Ransomware: จำเป็นต้องพูดมากกว่านี้ไหม?
News

By Jeje - 29/06/2021

การคืนทุนของแรนซัมแวร์ : ท่ามกลางกระแสของการโจมตีแรนซัมแวร์ครั้งใหม่ ในที่สุดเราก็ได้ยินข่าวเชิงบวก: การกู้คืนแรนซัมแวร์ที่หาได้ยากที่จ่ายให้กับองค์กรอาชญากร

กระทรวงยุติธรรมของสหรัฐฯ ได้เรียกคืนค่าไถ่สกุลเงินดิจิทัลส่วนใหญ่ Colonial Pipeline ที่จ่ายให้กับแฮ็กเกอร์ หลังจากที่อาชญากรไซเบอร์แฮ็คเครือข่ายไอทีของตนเมื่อเดือนที่แล้ว ส่งผลให้การส่งมอบเชื้อเพลิงทั้งขึ้นและลงชายฝั่งตะวันออก บริษัทท่อส่งก๊าซชายฝั่งตะวันออกขนาดยักษ์ ซึ่งปิดกิจการเป็นเวลา 11 วันหลังจากการโจมตีที่นำไปสู่การขาดแคลนก๊าซและการขึ้นราคา ยืนยันว่าได้จ่ายเงิน 4.4 ล้านดอลลาร์เป็น bitcoin ให้กับแก๊งแรนซัมแวร์ DarkSide DarkSide ดำเนินการจากยุโรปตะวันออกภายใต้รูปแบบบริการเรียกค่าไถ่และอ้างว่าไม่เกี่ยวข้องกับการเมืองและไม่ได้เชื่อมโยงกับประเทศใด ๆ

ตามที่รองอัยการสูงสุด Lisa Monaco FBI กู้คืน 63.7 Bitcoins จากประมาณ 75 ที่จ่ายโดย Colonial Pipeline ผู้ตรวจสอบที่ติดตามการชำระเงินค่าไถ่จากที่อยู่ Bitcoin หลายแห่ง ได้เงินคืนส่วนใหญ่หลังจากเข้าถึงคีย์ส่วนตัวหรือรหัสผ่านสำหรับหนึ่งในกระเป๋าเงิน Bitcoin ของ DarkSide แม้ว่าจะไม่มีกลวิธีเฉพาะเจาะจงก็ตาม การดำเนินการกู้คืนเป็นการดำเนินการครั้งแรกสำหรับแรนซัมแวร์และหน่วยเฉพาะกิจกรรโชกทางดิจิทัลที่เพิ่งจัดตั้งขึ้นของ Biden Administration “การโจมตีของแรนซัมแวร์เป็นสิ่งที่ยอมรับไม่ได้เสมอ แต่เมื่อพวกเขากำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญ เราจะไม่ละความพยายามในการตอบสนองของเรา” โมนาโกกล่าว DOJ ยังกล่าวอีกว่ามีแผนที่จะประสานงานความพยายามต่อต้านแรนซัมแวร์กับโปรโตคอลชุดเดียวกันกับที่ใช้สำหรับการก่อการร้าย
DarkSide รายงานว่าได้รวบรวมเงินค่าไถ่ bitcoin มากกว่า 90 ล้านดอลลาร์แล้ว แต่ในทางกลับกัน กลุ่มเองก็กลายเป็นเหยื่อเมื่อสูญเสียการเข้าถึงเซิร์ฟเวอร์และสกุลเงินดิจิทัลถูกโอนไปยังกระเป๋าเงินที่ไม่รู้จักในเดือนพฤษภาคม Washington Post รายงานว่ารัฐบาลสหรัฐฯ ไม่ได้อยู่เบื้องหลังการหยุดชะงักของการดำเนินงานของ DarkSide

ท่ามกลางกระแสของการโจมตีแรนซัมแวร์ครั้งใหม่ ในที่สุดเราก็ได้ยินข่าวเชิงบวก: การกู้คืนแรนซัมแวร์ที่หาได้ยากที่จ่ายให้กับองค์กรอาชญากร
เป้าหมายระดับสูง Colonial Pipeline ไม่ใช่ผู้เล่นรายใหญ่เพียงรายเดียวที่ตกเป็นเป้าหมายของการโจมตีแรนซัมแวร์ล่าสุด JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ก็ประสบกับการโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบต่อระบบไอทีในอเมริกาเหนือและออสเตรเลีย ทำให้โรงงานต้องปิดโรงงานและแจ้งเตือนลูกค้าและซัพพลายเออร์ถึงธุรกรรมที่อาจเกิดความล่าช้า ในแถลงการณ์ FBI ระบุว่าการโจมตีของ JBS มาจากแก๊งแรนซัมแวร์ REvil (หรือที่รู้จักในชื่อ Leafroller และ Sodinokbi) และ “ให้คำมั่นที่จะทำงานอย่างขยันขันแข็งเพื่อนำผู้คุกคามเข้าสู่กระบวนการยุติธรรม” นอกจากนี้ยังเน้นย้ำถึงความสำคัญของการเป็นหุ้นส่วนของภาคเอกชนเพื่อให้มั่นใจว่าจะตอบสนองอย่างรวดเร็วต่อจำนวนการบุกรุกทางไซเบอร์ที่เพิ่มขึ้น

ในขณะเดียวกัน JBS รายงานว่า “มีความคืบหน้าอย่างมีนัยสำคัญ” ในการแก้ไขการโจมตีที่กระทบปฏิบัติการในอเมริกาเหนือและออสเตรเลีย

REvil ซึ่งเชื่อมโยงกับรัสเซียได้รับเครดิตในการแฮ็กซัพพลายเออร์ฮาร์ดแวร์ไต้หวัน Quanta Computer และได้เผยแพร่พิมพ์เขียวอุปกรณ์ Apple ที่เป็นความลับในอดีต ตอนนี้ดูเหมือนว่ากลุ่มกำลังทวีความรุนแรงขึ้นโดยมีตัวแทนที่ถูกกล่าวหาว่าเป็นกลุ่มแรนซัมแวร์ที่ขู่ว่าจะเน้นย้ำเป้าหมายในสหรัฐอเมริกาเป็นสองเท่า ในการให้สัมภาษณ์ที่โพสต์ในช่องโทรเลขของ OSINT ของรัสเซีย นับตั้งแต่ถูกลบ โฆษกที่ถูกกล่าวหาได้ยืนยันคำยืนยันดังกล่าวในขณะที่อ้างว่ากลุ่มนี้ไม่กลัวที่จะถูกมองว่าเป็นองค์กรก่อการร้าย ในการตอบสนองต่อการกระทำของสหรัฐฯ โฆษก REvil กล่าวว่า “เนื่องจากไม่มีประโยชน์ที่จะหลีกเลี่ยงเป้าหมายของสหรัฐฯ อีกต่อไป เราจึงได้ยกเลิกข้อจำกัดทั้งหมด จากนี้ไป ทุกหน่วยงานในประเทศนี้สามารถกำหนดเป้าหมายได้”

สนามรบระดับโลก ไม่ใช่แค่สหรัฐอเมริกาที่ต้องดิ้นรนกับภัยคุกคามจากแรนซัมแวร์ที่เพิ่มสูงขึ้น บริษัทในเครือ Fujifilm ของญี่ปุ่นต้องปิดเครือข่ายบางส่วนในต้นเดือนมิถุนายน เมื่อทราบถึงการโจมตีของแรนซัมแวร์ บริษัทกล่าวว่า ได้ดำเนินมาตรการเพื่อระงับระบบที่ได้รับผลกระทบทั้งหมดโดยประสานงานกับหน่วยงานทั่วโลกต่างๆ และกำลังดำเนินการเพื่อประเมินขอบเขตและขนาดของปัญหา Fujifilm ไม่ได้ระบุว่ากลุ่ม ransomware ใดอยู่เบื้องหลังการโจมตี แต่ BleepingComputer รายงานว่า CEO ของ Intel ขั้นสูง Vitali Kremez กล่าวว่าบริษัทดูเหมือนจะติดมัลแวร์ Qbot ณ วันที่ 15 พฤษภาคม 2021 Qbot ทำงานร่วมกับ REvil ransomware กลุ่ม Kremez กล่าวหา .

ในข่าวแรนซัมแวร์แบบสุ่มอื่นๆ Steamship Authority ซึ่งให้บริการเรือข้ามฟากไปยัง Martha’s Vineyard และเกาะ Nantucket ของรัฐแมสซาชูเซตส์ถูกโจมตี บริษัทกล่าวว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อระบบไอทีของบริษัท ไม่ใช่เรดาร์หรือฟังก์ชัน GPS ดังนั้นความปลอดภัยของฝูงบินของบริษัทจึงไม่ตกอยู่ในอันตราย ยังไม่มีข่าวคราวว่าใครเป็นผู้รับผิดชอบการโจมตี และในขณะที่บริการไม่หยุดชะงัก ระบบจองตั๋วได้รับผลกระทบ

ไม่ใช่แค่สหรัฐอเมริกาที่ต้องดิ้นรนกับภัยคุกคามจากแรนซัมแวร์ที่เพิ่มสูงขึ้น
อินเทอร์เน็ตขัดข้อง เมื่อเว็บไซต์ชั้นนำหลายแห่งออฟไลน์ในช่วงสั้น ๆ เมื่อต้นเดือนนี้ เช่น Amazon, Reddit และ The New York Times—ปฏิกิริยาการกระตุกของเข่าเป็นการโจมตีทางไซเบอร์อีกครั้ง คราวนี้เป็น Fastly ซึ่งดำเนินการเครือข่ายการจัดส่งเนื้อหา (CDN) . อย่างรวดเร็ว ซึ่งได้รับเครือข่ายสำรองในระยะเวลาอันสั้น ระบุว่าปัญหาเกิดจากข้อบกพร่องของซอฟต์แวร์ที่เกิดจากการเปลี่ยนแปลงการกำหนดค่าของลูกค้าที่ถูกต้อง ขณะนี้บริษัทกำลังพยายามหาสาเหตุว่าทำไมจุดบกพร่องจึงไม่ปรากฏขึ้นในระหว่างการทดสอบ

ฟิชชิ่งไปแล้ว Microsoft เตือนว่ากลุ่มแฮ็กเกอร์ Nobelium ที่ได้รับการสนับสนุนจากรัสเซียกำลังเตรียมแคมเปญฟิชชิ่งหลังจากควบคุมบัญชีมวยปล้ำที่ใช้โดยหน่วยงานเพื่อการพัฒนาระหว่างประเทศแห่งสหรัฐอเมริกา (USAID) บนแพลตฟอร์มการตลาดทางอีเมล Constant Contact แคมเปญฟิชชิ่งได้กำหนดเป้าหมายบัญชีประมาณ 3,000 บัญชีที่เชื่อมโยงกับหน่วยงานของรัฐ คลังความคิด ที่ปรึกษา และองค์กรพัฒนาเอกชน และส่วนใหญ่พบในสหรัฐอเมริกา แบ็คดอร์อาจเป็นพาหะของกิจกรรมชั่วร้ายต่างๆ ตั้งแต่การขโมยข้อมูลไปจนถึงการแพร่ระบาดในคอมพิวเตอร์เครื่องอื่นบนเครือข่าย

เช่นเดียวกับแรนซัมแวร์ ฟิชชิ่งควรปิดการเตือน รายงานใหม่จาก Barracuda Networks พบว่าอีเมลฟิชชิ่งลักลอบนำระบบป้องกันความปลอดภัยในอดีต มักจะอยู่ในกล่องจดหมายของพนักงานเป็นเวลานานกว่าสามวันโดยเฉลี่ย ข่าวดี: มีพนักงานเพียง 3% ที่ได้รับอีเมลฟิชชิ่งเท่านั้นที่เปิดไฟล์แนบที่เป็นอันตรายหรือตามลิงก์

เพื่อรับมือกับภัยคุกคามความปลอดภัยทางไซเบอร์ เป็นเรื่องดีที่รู้ว่าเรากำลังดำเนินการคืบหน้าเล็กน้อย

Jeje

เป็นผู้ที่มีความสนใจในเทคโนโลยีไอที และ Opensource เช่น Linux OS, CentOS, Zimbra, Zental

Twitter  Facebook  Line  Google+  Stumbleupon  
expand_less