เครือข่ายโรงพยาบาลในจังหวัด Newfoundland and Labrador (ชื่อเป็นสองเขตแต่เป็นจังหวัดเดียวกัน) ถูกโจมตีไซเบอร์จนระบบไอทีใช้งานไม่ได้จำนวนมาก ทั้งอีเมล, ระบบส่งผลแล็บ, ระบบภาพวิเคราะห์โรค ทำให้โรงพยาบาลในเครือข่ายต้องกลับไปใช้เอกสารกระดาษจนติดขัด ตอนนี้มีคนไข้ถูกยกเลิกนัดแล้วนับพันราย
ตอนนี้ยังไม่มีข้อมูลว่าการโจมตีเป็นรูปแบบใด แต่คาดว่าน่าจะเป็นมัลแวร์เรียกค่าไถ่ โดยเจ้าหน้าที่พบการโจมตีตั้งแต่วันเสาร์ที่ 30 ตุลาคมที่ผ่านมา และเพิ่งกู้ระบบอีเมลได้เมื่อสัปดาห์ที่แล้ว
Europol ประกาศความสำเร็จปฎิบัติการ GoldDust ที่จับกุมผู้เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ ที่หน่วยงานบังคับใช้กฎหมายร่วมมือกัน 17 ชาติ ตามจับกลุ่มที่เกี่ยวข้องกับมัลแวร์ Sodinokibi/REvil
ผู้ถูกจับกุมในปฎิบัติการนี้กระจายอยู่ใน 4 ชาติ ได้แก่
สหรัฐฯ ประกาศตั้งรางวัลนำจับให้กับผู้ให้เบาะแสไปยังบุคคลหรือกลุ่มบุคคลที่อยู่เบื้องหลงกลุ่มมัลแวร์เรียกค่าไถ่ DarkSide โดยรางวัลสูงสุด 10 ล้านดอลลาร์ โดยตัวเลข 10 ล้านนี้เป็นเพดานสูงสุดเท่านั้น ทางกระทรวงต่างประเทศสหรัฐฯ ไม่ได้บอกเกณฑ์การให้รางวัลนำจับว่าต้องทำอย่างไรจึงได้รางวัลสูงสุดเช่นนี้ แต่ตัวรางวัลครอบคลุมเบาะแสที่นำไปสู่การจับกุมทั้งผู้อยู่เบื้องหลังกลุ่ม DarkSide เองและกลุ่มผู้นำมัลแวร์ไปใช้เพื่อแบ่งผลประโยชน์ (affiliate)
Jeremy Fleming ผู้อำนวยการศูนย์ข่าวกรองสหราชอาณาจักร์ (GCHQ) ระบุว่าทางศูนย์จะออก "ไล่ล่า" กลุ่มมัลแวร์เรียกค่าไถ่หลังองค์กรในสหราชอาณาจักรตกเป็นเหยื่อในปีนี้สูงกว่าเดิมเท่าตัว
Fleming ระบุว่าเจ้าหน้าที่ตำรวจและอัยการตามกระบวนการยุติธรรมยังไม่สามารถตามล่ากลุ่มมัลแวร์เหล่านี้ได้ แนวทางหนึ่งที่เป็นไปได้คือการใช้กองกำลังไซเบอร์ที่สหราชอาณาจักรเพิ่งก่อตั้งเมื่อปีที่แล้วมาตามล่ากลุ่มเหล่านี้ในเชิงรุก Fleming ยังระบุว่าต้องตามล่าความเชื่อมโยงระหว่างกลุ่มเหล่านี้กับรัฐ (ซึ่งมักหมายถึงรัสเซียที่กลุ่มมัลแวร์ใช้เป็นฐานโจมตี)
FBI, U.S. Cyber Command, และหน่วยงานสอบสวนอีกหลายชาติร่วมมือกับแฮกเซิร์ฟเวอร์ของกลุ่มมัลแวร์เรียกค่าไถ่ REvil เป็นผลสำเร็จ และกำลังตามล่า 0_neday ที่น่าจะเป็นผู้นำกลุ่ม ทาง Reuters อ้างแหล่งข่าวไม่เปิดเผยตัวระบุว่า FBI แฮกเซิร์ฟเวอร์ของ REvil ได้บางส่วนมาระยะหนึ่งแล้ว ก่อนที่กลุ่ม REvil จะปิดเซิร์ฟเวอร์ไปเมื่อกลางปีที่ผ่านมา และหลังจากนั้นกลุ่มก็เปิดเซิร์ฟเวอร์กลับขึ้นมาใหม่จากไฟล์แบ็คอัพซึ่งถูก FBI เจาะไว้ก่อนแล้ว
ในปัจจุบัน การป้องกัน Ransomware ด้วยการเสริมการใช้งานของ EDR นั้น เป็นการทำงานในรูปแบบ Detection and Response ซึ่งจำเป็นต้องให้มัลแวร์ที่เข้ามาโจมตี ได้เริ่มออกคำสั่งไปก่อน แล้วค่อยตามไปดูความผิดปกติ หรือพฤติกรรมที่ไม่เป็นที่ประสงค์ การทำงานแบบนี้ เรียกว่า Post-Execution Prevention และสร้างความเสี่ยงให้กับระบบได้ จากที่เห็นมาใน Ransomware campaign หลาย ๆ ครั้ง
ไมโครซอฟท์ออกรายงานการป้องกันภัยไซเบอร์ประจำปี 2021 ซึ่งครอบคลุมเหตุการณ์ช่วงกลางปี 2020 จนถึงกลางปี 2021 ที่ผ่านมา แสดงถึงระดับภัยที่สูงขึ้นในปีที่ผ่านมา ระบบเศรษฐกิจของกลุ่มคนร้ายในโลกไซเบอร์มีระบบเศรษฐกิจหมุนเวียนในตัวเอง
การโจมตีรูปแบบต่างๆ มีค่าใช้จ่ายเฉลี่ย เช่น ค่าเจาะระบบ 250 ดอลลาร์ (8,000 บาท), ค่าใช้มัลแวร์เรียกค่าไถ่ 66 ดอลลาร์ (2,000 บาท), ค่ารหัสผ่านที่ถูกเจาะ 0.97 ดอลลาร์ (30 บาท) ต่อ 1,000 รายการ, ค่าส่งเมลหลอกลวงแบบเจาะจง (spearphishing) ครั้งละ 100 - 1,000 ดอลลาร์ (3,400 - 34,000 บาท)
มัลแวร์เรียกค่าไถ่ หรือที่เรียกกันคุ้นหูว่า Ransomware ได้พัฒนามาเป็นหนึ่งในอาวุธหลักของอาชญากรในโลกดิจิทัล ซึ่งเท่ากับว่าทุกองค์กรและธุรกิจ ไม่ว่าจะขนาดเท่าใดหรืออยู่ในอุตสาหกรรมไหน ไม่สามารถมองข้ามภัยร้ายนี้ไปได้เลย โดยเฉพาะอย่างยิ่งเมื่ออาชญากรเหล่านี้ได้แสดงให้เห็นแล้วว่าพวกเขาพร้อมที่จะจู่โจมเป้าหมายแบบไม่เลือกหน้า
สหรัฐฯ ออกมาตรการคว่ำบาตร (sanction) บุคคลใดๆ, บริการแลกเปลี่ยนเงินคริปโต, หรือผู้ให้บริการกระเป๋าเงินคริปโต ที่เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ นับเป็นมาตรการล่าสุดที่สหรัฐฯ ใช้จัดการกับกลุ่มมัลแวร์เหล่านี้หลังจัดความร้ายแรงของปัญหามัลแวร์เรียกค่าไถ่ว่าเทียบเท่าการก่อการร้าย
ช่วงเช้าวันนี้ ศ.เกียรติคุณ นพ.ธีรชัย ฉันทโรจน์ศิริ ผู้อำนวยการโรงพยาบาลสถาบันโรคไตภูมิราชนครินทร์ เข้าแจ้งความกับสถานีตำรวจนครบาลพญาไท ระบุว่าข้อมูลและระบบภายในถูกล็อก ไม่สามารถเข้าใช้ระบบได้ตั้งแต่ช่วงเปิดทำการวันจันทร์
ข้อมูลที่ถูกล็อก เป็นข้อมูลส่วนตัว โรคส่วนตัว รายละเอียดการรักษาของผู้ป่วยราว 40,000 คน รวมถึงข้อมูลเอ็กซ์เรย์ และข้อมูลการฟอกไต คาดว่าถูกล็อกในช่วงเช้าวันจันทร์ ราว 5.30 ผ่านโปรแกรมเข้าใช้งานจากระยะไกล
กลุ่มมัลแวร์เรียกค่าไถ่ BlackMatter ประกาศการโจมตีระบบของบริษัท G-Able ส่งผลให้ข้อมูลในระบบถูกเข้ารหัสเพื่อเรียกค่าไถ่ และมีการนำข้อมูลออกมาจากระบบเพื่อเรียกค่าไถ่เพิ่มเติมอีกด้วย
จากการตรวจสอบที่เว็บไซต์ของกลุ่ม BlackMatter เบื้องต้น กลุ่ม BlackMatter อ้างว่าได้นำไฟล์ข้อมูลออกมาจากระบบ G-Able มากกว่า 100 GB รวมไปถึงได้มีการปล่อยไฟล์จำนวน 650 MB ออกมาก่อนเพื่อเป็นหลักฐานยืนยันว่า BlackMatter มีการครอบครองไฟล์ข้อมูลอยู่จริง
เครือโรงพยาบาล Memorial Health System ในสหรัฐฯ ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ตั้งแต่ช่วงวันอาทิตย์ที่ผ่านมา จนทำให้ต้องยกเลิกนัดผ่าตัดและการตรวจทางรังสีทั้งหมด เหลือเพียงห้องฉุกเฉินในเคสร้ายแรงบางกรณีเท่านั้น
สถานพยาบาลในเครือนี้ประกอบไปด้วยคลีนิค 64 แห่ง และโรงพยาบาลอีก 3 แห่ง ให้บริการแถบเวสต์เวอร์จิเนียร์และโอไฮโอ
ตอนนี้สถานพยาบาลในเครือต้องใช้ชาร์ตคนไข้แบบกระดาษไปก่อน และห้องฉุกเฉินต้องปฎิเสธคนไข้ทั้งหมด เหลือเพียง หลอดเลือดหัวใจอุดตันเฉียบพลัน (STEMI), เส้นเลือกในสมองแตก (STOKE), และอาการบาดเจ็บร้ายแรง (TRAUMA) เท่านั้น
Accenture ผู้ให้คำปรึกษาด้านไอทีรายใหญ่ถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ LockBit 2.0 ระบุว่าได้ข้อมูลออกไปทั้งหมด 6 เทราไบต์ เรียกค่าไถ่ 50 ล้านดอลลาร์ หรือ 1,700 ล้านบาท หากไม่จ่ายค่าไถ่ก็เตรียมเปิดเผยข้อมูลออกสู่สาธารณะ
ทาง Accenture ยืนยันกับ BleepingComputer ว่าถูกโจมตีจริง แต่สามารถตรวจพบความผิดปกติในเครือข่ายและจำกัดการโจมตีได้แล้ว ตอนนี้ระบบที่ได้รับผลกระทบสามารถกู้คืนจากข้อมูลสำรองและทำงานต่อได้แล้ว โดยยังไม่พูดถึงว่าจะเกิดผลกระทบอะไรบ้างหากข้อมูลหลุดออกมาจริง
ตอนนี้ LockBit 2.0 ไม่เปิดเผยว่าข้อมูลที่ได้ไปมีอะไรบ้าง และไม่เปิดเผยหลักฐานว่าได้ข้อมูลไปจริง
กลุ่ม REvil เป็นกลุ่มปล่อยมัลแวร์เรียกค่าไถ่หลายครั้ง ครั้งล่าสุดคือการแฮกผู้ผลิตจซอฟต์แวร์จัดการเครือข่าย Kaseya จนทำให้องค์กรที่ใช้ซอฟต์แวร์นี้ถูกเข้ารหัสข้อมูลพร้อมๆ กันนับพันราย แม้ว่าทาง Kaseya จะระบุว่าได้กุญแจมาแล้ว แต่ก็มีข่าวว่าลูกค้าที่ต้องการกุญแจจะต้องเซ็นสัญญาปกปิดความลับทำให้ไม่มีใครโพสกุญแจนี้ออกสู่อินเทอร์เน็ต แต่ล่าสุดกุญแจนี้ (operator key) ก็หลุดออกมาในบอร์ดแฮกเกอร์แห่งหนึ่ง
กุญแจที่ว่าคือ OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s=
สามารถถอดรหัสเหยื่อทุกรายในแคมเปญ Kaseya ได้
Kaseya ผู้ผลิตซอฟต์แวร์จัดการเครือข่ายที่ถูกแฮกเพื่อปล่อยแพตช์ที่ฝังมัลแวร์ไปยังลูกค้า จนมีเหยื่อนับพันราย ประกาศว่าได้รับกุญแจถอดรหัสแบบครอบจักรวาล สามารถถอดรหัสให้กับเหยื่อทุกรายได้
Kaseya ระบุว่าได้รับกุญแจนี้มาจากมือที่สาม (third party) โดยไม่ระบุชื่อบุคคลหรือหน่วยงานชัดเจน และไม่เปิดเผยว่ายอมจ่ายค่าไถ่แทนเหยื่อที่เป็นองค์กรธุรกิจต่างๆ หรือไม่ ก่อนหน้านี้กลุ่ม REvil ประกาศเรียกค่าไถ่เหยื่อรายละ 5 ล้านดอลลาร์ แต่เปิดโอกาสให้เหมาจ่ายแทนเหยื่อทุกรายพร้อมกัน 70 ล้านดอลลาร์
SonicWall แจ้งเตือนลูกค้าที่ใช้ไฟร์วอลล์รุ่นที่หมดอายุไปแล้ว ได้แก่ตระกูล SMA 100 และ ตระกูล SRA ว่ากำลังมีกลุ่มแฮกเกอร์โจมตีองค์กรผ่านทางไฟร์วอลล์เหล่านี้ด้วยช่องโหว่ที่ไม่มีแพตช์
CrowdStrike เป็นผู้รายงานการโจมตีครั้งนี้จากการตรวจสอบเหตุการณ์โจมตีของกลุ่มมัลแวร์เรียกค่าไถ่ BGH (big game hunting) และพบว่าเหยื่อทุกรายใช้ไฟร์วอลล์ตระกูล SRA รุ่นเก่า และเมื่อตรวจสอบล็อกในไฟร์วอลล์พบข้อความ "Virtual Assist Installing Customer App" ในไฟร์วอลล์ หลังจากทดสอบช่องโหว่พบว่าแฮกเกอร์สามารถดึงรหัสผ่านของผู้ใช้ที่กำลังเชื่อมต่ออยู่ออกไปได้ เป็นช่องทางเริ่มต้นสำหรับการโจมตี
กลุ่มมัลแวร์เรียกค่าไถ่ REvil ที่อาศัยช่องโหว่ซอฟต์แวร์จัดการระบบไอที Keseya VSA เจาะเข้าระบบของผู้ให้บริการ (managed service provider - MSP) อีกทีหนึ่ง จนตอนนี้มีธุรกิจที่กระทบแล้วกว่า 1,000 บริษัท ทาง REvil เพิ่มทางเลือกให้เหยื่อทุกรายรวมกันจ่ายค่าไถ่ 70 ล้านดอลลาร์เพื่อซื้อกุญแจปลดล็อกสำหรับทุกองค์กร โดยก่อนหน้านี้ REvil เรียกค่าไถ่เหยื่อแต่ละราย 5 ล้านดอลลาร์
Kaseya VSA ซอฟต์แวร์จัดการระบบไอทีถูกกลุ่มแฮกเกอร์ REvil แฮกและใส่มัลแวร์ลงไปในอัพเดตได้สำเร็จ ทำให้องค์กรจำนวนมากที่ใช้ซอฟต์แวร์จัดการเครือข่ายตัวนี้ถูกเข้ารหัสข้อมูล รวมตอนนี้มีองค์กรตกเป็นเหยื่อแล้วกว่า 200 องค์กร
รายงานระบุว่า REvil เรียกร้องค่าไถ่แต่ละองค์กรไม่เท่ากัน บางองค์กรถูกเรียกค่าไถ่ 5 ล้านดอลลาร์ หรือประมาณ 160 ล้านบาท แต่บางองค์กรถูกเรียกค่าไถ่ 44,999 ดอลลาร์หรือ 1.5 ล้านบาท
Kaseya VSA เป็นซอฟต์แวร์จัดการระบบไอทีครบวงจร ตั้งแต่การมอนิเตอร์เซิร์ฟเวอร์, อุปกรณ์เครือข่าย, ติดตั้งแพตช์บนไคลเอนต์ โดยนิยมใช้งานในกลุ่มบริษัทผู้ให้บริการจัดการระบบไอที (managed service provider - MSP) ตอนนี้มี MSP ถูกโจมตีแล้วอย่างน้อย 8 ราย
Fujifilm ยอมรับว่าถูกมัลแวร์เรียกค่าไถ่โจมตีเมื่อวันที่ 4 มิถุนายนที่ผ่านมา แต่ระบุว่าสามารถกู้ระบบคืนได้ทั้งหมดภายในสัปดาห์นี้โดยที่ไม่ได้จ่ายค่าไถ่
ทาง Fujifilm ไม่เปิดเผยว่าคนร้ายเรียกค่าไถ่เท่าใด และไม่ตอบคำถามว่าคนร้ายขู่ว่าจะเอาข้อมูลออกไปเปิดเผยหรือไม่
แนวทางของคนกลุ่มคนร้ายมัลแวร์เรียกค่าไถ่ในช่วงหลายปีที่ผ่านมามักทำลายข้อมูลเพื่อให้ดำเนินธุรกิจไม่ได้ไปพร้อมๆ กับขโมยข้อมูลออกไปแล้วข่มขู่จะเปิดเผยข้อมูลเพื่อบีบให้เหยื่อจ่ายค่าไถ่
ที่มา - Verdict.co.uk
NIST ออกร่างเอกสารเฟรมเวิร์คการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่ NISTIR-8374 ระบุถึงแนวทางการจัดการความเสี่ยงมัลแวร์เรียกค่าไถ่หรือ ransomware วางแนวทางให้องค์กร
เนื้อหาในเอกสารส่วนใหญ่ระบุถึงความเสี่ยงต่างๆ ของมัลแวร์เรียกค่าไถ่แล้วย้อนกลับไปถึงแนวทางการจัดการความปลอดภัยไซเบอร์รูปแบบอื่นๆ ที่มีเอกสารแนวทางมาก่อนหน้านี้แล้ว แต่ต้วเอกสารเองก็มีคำแนะนำโดยรวม เช่น
Cybereason บริษัทให้คำปรึกษาด้านความปลอดภัยไซเบอร์ออกรายงานความเสียหายจากมัลแวร์เรียกค่าไถ่ (ransomware) ต่อธุรกิจ โดยสำรวจจากคนทำงานที่เกี่ยวกับความปลอดภัยไซเบอร์ 1,263 คน โดยองค์กรที่คนเหล่านี้ทำงานอยู่ครึ่งหนึ่งเคยถูกโจมตีด้วยมัลแวร์ประเภทนี้มาก่อน
รายงานพบว่าองค์กรที่เคยเป็นเหยื่อมัลแวร์เรียกค่าไถ่ 80% จะตกเป็นเหยื่ออีกครั้ง และส่วนใหญ่จะตกเป็นเหยื่อมัลแวร์จากกลุ่มแฮกเกอร์เดิม นอกจากนี้ผลกระทบอื่นๆ ต่อองค์กรยังมีอีกหลายด้าน เช่น
กลุ่มแฮกเกอร์มัลแวร์เข้ารหัสเรียกค่าไถ่ Avaddon ที่เคยเป็นข่าวในไทยเมื่อกลางเดือนพฤษภาคมที่ผ่านมาจากการแฮกข้อมูลกลุ่มประกัน AXA ในแถบเอเชียตะวันออกเฉียงใต้ ประกาศเลิกกิจการ พร้อมกับส่งกุญแจถอดรหัสข้อมูลให้กับ Bleeping Computer
ไฟล์กุญแจเข้ารหัสที่ Avaddon ส่งให้มีทั้งหมด 2,934 กุญแจสำหรับเหยื่อแต่ละรายที่เคยถูกโจมตี ทางบริษัท Emsisoft ทดสอบกุญแจบางตัวแล้วพบว่าใช้ถอดรหัสไฟล์ได้จริง
JBS USA ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดในโลก ที่เพิ่งโดนแฮ็กระบบเมื่อต้นเดือนมิถุนายน ออกมายอมรับว่าจ่ายค่าไถ่ให้แฮ็กเกอร์เป็นมูลค่า 11 ล้านดอลลาร์ เพื่อให้ระบบไอทีภายในกลับมาใช้งานได้
ปกติแล้วการยอมจ่ายค่าไถ่ให้แฮ็กเกอร์มักถูกวิจารณ์ว่าเป็นการสร้างมาตรฐานให้แฮ็กเกอร์ไปเจาะระบบที่อื่นต่อไป ซึ่ง Andre Nogueira ซีอีโอของ JBS USA ก็ยอมรับว่าเป็นการตัดสินใจที่ยาก แต่สุดท้ายก็เลือกยอมจ่ายเงิน บริษัทยืนยันว่ามีระบบแบ็คอัพที่ใช้ทดแทนได้เป็นส่วนใหญ่ (vast majority) แต่ก็ไม่ได้เปิดเผยว่ามีระบบใดบ้างที่ได้รับผลกระทบ
FBI ประกาศความสำเร็จในการยึดเงินค่าไถ่ข้อมูลที่บริษัท Colonial Pipeline จ่ายให้กับกลุ่มมัลแวร์ DarkSide เพื่อกู้ข้อมูล ได้บิตคอยน์กลับมา 63.7BTC จากที่จ่ายไปทั้งหมด 75BTC
ทาง Colonial Pipeline จ่ายบิตคอยน์รวม 75BTC ไปยังบัญชีที่ลงท้ายว่า jc9fr
เมื่อวันที่ 8 พฤษภาคมที่ผ่านมา รวมมูลค่า 4.4 ล้านดอลลาร์หรือกว่า 130 ล้านบาท ทาง FBI ติดตามเงินก้อนนี้และพบว่าเงินถูกกระจายไปเรื่อยๆ FBI ไม่เปิดเผยว่าใช้เทคนิคอะไรจึงยึดเงินก้อนนี้ได้ แต่ระบุว่าสามารถดึงเงินเข้าบัญชีลงท้ายว่า fsegq
ที่กุญแจอยู่กับ FBI ได้สำเร็จในวันที่ 27 พฤษภาคมที่ผ่านมา
กระทรวงยุติธรรมสหรัฐฯ ประกาศแนวทางสอบสวนคดีมัลแวร์เรียกค่าไถ่ (ransomware) ให้เท่ากับการก่อการร้าย หลังสหรัฐฯ ถูกโจมตีท่อส่งน้ำมันหลักจนเศรษฐกิจปั่นป่วน
Colonial Pipline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกของสหรัฐฯ จ่ายค่าไถ่ข้อมูลไปทั้งสิ้น 5 ล้านดอลลาร์เพื่อกู้ระบบ
กลุ่มธุรกิจที่ถูกจับตาเป็นพิเศษจากแนวทางการสอบสวนใหม่ ได้แก่ ธุรกิจหลบเลี่ยงโปรแกรมป้องกันไวรัส, เว็บบอร์ดใต้ดิน, ตลาดค้าเงินคริปโต, บริการโฮสต์เว็บแบบป้องกันลูกค้าจากกฎหมาย (bulletproof hosting), บริการ botnet, และบริการฟอกเงิน