กลุ่ม REVIL Ransomware ทำการข่มขู่ผู้ให้บริการ ISP รายใหญ่ของอาเจนติน่าให้ส่งมอบเงินค่าไถ่จำนวน $7.5 ล้านเหรียญเพื่อปลดล็อกไฟล์ที่ถูกเข้ารหัส

บริษัท Telecom Argentina ผู้ให้บริการ ISP รายใหญ่ของประเทศอาเจนติน่าได้เปิดเผยถึงกลุ่ม REVIL Ransomware หรือ Sodinokibi ได้ทำการโจมตีบริษัทและทำการเรียกร้องค่าไถ่เป็นเงินจำนวน $7.5 ล้านเหรียญเพื่อเป็นค่าไถ่สำหรับการปลดล็อกไฟล์ที่ถูกเข้ารหัส

เหตุการณ์เกิดในวันเสาร์ที่ 18 กรกฎาคม 2020 โดยกลุ่ม REVIL Ransomware ได้ทำการโจมตีเครือข่ายของบริษัทหลังจากที่พนักงานคนหนึ่งของบริษัทเปิดไฟล์ที่เเนบมากับอีเมลที่เป็นอันตรายของกลุ่ม REVIL Ransomware จึงทำให้กลุ่ม REVIL Ransomware สามารถเข้าควบคุม Domain Admin ภายในเครือข่ายบริษัทและทำแพร่กระจาย Ransomware ภายในเครือข่าย ซึ่งในช่วงเวลาที่ถูกบุกรุกนั้นทาง ISP ได้ทำการตรวจจับการบุกรุกในทันทีและได้แจ้งเตือนพนักงานผ่านการแจ้งเตือนภายใน เพื่อจำกัดการเชื่อมภายในเครือข่ายขององค์กรกับเครือข่าย VPN ภายในและยังสั่งห้ามพนักงานไม่ให้ทำการเปิดอีเมลที่มีไฟล์แนบ

ผู้ให้บริการ ISP กล่าวว่าอีกว่าเหตุการณ์ครั้งนี้ไม่ส่งผลกระทบต่อบริการโทรศัพท์พื้นฐานหรือเคเบิลทีวีและไม่ได้ทำให้การเชื่อมต่ออินเทอร์เน็ตสำหรับลูกค้าของ ISP มีปัญหา หลังจากเกิดเหตุการณ์ภายในเว็บพอร์ทัลของ REVIL Ransomware มีข้อความแสดงความต้องการค่าไถ่จำนวน 109,345.35 เหรียญ Monero หรือประมาณ 7.5 ล้านเหรียญและถ้าหากไม่ทำการจ่ายภายใน 3 วันจำนวนเงินเรียกค่าไถ่จะเพิ่มเป็น 2 เท่า

ทั้งนี้ผู้สื่อข่าวของ ZDNet ให้ความเห็นว่าการโจมตีผ่านอีเมลของกลุ่ม REVIL ในครั้งนี้แตกต่างจากพฤติกรรมในอดีตที่มักโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ระดับองค์กรอย่างที่เคยมีประวัติโจมตีด้วยช่องโหว่ Pulse Secure และ Citrix VPN ซึ่งนักวิจัยด้านความปลอดภัยจากบริษัท Bad Packets พบว่าบริษัท Telecom Argentina นั้นมีการใช้ Citrix VPN และใช้ Citrix ที่มีช่องโหว่ CVE-2019-19781 อีกด้วย

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบเเหล่งที่มาของอีเมลและทำการตรวจสอบไฟล์ที่แนบมากับอีเมลทุกครั้งที่เปิดเพื่อป้องกันการโจมตีด้วย Ransomware ซึ่งอาจจะทำให้ระบบของผู้ใช้งานได้รับผลกระทบและเสียหาย รวมถึงผู้ดูแลระบบควรอัพเดตแพตช์ความปลอดภัยของผลิตภัณฑ์ระดับองค์กรเพื่อลดความเสี่ยงจากการโจมตี

ที่มา: zdnet.

REvil Ransomware found buyer for Trump data, now targeting Madonna

กลุ่ม REvil Ransomware อ้างว่ามีผู้ต้องการซื้อข้อมูล Donald Trump และกำลังเตรียมที่จะประมูลข้อมูลเกี่ยวกับ Madonna

กลุ่ม REvil ransomware หรือเป็นที่รู้จักในชื่อ Sodinokibi ได้ประกาศว่ามีผู้พร้อมซื้อสำหรับเอกสารที่มีข้อมูลเกี่ยวข้องกับประธานาธิบดี Donald Trump ของสหรัฐอเมริกาและกำลังเตรียมที่จะเปิดประมูลข้อมูลของ Madonna และคนดังระดับโลกคนอื่นๆ

กลุ่ม REvil ransomware ได้ทำการโจมตีและเข้าถึงข้อมูลของบริษัท Grubman Shire Meiselas & Sacks (GSMLaw) ซึ่งเป็นบริษัทที่ให้คำปรึกษาทางด้านกฎหมายสำหรับผู้มีชื่อเสียงและนักเเสดงดังมากมาย โดย REvil ได้ทำการขโมยข้อมูลส่วนตัวของบุคคลต่างๆ ออกไปมากกว่า 756 GB และได้กำหนดค่าไถ่เป็นจำนวน 42 ล้านดอลลาร์

GSMLaw ได้ทำการการเจรจากับกลุ่ม REvil ransomware เพื่อขอซื้อข้อมูลที่ถูกรั่วไหลไปแต่การเจรจาไม่เป็นผลทำให้กลุ่ม REvil ransomware ประกาศจะเผยเเพร่เอกสารสำคัญซึ่งเป็นอีเมลมากกว่า 160 ฉบับที่มีข้อมูลเกี่ยวกับ Donald Trump ประธานาธิบดีของสหรัฐอเมริกา หลังจากการประกาศเผยเเพร่ข้อมูลกลุ่ม REvil ransomware อ้างว่าได้รับการติดต่อจากบุคคลที่สนใจที่จะซื้อข้อมูลทั้งหมดเกี่ยวกับประธานาธิบดี Donald Trump

กลุ่ม REvil ransomware ระบุต่อไปว่าพวกเขาวางแผนที่จะทำการเปิดประมูลไฟล์ที่มีข้อมูลเกี่ยวข้องกับ Madonna โดยจะทำการตั้งราคาเริ่มต้นที่ 1 ล้านดอลลาร์

ล่าสุด REvil ได้เผยเเพร่เอกสารที่เกี่ยวข้องกับ Lady Gaga ซึ่งมีขนาด 2.4 GB ในเอกสารที่ทำการเผยเเพร่นั้นประกอบไปด้วย NDA (Non-disclosure agreement) หรือสัญญาที่จะไม่เปิดเผยข้อมูลและสัญญาที่สำคัญต่างๆ

FBI ได้ออกมาเเถลงว่าไม่สนับสนุนให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าขู่กรรโชกของแฮกเกอร์การจ่ายเงินตามความต้องการกรรโชก ซึ่งจะเป็นการส่งเสริมกิจกรรมทางไซเบอร์ และออกคำเเนะนำในการป้องกันว่า บริษัทหรือองค์กรต่างๆ ควรทำการติดตามกิจกรรมและข่าวสารเกี่ยวกับความปลอดภัยในอินเตอร์เน็ตอยู่เสมอ ควรทำการอัพเดตซอฟต์แวร์ใช้ซอฟต์แวร์ป้องกันไวรัสอยู่ตลอดเวลาเพื่อที่จะไม่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์

ที่มา: bleepingcomputer