Coinbase Cartel เป็นกลุ่มแรนซัมแวร์น้องใหม่ที่ปรากฏตัวในเดือนกันยายน 2025 โดยแตกต่างจากกลุ่มอื่น ๆ ที่เน้นการเข้ารหัสข้อมูล เพราะกลุ่มนี้มุ่งเป้าไปที่การขโมยข้อมูลเพียงอย่างเดียว เพื่อการโจมตีที่รวดเร็วและลอบเร้นมากขึ้น โดยได้อ้างสิทธิ์ในการโจมตีเหยื่อไปแล้ว 14 รายในเดือนแรกของการปฏิบัติการ ซึ่งเน้นภาคส่วนมูลค่าสูง เช่น สุขภาพ เทคโนโลยี และการขนส่ง โดยเฉพาะอย่างยิ่งในสหรัฐอาหรับเอมิเรตส์ เหยื่อจะได้รับคำขาดให้ชำระค่าไถ่เพื่อกู้คืนข้อมูลที่ถูกขโมย มิฉะนั้นข้อมูลจะถูกเผยแพร่สู่สาธารณะ กลุ่มนี้มีการดำเนินงานที่เป็นอิสระและมีทรัพยากรทางการเงินที่สำคัญ รวมถึงการแสวงหาช่องโหว่ Zero-day.
Severity: สูง
System Impact:
- องค์กรในภาคส่วนต่างๆ (มูลค่ารายได้ตั้งแต่หลายล้านถึงแสนล้านดอลลาร์)
- อุตสาหกรรมการดูแลสุขภาพ
- อุตสาหกรรมเทคโนโลยี
- อุตสาหกรรมการขนส่ง
- สถานพยาบาลในสหรัฐอาหรับเอมิเรตส์
Technical Attack Steps:
- การเข้าถึงเริ่มต้น: ใช้ Social Engineering, Initial Access Brokers (นายหน้าการเข้าถึงเริ่มต้นที่ให้ข้อมูลรับรองที่ถูกบุกรุกไว้ล่วงหน้า) หรือข้อมูลรับรองที่ถูกเปิดเผยจากช่องทางใต้ดิน
- การควบคุมระบบ: ใช้บัญชีผู้ดูแลระบบเพื่อปรับเปลี่ยนการตั้งค่าระบบและแก้ไขไฟล์บันทึก (Log files) เพื่อลดโอกาสในการตรวจจับ
- การขโมยข้อมูล: ขโมยข้อมูลที่สนใจออกจากเครือข่ายอย่างเป็นระบบ
- การข่มขู่: เผยแพร่ชื่อเหยื่อบนเว็บไซต์รั่วไหลข้อมูลของกลุ่ม
- การเรียกค่าไถ่: ให้เวลา 48 ชั่วโมงแก่เหยื่อในการตอบสนองผ่านอินเทอร์เฟซแชทที่กำหนด ตามด้วย 10 วันในการชำระเงินด้วย Bitcoin หรือเจรจาเงื่อนไขค่าไถ่
- การสร้างรายได้: ใช้โครงสร้างพื้นฐานเพื่อสร้างรายได้จากข้อมูลที่ถูกขโมยผ่านช่องทางต่าง ๆ รวมถึงการประมูล
Recommendations:
Short Term:
- บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมด โดยเฉพาะบัญชีผู้ดูแลระบบ
- จัดการแพตช์ (Patch management) อย่างสม่ำเสมอเพื่อป้องกันช่องโหว่ที่ผู้โจมตีใช้ในการเข้าถึง
- รักษาสภาพการสำรองข้อมูลที่ปลอดภัย เพื่อป้องกันการแก้ไขข้อมูล เนื่องจากกลุ่มนี้ไม่ได้เข้ารหัสข้อมูล
Long Term:
- สร้างรายการข้อมูลสำคัญ เพื่อระบุข้อมูลที่ละเอียดอ่อนที่ต้องการการป้องกันที่เพิ่มขึ้น
- ใช้โซลูชัน Threat Intelligence เพื่อรับทราบข้อมูลเกี่ยวกับกลยุทธ์ที่เปลี่ยนแปลงไปของผู้โจมตี
- ใช้บริการ Managed Detection and Response (MDR) เพื่อการตรวจจับและตอบสนองต่อเหตุการณ์ได้อย่างรวดเร็ว
Source: https://cybersecuritynews.com/coinbase-cartel-targets-high-value-sectors/
Share this content: