IT & gadget

แก๊งแรนซัมแวร์ ‘BianLian’ ขู่กรรโชกข้อมูลจากเหยื่อ

By นักรบ เนียมนามธรรม17 เม.ย. 2023 เวลา 9:41 น.
แก๊งแรนซัมแวร์ ‘BianLian’ ขู่กรรโชกข้อมูลจากเหยื่อ

สัปดาห์นี้ผมจะขอพูดถึงแรนซัมแวร์อีกหนึ่งตัวที่อยู่ในกระแสอย่าง “BianLian” ซึ่งเริ่มปฏิบัติการโดยการเปลี่ยนโฟกัสการโจมตีจากการเข้ารหัสไฟล์ของเหยื่อมาเป็นการเลือกเฉพาะข้อมูลที่พบบนเครือข่ายที่เข้าโจมตีและใช้ข้อมูลเหล่านี้เพื่อขู่กรรโชกและเรียกค่าไถ่

โดยเมื่อเร็วๆ นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อดังได้เปิดเผยเกี่ยวกับการพัฒนาระบบของ BianLian ทำให้เห็นสัญญาณของกลุ่มภัยคุกคามที่พยายามขู่กรรโชกและเพิ่มแรงกดดันกับเหยื่อ เมื่อช่วงก.ค.ปีที่ผ่านมา

แก๊งแรนซัมแวร์นี้ได้ออกปฏิบัติการและสามารถเจาะระบบองค์กรที่มีชื่อเสียงหลายแห่งได้อย่างง่ายดาย โดยการติดตั้ง backdoor แบบ Go-based ที่กำหนดได้เองในการช่วยรีโมทเข้าไปยังอุปกรณ์ที่บุกรุก เมื่อปฏิบัติการเสร็จสิ้นจะแจ้งไปยังเหยื่อโดยให้เวลา 10 วัน สำหรับการจ่ายเงินค่าไถ่

เมื่อช่วงกลางเดือนมี.ค.ที่ผ่านมา แก๊งแรนซัมแวร์ได้เปิดเผยชื่อองค์กรที่ตกเป็นเหยื่อรวมทั้งหมด 118 องค์กรผ่าน BianLian Portal โดยกว่า 71% ของเหยื่อคือบริษัทที่อยู่ในสหรัฐอเมริกา

มีหนึ่งข้อสังเกตที่น่าสนใจจากการโจมตีครั้งล่าสุดคือ ความพยายามในการสร้างรายได้จากการละเมิดโดยไม่เข้ารหัสไฟล์ของเหยื่อแต่ใช้วิธีการข่มขู่ว่าจะปล่อยข้อมูลที่โจรกรรมมาให้รั่วไหล

แต่ในขณะเดียวกันแก๊งแรนซัมแวร์ก็ยืนยันว่าจะไม่ปล่อยข้อมูลออกมาหรือแม้กระทั้งการเปิดเผยข้อเท็จจริงว่าองค์กรของเหยื่อถูกโจรกรรมข้อมูล หากเหยื่อยอมจ่ายเงินค่าไถ่ เพราะแก๊งเหล่านี้อ้างว่าชื่อเสียงขององค์กรมีผลต่อธุรกิจของเหยื่อ ดังนั้นหากภาพลักษณ์ของเหยื่อได้รับความเสียหาย พวกเขาก็จะเสียประโยชน์ด้วยเช่นกัน

ยิ่งไปกว่านั้น BianLian ได้หยิบยกประเด็นด้านกฏหมายและวิเคราะห์เกี่ยวกับความเสี่ยงที่เหยื่ออาจต้องเผชิญหากมีการเปิดเผยต่อสาธารณะว่าองค์กรนั้นๆ กำลังประสบกับการถูกคุกคามและการละเมิด

ในความเป็นจริงแล้ว เราไม่อาจทราบได้เลยว่าทำไม BianLian ถึงยอมทิ้งกลยุทธ์การเข้ารหัสเพื่อแฮกข้อมูลอาจจะเป็นเพราะ Avast ได้เปิดตัวอุปกรณ์ถอดรหัสฟรีในเดือนม.ค.ที่ผ่านมา เพื่อช่วยให้เหยื่อสามารถกู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ได้

หรือเป็นเพราะอุปกรณ์ถอดรหัสนี้ช่วยให้แก๊งแรนซัมแวร์ตระหนักได้ว่า พวกเขาไม่ต้องการข้อมูลส่วนนั้นเพื่อใช้ในการโจมตีและขู่กรรโชกให้เหยื่อยอมจ่ายเงินค่าไถ่อีกต่อไป

เนื้อหาที่เกี่ยวข้อง

อีกทั้ง BianLian ยังมองว่า อุปกรณ์ถอดรหัสนี้จะทำงานได้เฉพาะกับแรนซัมแวร์เวอร์ชันเก่าช่วงต้นปี 2022 เท่านั้น และจะทำให้ไฟล์ที่เข้ารหัส build เสียหายทั้งหมด

การเข้ารหัสไฟล์ การโจรกรรมข้อมูลและการขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยนั้นเรียกว่ากลยุทธ์ “การขู่กรรโชกซ้ำซ้อน” ซึ่งเป็นรูปแบบการบังคับเพิ่มเติมสำหรับแก๊งแรนซัมแวร์ที่ต้องการเพิ่มแรงกดดันให้กับเหยื่อ

โดยแก๊งแรนซัมแวร์ตระหนักดีว่าในหลายกรณี การรั่วไหลของข้อมูลที่ละเอียดอ่อนถือเป็นแรงจูงใจเหยื่ออย่างดีในการจ่ายเงินค่าไถ่และด้วยเหตุผลเหล่านี้เองที่ทำให้เกิดแรนซัมแวร์แบบไม่มีการเข้ารหัส

เช่น Babuk และ SnapMC และแบบที่อ้างว่าไม่มีส่วนร่วมในการเข้ารหัสไฟล์ RansomHouse, Donut และ Karakurt อย่างไรก็ตาม

กลุ่มแรนซัมแวร์ส่วนใหญ่ยังคงใช้เพย์โหลดในการเข้ารหัสโจมตีระบบ เนื่องจากการหยุดชะงักทางธุรกิจได้สร้างแรงกดดันให้กับเหยื่อจำนวนมากได้เป็นอย่างดี