VexTrio
นักวิจัยของ Infosec ได้ค้นพบเว็บไซต์มากกว่า 70,000 แห่งที่เชื่อว่าถูกต้องตามกฎหมายซึ่งถูกแย่งชิงและรวมเข้ากับเครือข่ายที่อาชญากรใช้เพื่อเผยแพร่มัลแวร์ โฮสต์หน้าฟิชชิ่ง และแบ่งปันเนื้อหาที่ผิดกฎหมายอื่น ๆ เครือข่ายนี้เรียกว่า VexTrio โดยหลักแล้วจะดำเนินการตรวจไม่พบนับตั้งแต่ก่อตั้งในปี 2560 หรืออาจเร็วกว่านั้น อย่างไรก็ตาม การเปิดเผยล่าสุดได้นำเสนอข้อมูลเพิ่มเติมเกี่ยวกับธรรมชาติของปฏิบัติการนี้
สารบัญ
VexTrio เป็นการดำเนินการที่สำคัญซึ่งอาจนำไปสู่ปัญหาด้านความปลอดภัยที่ร้ายแรง
กระบวนการที่อาชญากรไซเบอร์ใช้นั้นไม่ซับซ้อนมากนัก โดยคล้ายคลึงกับระบบกระจายการรับส่งข้อมูล (TDSes) ที่ใช้กันทั่วไปในขอบเขตการตลาดเพื่อนำทางผู้ใช้อินเทอร์เน็ตไปยังไซต์เฉพาะตามความสนใจหรือเกณฑ์ที่คล้ายกัน
ในบริบทของ VexTrio เว็บไซต์นับหมื่นถูกบุกรุก เปลี่ยนเส้นทางผู้เยี่ยมชมไปยังหน้าที่อำนวยความสะดวกในการดาวน์โหลดมัลแวร์ แสดงอินเทอร์เฟซการเข้าสู่ระบบปลอมสำหรับการขโมยข้อมูลประจำตัว หรือมีส่วนร่วมในกิจกรรมฉ้อโกงหรืออาชญากรรมทางไซเบอร์อื่นๆ
เชื่อว่ามีบริษัทในเครือประมาณ 60 แห่งที่เกี่ยวข้องกับเครือข่ายในความสามารถที่หลากหลาย พันธมิตรบางรายสนับสนุนเว็บไซต์ที่ถูกบุกรุก โดยกำหนดเป้าหมายไปยังโครงสร้างพื้นฐาน TDS ของ VexTrio ซึ่งจะนำทางเบราว์เซอร์ของเหยื่อไปยังหน้าเว็บที่เป็นอันตราย โดยทั่วไป TDS จะเปลี่ยนเส้นทางบุคคลเฉพาะเมื่อมีคุณสมบัติตรงตามเกณฑ์ที่กำหนดเท่านั้น
VexTrio เรียกเก็บค่าธรรมเนียมจากบุคคลที่ดำเนินการไซต์หลอกลวงเพื่อช่องทางการรับส่งข้อมูลเว็บในแบบของพวกเขา โดยบุคคลที่จัดหาเว็บไซต์ที่ถูกบุกรุกก็จะได้รับส่วนแบ่งเช่นกัน นอกจากนี้ TDS อาจแนะนำผู้ใช้ให้หลอกลวงเว็บไซต์ที่ดำเนินการโดยทีมงาน VexTrio เอง ทำให้อาชญากรได้รับผลกำไรโดยตรงจากกิจกรรมฉ้อโกงของพวกเขา VexTrio ก่อให้เกิดความเสี่ยงด้านความปลอดภัยที่สำคัญเนื่องจากมีการเข้าถึงที่กว้างขวางและการตั้งค่าที่ซับซ้อน
VexTrio ถูกใช้เพื่อส่งภัยคุกคามมัลแวร์ที่เป็นอันตรายไปยังเหยื่อ
มัลแวร์สายพันธุ์หนึ่งที่เผยแพร่ผ่าน VexTrio คือ SocGholish หรือที่รู้จักกันในชื่อ FakeUpdates และได้กลายเป็นหนึ่งในสายพันธุ์มัลแวร์ที่แพร่หลายมากที่สุดนับตั้งแต่ต้นปี 2024
SocGholish ซึ่งเขียนโค้ดใน JavaScript มักจะเปิดใช้งานเมื่อผู้ใช้เยี่ยมชมเว็บไซต์ที่ถูกบุกรุก มันกำหนดเป้าหมายไปที่เครื่อง Windows โดยเฉพาะ โดยนำเสนอตัวเองเป็นการอัพเดตเบราว์เซอร์ หากได้รับอนุญาตให้ติดตั้งและดำเนินการโดยผู้ใช้ที่ไม่สงสัย SocGholish จะแพร่เชื้อพีซีของพวกเขาด้วยมัลแวร์ลับๆ แรนซัมแวร์ และส่วนประกอบที่เป็นอันตรายอื่นๆ โดยเฉพาะอย่างยิ่ง มีการสังเกตว่า SocGholish ได้ส่ง GootLoader , Dridex , NetSupport , DoppelPaymer และ AZORult ไปยังเครื่องของเหยื่อ มัลแวร์ดังกล่าวมีสาเหตุมาจากกลุ่มที่มีแรงจูงใจทางการเงิน ซึ่งระบุว่าเป็น TA569 และ UNC1543
นอกจากนี้ยังมีหลักฐานที่บ่งชี้ว่า VexTrio ถูกใช้เพื่อเผยแพร่มัลแวร์ ClearFake ที่ขโมยข้อมูล
กลุ่มแรนซัมแวร์ได้รับเงินค่าไถ่จากเหยื่อเป็นประวัติการณ์
ในปี 2023 กลุ่มอาชญากรไซเบอร์ที่เชี่ยวชาญด้านภัยคุกคามแรนซัมแวร์ เผชิญกับการฟื้นตัวที่โดดเด่น โดยมีการชำระเงินทะลุ 1 พันล้านดอลลาร์สหรัฐ และส่งสัญญาณให้เห็นถึงการเพิ่มขึ้นของขนาดและความซับซ้อนของการโจมตีอย่างมาก สิ่งนี้ถือเป็นการเบี่ยงเบนอย่างมีนัยสำคัญจากการลดลงที่สังเกตได้ในปี 2565 นักวิจัยเน้นว่าแนวโน้มโดยรวมระหว่างปี 2562 ถึง 2566 บ่งชี้ว่าปัญหายังคงมีอยู่และเพิ่มขึ้น แม้ว่าการชำระเงินด้วยแรนซัมแวร์จะลดลงชั่วคราวในช่วงปี 2565 สิ่งสำคัญคือต้องทราบว่าตัวเลขที่รายงานไม่ครอบคลุม ผลกระทบทางเศรษฐกิจเต็มรูปแบบ รวมถึงการสูญเสียความสามารถในการผลิตและค่าใช้จ่ายในการซ่อมแซมที่เกิดขึ้นจากผู้ประสบภัย
แท้จริงแล้ว ในปี 2023 พบว่าความถี่ ขนาด และปริมาณของการโจมตีแรนซัมแวร์เพิ่มขึ้นอย่างมาก ซึ่งจัดทำโดยผู้มีบทบาทที่หลากหลาย รวมถึงองค์กรขนาดใหญ่ กลุ่มเล็ก และบุคคล การเกิดขึ้นของ Initial Access Brokers (IAB) มีบทบาทสำคัญในการอำนวยความสะดวกในการโจมตีเหล่านี้โดยให้การเข้าถึงเครือข่าย ซึ่งต่อมาพวกเขาขายให้กับผู้โจมตีแรนซัมแวร์ด้วยต้นทุนที่ค่อนข้างต่ำ
ในแง่ของปลายทางสำหรับเงินที่ได้รับเป็นการชำระค่าไถ่ การแลกเปลี่ยนและเครื่องผสมแบบรวมศูนย์ได้รับการสนับสนุนอย่างต่อเนื่องสำหรับแผนการฟอกเงิน อย่างไรก็ตาม ในปี 2023 บริการใหม่ ๆ เช่น สะพาน บริการแลกเปลี่ยนทันที และบริการการพนัน เกิดขึ้นและได้รับความนิยมอย่างรวดเร็ว
