เจ้าหน้าที่บังคับใช้กฎหมายของยูเครนและเยอรมนีได้ร่วมกันทลายกลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัสเซีย ซึ่งก่อเหตุโจมตีด้วยแรนซัมแวร์ที่มีผลกระทบสูงต่อองค์กรต่างๆ ทั่วโลก สร้างความเสียหายหลายร้อยล้านยูโร ผู้ต้องสงสัย 2 รายที่อยู่ในยูเครนถูกระบุตัวและตรวจค้น โดยพวกเขาเป็นผู้เชี่ยวชาญด้านการถอดรหัสแฮชเพื่อขโมยข้อมูลประจำตัวของพนักงาน นอกจากนี้ ยังมีการระบุตัวผู้จัดตั้งกลุ่มซึ่งเป็นพลเมืองรัสเซียที่เชื่อว่ามีส่วนเกี่ยวข้องกับการปฏิบัติการแรนซัมแวร์ Conti และได้ถูกขึ้นบัญชีแดงของ Interpol กลุ่มนี้ได้โจมตีบริษัท สถาบัน และหน่วยงานภาครัฐในประเทศตะวันตกมาตั้งแต่ปี 2022-2025.
Severity: สูง
System Impact:
- องค์กรทั่วโลก
- เครือข่ายองค์กร
- โครงสร้างพื้นฐานที่สำคัญ
- บริษัท
- สถาบัน
- หน่วยงานภาครัฐในประเทศตะวันตก
Technical Attack Steps:
- ผู้ต้องสงสัยทำหน้าที่เป็น ‘hash crackers’ ใช้เครื่องมือเฉพาะในการดึงและถอดรหัสแฮชรหัสผ่านจากระบบที่ถูกบุกรุก
- ผู้โจมตีใช้ข้อมูลประจำตัวของพนักงานที่ถูกขโมยหรือถอดรหัสเพื่อเคลื่อนที่ภายในเครือข่ายองค์กร (lateral movement)
- ยกระดับสิทธิ์และเข้าควบคุมโครงสร้างพื้นฐานที่สำคัญ
- ติดตั้งแรนซัมแวร์เพื่อเข้ารหัสข้อมูลและระบบที่ละเอียดอ่อน
- ขโมยข้อมูลที่เป็นความลับออกไป
- เรียกค่าไถ่เพื่อแลกกับคีย์ถอดรหัสและเพื่อป้องกันการรั่วไหลของข้อมูล
Recommendations:
Short Term:
- บังคับใช้นโยบายรหัสผ่านที่รัดกุมและใช้งานการยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ใช้ทั้งหมด
- อัปเดตแพตช์และอัปเกรดระบบปฏิบัติการ ซอฟต์แวร์ และแอปพลิเคชันอย่างสม่ำเสมอเพื่อแก้ไขช่องโหว่ที่ทราบ
- ใช้งานโซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและตอบสนองต่อภัยคุกคามบนอุปกรณ์ปลายทาง
Long Term:
- ดำเนินการตรวจสอบความปลอดภัยและการทดสอบการเจาะระบบ (penetration testing) อย่างสม่ำเสมอ
- พัฒนากลยุทธ์การสำรองข้อมูลและการกู้คืนที่แข็งแกร่ง (ตามหลัก 3-2-1 rule) และทดสอบความพร้อมในการใช้งานอย่างสม่ำเสมอ
- จัดให้มีการฝึกอบรมด้านความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องสำหรับพนักงานทุกคน
- แบ่งส่วนเครือข่าย (network segmentation) เพื่อจำกัดการเคลื่อนที่ด้านข้างของภัยคุกคามภายในองค์กร
- ใช้หลักการสิทธิ์ขั้นต่ำ (least privilege) ในการให้สิทธิ์การเข้าถึงข้อมูลและระบบ
- ปรับใช้โซลูชันข่าวกรองภัยคุกคามขั้นสูง (threat intelligence) เพื่อรับทราบข้อมูลภัยคุกคามล่าสุดและปรับปรุงมาตรการป้องกัน
Source: https://cybersecuritynews.com/ukraine-police-exposed-russian-hacker-group/
Share this content: