272/68 (IT) ประจำวันอังคารที่ 29 กรกฎาคม 2568
หน่วยงานบังคับใช้กฎหมายจากนานาชาติได้ร่วมมือกันปิดเว็บไซต์ .onion ของกลุ่มแรนซัมแวร์ BlackSuit ซึ่งใช้เผยแพร่ข้อมูลเหยื่อบนเครือข่าย TOR โดยมีการขึ้นแบนเนอร์แจ้งการยึดจาก U.S. Homeland Security Investigations และมีโลโก้ของหน่วยงานจาก 17 ประเทศและบริษัท Bitdefender ร่วมในปฏิบัติการนี้ โดยกลุ่ม BlackSuit มีพฤติกรรมรุนแรงต่อโครงสร้างพื้นฐานสำคัญของหลายประเทศ เช่น ภาคอุตสาหกรรม สาธารณสุข หน่วยงานรัฐ และโรงงานผลิตต่าง ๆ
BlackSuit เริ่มดำเนินการมาตั้งแต่เดือนเมษายน 2023 โดยเชื่อว่าเป็นการรีแบรนด์จากกลุ่ม Royal Ransomware ซึ่ง FBI และ CISA ระบุว่ามีความเกี่ยวข้องกับเครือข่ายอาชญากรรมไซเบอร์ Conti ที่เชื่อมโยงกับรัสเซีย ซึ่งกลุ่มดังกล่าวใช้เทคนิคการเจาะระบบผ่านช่องทางต่าง ๆ เช่น Phishing, ช่องโหว่เว็บไซต์, การขโมยรหัส VPN และการใช้เครื่องมือเช่น Mimikatz, Cobalt Strike GMER และมัลแวร์ เช่น Ursnif เพื่อควบคุมเครือข่ายและขโมยข้อมูล กลุ่มเรียกค่าไถ่เหยื่อระหว่าง 1-10 ล้านดอลลาร์ โดยหากไม่จ่ายจะเผยแพร่ข้อมูลบน Tor leak site
FBI และ CISA แนะนำให้องค์กรต่าง ๆ ดำเนินมาตรการป้องกันตามคำแนะนำในเอกสาร Joint Cybersecurity Advisory (CSA) ที่อัปเดตล่าสุดเมื่อสิงหาคม 2024 ซึ่งมีการระบุ TTPs, IoCs และแนวทางลดความเสี่ยงจาก BlackSuit โดยเฉพาะในหน่วยงานโครงสร้างพื้นฐานสำคัญภายใต้แคมเปญ #StopRansomware เพื่อรับมือภัยคุกคามแรนซัมแวร์อย่างมีประสิทธิภาพ
