รัฐบาลสหรัฐฯ ออกคำแนะนำเร่งด่วนเกี่ยวกับกลุ่ม Ransomware RansomHub หลังจากการโจมตีทางไซเบอร์ของ Halliburton

รัฐบาลสหรัฐฯ ได้ส่งสัญญาณเตือนกลุ่มอาชญากรไซเบอร์ที่น่าเกรงขามอย่าง RansomHub ซึ่งเชื่อว่าเป็นผู้อยู่เบื้องหลังการโจมตีทางไซเบอร์ครั้งใหญ่ต่อบริษัท Halliburton ซึ่งเป็นบริษัทให้บริการน้ำมันที่ใหญ่ที่สุดแห่งหนึ่งของโลก เหตุการณ์โจมตีครั้งล่าสุดนี้ทำให้ภัยคุกคามจากการโจมตีด้วยแรนซัมแวร์ที่เพิ่มมากขึ้นถูกตีแผ่ ทำให้รัฐบาลต้องออกคำแนะนำโดยละเอียดเพื่อควบคุมกิจกรรมอันชั่วร้ายของกลุ่มดังกล่าว

RansomHub โจมตี Halliburton: ดูให้ละเอียดยิ่งขึ้น

เมื่อวันที่ 21 สิงหาคม Halliburton เปิดเผยในเอกสารที่ยื่นต่อสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ว่าระบบของบริษัทถูกบุกรุกโดยบุคคลภายนอกที่ไม่ได้รับอนุญาต แม้ว่าบริษัทจะไม่ได้เปิดเผยรายละเอียดเกี่ยวกับการโจมตีครั้งนี้ แต่มีการคาดเดากันอย่างกว้างขวางว่าเหตุการณ์ดังกล่าวเป็นปฏิบัติการของแรนซัมแวร์ ผู้เชี่ยวชาญในอุตสาหกรรมและแหล่งข้อมูลที่มีชื่อเสียง รวมถึง Dominic Alvieri นักวิจัยด้านแรนซัมแวร์ ได้เชื่อมโยงการโจมตีครั้งนี้กับ RansomHub ซึ่งเป็นกลุ่มที่โด่งดังอย่างรวดเร็วในโลกของอาชญากรรมทางไซเบอร์

รายงานที่เผยแพร่บนแพลตฟอร์มต่างๆ เช่น Reddit แสดงให้เห็นว่า RansomHub อาจขโมยข้อมูลที่ละเอียดอ่อนจาก Halliburton และเรียกร้องค่าไถ่เป็นเงินมหาศาลถึง 45 ล้านเหรียญสหรัฐฯ Bleeping Computer ยังได้สนับสนุนการอ้างสิทธิ์เหล่านี้ โดยชี้ให้เห็นถึงตัวบ่งชี้การประนีประนอม (IoC) เฉพาะเจาะจงที่เกี่ยวข้องกับกิจกรรมของ RansomHub อย่างไรก็ตาม เว็บไซต์รั่วไหลของกลุ่มอาชญากรเรียกค่าไถ่ซึ่งมักใช้เพื่อบังคับให้เหยื่อจ่ายค่าไถ่ ยังไม่ได้ระบุ Halliburton เป็นเหยื่อ ซึ่งบ่งชี้ว่าการเจรจาอาจยังคงดำเนินต่อไป

คำแนะนำจากรัฐบาล: กลยุทธ์ เทคนิค และขั้นตอนของ RansomHub

เพื่อตอบสนองต่อภัยคุกคามที่เพิ่มขึ้นจาก RansomHub หน่วยงานความปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน (CISA) สำนักงานสอบสวนกลาง (FBI) กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) และศูนย์แบ่งปันและวิเคราะห์ข้อมูลหลายรัฐ (MS-ISAC) ได้ออกคำแนะนำร่วมกันเกี่ยวกับกิจกรรมของกลุ่ม คำแนะนำนี้ให้ข้อมูลเชิงลึกที่สำคัญเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่ RansomHub ใช้ในการปฏิบัติการ

ตั้งแต่มีการก่อตั้งขึ้นในเดือนกุมภาพันธ์ 2024 RansomHub ได้โจมตีและทำลายข้อมูลจากเหยื่อมากกว่า 210 ราย เว็บไซต์รั่วไหลของกลุ่มที่ใช้ Tor ในปัจจุบันมีรายชื่อเหยื่อ 180 ราย แต่แหล่งข่าวจากรัฐบาลระบุว่าจำนวนจริงสูงกว่านั้นมาก RansomHub ครอบคลุมภาคส่วนโครงสร้างพื้นฐานที่สำคัญต่างๆ รวมถึงน้ำ ไอที บริการของรัฐบาล การดูแลสุขภาพ และบริการฉุกเฉิน ที่น่าสนใจคือคำแนะนำไม่ได้กล่าวถึงเหยื่อในภาคส่วนพลังงานใดๆ ทำให้เกิดการคาดเดาว่าเหตุการณ์ที่ Halliburton อาจไม่เกี่ยวข้องโดยตรงกับเวลาของคำแนะนำ

ภัยคุกคามจากแรนซัมแวร์ที่เพิ่มมากขึ้น: การเรียกร้องให้มีการเฝ้าระวัง

ในขณะที่กลุ่มแรนซัมแวร์ เช่น RansomHub ยังคงพัฒนาและขยายการดำเนินการต่อไป ความสำคัญของมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งจึงไม่สามารถพูดเกินจริงได้ คำแนะนำของรัฐบาลสหรัฐฯ ถือเป็นการเตือนใจอย่างชัดเจนถึงความจำเป็นอย่างยิ่งที่องค์กรต่างๆ จะต้องเฝ้าระวังและดำเนินการเชิงรุกเพื่อป้องกันภัยคุกคามดังกล่าว

องค์กรต่างๆ ในทุกภาคส่วน โดยเฉพาะในโครงสร้างพื้นฐานที่สำคัญ ควรตรวจสอบคำแนะนำล่าสุด ปฏิบัติตามมาตรการรักษาความปลอดภัยที่แนะนำ และคอยระวังกลวิธีที่เปลี่ยนแปลงไปของกลุ่มแรนซัมแวร์ การโจมตีทางไซเบอร์ของ RansomHub ใน Halliburton เน้นย้ำถึงผลกระทบอันเลวร้ายที่แรนซัมแวร์สามารถมีได้ ไม่เพียงแต่กับบริษัทแต่ละแห่งเท่านั้น แต่ยังรวมถึงอุตสาหกรรมและประเทศทั้งหมดด้วย