ทางการฟินแลนด์ได้จับกุมลูกเรือสองคนบนเรือสินค้า ซึ่งเป็นชาวรัสเซียและยูเครน โดยต้องสงสัยว่ามีส่วนเกี่ยวข้องกับมัลแวร์ QakBot ที่แพร่หลาย และกลุ่มอาชญากรรมไซเบอร์ ‘Ruskula’ หรือที่รู้จักกันในชื่อ ‘Fin7’ การจับกุมครั้งนี้เป็นผลมาจากการปฏิบัติการระหว่างประเทศครั้งใหญ่ที่นำโดย FBI ซึ่งได้รื้อถอนโครงสร้างพื้นฐานของ QakBot ไปเมื่อเดือนสิงหาคม 2023 ผู้ต้องสงสัยถูกกล่าวหาว่ามีบทบาทสำคัญในการดำเนินการของกลุ่ม ซึ่งก่อให้เกิดความเสียหายทางการเงินอย่างมากทั่วโลก และจะถูกส่งตัวผู้ร้ายข้ามแดนไปยังสหรัฐอเมริกาเพื่อดำเนินคดีต่อไป
Severity: ปานกลาง
System Impact:
- เหยื่อมัลแวร์ QakBot/Fin7 ทั่วโลก (ในอดีต)
- หน่วยงานบังคับใช้กฎหมายระหว่างประเทศ (FBI, ตำรวจอาชญากรรมกลางฟินแลนด์)
- ระบบยุติธรรม (สหรัฐอเมริกา, ฟินแลนด์)
Technical Attack Steps:
- การเข้าถึงเบื้องต้นผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบหรือลิงก์ที่เป็นอันตราย
- การติดตั้งมัลแวร์ QakBot เพื่อสร้างการเข้าถึงเบื้องต้นและคงอยู่
- การเคลื่อนที่ภายในเครือข่ายของเหยื่อเพื่อยกระดับสิทธิ์และสำรวจระบบ
- การติดตั้งแรนซัมแวร์ (มักโดยกลุ่มย่อยที่ใช้สิทธิ์เข้าถึงของ QakBot) เพื่อเข้ารหัสข้อมูลสำคัญ
- การขโมยข้อมูลที่ละเอียดอ่อนก่อนหรือระหว่างการเข้ารหัส
- การเรียกค่าไถ่จากเหยื่อเพื่อถอดรหัสข้อมูลและ/หรือป้องกันการเผยแพร่
Recommendations:
Short Term:
- ทำการสแกนระบบทันทีเพื่อหา Indicators of Compromise (IoCs) ของ QakBot
- ตรวจสอบให้แน่ใจว่าโซลูชัน Endpoint Detection and Response (EDR) ได้รับการอัปเดตและกำลังตรวจสอบอย่างมีประสิทธิภาพ
- แยกเครือข่ายหรือระบบที่น่าสงสัยออกทันที
- ทบทวนการกำหนดค่าความปลอดภัยอีเมลเพื่อบล็อกไฟล์แนบ/ลิงก์ที่เป็นอันตราย
Long Term:
- ดำเนินการฝึกอบรมสร้างความตระหนักด้านความปลอดภัยสำหรับพนักงานทุกคน โดยเน้นการป้องกันฟิชชิ่ง
- บำรุงรักษาการอัปเดตแพทช์และซอฟต์แวร์ทั้งหมดอย่างสม่ำเสมอ
- ใช้การยืนยันตัวตนแบบ Multi-Factor Authentication (MFA) สำหรับระบบและบัญชีที่สำคัญทั้งหมด
- พัฒนและทดสอบแผนรับมือเหตุการณ์อย่างสม่ำเสมอ
- นำหลักการแบ่งส่วนเครือข่าย (Network Segmentation) และสิทธิ์การเข้าถึงแบบ Least Privilege มาใช้
- สำรองข้อมูลสำคัญอย่างสม่ำเสมอ และตรวจสอบให้แน่ใจว่าข้อมูลสำรองถูกแยกและสามารถกู้คืนได้
Source: https://cybersecuritynews.com/finland-arrests-two-cargo-ship-crew-members/
Share this content: