กลุ่ม Ransomware ใช้ประโยชน์จากชื่อเสียงของ LockBit เพื่อกดดันเหยื่อในการโจมตีครั้งใหม่

อาชญากรไซเบอร์พัฒนากลวิธีของตนอย่างต่อเนื่อง และกลยุทธ์ล่าสุดอย่างหนึ่งของพวกเขาคือการใช้ประโยชน์จากชื่อเสียงของแรนซัมแวร์ LockBit ที่ฉาวโฉ่เพื่อข่มขู่เหยื่อ การโจมตีล่าสุดพบว่าผู้ก่อภัยคุกคามใช้ประโยชน์จากคุณสมบัติ Transfer Acceleration ของ Amazon S3 เพื่อขโมยข้อมูล โดยใช้ชื่อของ LockBit เพื่อสร้างความกลัว แม้ว่าจะไม่ใช่แรนซัมแวร์ที่เกี่ยวข้องก็ตาม

แนวโน้มที่กำลังเติบโต: การใช้บริการคลาวด์อย่างผิดวิธี

นักวิจัยด้านความปลอดภัยจาก Trend Micro พบว่ามีกลุ่ม แรนซัมแวร์ จำนวนมากที่ละเมิด Amazon Web Services (AWS) ผู้โจมตีกำลังฝังข้อมูลรับรอง AWS ไว้ในมัลแวร์เพื่อขโมยข้อมูลอย่างมีประสิทธิภาพมากขึ้นด้วยการอัปโหลดข้อมูลไปยังบัคเก็ต S3 ที่ตนควบคุมอยู่ แม้ว่าผู้โจมตีจะใช้บัญชี AWS ของตนเองหรือที่ขโมยมาก็ได้ แต่ผลลัพธ์ก็เหมือนกัน นั่นคือข้อมูลที่ละเอียดอ่อนจะตกอยู่ในมือของพวกเขา โชคดีที่ AWS ดำเนินการอย่างรวดเร็วโดยระงับบัญชีที่ถูกบุกรุกทันทีที่ได้รับการแจ้งเตือนจาก Trend Micro

แนวโน้มนี้บ่งชี้ว่า ผู้ก่ออาชญากรรมทางไซเบอร์เริ่มใช้ อุปกรณ์คลาวด์ยอดนิยมเป็นอาวุธในการโจมตีมากขึ้น Trend Micro ค้นพบตัวอย่างมากกว่า 30 ตัวอย่างที่มี AWS Access Keys ซึ่งบ่งชี้ว่าแคมเปญเหล่านี้กำลังดำเนินการอยู่และกำลังขยายตัว

ปลอมตัวเป็น LockBit เพื่อรัดเชือกให้แน่นขึ้น

ในการโจมตีครั้งนี้ ผู้ดำเนินการแรนซัมแวร์พยายามปลอมตัวมัลแวร์ของตนเป็น LockBit ซึ่งเป็นชื่อที่ฉาวโฉ่ในโลกของแรนซัมแวร์ โดยการอ้างถึงชื่อของ LockBit ผู้โจมตีมุ่งหวังที่จะเพิ่มแรงกดดันทางจิตใจ ทำให้เหยื่อมีแนวโน้มที่จะยอมจ่ายเงินค่าไถ่เพราะความกลัว แรนซัมแวร์ซึ่งเขียนด้วย Golang สามารถแพร่ระบาดได้ทั้งในระบบ Windows และ macOS แต่ไม่ได้เชื่อมโยงโดยตรงกับกลุ่ม LockBit เดิม

หลังจากดำเนินการแล้ว แรนซัมแวร์จะขโมยรหัสประจำตัวเฉพาะ (UUID) ของเครื่อง ซึ่งใช้ในการสร้างคีย์หลักสำหรับการเข้ารหัสไฟล์ โดยกำหนดเป้าหมายไปที่ประเภทไฟล์เฉพาะ แอบขโมยไปยัง AWS และเปลี่ยนชื่อไฟล์ในกระบวนการ ตัวอย่างเช่น ไฟล์ชื่อ "text.txt" จะกลายเป็น "text.txt..abcd" หลังการเข้ารหัส

ในที่สุด เพื่อเพิ่มระดับความกลัว แรนซัมแวร์จึงเปลี่ยนวอลเปเปอร์ของเหยื่อเป็นข้อความ LockBit 2.0 โดยเชื่อมโยงการโจมตีเข้ากับแก๊งแรนซัมแวร์ที่เป็นที่รู้จักอย่างเท็จ

ภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไปของแรนซัมแวร์

การพัฒนาดังกล่าวเกิดขึ้นในขณะที่ภูมิทัศน์ของแรนซัมแวร์ยังคงเปลี่ยนแปลงไป แม้ว่า LockBit จะ อ่อนแอลงจากความพยายามบังคับใช้กฎหมายระหว่างประเทศ แต่กลุ่มอื่นๆ เช่น RansomHub, Qilin และ Akira ก็เข้ามาแทนที่เพื่อเติมเต็มช่องว่างดังกล่าว โดยเฉพาะอย่างยิ่ง Akira ได้หันกลับไปใช้กลวิธีรีดไถสองต่อ โดยผสมผสานการขโมยข้อมูลกับการเข้ารหัส

นักวิจัยของ SentinelOne ยังได้ค้นพบว่าผู้ที่เกี่ยวข้องกับปฏิบัติการแรนซัมแวร์ Mallox ได้เริ่มใช้แรนซัมแวร์ Kryptina เวอร์ชันดัดแปลงเพื่อเจาะระบบ Linux การกระจายความเสี่ยงนี้แสดงให้เห็นว่ากลุ่มแรนซัมแวร์กำลังผสมข้ามชุดเครื่องมือต่างๆ และสร้างมัลแวร์สายพันธุ์ผสมที่ซับซ้อนมากขึ้น

การต่อสู้กับแรนซัมแวร์

แม้ว่าการโจมตีด้วยแรนซัมแวร์จะมีความซับซ้อนมากขึ้น แต่ก็มีการพัฒนาในเชิงบวกบ้าง ตัวอย่างเช่น Gen Digital ได้ปล่อยโปรแกรมถอดรหัสสำหรับแรนซัมแวร์ Mallox ซึ่งให้โอกาสแก่เหยื่อในการกู้คืนไฟล์ได้ฟรีหากถูกแรนซัมแวร์สายพันธุ์ก่อนหน้านี้โจมตี แม้ว่าวิธีนี้จะไม่ใช่วิธีแก้ปัญหาสำหรับเหยื่อของแรนซัมแวร์ทุกราย แต่ก็แสดงให้เห็นว่ามีความก้าวหน้าในการต่อสู้กับภัยคุกคามเหล่านี้

นอกจากนี้ รายงานล่าสุดของ Microsoft ยังระบุว่า แม้ว่าปริมาณการโจมตีด้วยแรนซัมแวร์โดยรวมจะลดลง แต่เหตุการณ์แรนซัมแวร์ที่เกิดจากมนุษย์กลับเพิ่มขึ้นอย่างมาก การเปลี่ยนแปลงนี้ชี้ให้เห็นถึงการโจมตีแบบมีเป้าหมายมากขึ้น ซึ่งอาชญากรไซเบอร์จะจัดการการทำงานของตนเองอย่างแข็งขัน ทำให้องค์กรต่างๆ ต้องเฝ้าระวังมากขึ้น

การโจมตีด้วยแรนซัมแวร์ยังคงพัฒนาอย่างต่อเนื่อง โดยผู้โจมตีใช้บริการคลาวด์ในทางที่ผิดมากขึ้นเรื่อยๆ และปกปิดความพยายามของตนภายใต้ชื่อที่เป็นที่รู้จัก เช่น LockBit ความซับซ้อนที่เพิ่มมากขึ้นของการโจมตีเหล่านี้หมายความว่าองค์กรต่างๆ จำเป็นต้องก้าวไปข้างหน้า ลงทุนในมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง และระมัดระวังภัยคุกคามใหม่ๆ ที่เกิดขึ้น แม้ว่าชัยชนะบางประการ เช่น การเปิดตัวตัวถอดรหัส จะเป็นก้าวแรกในทิศทางที่ถูกต้อง แต่การต่อสู้กับแรนซัมแวร์ยังคงดำเนินต่อไป