380/67 (IT) ประจำวันอังคารที่ 29 ตุลาคม 2567
กลุ่มแรนซัมแวร์ Fog และ Akira ถูกพบว่าละเมิดเครือข่ายขององค์กรผ่านช่องโหว่ในบัญชี VPN ของ SonicWall โดยผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าการโจมตีดังกล่าว ใช้ประโยชน์จากช่องโหว่ CVE-2024-40766 ซึ่งเป็นจุดบกพร่องร้ายแรงที่เกี่ยวกับการเข้าถึง SSL VPN โดย SonicWall ได้อัปเดตแก้ไขข้อบกพร่องดังกล่าวในเดือนสิงหาคม 2024 อย่างไรก็ตาม ผู้เชี่ยวชาญจาก Arctic Wolf รายงานว่าหลังจากนั้นเพียงหนึ่งสัปดาห์ กลุ่มแรนซัมแวร์ Akira ก็ได้เริ่มโจมตีระบบขององค์กร
จากข้อมูลของ Arctic Wolf พบว่าทั้งสองกลุ่มแรนซัมแวร์นี้ ได้ก่อเหตุละเมิดเครือข่ายองค์กรอย่างน้อย 30 ครั้ง โดย 75% ของการโจมตีนี้เกี่ยวข้องกับ Akira และส่วนที่เหลือมาจากกลุ่ม Fog ซึ่งทั้งสองกลุ่มยังมีการแบ่งปันโครงสร้างพื้นฐานที่ใช้ในการโจมตีร่วมกันด้วย รายงานยังระบุว่า จุดสิ้นสุด (endpoint) ที่ถูกบุกรุกทั้งหมดมีความเสี่ยงต่อช่องโหว่ CVE-2024-40766 เนื่องจากใช้เวอร์ชันที่ยังไม่ได้รับการอัปเดต ซึ่งระยะเวลาตั้งแต่การบุกรุกจนถึงขั้นสามารถเข้ารหัสข้อมูลได้ จะใช้เวลาเพียง 2-10 ชั่วโมง ทั้งนี้ แรนซัมแวร์ทั้งสองกลุ่มเข้าถึงระบบผ่าน VPN/VPS เพื่อลบร่องรอย IP จริงของตน โดย Arctic Wolf ยังเผยว่าบัญชี SSL VPN ที่ถูกโจมตีมักไม่ได้เปิดใช้งานการตรวจสอบแบบหลายปัจจัย (MFA) และไม่รันบริการบนพอร์ตเริ่มต้น 4433 จึงเพิ่มความเสี่ยงให้เครือข่ายเหล่านี้ต่อการบุกรุกที่เกิดขึ้น เมื่อการบุกรุกเกิดขึ้น กลุ่มแรนซัมแวร์จะพุ่งเป้าทำการเข้ารหัสข้อมูลในเครื่องเสมือนและระบบสำรองข้อมูลเป็นลำดับแรก โดยเน้นขโมยข้อมูลสำคัญ เช่น ไฟล์เอกสารและซอฟต์แวร์ลิขสิทธิ์ แต่จะไม่สนใจไฟล์ที่มีอายุมากกว่า 6 เดือน หรือในกรณีที่เป็นไฟล์ข้อมูลที่ละเอียดอ่อนจะไม่เกิน 30 เดือน
กลุ่มแรนซัมแวร์ Fog ซึ่งเริ่มปฏิบัติการตั้งแต่เดือนพฤษภาคม 2024 นั้นมีพันธมิตรที่มักใช้ข้อมูลบัญชี VPN ที่ถูกขโมยในการเข้าถึงระบบ ขณะที่ Akira ซึ่งเป็นกลุ่มแรนซัมแวร์เก่าแก่เพิ่งประสบปัญหาการเข้าถึงเว็บไซต์ในเครือข่าย Tor แต่สามารถกลับมาใช้งานได้อีกครั้งในปัจจุบัน