Nike investigates data breach after extortion gang leaks files

Nike กำลังสอบสวนเหตุการณ์ ‘ความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้น’ หลังจากที่กลุ่มกรรโชกข้อมูล World Leaks ได้เผยแพร่ไฟล์ขนาด 1.4 TB ที่อ้างว่าขโมยมาจากบริษัทยักษ์ใหญ่ด้านชุดกีฬาแห่งนี้ กลุ่ม World Leaks อ้างว่าได้ขโมยไฟล์องค์กรเกือบ 190,000 ไฟล์ที่ให้ข้อมูลเกี่ยวกับการดำเนินธุรกิจของ Nike อย่างไรก็ตาม รายชื่อของ Nike ได้ถูกลบออกจากเว็บไซต์เผยแพร่ข้อมูลของ World Leaks แล้ว ซึ่งอาจบ่งชี้ถึงการเจรจาหรือการจ่ายค่าไถ่ Nike ยังไม่ได้ยืนยันข้อกล่าวหาเรื่องการขโมยข้อมูล และยังไม่มีการยืนยันความเป็นของจริงของไฟล์ที่ถูกเผยแพร่ World Leaks เชื่อว่าเป็นการเปลี่ยนชื่อมาจาก Hunters International ransomware ซึ่งเคยถูกระบุว่าเป็นไปได้ว่าเป็นการเปลี่ยนชื่อมาจาก Hive ransomware ทั้งสองกลุ่มนี้มีประวัติการโจมตีองค์กรใหญ่ๆ หลายแห่ง รวมถึง US Marshals Service, Tata Technologies, Hoya, AutoCanada และ Austal USA นอกจากนี้ World Leaks ยังเชื่อมโยงกับการเจาะแพลตฟอร์มการสาธิตผลิตภัณฑ์ของ Dell และการใช้ช่องโหว่ของอุปกรณ์ SonicWall SMA 100 เพื่อติดตั้งมัลแวร์รูทคิท OVERSTEP

Severity: สูง

System Impact:

• เครือข่ายและระบบปฏิบัติการภายในองค์กรของ Nike (Corporate network and operational systems)
• แพลตฟอร์มการสาธิตผลิตภัณฑ์ของ Dell (Dell’s product demonstration platforms) – เกี่ยวข้องกับ World Leaks affiliates ในเหตุการณ์อื่น
• อุปกรณ์ SonicWall SMA 100 (End-of-life SonicWall SMA 100 devices) – เกี่ยวข้องกับ World Leaks affiliates ในเหตุการณ์อื่น

Technical Attack Steps:

1. การเข้าถึงระบบของ Nike โดยไม่ได้รับอนุญาต (Initial unauthorized access to Nike’s systems) – วิธีการเฉพาะสำหรับ Nike ไม่ได้ระบุไว้
2. การขโมยข้อมูล (Data exfiltration) – World Leaks อ้างว่าขโมยไฟล์องค์กรเกือบ 190,000 ไฟล์ คิดเป็น 1.4 TB
3. การกรรโชกข้อมูล (Extortion) – เผยแพร่ข้อมูลที่ขโมยมาบน Dark Web Data-leak Site เพื่อกดดันให้เหยื่อจ่ายเงิน
4. การเผยแพร่ข้อมูล (Data Leak) – ไฟล์ที่อ้างว่าถูกขโมยจาก Nike ถูกเผยแพร่บนเว็บไซต์ของ World Leaks ก่อนจะถูกลบออกในภายหลัง
5. ในกรณีอื่น ๆ ที่เกี่ยวข้องกับ World Leaks affiliates: การใช้ช่องโหว่ของอุปกรณ์เก่า (exploitation of end-of-life devices) เช่น SonicWall SMA 100 เพื่อติดตั้งมัลแวร์รูทคิท OVERSTEP

Recommendations:

Short Term:

• ดำเนินการสอบสวนภายในอย่างละเอียดเพื่อยืนยันขอบเขตและความถูกต้องของข้อมูลที่ถูกกล่าวหาว่ารั่วไหล
• ประสานงานกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ภายนอกและหน่วยงานบังคับใช้กฎหมาย
• เฝ้าระวังช่องทาง Dark Web อย่างใกล้ชิดสำหรับการเผยแพร่ข้อมูลเพิ่มเติมหรือการอภิปรายที่เกี่ยวข้อง
• ประเมินผลกระทบที่อาจเกิดขึ้นกับข้อมูลองค์กรที่ละเอียดอ่อนและความเป็นส่วนตัวของลูกค้า
• ตรวจสอบและเสริมความแข็งแกร่งให้กับสินทรัพย์ที่เข้าถึงได้จากภายนอก โดยเฉพาะอย่างยิ่งระบบที่มีช่องโหว่ที่ทราบแล้วหรือระบบที่หมดอายุการใช้งาน
• เตรียมพร้อมสำหรับการสื่อสารอย่างโปร่งใสกับผู้ที่ได้รับผลกระทบ (ลูกค้า พนักงาน หน่วยงานกำกับดูแล) ทันทีที่ยืนยันรายละเอียดของเหตุการณ์ได้

Long Term:

• นำโซลูชัน Data Loss Prevention (DLP) ที่แข็งแกร่งมาใช้เพื่อป้องกันการรั่วไหลของข้อมูล
• เสริมสร้างการควบคุมการเข้าถึงและบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับทุกระบบ
• ดำเนินการอัปเดตและแพตช์ซอฟต์แวร์และฮาร์ดแวร์ทั้งหมดอย่างสม่ำเสมอ โดยให้ความสำคัญกับช่องโหว่ที่สำคัญและระบบที่หมดอายุการใช้งาน
• ทำการตรวจสอบความปลอดภัย, การทดสอบการเจาะระบบ (penetration testing) และการประเมินช่องโหว่อย่างสม่ำเสมอ
• จัดให้มีการฝึกอบรมด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องสำหรับพนักงานเพื่อช่วยระบุการโจมตีแบบฟิชชิ่งและการหลอกลวงทางสังคมอื่นๆ
• พัฒนาและทดสอบแผนรับมือเหตุการณ์ (Incident Response Plan) อย่างสม่ำเสมอ รวมถึงขั้นตอนการแจ้งเตือนการรั่วไหลของข้อมูล
• พิจารณานำสถาปัตยกรรม Zero Trust มาใช้
• เสริมสร้างขีดความสามารถด้านข่าวกรองภัยคุกคาม (Threat Intelligence) เพื่อรับทราบข้อมูลเกี่ยวกับภัยคุกคามและกลวิธีของผู้คุกคามที่เกิดขึ้นใหม่

Source: https://www.bleepingcomputer.com/news/security/nike-investigates-data-breach-after-extortion-gang-leaks-files/