RansomHub กลุ่มแรนซัมแวร์สุดอันตราย โจมตีองค์กรกว่า 210 แห่งในหลายอุตสาหกรรม

305/67 (IT) ประจำวันอังคารที่ 3 กันยายน 2567

กลุ่มภัยคุกคามที่เกี่ยวข้องกับกลุ่มแรนซัมแวร์ RansomHub ได้ทำการเข้ารหัสและขโมยข้อมูลจากเหยื่ออย่างน้อย 210 ราย นับตั้งแต่ก่อตั้งกลุ่มในเดือนกุมภาพันธ์ 2024 รัฐบาลสหรัฐฯ รายงานว่า เหยื่อเหล่านี้ครอบคลุมหลายภาคส่วน เช่น ภาคระบบการส่งน้ำและระบบบำบัดน้ำเสีย ภาคเทคโนโลยีสารสนเทศ การบริการและสิ่งอำนวยความสะดวกของรัฐบาล ภาคการดูแลสุขภาพและสาธารณสุข บริการฉุกเฉิน อาหารและการเกษตร บริการทางการเงิน สิ่งอำนวยความสะดวกทางการค้า การผลิตที่สำคัญ การขนส่ง และโครงสร้างพื้นฐานด้านการสื่อสาร ซึ่ง RansomHub เป็นแรนซัมแวร์รูปแบบการบริการเช่าใช้ (ransomware-as-a-service) ก่อนหน้านี้รู้จักกันในชื่อว่า Cyclops และ Knight ซึ่งได้กลายเป็นโมเดลบริการที่มีประสิทธิภาพและประสบความสำเร็จ โดยเพิ่งดึงดูดพันธมิตรจากกลุ่มแรนซัมแวร์ที่มีชื่อเสียงอื่น ๆ เช่น LockBit และ ALPHV (BlackCat)    

ZeroFox ได้ทำการวิเคราะห์และเผยแพร่ข้อมูลเมื่อปลายเดือนที่แล้วกล่าวว่า กิจกรรมของ RansomHub คิดเป็นประมาณ 2% ของการโจมตีทั้งหมดในไตรมาสที่ 1 ปี 2024 เพิ่มขึ้น 5.1% ในไตรมาสที่ 2 และเพิ่มเป็น 14.2% จนถึงไตรมาสที่ 3 โดยกลุ่มนี้ใช้การขู่กรรโชกสองชั้น (double extortion) เพื่อขโมยข้อมูลและเข้ารหัสระบบเพื่อรีดไถเหยื่อ โดยเหยื่อจะถูกกระตุ้นให้ติดต่อกลุ่มผ่าน URL เฉพาะบน Onion URL หากบริษัทเป้าหมายปฏิเสธที่จะจ่ายเงินเรียกค่าไถ่ ข้อมูลของพวกเขาจะถูกเผยแพร่บนเว็บไซต์รั่วไหลข้อมูลนานถึง 90 วัน โดยวิธีการเข้าถึงระบบของเหยื่อจะเริ่มต้นจากการใช้ช่องโหว่ในซอฟต์แวร์ที่ถูกเปิดเผย เช่น Apache ActiveMQ (CVE-2023-46604), Atlassian Confluence Data Center and Server (CVE-2023-22515), Citrix ADC (CVE-2023-3519), F5 BIG-IP (CVE-2023-46747), Fortinet FortiOS (CVE-2023-27997) และ Fortinet FortiClientEMS (CVE-2023-48788) จากนั้นกลุ่มจะทำการสอดแนมและสแกนเครือข่ายเพื่อหลีกเลี่ยงการถูกตรวจจับ โดยยังมีการเข้ารหัสข้อมูลเป็นช่วงๆ เพื่อเร่งกระบวนการขโมยข้อมูล การพัฒนานี้เกิดขึ้นในขณะที่มีการเปิดเผยกลยุทธ์ใหม่ในการขู่กรรโชกแบบซับซ้อน รวมถึงการขู่กรรโชก 3 ถึง 4 ชั้น โดยการโจมตีด้วย DDoS หรือทำการข่มขู่คุกคามบุคคลที่เกี่ยวข้องกับเหยื่อ ซึ่งกลยุทธ์เหล่านี้กำลังกลายเป็นแนวโน้มที่อันตรายในวงการแรนซัมแวร์ โดยกลุ่ม RansomHub ได้รับความสนใจจากหลายกลุ่มทั่วโลก เนื่องจากโมเดล RaaS ที่มีกำไรสูง ซึ่งกระตุ้นให้เกิดแรนซัมแวร์รูปแบบใหม่ๆ และการร่วมมือระหว่างกลุ่มผู้คุกคามในอิหร่านกับกลุ่มแรนซัมแวร์ที่มีชื่อเสียงเพื่อแบ่งปันรายได้จากกิจกรรมผิดกฎหมาย

แหล่งข่าว https://thehackernews.com/2024/09/ransomhub-ransomware-group-targets-210.html