แม้แฮกเกอร์ Scattered Spider จะถูกจับ แต่ภัยคุกคามลอกเลียนแบบยังกดดันวงการความปลอดภัย

Mandiant Consulting ซึ่งเป็นบริษัทในเครือของ Google Cloud ได้เปิดเผยว่า กิจกรรมการโจมตีจากกลุ่มแฮกเกอร์ชื่อดังอย่าง Scattered Spider ได้ลดลงอย่างเห็นได้ชัด อย่างไรก็ตาม บริษัทได้เน้นย้ำว่าองค์กรต่างๆ ควรใช้ช่วงเวลาที่การโจมตีลดลงนี้ เพื่อเสริมความแข็งแกร่งด้านความปลอดภัยของตนเอง

Charles Carmakal, CTO ของ Mandiant Consulting ที่ Google Cloud กล่าวกับ The Hacker News ว่า "นับตั้งแต่มีการจับกุมสมาชิกที่คาดว่าเป็นของกลุ่ม Scattered Spider (หรือ $U NC 3944$ ) ในสหราชอาณาจักร Mandiant ยังไม่พบการบุกรุกครั้งใหม่ที่สามารถระบุได้ว่ามาจากกลุ่มนี้โดยตรง"

"นี่คือช่วงเวลาสำคัญที่องค์กรต่างๆ ต้องคว้าโอกาสนี้ไว้ เพื่อศึกษากลยุทธ์ที่ $U NC 3944$ ใช้ได้อย่างมีประสิทธิภาพ ประเมินระบบของตนเอง และเสริมสร้างมาตรการรักษาความปลอดภัยให้แข็งแกร่งขึ้น"

Carmakal ยังเตือนอีกว่า ธุรกิจต่างๆ "ไม่ควรการ์ดตก" เนื่องจากยังมีผู้ไม่หวังดีกลุ่มอื่นๆ เช่น $U NC 6040$ ที่ใช้เทคนิควิศวกรรมสังคม (Social Engineering) คล้ายกับ Scattered Spider เพื่อเจาะเข้าระบบของเป้าหมาย "แม้กลุ่มหนึ่งอาจจะหยุดเคลื่อนไหวชั่วคราว แต่อีกหลายกลุ่มยังคงพยายามโจมตีต่อไป" Carmakal กล่าวเสริม

การพัฒนานี้เกิดขึ้นพร้อมกับการที่ Google ได้เปิดเผยรายละเอียดว่ากลุ่มแฮกเกอร์ที่มุ่งหวังผลประโยชน์ทางการเงินนี้ ได้พุ่งเป้าโจมตี $V Mw a re ESX ih y p er v i sors$ อย่างหนัก โดยเน้นไปที่ภาคธุรกิจค้าปลีก, สายการบิน และการขนส่งในอเมริกาเหนือ

นอกจากนี้ รัฐบาลสหรัฐอเมริกา แคนาดา และออสเตรเลีย ได้ร่วมกันออกคำแนะนำฉบับปรับปรุง โดยระบุถึงเทคนิคและกลยุทธ์ล่าสุดของ Scattered Spider ที่ได้ข้อมูลจากการสืบสวนของ FBI เมื่อไม่นานมานี้

หน่วยงานต่างๆ ระบุว่า "กลุ่ม Scattered Spider เป็นที่รู้จักจากการใช้แรนซัมแวร์หลากหลายชนิดเพื่อขู่กรรโชกข้อมูล โดยล่าสุดมีการใช้แรนซัมแวร์ชื่อ $Dr a g o n F orce$ "

"ผู้โจมตีกลุ่มนี้มักใช้เทคนิควิศวกรรมสังคม เช่น ฟิชชิง (Phishing), การโจมตีด้วยการแจ้งเตือนแบบรัวๆ (Push Bombing) และการโจมตีแบบสลับซิม (SIM Swap Attacks) เพื่อขโมยข้อมูลยืนยันตัวตน, ติดตั้งเครื่องมือควบคุมระยะไกล และหลบเลี่ยงการยืนยันตัวตนแบบหลายปัจจัย (MFA) นอกจากนี้ พวกเขายังใช้เครือข่ายพร็อกซี $[T 1090]$ และเปลี่ยนชื่อเครื่องคอมพิวเตอร์อยู่เสมอเพื่อทำให้การตรวจจับและรับมือทำได้ยากขึ้น"

จากการสังเกตการณ์ยังพบว่า กลุ่มแฮกเกอร์ได้เปลี่ยนกลยุทธ์ โดยจะปลอมตัวเป็นพนักงานเพื่อหลอกล่อให้ฝ่ายไอทีหรือแผนกช่วยเหลือ (Help Desk) ให้ข้อมูลที่ละเอียดอ่อน, รีเซ็ตรหัสผ่านของพนักงาน และโอนย้ายการยืนยันตัวตนแบบหลายปัจจัย (MFA) ของพนักงานไปยังอุปกรณ์ที่แฮกเกอร์ควบคุมอยู่ ซึ่งนับเป็นการเปลี่ยนแปลงจากเดิมที่พวกเขาจะปลอมตัวเป็นเจ้าหน้าที่ Help Desk เพื่อโทรศัพท์หรือส่ง SMS ไปหลอกขอข้อมูลจากพนักงานโดยตรง

ในบางกรณี แฮกเกอร์ยังได้ข้อมูลล็อกอินของพนักงานมาจากตลาดมืด เช่น Russia Market นอกจากนี้ รัฐบาลยังได้ระบุถึงการใช้เครื่องมือมัลแวร์ที่หาได้ง่ายของ Scattered Spider เช่น $A v e M a r ia$ , $R a ccoo n St e a l er$ , $Vi d a r St e a l er$ และ $R a tt y R A T$ เพื่อเข้าควบคุมเครื่องจากระยะไกลและรวบรวมข้อมูลสำคัญ รวมถึงการใช้บริการคลาวด์อย่าง Mega เพื่อลักลอบนำข้อมูลออกไป

"ในหลายกรณี กลุ่ม Scattered Spider จะค้นหาสิทธิ์การเข้าถึง Snowflake ขององค์กรเป้าหมาย เพื่อขโมยข้อมูลจำนวนมหาศาลในเวลาอันสั้น โดยมักจะทำการค้นหาข้อมูล (Query) หลายพันครั้งในทันที" คำแนะนำระบุ "จากข้อมูลของพันธมิตรที่เชื่อถือได้ ในเหตุการณ์ล่าสุด กลุ่ม Scattered Spider อาจมีการปล่อยแรนซัมแวร์ $Dr a g o n F orce$ เข้าไปในเครือข่ายขององค์กรเป้าหมาย เพื่อเข้ารหัสเซิร์ฟเวอร์ $V Mw a re El a s t i c S k y X in t e g r a t e d (ESX i)$ "

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก

แม้แฮกเกอร์ Scattered Spider จะถูกจับ แต่ภัยคุกคามลอกเลียนแบบยังกดดันวงการความปลอดภัย

ระบอบฮุนเซน แทรกแซงครอบงำการเมืองไทยหรือไม่ ระวังจะถูกแทรกแซงครอบงำกลับ

มัดรวมไว้ที่เดียว สรุปเหตุการณ์ไทยปะทะกัมพูชา พฤ 24 ก.ค.68 ทุกคลิปข่าว 116 คลิปตลอด 24 ชั่วโมง

ป๋าแหง็ม ร่วมไว้อาลัย ไพโรจน์ สังวริบุตร เสียชีวิตในวัย 72 ปี ปิดตำนานตั้ม วัยอลวน

แอร์ฯแฉเอง กัปตันกินตับลูกเรือทั้งที่กำลังบินอยู่

Categories

แม้แฮกเกอร์ Scattered Spider จะถูกจับ แต่ภัยคุกคามลอกเลียนแบบยังกดดันวงการความปลอดภัย

คุณอาจจะชอบ