หน่วยงานรักษาความปลอดภัยทางไซเบอร์ชั้นนำในสหรัฐอเมริกาเปิดเผยข้อมูลใหม่ที่น่าตกใจเกี่ยวกับแก๊งค์แรนซัมแวร์ Royal เมื่อวันจันทร์ ซึ่งเป็นการยืนยันรายงานก่อนหน้านี้ว่าแก๊งค์อาจกำลังเตรียมการสำหรับการเปลี่ยนชื่อ ในเดือนมิถุนายน BleepingComputer รายงานว่า Royal ransomware กำลังทดสอบตัวเข้ารหัสใหม่ที่ชื่อ BlackSuit ซึ่งมีความคล้ายคลึงกันกับตัวเข้ารหัสตามปกติของการดำเนินการ ซึ่งสอดคล้องกับรายงานจาก TrendMicro และนักวิจัยด้านความปลอดภัยทางไซเบอร์อื่น ๆ ว่าแก๊งค์กำลังเตรียมการเปลี่ยนชื่อแบรนด์ใหม่หลังจากการตรวจสอบการบังคับใช้กฎหมายที่เพิ่มขึ้นหลังจากการโจมตีที่เมืองดัลลัส
ในการอัปเดตคำแนะนำเดือนมีนาคมเมื่อวันจันทร์ FBI และ Cybersecurity และ Infrastructure Security Agency (CISA) ยืนยันว่าพวกเขาก็เชื่อเช่นกันว่า Royal กำลังเตรียมการเปลี่ยนชื่อ หน่วยงานกล่าวว่า “ตั้งแต่เดือนกันยายน 2565 Royal ได้กำหนดเป้าหมายเหยื่อกว่า 350 รายทั่วโลก และเรียกร้องค่าไถ่จำนวนมากกว่า 275 ล้านเหรียญสหรัฐ Royal ดำเนินการขโมยข้อมูลและการขู่กรรโชกก่อนการเข้ารหัส จากนั้นเผยแพร่ข้อมูลของเหยื่อไปยังไซต์ที่รั่วไหลหากไม่มีการจ่ายค่าไถ่” ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายคนเชื่อว่า Royal ransomware นั้นเป็นภาคแยกของแก๊งแรนซัมแวร์ Conti ซึ่งปิดตัวลงเมื่อปีที่แล้วหลังจากการโจมตีอย่างรุนแรงต่อรัฐบาลคอสตาริกา
Royal มีการดำเนินงานที่ประสบความสำเร็จ โดยบริษัทประกันภัยทางไซเบอร์แห่งหนึ่งกล่าวในเดือนกันยายนว่ากลุ่มนี้ควบคู่ไปกับ BlackCat และ LockBit 3.0 เป็นแรนซั่มแวร์สายพันธุ์ที่พบบ่อยที่สุดในช่วงครึ่งแรกของปี 2023 ในขณะที่ Royal ยังคงทำการโจมตีอย่างต่อเนื่องตั้งแต่เดือนมิถุนายน แต่เมื่อไม่นานมานี้ BlackSuit ransomware ก็ได้ถูกนำไปใช้กับบางองค์กร
ZooTampa หนึ่งในสวนสัตว์ที่ได้รับความนิยมมากที่สุดในสหรัฐอเมริกา ยืนยันกับ Recorded Future News เมื่อเดือนกรกฎาคมว่ากำลังเผชิญกับการโจมตีแรนซัมแวร์ ซึ่งแฮกเกอร์อ้างสิทธิ์ในเวลาต่อมาโดยเรียกตัวเองว่า BlackSuit
ผู้เชี่ยวชาญจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Trend Micro กล่าวเมื่อเดือนพฤษภาคมว่ามีการใช้แรนซัมแวร์กับทั้งผู้ใช้ Windows และ Linux Trend Micro ตรวจสอบสายพันธุ์แรนซัมแวร์ BlackSuit และ Royal และพบว่ามีความคล้ายคลึงกันมากกว่า 90% — ซึ่งเป็นสิ่งที่บริษัทรักษาความปลอดภัยทางไซเบอร์อื่นๆ หลายแห่งได้ยืนยันแล้ว เมื่อวันจันทร์ FBI และ CISA กล่าวว่าผู้โจมตีทั้ง Royal และ BlackSuit ได้รับการสังเกตโดยใช้ซอฟต์แวร์และเครื่องมือโอเพ่นซอร์สตรวจสอบการทำงานของแรนซัมแวร์ เครื่องมือนี้ประกอบด้วย Open source Network tunneling products เช่น Chisel และ Cloudflared รวมถึงไคลเอ็นต์ Secure Shell (SSH), OpenSSH และ MobaXterm เพื่อสร้างการเชื่อมต่อ SSH
คำแนะนำนี้จะให้ข้อมูลอัปเดตเกี่ยวกับสิ่งที่องค์กรต่างๆ สามารถระวังได้ หากพวกเขาสงสัยว่าพวกเขาถูกโจมตีด้วยตัวเข้ารหัส Royal หรือ BlackSuit ก่อนที่จะโจมตีเมืองดัลลัส แก๊งแรนซั่มแวร์ Royal ได้กำหนดเป้าหมายไปที่โรงพยาบาล กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกา (HHS) เตือนโรงพยาบาลและองค์กรต่างๆ ในภาคการดูแลสุขภาพเมื่อเดือนธันวาคมปีที่แล้ว ให้เฝ้าระวังการโจมตีจากกลุ่มแรนซัมแวร์ Royal ทาง HHS กล่าวว่าการโจมตีโดยกลุ่มนี้ต่อสถานพยาบาลกำลังเพิ่มขึ้น กลุ่มดังกล่าวเรียกร้องค่าไถ่ระหว่าง 250,000 ถึง 2 ล้านดอลลาร์ รายงานดังกล่าวพบว่ากลุ่มนี้ใช้ Google Ads ในการโจมตี สำนักงานกฎหมายและธุรกิจหลายสิบแห่งทั่วสหรัฐอเมริกา รวมถึงหนึ่งในสนามแข่งรถที่ได้รับความนิยมมากที่สุดในสหราชอาณาจักร
Source : The Record
