196/68 (IT) ประจำวันพฤหัสบดีที่ 29 พฤษภาคม 2568
กลุ่มแรนซัมแวร์ DragonForce ถูกเปิดเผยว่าอยู่เบื้องหลังการโจมตีระบบของผู้ให้บริการ Managed Service Provider (MSP) โดยใช้ช่องโหว่ของแพลตฟอร์ม SimpleHelp ซึ่งเป็นเครื่องมือ Remote Monitoring and Management (RMM) เพื่อแฮกระบบลูกค้า ทำการ reconnaissance (สำรวจระบบ) เพื่อขโมยข้อมูล และติดตั้งตัวเข้ารหัส (encryptor) บนอุปกรณ์ของลูกค้าหลายรายภายในเครือข่าย MSP
จากรายงานของ Sophos ที่ทำการสืบสวนเหตุการณ์ดังกล่าว พบว่าผู้โจมตีได้ใช้ช่องโหว่เก่าใน SimpleHelp ได้แก่ CVE-2024-57726, CVE-2024-57727 และ CVE-2024-57728 เพื่อเจาะระบบ MSP แล้วใช้ระบบดังกล่าวในการสแกนข้อมูลเครือข่ายลูกค้า เช่น ชื่ออุปกรณ์ การตั้งค่า ผู้ใช้งาน และการเชื่อมต่อ จากนั้นจึงดำเนินการขโมยข้อมูลและพยายามเข้ารหัสระบบเครือข่ายลูกค้า โดยในบางกรณี Sophos Endpoint สามารถป้องกันการโจมตีไว้ได้ แต่บางรายไม่สามารถป้องกันได้ ทำให้ข้อมูลถูกเข้ารหัสและนำไปใช้ในการโจมตีแบบ double extortion
DragonForce ถูกจับตามองเพิ่มขึ้นหลังมีส่วนเกี่ยวข้องกับการแฮในอังกฤษ โดยเฉพาะต่อการโจมตี Marks & Spencer และ Co-op ซึ่งมีการยืนยันว่าข้อมูลลูกค้าจำนวนมากถูกขโมยไป กลุ่มดังกล่าวยังมีแนวโน้มขยายตัวในรูปแบบ Ransomware-as-a-Service (RaaS) แบบ white-label ที่เปิดให้ affiliate รายอื่นนำ encryptor ไปใช้ในชื่อแบรนด์ของตนเอง ทำให้ DragonForce กลายเป็นผู้เล่นรายสำคัญในตลาดแรนซัมแวร์ โดยเฉพาะจากการใช้วิธีเจาะ supply chain ของ MSP ซึ่งทำให้สามารถโจมตีองค์กรจำนวนมากได้จากช่องทางเดียว
