แก๊ง REvil แรนซัมแวร์และรางวัลเพื่อความยุติธรรม
ดอกไม้ไฟความปลอดภัยทางไซเบอร์ การโจมตี ransomware ครั้งใหญ่ครั้งล่าสุดอาจส่งผลกระทบระหว่าง 800 ถึง 1,500 บริษัททั่วโลก การโจมตีซัพพลายเชนเริ่มต้นด้วยการโจมตีแบบซัพพลายเชนต่อKaseyaผู้ให้บริการซอฟต์แวร์การจัดการไอทีที่ให้บริการทีมไอทีระดับองค์กรและผู้ให้บริการซอฟต์แวร์ที่มีการจัดการ (MSP) มีรายงานว่าผู้โจมตีเป็นกลุ่มแฮ็คที่เชื่อมโยงกับ REvil Russia ซึ่งรับผิดชอบการโจมตีที่มีรายละเอียดสูงเมื่อเร็ว ๆ นี้เช่นการโจมตีบนโปรเซสเซอร์เนื้อสัตว์ JBS จากสิ่งที่เรารู้จนถึงตอนนี้ ผู้โจมตีใช้ประโยชน์จากช่องโหว่ในแพลตฟอร์มการจัดการ VSA การป้องกัน และการตรวจสอบเครือข่าย VSA ของ Kaseya ผู้เชี่ยวชาญเปรียบเหตุการณ์ดังกล่าวกับการโจมตีของมัลแวร์เรียกค่าไถ่ของ SolarWindsซึ่งส่งผลกระทบต่อระบบนิเวศทั้งหมดของบริษัทโดยใช้การอัปเดตซอฟต์แวร์โทรจัน บริษัทเรียกร้องให้ผู้ใช้ VSA ปิดเซิร์ฟเวอร์ VSAของตนเพื่อป้องกันไม่ให้ถูกบุกรุก ซึ่งเป็นความเคลื่อนไหวที่เริ่มส่งผลกระทบต่อบริษัทอย่างน้อย 36,000 แห่ง
จากแนวโน้มใหม่ ๆ ที่กำลังปรากฏ แก๊งแรนซัมแวร์มักจะใช้เวลาในการขโมยข้อมูลและลบข้อมูลสำรองก่อนที่จะเข้ารหัสอุปกรณ์ของเหยื่อ ซึ่งจะให้แรงจูงใจที่แข็งแกร่งกว่าในการจ่ายเงินเพื่อประกันการกู้คืน ในการโจมตี Kaseya แก๊ง REvil ละเว้นการปฏิบัติเหล่านี้ โดยใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในเซิร์ฟเวอร์ VSA เพื่อทำให้การโจมตีเป็นอัตโนมัติโดยไม่ต้องเข้าถึงเครือข่ายของเหยื่อแต่ละราย ด้วยเหตุนี้ บริษัทจำนวนน้อยลงอาจรู้สึกกดดันที่จะต้องจ่ายเงิน เนื่องจากพวกเขาสามารถกู้คืนเครือข่ายจากการสำรองข้อมูลได้ เว็บไซต์เทคโนโลยี Bleeping Computer ระบุว่ามีเพียงสองบริษัทเท่านั้นที่จ่ายค่าไถ่จากเหยื่อประมาณ 1,500 ราย
จากแนวโน้มใหม่ ๆ ที่กำลังปรากฏ แก๊งแรนซัมแวร์มักจะใช้เวลาในการขโมยข้อมูลและลบข้อมูลสำรองก่อนที่จะเข้ารหัสอุปกรณ์ของเหยื่อ ซึ่งจะให้แรงจูงใจที่แข็งแกร่งกว่าในการจ่ายเงินเพื่อประกันการกู้คืน
ในขณะเดียวกัน แก๊ง REvil ได้หลุดออฟไลน์อย่างลึกลับน้อยกว่าสองสัปดาห์หลังจากการโจมตี Kaseya แม้จะไม่มีคำตอบที่ชัดเจนนักวิจัยก็ได้พิจารณาคำอธิบายที่เป็นไปได้หลายประการ หนึ่งคือเครมลินก้มหน้ากดดันสหรัฐและบังคับให้แก๊งปิดร้าน อีกประการหนึ่งคือเจ้าหน้าที่สหรัฐได้เปิดการโจมตีทางไซเบอร์ของตนเองเพื่อตอบโต้และทำให้กลุ่มออฟไลน์ สุดท้ายนี้ เป็นไปได้ที่เจ้าหน้าที่ของ REvil ตัดสินใจที่จะอยู่นิ่งๆ สักพัก
ในระหว่างนี้ Kaseya ได้เผยแพร่การอัปเดตด้านความปลอดภัยอย่างเร่งด่วนเพื่อแก้ไขช่องโหว่ที่สำคัญใน VSA ที่ REvil ใช้ประโยชน์ บริษัทยังเตือนลูกค้าเกี่ยวกับแคมเปญฟิชชิ่งที่กำลังดำเนินอยู่ซึ่งกำหนดเป้าหมายไปยังลูกค้า VSA ซึ่งนักส่งสแปมใช้ข่าวสารเกี่ยวกับการอัปเดตเหตุการณ์เพื่อส่งอีเมลที่มีลิงก์ที่เป็นอันตรายและ/หรือไฟล์แนบ
“ตามไม่ทันเลย” ด้วยแรนซัมแวร์ที่ถูกกำหนดขึ้นอย่างชัดเจนว่าเป็นภัยคุกคามด้านความมั่นคงแห่งชาติที่สำคัญในปีนี้ อุตสาหกรรมความปลอดภัยทางไซเบอร์และผู้บริหารระดับสูงด้านการรักษาความปลอดภัยทางไซเบอร์กำลังดิ้นรนเพื่อหาความสามารถเพียงพอที่จะจัดการกับแนวรบ Cyber Seekซึ่งเป็นโครงการที่ติดตามอุตสาหกรรมการรักษาความปลอดภัยในโลกไซเบอร์ที่ได้รับการสนับสนุนจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) แห่งสหพันธรัฐรายงานว่ามีงานด้านความปลอดภัยในโลกไซเบอร์มากกว่าครึ่งล้านที่ยังไม่ได้รับการปฏิบัติแม้จะมีความต้องการและงบประมาณด้านความปลอดภัยทางไซเบอร์ขององค์กรที่เพียงพอ
หนึ่งความคิดที่ถูกลอยไปยังที่อยู่ช่องว่างคือการสร้างที่พลเรือน Cyber Security สำรอง กลุ่มผู้ร่างกฎหมายสองพรรคได้ออกกฎหมายเพื่อออกแบบโปรแกรมประเภท National Guard ซึ่งจะอยู่ภายใต้แผนกความมั่นคงและการป้องกันแห่งมาตุภูมิเพื่อจัดการกับภัยคุกคามความปลอดภัยทางไซเบอร์ที่เพิ่มขึ้นซึ่งรัฐบาลสหรัฐเผชิญ นอกจากนี้ รัฐบาลสหรัฐฯ ยังได้ประกาศโครงการ“รางวัลเพื่อความยุติธรรม”ซึ่งเป็นโครงการริเริ่มที่เสนอข้อมูลมูลค่าสูงถึง 10 ล้านดอลลาร์ ซึ่งสามารถช่วยระบุหรือค้นหาอาชญากรไซเบอร์ที่ประสงค์ร้ายที่ทำงานให้กับรัฐบาลต่างประเทศที่มีโครงสร้างพื้นฐานของสหรัฐฯ อยู่ในเป้า
แรนซัมแวร์ตอบโต้ รัฐบาลและภาคอุตสาหกรรมกำลังเพิ่มความพยายามในการจัดการกับการโจมตีของแรนซัมแวร์ ซึ่งได้รับผลดีเป็นพิเศษในปีนี้ US Cyber Security and Infrastructure Security Agency (CISA) ได้เปิดตัวความสามารถในการประเมินตนเองของการตรวจสอบความปลอดภัยของแรนซัมแวร์ซึ่งเป็นโมดูลสำหรับเครื่องมือประเมินความปลอดภัยทางไซเบอร์ (CSET) เครื่องมือที่เรียกว่า RRA ได้รับการออกแบบมาเพื่อช่วยให้องค์กรต่างๆ ค้นพบว่าพวกเขาพร้อมที่จะปกป้องและกู้คืนจากการโจมตีของแรนซัมแวร์ที่กำหนดเป้าหมายไปยังสินทรัพย์ด้านไอทีหรือเทคโนโลยีปฏิบัติการ (OT) ได้ดีเพียงใด
นอกจากนี้ยังมีโครงการ Crowdsource ใหม่ที่ติดตามการชำระเงินและผลกำไรของแรนซัมแวร์ เว็บไซต์นี้มีชื่อว่าRansomwhereช่วยให้ผู้ที่ตกเป็นเหยื่อและผู้เชี่ยวชาญด้านความปลอดภัยสามารถอัปโหลดสำเนาบันทึกค่าไถ่และข้อมูลที่เกี่ยวข้องอื่น ๆ เพื่อสร้างโปรไฟล์ที่ดีขึ้นของผู้โจมตีและวิธีการของพวกเขา โครงการนี้เริ่มต้นโดย Jack Cable นักศึกษาของ Stanford ซึ่งเป็นนักวิจัยที่ Krebs Stamos Group ด้วย
ด้วยแรนซัมแวร์ที่ถูกกำหนดขึ้นอย่างชัดเจนว่าเป็นภัยคุกคามด้านความมั่นคงแห่งชาติที่สำคัญในปีนี้ อุตสาหกรรมความปลอดภัยทางไซเบอร์และผู้บริหารระดับสูงด้านการรักษาความปลอดภัยทางไซเบอร์กำลังดิ้นรนเพื่อหาความสามารถเพียงพอที่จะจัดการกับแนวรบ
จุดข้อมูลที่น่าสนใจอีกประการหนึ่งที่ด้านหน้า ransomware:คาดว่าการเปลี่ยนแปลงบางอย่างที่ด้านหน้าประกันไซเบอร์บนพื้นฐานของการวิจัยใหม่จากการป้องกันว่ารถถังรอยัลสหบริการสถาบัน (RUSI) จากรายงานการวิจัยของ RUSI ที่ตรวจสอบความท้าทายด้านการประกันภัยทางไซเบอร์และความปลอดภัยในโลกไซเบอร์ แนวทางปฏิบัตินี้อาจมีส่วนสนับสนุนการเติบโตของการโจมตีด้วยแรนซัมแวร์ด้วยการเปิดใช้งานการชำระค่าไถ่ ผู้ให้บริการประกันภัยยังผลักดันต้นทุนและข้อกำหนดด้านความคุ้มครองขึ้นเพื่อตอบสนองความต้องการที่เพิ่มขึ้น ตัวอย่างเช่น ผู้จัดการการจัดจำหน่ายจำนวนมากต้องการดูหลักฐานการรักษาความปลอดภัยทางไซเบอร์ของบริษัทโดยละเอียดเพื่อรักษาความปลอดภัยให้กับนโยบาย
การโจมตีโครงสร้างพื้นฐานมีขนาดใหญ่ การโจมตีทางไซเบอร์ครั้งล่าสุดทำให้เกิดความกังวลเกี่ยวกับช่องโหว่ของโครงสร้างพื้นฐาน—และด้วยเหตุผลที่ดี บริการรถไฟในอิหร่านหยุดชะงักเมื่อต้นเดือนนี้ หลังจากการโจมตีระบบคอมพิวเตอร์ของการรถไฟแห่งชาติของประเทศ ทำให้ทั้งรถไฟโดยสารและรถไฟบรรทุกสินค้าล่าช้า
ในระดับที่ละเอียดยิ่งขึ้น ช่องโหว่การเรียกใช้โค้ดจากระยะไกล (RCE) ได้รับการเปิดเผย ซึ่งจะทำให้แฮกเกอร์สามารถควบคุมPLC ของชไนเดอร์ อิเล็คทริคได้ง่ายขึ้นซึ่งถูกใช้งานอย่างหนักในอุปกรณ์อุตสาหกรรม ตั้งแต่อุปกรณ์ในพื้นการผลิตไปจนถึงโครงสร้างพื้นฐานที่สำคัญ นักวิจัยของ Armis ค้นพบข้อบกพร่องใน Modicon PLC ซึ่งใช้กันอย่างแพร่หลายในด้านการผลิต การใช้งานอัตโนมัติ และระบบสาธารณูปโภคด้านพลังงาน นักวิจัยเตือนว่าจุดบกพร่องนี้สามารถใช้ประโยชน์จากการโจมตีได้หลากหลาย ตั้งแต่การติดตั้ง ransomware ไปจนถึงการเปลี่ยนแปลงคำสั่งไปยังเครื่องจักร Schneider Electric กำลังทำงานบนแพทช์
วิศวกรกำหนดเป้าหมายโดยลาซารัส โด่งเกาหลีเหนือกลุ่มแฮ็คได้จุดมุ่งหมายที่วิศวกรในแคมเปญล่าสุดของฟิชชิ่ง Lazarus (หรือที่รู้จักในชื่อ Appleworm) ใช้ข้อเสนองานปลอมเพื่อล่อผู้สมัครงานด้านวิศวกรรมและพนักงานในบทบาทที่เป็นความลับให้คลิกที่ไฟล์แล้วติดตั้งมัลแวร์ที่เป็นอันตรายลงในคอมพิวเตอร์ของผู้รับตามข้อมูลของ AT&T Alien Labs กลุ่มนี้ใช้กลยุทธ์นี้ครั้งแรกในปีที่แล้วในแคมเปญที่เรียกว่า Dreamjob โดยกำหนดเป้าหมายไปที่ผู้รับเหมาด้านการป้องกันประเทศ