน่วยงานระดับชาติในหนึ่งสัปดาห์ต่อมา DarkSide ได้ประกาศปิดตัวลง รวมถึง REvil ที่เป็นผู้อยู่เบื้องหลังการโจมตี KASEYA และ JBS ก็หยุดเคลื่อนไหวไปเช่นเดียวกัน (more…)

จากเหตุการณ์ล่าสุดที่มีบริษัท IT ชั้นนำในประเทศไทย ถูกโจมตีด้วย Ransomware จากกลุ่ม BlackMatter

เราจะพามารู้จักกับ BlackMatter: กลุ่ม Ransomware มาแรง ที่เรียนรู้จากความผิดพลาดในอดีตของ Darkside และ REvil

ในเดือนกรกฎาคม กลุ่ม Ransomware กลุ่มใหม่เริ่มโพสต์โฆษณาบนฟอรัมเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตต่างๆ โดยประกาศว่ากำลังพยายามหาพันธมิตร และอ้างว่าได้รวมคุณลักษณะของกลุ่ม Ransomware ที่มีชื่อเสียงมาก่อนหน้าเช่น REvil และ DarkSide นั่นคือ BlackMatter (more…)

กลุ่ม LockBit Ransomware ได้เปิดรับสมัครบุคคลภายในองค์กรต่างๆ เพื่อให้ข้อมูลสำหรับทำการโจมตีเครือข่ายภายในองค์กร

LockBit 2.0 Ransomware กำลังหาคนภายในองค์กรต่าง ๆ เพื่อช่วยพวกเขาในการเจาะ และเข้ารหัสเครือข่ายขององค์กรนั้นๆ และสัญญากับผู้ที่ให้ข้อมูลขององค์กรตัวเองว่าจะจ่ายเงินให้ 1 ล้านเหรียญ

ในเดือนมิถุนายน 2021 LockBit ได้ประกาศเปิดตัวเวอร์ชั่นใหม่ของ LockBit 2.0 ransomware-as-a-service ในการเปิดตัวใหม่นี้รวมถึงเว็บไซต์ TOR ที่ออกแบบใหม่และคุณสมบัติขั้นสูงต่างๆ รวมถึงอุปกรณ์เข้ารหัสอัตโนมัติบนเครือข่ายผ่าน Group policy และด้วยการเปิดตัวใหม่นี้ LockBit ได้เปลี่ยน Windows wallpaper บนอุปกรณ์ที่ถูกเข้ารหัสเพื่อเสนอว่า “ล้านดอลลาร์ สำหรับบุคคลภายในองค์กรที่ให้ข้อมูล account ที่สามารถเข้าถึงเครือข่ายขององค์กร”

ข้อความเต็มๆเขียนไว้ว่า LockBit กำลังมองหา RDP, VPN, Credentials อีเมลขององค์กรที่สามารถใช้เข้าถึงเครือข่ายได้ และยังบอกด้วยว่าจะส่ง Virus ให้กับคนภายในที่จะดำเนินการบนคอมพิวเตอร์ ซึ่งจะทำให้กลุ่ม Ransomware เข้าถึงเครือข่ายจากระยะไกลได้ และยังได้ทิ้งช่องทางการติดต่อเป็น ToxID:xxxx เพื่อติดต่อกับทางแฮกเกอร์เกี่ยวกับรายละเอียดต่าง ๆ

ยังไงก็ตาม ดูเหมือนว่าข้อความนี้มีแนวโน้มที่จะมุ่งเป้าไปที่บุคคลที่สามจากภายนอกที่เป็นที่ปรึกษาด้าน IT ที่เห็นข้อความนี้ในขณะที่กำลังทำการตอบสนองต่อการโจมตี และแม้ว่าวิธีนี้อาจจะฟังดูยาก แต่ว่าก็ไม่ใช่ครั้งแรกที่แฮกเกอร์พยายามหาพนักงานภายในองค์กร หรือบุคคลที่สาม เพื่อเข้ารหัสเครือข่ายของบริษัท ยกตัวอย่างเช่นในเดือนสิงหาคม 2020 FBI ได้จับกุมชาวรัสเซียคนหนึ่งในข้อหาพยายามจ้างพนักงานของเทสลาเพื่อวางมัลแวร์บนเครือข่ายภายใน Tesla Neveda Gigafactory ด้วยเช่นกัน

ที่มา : bleepingcomputer.

Accenture ยืนยันการถูกแฮ็กหลังจากที่ LockBit Ransomware ทำการปล่อยข้อมูล

บริษัท Accenture ยักษ์ใหญ่แห่งวงการที่ปรึกษาด้านไอทีระดับโลก ซึ่งเป็นที่รู้จักในการให้บริการในอุตสาหกรรมที่หลากหลาย ทั้งธุรกิจยานยนต์ ธนาคาร รัฐบาล เทคโนโลยี พลังงาน โทรคมนาคม และอื่นๆ อีกมากมาย โดยมีข่าวออกมาว่าบริษัท Accenture ถูกโดนโจมตีโดย LockBit Ransomware

โดยกลุ่ม Ransomware ที่รู้จักกันในชื่อ LockBit 2.0 ได้ทำการขู่ว่าจะทำการเผยแพร่ข้อมูลที่ได้อ้างว่าได้มาจากการโจมตี Accenture ในครั้งล่าสุด หากยังไม่มีการจ่ายค่าไถ่ภายในวันนี้ (11 สิงหาคม) และถึงแม้ว่าทาง LockBit จะยังไม่ได้แสดงหลักฐานการขโมยข้อมูลออกมา แต่พวกเขาได้บอกว่าพร้อมที่จะขายข้อมูลให้กับผู้ที่ได้ประโยชน์จากข้อมูลที่ขโมยมา โดยทาง LockBit ได้กล่าวใน Data leak site ว่า “ผู้ใช้งานไม่ได้มีความปลอดภัย หรือความเป็นส่วนตัวเลย จากที่พวกเราเข้าถึงระบบได้ในแบบเดียวกับคนภายในบริษัท พวกเราคิดว่าบริการของพวกเขา (Accenture) จะปลอดภัยกว่านี้ซะอีก ดังนั้นถ้าคณสนใจที่จะซื้อข้อมูลของพวกเขา ติดต่อเราได้เลย”

ส่วนทาง Accenture ได้บอกกับ BleepingComputer ว่า “ระบบที่ได้รับผลกระทบนั้นได้รับการกู้คืนจากข้อมูลที่สำรองไว้แล้ว และด้วยการควบคุมความปลอดภัย และวิธีการรับมือของเรา ทำให้สามารถระบุเหตุการณ์ที่ผิดปกติภายในองค์กร และได้ทำการแยก Server ที่ได้รับผลกระทบออกจากระบบทันที พร้อมกู้คืนระบบที่ได้รับผลกระทบอย่างเต็มที่จากการที่ได้สำรองข้อมูลไว้ และไม่ได้มีผลกระทบกับการดำเนินงานของ Accenture หรือระบบของลูกค้าแต่อย่างใด”

ซึ่งเมื่อดูจากข้อความที่มีการติดต่อกันระหว่างกลุ่มแฮ็กเกอร์กับทีมผู้เชี่ยวชาญของ Cyble กล่าวว่ากลุ่ม LockBit Ransomware อ้างว่าได้ขโมยข้อมูลจำนวน 6 TB จาก Accenture และได้เรียกค่าไถ่จำนวน 50 ล้านดอลลาร์ พร้อมทั้งบอกถึงวิธีการเข้าถึงเครือข่ายของ Accenture ว่าผ่านคนภายในขององค์กรเอง พร้อมทั้งมีแหล่งข่าวที่ไม่ได้มีการเปิดเผยได้บอกกับ BleepingComputer ว่า Accenture ได้ยืนยันการถูกโจมตีโดย Ransomware กับผู้ให้บริการ CTI(Cyber Threat Intelligence) อย่างน้อยหนึ่งราย และทาง Accenture ก็กำลังดำเนินการแจ้งลูกค้าเพิ่มเติมต่อไป และนอกจากนี้ Hudson Rock บริษัทด้านข่าวกรองอาชญากรรมทางอินเทอร์เน็ตได้เปิดเผยว่า Accenture มีคอมพิวเตอร์ถูกบุกรุกกว่า 2,500 เครื่อง ซึ่งเป็นของพนักงานและพาร์ทเนอร์

ที่มา : bleepingcomputer.

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

กลุ่ม BlackMatter ได้เข้าร่วมกลุ่มปฏิบัติการแรนซัมแวร์เพื่อพัฒนาตัวเข้ารหัสเวอร์ชัน Linux ที่กำหนดเป้าหมายไปยัง VMWare ESXi
องค์กรมีการเปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ของตนมากขึ้นเรื่อยๆ เพื่อการจัดการทรัพยากรที่ดีขึ้นและการกู้คืนระบบจากความเสียหาย เนื่องจาก VMware ESXi เป็นแพลตฟอร์ม Virtual Machine ที่ได้รับความนิยมมากที่สุด ทำให้ Ransomware ส่วนใหญ่เริ่มพัฒนาตัวเข้ารหัสที่มุ่งเป้าโจมตีไปที่ Virtual Machine กันมากขึ้น

BlackMatter มุ่งเป้าไปที่ VMware ESXi
เมื่อวันที่ 4 สิงหาคมที่ผ่านมา นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบตัวเข้ารหัส Linux ELF64 [VirusTotal] ของกลุ่มแรนซัมแวร์ BlackMatter ที่กำหนดเป้าหมายเซิร์ฟเวอร์ไปยัง VMware ESXi โดยเฉพาะ โดยดูจากฟังก์ชันของการทำงาน

BlackMatter เป็นปฏิบัติการแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งเริ่มต้นเมื่อเดือนที่แล้ว และเชื่อว่าเป็นการรีแบรนด์ของ DarkSide หลังจากที่นักวิจัยพบตัวอย่าง ก็พบว่าการทำงานเข้ารหัสที่ใช้โดย Ransomware นั้นเป็นแบบเดียวกับที่ใช้ใน DarkSide

DarkSide ปิดตัวลงหลังจากโจมตี และปิดระบบท่อส่งน้ำมันโคโลเนียล จึงทำให้ถูกกดดัน และไล่ล่าอย่างหนักจากการบังคับใช้กฎหมายระหว่างประเทศ และรัฐบาลสหรัฐฯ

จากตัวอย่างตัวเข้ารหัส Linux ของ BlackMatter ที่ BleepingComputer ได้รับมา เป็นที่ชัดเจนว่าได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi

Vitali Kremez ผู้เชี่ยวชาญของบริษัท Intel ซึ่งได้ลองทดสอบด้วยการ Reverse Engineering ได้ให้ข้อมูลกับทาง BleepingComputer ว่าผู้โจมตีได้สร้างไลบรารี 'esxi_utils' ที่ใช้ในการดำเนินการต่างๆ บนเซิร์ฟเวอร์ VMware ESXiรูปที่ 1.1 ตัวอย่าง แต่ละฟังก์ชัน

รูปที่ 1.2 ตัวอย่าง ฟังก์ชัน stop_firewall()

ในขณะที่ฟังก์ชัน stop_vm() จะดำเนินการคำสั่ง esxcli ต่อไปนี้ รูปที่ 1.3 ตัวอย่าง ฟังก์ชัน stop_vm()

Ransomware ทั้งหมดที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi พยายามปิดเครื่องเสมือนก่อนที่จะเข้ารหัสไดรฟ์ เพื่อป้องกันข้อมูลเสียหายขณะเข้ารหัส

เมื่อ VM ทั้งหมดถูกปิด มันจะเข้ารหัสไฟล์ที่ตรงกับนามสกุลไฟล์เฉพาะตามการกำหนดค่าที่มาพร้อมกับ Ransomware

การกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi นั้นมีประสิทธิภาพมากเมื่อทำการโจมตีโดยใช้ Ransomware เนื่องจากช่วยให้ผู้คุกคามสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากพร้อมกันด้วยคำสั่งเดียว

เมื่อมีธุรกิจจำนวนมากที่ย้ายไปยังแพลตฟอร์มประเภทนี้สำหรับเซิร์ฟเวอร์ เราจะยังคงเห็นนักพัฒนาแรนซัมแวร์มุ่งเน้นไปที่เครื่อง Windows เป็นหลัก แต่ยังสร้างตัวเข้ารหัสเวอร์ชัน Linux โดยเฉพาะซึ่งมุ่งเป้าไปยัง ESXi

Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่าปฏิบัติการ Ransomware อื่นๆ เช่น REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle ได้สร้างตัวเข้ารหัสเวอร์ชัน Linux เพื่อจุดประสงค์นี้เช่นกัน

ที่มา : Bleepingcomputer

กลุ่ม REvil เพิ่มราคาค่าไถ่จากเหยื่อในเหตุการณ์การโจมตี Kaseya

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการเพิ่มราคาค่าไถ่จากเหยื่อในเหตุการณ์การโจมตี "Kaseya" ในลักษณะ Supply Chain Attack เมื่อวันที่ 2 ก.ค.64 ที่ผ่านมา

เป็นเรื่องปกติที่กลุ่ม REvil จะทำการศึกษาข้อมูลขององค์กรที่ตกเป็นเหยื่อในการโจมตีด้วยการวิเคราะห์ข้อมูลที่ขโมยมาได้ รวมถึงข้อมูลขององค์กรที่เผยแพร่ต่อสาธารณะ เช่น ข้อมูลทางการเงิน นโยบายการประกันภัยทางไซเบอร์ รวมถึงข้อมูลอื่น ๆ ที่เกี่ยวข้อง เมื่อนำมาประกอบกับจำนวนของเครื่องคอมพิวเตอร์ที่ถูกเข้ารหัสและปริมาณของข้อมูลที่ถูกขโมยออกมาก่อนหน้า กลุ่มอาชญากรจะสามารถประมาณการณ์ราคาค่าไถ่สูงสุดที่เป็นไปได้เท่าที่เหยื่อจะจ่ายไหวสำหรับใช้ในการเจรจาต่อรอง

แต่อย่างไรก็ตามในเหตุการณ์การโจมตี Kaseya VSA Server นั้น ทางกลุ่มอาชญากร REvil มุ่งเป้าโจมตีไปที่ Kaseya ในฐานะที่เป็น Managed Service Providers (MSP) เป็นหลัก ไม่ได้พุ่งเป้าโจมตีไปที่กลุ่มลูกค้าของ MSP เพราะฉะนั้นในตอนแรกกลุ่มอาชญากรจึงยังตัดสินใจไม่ได้ว่าควรจะกำหนดราคาค่าไถ่ที่จำนวนเท่าไหร่ในกรณีที่เหยื่อคือกลุ่มลูกค้าของ MSP

ผลปรากฏว่ากลุ่มอาชญากรกำหนดราคากลางสำหรับราคาค่าไถ่ดังนี้

5 ล้านดอลล่าสหรัฐ หรือประมาณ 160,500,000 บาท สำหรับ MSP
44,999 ดอลล่าสหรัฐ หรือประมาณ 1,444,467 บาท สำหรับกลุ่มลูกค้าของ MSP

แต่ทว่ากลุ่มอาชญากรเริ่มไม่ซื่อสัตย์ และไม่ยอมใช้ราคากลางของค่าไถ่ดังกล่าวในการเจรจาต่อรอง ซึ่งเห็นได้จากบทสนทนาในการเจรจาต่อรองค่าไถ่ที่มีการแชร์ไปยัง BleepingComputer

สิ่งที่เกิดขึ้นในการโจมตีด้วยมัลแวร์เรียกค่าไถ่ REvil นั้น ตัวมัลแวร์ฯจะทำเข้ารหัสไฟล์ต่างๆ และสามารถสร้างนามสกุลไฟล์ขึ้นมาได้หลายชนิด ซึ่งโดยปกติแล้วเครื่องมือสำหรับถอดรหัสข้อมูลที่กลุ่มอาชญากรส่งมอบให้เหยื่อหลังจ่ายค่าไถ่เรียบร้อยแล้ว จะสามารถใช้ในการถอดรหัสไฟล์ได้ทุกชนิด

แต่ในกรณีของเหยื่อจากเหตุการณ์การโจมตี Supply Chain Attack Kaseya กลับแตกต่างออกไป เพราะกลุ่ม REvil คิดราคาค่าไถ่ 40,000 - 45,000 ดอลล่าสหรัฐ ต่อนามสกุลไฟล์ที่ถูกเข้ารหัสบนระบบของเหยื่อ

หนึ่งในเหตุการณ์ตัวอย่างคือ เหยื่อแจ้งว่าในระบบของตัวเองมีนามสกุลไฟล์ที่ถูกเข้ารหัสอยู่เกือบ 12 ชนิด ซึ่งทางกลุ่มอาชญากรได้แจ้งกลับมาว่าต้องการค่าไถ่จำนวน 500,000 ดอลล่าสหรัฐ แลกกับการถอดรหัสไฟล์ทั้งหมด

อย่างไรก็ตามยังมีข่าวดีอยู่บ้างเมื่อตัวแทนของกลุ่ม REvil ได้บอกกับเหยื่อรายนี้ว่า การโจมตีมีเพียงการเข้ารหัสไฟล์เท่านั้น และไม่มีอะไรอย่างอื่นนอกเหนือจากนี้ นั่นหมายความว่า มีความเป็นไปได้ที่กลุ่ม REvil จะไม่ได้ขโมยข้อมูลขององค์กรของเหยื่อรายนี้ออกไป ซึ่งเป็นที่ทราบกันดีว่าข้อมูลดังกล่าวมักจะถูกนำมาใช้ในการข่มขู่เรียกค่าไถ่ที่เพิ่มขึ้น

แสดงให้เห็นว่าในการโจมตีที่เกิดขึ้น กลุ่ม REvil ยังไม่สามารถเข้าถึงระบบเครือข่ายขององค์กรอื่นๆได้ คาดว่าน่าจะทำได้เพียงแค่การใช้เทคนิคสั่งการจากระยะไกล (Remotely Exploited) ในการโจมตีช่องโหว่ Kaseya VSA เพื่อส่งเครื่องมือเข้ารหัสเข้าไปยังระบบของเหยื่อและทำการเรียกใช้งานเครื่องมือดังกล่าว

สถานการณ์หลังเหตุโจมตี

หลังเหตุการณ์โจมตีในลักษณะ Supply Chain Attack กับ Kaseya โดยกลุ่ม REvil ที่เกิดขึ้นในวันที่ 2 ก.ค.64 ทางผู้ผลิตซอฟต์แวร์ Kaseya ได้ทำการปล่อยแพตช์เพื่อแก้ไขช่องโหว่ zero-day ที่เกิดขึ้น

ช่องโหว่ zero-day ดังกล่าวถูกค้นพบโดยนักวิจัยจาก DIVD ซึ่งมีส่วนช่วยในการทดสอบแพตช์ดังกล่าวอีกด้วย แต่เป็นที่น่าเสียดายเมื่อกลุ่ม REvil ก็ค้นพบช่องโหว่ดังกล่าวในเวลาไล่เลี่ยกันและนำมาใช้ในการโจมตีก่อนที่แพตช์จะถูกปล่อยออกมาก่อนหน้าวันหยุดยาวซึ่งเป็นวันชาติของประเทศสหรัฐอเมริกา

จากการโจมตีที่เกิดขึ้น เชื่อว่ามีธุรกิจมากกว่า 1,000 แห่ง ได้รับผลกระทบ เช่น บริษัทยายักษ์ใหญ่สัญชาติสวีเดน, บริษัทระบบขนส่ง SJ และรวมไปถึงบริษัท Coop ซึ่งเป็นผู้ให้บริการซุปเปอร์มาร์เก็ตยักษ์ใหญ่สัญชาติสวีเดน ทำให้ต้องปิดการให้บริการไปมากกว่า 500 สาขา ซึ่งเป็นผลมาจากการโจมตีดังกล่าว

โจ ไบเดน ประธานาธิบดีสหรัฐ ได้สั่งการให้หน่วยข่าวกรองสหรัฐทำการสืบสวนเหตุการณ์โจมตีที่เกิดขึ้น แต่ปัจจุบันยังไม่ถึงขั้นที่จะบอกได้ว่ารัสเซียเป็นผู้อยู่เบื้องหลังในการโจมตีครั้งนี้

Federal Bureau of Investigation (FBI) ได้ออกประกาศเมื่อวันที่ 4 ก.ค.64 ว่ากำลังสืบสวนเรื่องนี้และทำงานร่วมกับ Cybersecurity and Infrastructure Security Agency (CISA) รวมถึงหน่วยงานอื่นๆ อย่างใกล้ชิด ซึ่งคำประกาศมีรายละเอียดดังนี้

"FBI กำลังสืบสวนเหตุการณ์การโจมตี Kaseya ด้วยมัลแวร์เรียกค่าไถ่ และทำงานร่วมกับ CISA อย่างใกล้ชิด รวมถึงร่วมมือกับหน่วยงานอื่นๆ เพื่อทำความเข้าใจขอบเขตของภัยคุกคามดังกล่าว"

"ถ้าหากคุณเชื่อว่าระบบของตนถูกโจมตีจากเหตุการณ์นี้ เราขอให้คุณทำตามคำแนะนำในรับมือ ด้วยการปฏิบัติตามขั้นตอนของ Kaseya ในการปิดเครื่องแม่ข่าย VSA โดยทันทีและรีบรายงานมายัง FBI ที่เว็บไซต์ ic3.gov"

ที่มา :  bleepingcomputer