หน่วยงานบังคับใช้กฎหมายในยูเครนและเยอรมนีได้ยืนยันตัวตนของ Oleg Evgenievich Nefedov วัย 35 ปี สัญชาติรัสเซีย ว่าเป็นหัวหน้าแก๊งแรนซัมแวร์ Black Basta และบุคคลดังกล่าวได้ถูกเพิ่มในรายชื่อผู้ต้องการตัวของ Europol และ Interpol นอกจากนี้ ตำรวจยูเครนยังได้ดำเนินการบุกค้นและจับกุมผู้ต้องสงสัยอีกสองคนที่เชื่อว่าทำงานให้กับแก๊ง โดยทำหน้าที่เจาะระบบเริ่มต้น (initial access) และเตรียมการโจมตีแรนซัมแวร์ การระบุตัวตนนี้เป็นผลจากการรั่วไหลของข้อความแชทภายในของแก๊ง Black Basta และความร่วมมือระหว่างประเทศ
Severity: สูง
System Impact:
- องค์กรขนาดใหญ่ทั่วโลก
- บริษัทผู้รับเหมาด้านกลาโหม (Rheinmetall)
- ภาคยานยนต์ (Hyundai Motor Europe)
- โทรคมนาคม (BT Group)
- สาธารณสุข (Ascension)
- หน่วยงานภาครัฐ (ABB)
- สมาคมวิชาชีพ (American Dental Association)
- บริษัทเอาท์ซอร์สเทคโนโลยี (Capita)
- ห้องสมุดสาธารณะ (Toronto Public Library)
- บริษัทไดเรกทอรี (Yellow Pages Canada)
Technical Attack Steps:
- ผู้ต้องสงสัยมีความเชี่ยวชาญในการเจาะระบบที่มีการป้องกันทางเทคนิค
- เกี่ยวข้องกับการเตรียมการโจมตีทางไซเบอร์โดยใช้แรนซัมแวร์
- ทำหน้าที่เป็น ‘hash crackers’ ซึ่งเชี่ยวชาญในการถอดรหัสรหัสผ่านของบัญชีจากระบบข้อมูลโดยใช้ซอฟต์แวร์เฉพาะ
- เมื่อได้ข้อมูลรับรองการเข้าถึงที่เป็นของพนักงานบริษัท ผู้ต้องสงสัยจะเจาะเข้าระบบภายในขององค์กร
- เพิ่มสิทธิ์ของบัญชีที่ถูกขโมยมาเพื่อเตรียมพร้อมสำหรับการโจมตีแรนซัมแวร์ในขั้นตอนต่อไป
Recommendations:
Short Term:
- ตรวจสอบและเสริมสร้างการควบคุมการเข้าถึงระบบและเครือข่ายทั้งหมด
- ดำเนินการแก้ไขช่องโหว่ (Patch Management) ทันทีสำหรับระบบและซอฟต์แวร์ทั้งหมด
- เฝ้าระวังกิจกรรมที่น่าสงสัยในเครือข่ายอย่างใกล้ชิดและตอบสนองต่อการแจ้งเตือนด้านความปลอดภัย
- บังคับใช้นโยบายการเปลี่ยนรหัสผ่านที่แข็งแกร่งและไม่ซ้ำกัน โดยเฉพาะสำหรับบัญชีผู้ใช้ที่มีสิทธิ์สูง
Long Term:
- ใช้และบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับการเข้าถึงทุกระบบและบริการที่เป็นไปได้
- ใช้การจัดการสิทธิ์การเข้าถึง (Privileged Access Management – PAM) เพื่อควบคุมและตรวจสอบบัญชีที่มีสิทธิ์สูง
- จัดฝึกอบรมความตระหนักด้านความปลอดภัยทางไซเบอร์ให้กับพนักงานอย่างสม่ำเสมอ เพื่อให้รู้จักและหลีกเลี่ยงภัยคุกคาม เช่น ฟิชชิ่ง
- ติดตั้งและอัปเดตระบบตรวจจับและป้องกันการบุกรุก (IDS/IPS) รวมถึง Endpoint Detection and Response (EDR)
- พัฒนากลยุทธ์การสำรองข้อมูลที่แข็งแกร่งและทดสอบแผนการกู้คืนข้อมูลเป็นประจำ เพื่อให้สามารถกู้คืนได้ในกรณีที่ถูกโจมตี
Share this content: