เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)

การหายตัวไปของกลุ่มมัลแวร์เรียกค่าไถ่ REvil ในต้นสัปดาห์นี้ เป็นผลจากการร่วมมือกันของผู้บังคับใช้กฎหมายสหรัฐ และหน่วยงานจากหลายประเทศ

กลุ่มมัลแวร์เรียกค่าไถ่ REvil หรือที่รู้จักในอีกชื่อ Sodinokibi เป็นกลุ่มที่อยู่เบื้องหลังการโจมตี May cyberattack ที่ได้ทำการโจมตีบริษัท Colonial Pipeline ผู้ให้บริการเครือข่ายท่อส่งน้ำมันรายใหญ่ของสหรัฐ ซึ่งส่งผลให้เกิดการขาดแคลนน้ำมันเป็นวงกว้างในบริเวณชายฝั่งทางตะวันออกของสหรัฐอเมริกา

ทางการสหรัฐกล่าวว่าการโจมตีบริษัท Colonial Pipeline นั้นใช้ซอฟต์แวร์เข้ารหัสที่ชื่อว่า DarkSide ซึ่งถูกสร้างโดยผู้ที่เกี่ยวข้องกับ REvil

กลุ่มมัลแวร์เรียกค่าไถ่ REvil ปิดเซิร์ฟเวอร์ไปครั้งแรก เมื่อเดือนกรกฎาคม ซึ่งเป็นช่วงเดียวกันกับที่มีการกดดันให้รัสเซียดำเนินการจัดการกับกลุ่มมัลแวร์เรียกค่าไถ่ ภายในประเทศ และเซิร์ฟเวอร์ของกลุ่มได้กลับมาออนไลน์อีกครั้งในเดือนกันยายนจนถึงปัจจุบัน ก่อนจะถูกปิดไปอีกครั้งโดยหน่วยงานของสหรัฐฯ

ผู้ที่ถูกกล่าวหาว่าเป็นตัวแทนของกลุ่ม REvil กล่าวว่ามีบุคคลที่ไม่ทราบตัวตน ได้เข้าถึงระบบภายในของเว็บไซต์บางส่วนของกลุ่ม REvil ได้แก่ Landing page และ Blog ทำให้เขาคาดว่า ข้อมูลสำรอง (Backups) ของเว็บไซต์ และ Key สำหรับจัดการกับ Onion service นั้นถูกบุคคลที่สามเข้าถึงได้แล้ว

แหล่งข่าวไม่เปิดเผยตัวรายหนึ่งบอกกับสำนักข่าว Reuters ว่าบุคคลที่ไม่ทราบตัวตน และเป็นคนลงมือแฮ็กเซิร์ฟเวอร์ของ REvil นั้นเป็นชาวต่างชาติที่ร่วมมือกับสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) กองบัญชาการไซเบอร์ (U.S. Cyber Command) หน่วยสืบราชการลับ (Secret Service) และรัฐบาลของอีกหลายประเทศที่ไม่ได้เปิดเผยชื่อ “เอฟบีไอ ร่วมมือกับ กองบัญชาการไซเบอร์ หน่วยสืบราชการลับ และประเทศอื่น ๆ ที่มีความตั้งใจแบบเดียวกัน ได้มีส่วนร่วมสำคัญในการช่วยกันจัดการกับกลุ่มแฮ็กเกอร์ลักษณะนี้ โดย REvil นั้นอยู่ในอันดับต้น ๆ ของลิสต์เลย” กล่าวโดย Kellermann ที่ปรึกษาของหน่วยสืบราชการลับ

รายงานยังกล่าวว่า ทางสหรัฐฯ ได้ทำการแฮ็กเข้าไปยังระบบ Network infrastructure ของกลุ่ม REvil ได้สำเร็จ และสามารถเข้าควบคุมเครื่องเซิร์ฟเวอร์บางส่วนได้ตั้งแต่เดือนกรกฎาคม ช่วงเดียวกับที่ทางกลุ่ม REvil ประกาศยุติการดำเนินการ และเมื่อช่วงเดือนกันยายน ทางกลุ่ม REvil ได้ทำการ Restore เซิร์ฟเวอร์เว็บไซต์ให้กลับมาใช้งานได้ด้วยข้อมูลสำรอง (Backups) ซึ่งทางกลุ่มไม่รู้เลยว่าได้ไป Restart ระบบภายในบางอย่างซึ่งอยู่บน Server ที่ถูกเข้าควบคุมโดยแฮ็กเกอร์ที่ร่วมมือกับสหรัฐแล้ว ทำให้ทางการตรวจพบและได้สั่งปิด Service ของกลุ่ม REvil ไปในต้นสัปดาห์นี้ ทางการยังกล่าวอีกว่าขณะนี้ก็ยังทำการเจาะระบบของ REvil อยู่อย่างต่อเนื่อง

ทาง FBI และรัฐบาลสหรัฐฯ ปฏิเสธที่จะให้ความเห็นเกี่ยวกับเรื่องนี้ เพี่ยงแต่ระบุว่าตั้งใจจะจัดการกับปัญหามัลแวร์เรียกค่าไถ่กลุ่มนี้ และมัลแวร์เรียกค่าไถ่อื่น ๆ ที่โจมตีระบบโครงสร้างพื้นฐานสำคัญของประเทศ โดยจัดอยู่ลำดับเดียวกันกับภัยความมั่นคงแห่งชาติ เช่นเดียวกับการก่อการร้าย

 

ที่มา: siliconangle.

เราจะพามารู้จักกับ BlackMatter: กลุ่ม Ransomware มาแรง ที่เรียนรู้จากความผิดพลาดในอดีตของ Darkside และ REvil

ในเดือนกรกฎาคม กลุ่ม Ransomware กลุ่มใหม่เริ่มโพสต์โฆษณาบนฟอรัมเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตต่างๆ โดยประกาศว่ากำลังพยายามหาพันธมิตร และอ้างว่าได้รวมคุณลักษณะของกลุ่ม Ransomware ที่มีชื่อเสียงมาก่อนหน้าเช่น REvil และ DarkSide นั่นคือ BlackMatter (more…)

กลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil เริ่มมีการใช้งานเครื่องมือเข้ารหัสเวอร์ชั่น Linux โดยพุ่งเป้าโจมตีเครื่องคอมพิวเตอร์แม่ข่ายแบบเสมือนหรือ Virtual Machine (VM) ที่ทำงานอยู่บน VMware ESXi เป็นหลัก ซึ่งเป็นผลมาจากความนิยมในการใช้งาน VM ขององค์กรในยุคปัจจุบันทำให้กลุ่มอาชญากรไซเบอร์เร่งพัฒนาเครื่องมือที่จะใช้ในการโจมตีด้วยการเข้ารหัสข้อมูลของ VM

เมื่อเดือนพฤษภาคมที่ผ่านมา ผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์, Yelisey Boguslavskiy โพสต์ข้อมูลผ่านทวิตเตอร์ว่าพบข้อมูลการประกาศบนเว็บบอร์ดแห่งหนึ่งโดยกลุ่มอาชญากรผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ทำการยืนยันว่าได้เปิดให้ใช้งานเครื่องมือเข้ารหัสเวอร์ชั่นระบบปฏิบัติการ Linux ซึ่งสามารถใช้โจมตีอุปกรณ์ NAS ได้อีกด้วย

เมื่อวันที่ 28 มิ.ย.64 ที่ผ่านมา กลุ่มนักวิจัยด้านความปลอดภัยทางไซเบอร์จาก MalwareHunterTeam เปิดเผยว่าตรวจพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux เช่นกัน หรือที่รู้จักกันในชื่อ "Sodinokibi" ซึ่งกำลังพุ่งเป้าโจมตีเครื่องแม่ข่ายที่ใช้งาน VMware ESXI

Vitali Kremez ซึ่งเป็นผู้เชี่ยวชาญด้านข่าวกรองทางไซเบอร์ให้สัมภาษณ์ BleepingComputer หลังจากมีโอกาสได้ทำการวิเคราะห์ไฟล์มัลแวร์พันธ์ุใหม่นี้ว่า มันเป็นไฟล์ ELF ชนิด 64-bit ซึ่งมีการนำรูปแบบการตั้งค่าการใช้งานเหมือนกับไฟล์ Executable ที่พบได้บนระบบปฏิบัติการ Windows และนี่เป็นครั้งแรกที่มีการค้นพบมัลแวร์เรียกค่าไถ่ REvil เวอร์ชั่น Linux ในการโจมตีที่เกิดขึ้นจริงนับตั้งแต่มันถูกเปิดให้ใช้งาน

สำหรับขีดความสามารถของมัลแวร์ชนิดนี้ ผู้โจมตีสามารถกำหนดตำแหน่งของไฟล์ที่ต้องการเข้ารหัสได้ รวมทั้งสามารถเปิดการใช้งาน "Silent Mode" ซึ่งใช้สำหรับป้องกันการปิดการทำงานของ "VMs mode" ดังแสดงตามรายละเอียดในคำแนะนำการใช้งาน (Usage Instructions) ของมัลแวร์ ดังนี้

Usage example: elf.

พบ Ransomware ตัวใหม่ที่มีการอ้างว่าได้ทำการโจมตีองค์กรต่าง ๆ สำเร็จไปแล้วกว่า 30 แห่ง

Unit 42 จาก Palo Alto Networks ได้ให้รายละเอียดเกี่ยวกับ Ransomware ตัวใหม่ที่มีชื่อว่า Prometheus ว่าน่าจะมีความเกี่ยวข้องกับ Thanos Ransomware

Prometheus Ransomware ปรากฏตัวครั้งแรกในเดือนกุมภาพันธ์ที่ผ่านมา โดยนอกจากการเข้ารหัสเครือข่ายและเรียกค่าไถ่สำหรับคีย์ที่ใช้ในการถอดรหัสแล้ว พวกเขายังขู่ว่าจะทำการปล่อยข้อมูลของเหยื่อ หากไม่ยอมจ่ายค่าไถ่ให้กับตน โดยจ่ายเป็นสกุลเงิน Monero cryptocurrency (more…)

FujiFilm หรือที่รู้จักในชื่อ Fuji เป็นกลุ่มบริษัทข้ามชาติของญี่ปุ่นที่มีสำนักงานใหญ่อยู่ในกรุงโตเกียว ประเทศญี่ปุ่น เมื่อเริ่มต้นบริษัท Fuji เป็นผู้จัดจำหน่ายฟิล์ม และกล้อง ภายหลังจากที่บริษัทเติบโตขึ้นก็มีการทำธุรกิจทางด้านยา อุปกรณ์จัดเก็บข้อมูล เครื่องถ่ายเอกสาร และเครื่องพิมพ์ รวมไปถึงกล้องดิจิตอลในปัจจุบันด้วย โดย Fuji เป็นบริษัทที่ทำรายได้ถึง 20.1 พันล้านดอลลาร์ในปี 2020 และมีพนักงานมากถึง 37,151 คนทั่วโลก

วันที่ 2/6/21 FUJIFILM ประกาศว่าสำนักงานใหญ่ในโตเกียวถูกโจมตีด้วยแรนซัมแวร์ ในวันอังคารที่ 1/6/21 และกำลังดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตจากภายนอกบริษัท มีการปิดเครือข่ายบางส่วน และตัดการเชื่อมต่อจากภายนอก โดยมีการประสานงานไปยังสาขาต่าง ๆ ทั่วโลก

นอกจากนี้ทาง FUJIFILM USA ได้ประกาศบนเว็บไซต์ โดยระบุว่าเนื่องจากระบบเครือข่ายบางส่วนกำลังประสบปัญหา ทำให้ส่งผลกระทบต่อระบบอีเมลและโทรศัพท์

FUJIFILM ยังไม่ได้มีการระบุถึงกลุ่มแรนซัมแวร์ที่ทำการโจมตี แต่ทาง Vitali Kremez ซีอีโอของ Advanced Intel ได้บอกกับแหล่งข่าว BleepingComputer ว่า FUJIFILM พบการติดโทรจัน Qbot เมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอาจส่งผลกระทบถึงการโจมตีในครั้งนี้และปัจจุบันกลุ่มมัลแวร์ Qbot มีการทำงานร่วมกับกลุ่มแรนซัมแวร์ REvil และในอดีตเคยร่วมมือกับกลุ่มแรนซัมแวร์ ProLock และ Egregor อีกด้วย

แม้ว่าแรนซัมแวร์จะถูกใช้งานมาตั้งแต่ปี 2555 แล้ว แต่เมื่อเร็วๆ นี้ การโจมตีบริษัท Colonial Pipeline ท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดของสหรัฐ และบริษัท JBS ผู้ผลิตเนื้อวัวรายใหญ่ที่สุดของโลก ทำให้การโจมตีนี้กลับได้รับความสนใจจากทั่วโลก โดยรัฐบาลสหรัฐฯ ได้มีการจัดตั้งคณะทำงานขึ้นเพื่อแนะนำนโยบายและแนวทางในการต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

กลุ่ม REvil ได้ทำการลบข้อมูลแผนผังส่วนประกอบ (Schematic) ของอุปกรณ์ Apple ที่ถูกเปิดเผยเพื่อเรียกค่าไถ่บนเว็บไซต์ใต้ดินของตนเอง หลังจากที่มีรายงานว่าได้ทำการคุยตกลงส่วนตัวกับบริษัท "Quanta" ซึ่งเป็นบริษัทสัญชาติไต้หวันที่ช่วยผลิต Apple Watch, Macbook Air และ Macbook Pro เหยื่อของการรั่วไหลข้อมูลในครั้งนี้ ก่อนหน้านี้กลุ่มนี้ได้มีการเรียกค่าไถ่เป็นจำนวน 50 ล้านเหรียญเพื่อแลกกับการปกปิดข้อมูล แต่เมื่อไม่มีการตอบรับจากเหยื่อจึงได้ทำการเผยแพร่ข้อมูลดังกล่าวบนเว็บไซต์ใต้ดินของตนเอง นอกจากนี้ยังได้มีการแจ้งเตือนไปยัง Apple ให้ทำการซื้อข้อมูลดังกล่าวกลับไปก่อนวันที่ 1 พฤษภาคมที่จะถึง หากไม่จะทำการเปิดเผยข้อมูลเพิ่มเติม

การลบข้อมูลในหน้าเว็บไซต์ครั้งนี้ ประกอบด้วยข้อมูลแผนผังส่วนประกอบ (Schematic) และแบบร่าง (Drawing) ของอุปกรณ์ Apple จากรายงานระบุว่ากลุ่มเรียกค่าไถ่ และบริษัท Quanta ที่เป็นเหยื่อได้มีการคุยแชทส่วนตัวกัน โดยกลุ่มเรียกค่าไถ่ได้มีการแจ้งว่าจะทำการซ่อนข้อมูลดังกล่าวบนเว็บไซต์ และหยุดให้ข้อมูลกับสื่อ (reporters) ไปก่อน เพื่อให้การเจรจาสามารถดำเนินการต่อไปได้ และหากยอมเจรจาด้วยก่อนวันที่ 7 พฤษภาคม จะทำการลดค่าไถ่ให้เหลือเพียง 20 ล้านเหรียญ แต่ถ้าหากไม่มีการตอบสนองกลับมา จะทำการเปิดเผยข้อมูลใหม่ ที่ถูกระบุว่าจะเป็นแบบร่าง (Drawing) ของ iPad ตัวใหม่ และ Logo ใหม่ของ Apple

ที่มา: bleepingcomputer

กลุ่มมัลแวร์เรียกค่าไถ่ REvil ได้มีการครอบครองซอร์สโค้ดของโทรจันตัวใหม่ "KPOT 2.0" หลังจากชนะการประมูลในเว็บบอร์ดใต้ดินรัสเซีย โดยกลุ่ม REvil จ่ายค่าซอร์สโค้ดของมัลแวร์ตัวนี้ไปเป็นเงินกว่า 200,000 บาท

อ้างอิงจากแฮกเกอร์นิรนาม Pancak3 ซึ่งให้ข่าวกับทาง ZDNet การประมูลซอร์สโค้ดของมัลแวร์ KPOT เริ่มต้นขึ้นในช่วงกลางเดือนตุลาคมและสิ้นสุดไปในเดือนทีผ่านมา ในการประมูลนั้น ผู้ที่เข้าประมูลซอร์สโค้ดของมัลแวร์ KPOT ใช้ชื่อในเว็บบอร์ดใต้ดินว่า UNKN ซึ่งเป็นที่รู้จักกันว่าเป็นสมาชิกของกลุ่มมัลแวร์เรียกค่าไถ่ REvil (Sodinokibi) เพียงรายเดียวและได้รับซอร์สโค้ดไป Pancak3 มีความเห็นว่ากลุ่ม REvil มีแนวโน้มที่จะนำซอร์สโค้ดของมัลแวร์ตัวดังกล่าวไปพัฒนาต่อเพื่อนำมาใช้งานจริง

ในการประมูลแม้จะมีความเห็นจากสมาชิกในเว็บบอร์ดว่าซอร์สโค้ดของ KPOT มีราคาที่แพงเกินจริง แต่กลุ่มมัลแวร์เรียกค่าไถ่ REvil เป็นหนึ่งในกลุ่มซึ่งสามารถทำรายได้จากการเรียกค่าไถ่ได้ว่า 100 ล้านดอลลาร์สหรัฐฯ ดังนั้นการจ่ายเงินให้กับซอร์สโค้ดของมัลแวร์ที่สามารถเพิ่มมูลค่าให้กับการโจมตีจึงอาจเป็นการลงทุนที่คุ้มค่าสำหรับกลุ่มแฮกเกอร์ซึ่งไม่มีปัญหาด้านการเงิน

ที่มา: zdnet

บริษัทด้านความปลอดภัย Coveware ออกรายงานเกี่ยวกับ Ransomware ประจำ Q3 2020 เมื่อวานที่ผ่านมา โดยหนึ่งในประเด็นของรายงานที่น่าสนใจนั้นคือสถิติเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ไม่รักษาคำพูดกับเหยื่อ ตัวอย่างการโป้ปดที่น่าสนใจมีดังนี้

กลุ่ม REvil หรือ Sodinokibi มีการเรียกค่าเหยื่อรายเดิมซ้ำอีกครั้งหลังจากเหยื่อจ่ายเงินค่าไถ่ไปแล้วหนึ่งอาทิตย์ โดยการใช้ข้อมูลจากข้อมูลชุดเดิม
กลุ่ม Netwalker และ Mespinoza มีการปล่อยข้อมูลของเหยื่อแม้ว่าเหยื่อจะมีการจ่ายค่าไถ่เพื่อไม่ให้มีการปล่อยข้อมูล
กลุ่ม Conti มีการลบไฟล์ปลอมโชว์เหยื่อหลังจากที่เหยื่อจ่ายค่าไถ่แล้ว โดยเก็บไฟล์จริงเอาไว้

ด้วยพฤติกรรมดังกล่าว Coveware จึงมีการเพิ่มคำแนะนำเพิ่มเติมเพื่อแจ้งให้ผู้ที่อาจตกเป็นเหยื่อหรือเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ ดังนี้

ข้อมูลที่ถูกนำไปโดยผู้โจมตีอาจไม่สามารถพิสูจน์ได้ว่าถูกลบจริงหลังจากมีการจ่ายค่าไถ่แล้ว พึงระลึกไว้เสมอว่ากลุ่มมัลแวร์เรียกค่าไถ่อาจมีการแลกเปลี่ยน นำไปขายต่อหรือถือครองข้อมูลเดิมไว้เพื่อเรียกค่าไถ่ซ้ำ
ข้อมูลที่ถูกขโมยไปอาจถูกถือครองโดยบุคคลหลายกลุ่มและอาจไม่ได้รับความปลอดภัยอย่างเหมาะสม แม้กลุ่มมัลแวร์เรียกค่าไถ่จะลบข้อมูลไปแล้วจริง ก็อาจมีการลักลอบเข้าถึงและทำสำเนาข้อมูลเก็บเอาไว้ได้โดยบุคคลที่สาม
ข้อมูลที่ถูกขโมยไปอาจถูกโพสต์หรือถูกปล่อยสู่สาธารณะไม่ว่าจะได้ความตั้งใจหรือไม่ก็ตาม ในบางครั้งกลุ่มมัลแวร์เรียกค่าไถ่อาจตั้งใจโพสต์ก่อนที่จะมีการเรียกค่าไถ่ด้วย

ไอ-ซีเคียวขอแนะนำให้ผู้อ่านพิจารณาข้อเท็จจริงด้านบนเพื่อนำไปใช้ปรับปรุงแผนและแนวทางเพื่อรับมือและตอบสนองเหตุการณ์ความปลอดภัยจากมัลแวร์เรียกค่าไถ่ให้มีประสิทธิภาพมากยิ่งขึ้น

ที่มา: bleepingcomputer

กลุ่ม REvil Ransomware อ้างว่ามีผู้ต้องการซื้อข้อมูล Donald Trump และกำลังเตรียมที่จะประมูลข้อมูลเกี่ยวกับ Madonna

กลุ่ม REvil ransomware หรือเป็นที่รู้จักในชื่อ Sodinokibi ได้ประกาศว่ามีผู้พร้อมซื้อสำหรับเอกสารที่มีข้อมูลเกี่ยวข้องกับประธานาธิบดี Donald Trump ของสหรัฐอเมริกาและกำลังเตรียมที่จะเปิดประมูลข้อมูลของ Madonna และคนดังระดับโลกคนอื่นๆ

กลุ่ม REvil ransomware ได้ทำการโจมตีและเข้าถึงข้อมูลของบริษัท Grubman Shire Meiselas & Sacks (GSMLaw) ซึ่งเป็นบริษัทที่ให้คำปรึกษาทางด้านกฎหมายสำหรับผู้มีชื่อเสียงและนักเเสดงดังมากมาย โดย REvil ได้ทำการขโมยข้อมูลส่วนตัวของบุคคลต่างๆ ออกไปมากกว่า 756 GB และได้กำหนดค่าไถ่เป็นจำนวน 42 ล้านดอลลาร์

GSMLaw ได้ทำการการเจรจากับกลุ่ม REvil ransomware เพื่อขอซื้อข้อมูลที่ถูกรั่วไหลไปแต่การเจรจาไม่เป็นผลทำให้กลุ่ม REvil ransomware ประกาศจะเผยเเพร่เอกสารสำคัญซึ่งเป็นอีเมลมากกว่า 160 ฉบับที่มีข้อมูลเกี่ยวกับ Donald Trump ประธานาธิบดีของสหรัฐอเมริกา หลังจากการประกาศเผยเเพร่ข้อมูลกลุ่ม REvil ransomware อ้างว่าได้รับการติดต่อจากบุคคลที่สนใจที่จะซื้อข้อมูลทั้งหมดเกี่ยวกับประธานาธิบดี Donald Trump

กลุ่ม REvil ransomware ระบุต่อไปว่าพวกเขาวางแผนที่จะทำการเปิดประมูลไฟล์ที่มีข้อมูลเกี่ยวข้องกับ Madonna โดยจะทำการตั้งราคาเริ่มต้นที่ 1 ล้านดอลลาร์

ล่าสุด REvil ได้เผยเเพร่เอกสารที่เกี่ยวข้องกับ Lady Gaga ซึ่งมีขนาด 2.4 GB ในเอกสารที่ทำการเผยเเพร่นั้นประกอบไปด้วย NDA (Non-disclosure agreement) หรือสัญญาที่จะไม่เปิดเผยข้อมูลและสัญญาที่สำคัญต่างๆ

FBI ได้ออกมาเเถลงว่าไม่สนับสนุนให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าขู่กรรโชกของแฮกเกอร์การจ่ายเงินตามความต้องการกรรโชก ซึ่งจะเป็นการส่งเสริมกิจกรรมทางไซเบอร์ และออกคำเเนะนำในการป้องกันว่า บริษัทหรือองค์กรต่างๆ ควรทำการติดตามกิจกรรมและข่าวสารเกี่ยวกับความปลอดภัยในอินเตอร์เน็ตอยู่เสมอ ควรทำการอัพเดตซอฟต์แวร์ใช้ซอฟต์แวร์ป้องกันไวรัสอยู่ตลอดเวลาเพื่อที่จะไม่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์

ที่มา: bleepingcomputer