แก๊งแรนซัมแวร์ ‘BianLian’ ขู่กรรโชกข้อมูลจากเหยื่อ
สัปดาห์นี้ผมจะขอพูดถึงแรนซัมแวร์อีกหนึ่งตัวที่อยู่ในกระแสอย่าง “BianLian” ซึ่งเริ่มปฏิบัติการโดยการเปลี่ยนโฟกัสการโจมตีจากการเข้ารหัสไฟล์ของเหยื่อมาเป็นการเลือกเฉพาะข้อมูลที่พบบนเครือข่ายที่เข้าโจมตีและใช้ข้อมูลเหล่านี้เพื่อขู่กรรโชกและเรียกค่าไถ่
โดยเมื่อเร็วๆ นี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ชื่อดังได้เปิดเผยเกี่ยวกับการพัฒนาระบบของ BianLian ทำให้เห็นสัญญาณของกลุ่มภัยคุกคามที่พยายามขู่กรรโชกและเพิ่มแรงกดดันกับเหยื่อ เมื่อช่วงก.ค.ปีที่ผ่านมา
แก๊งแรนซัมแวร์นี้ได้ออกปฏิบัติการและสามารถเจาะระบบองค์กรที่มีชื่อเสียงหลายแห่งได้อย่างง่ายดาย โดยการติดตั้ง backdoor แบบ Go-based ที่กำหนดได้เองในการช่วยรีโมทเข้าไปยังอุปกรณ์ที่บุกรุก เมื่อปฏิบัติการเสร็จสิ้นจะแจ้งไปยังเหยื่อโดยให้เวลา 10 วัน สำหรับการจ่ายเงินค่าไถ่
เมื่อช่วงกลางเดือนมี.ค.ที่ผ่านมา แก๊งแรนซัมแวร์ได้เปิดเผยชื่อองค์กรที่ตกเป็นเหยื่อรวมทั้งหมด 118 องค์กรผ่าน BianLian Portal โดยกว่า 71% ของเหยื่อคือบริษัทที่อยู่ในสหรัฐอเมริกา
มีหนึ่งข้อสังเกตที่น่าสนใจจากการโจมตีครั้งล่าสุดคือ ความพยายามในการสร้างรายได้จากการละเมิดโดยไม่เข้ารหัสไฟล์ของเหยื่อแต่ใช้วิธีการข่มขู่ว่าจะปล่อยข้อมูลที่โจรกรรมมาให้รั่วไหล
แต่ในขณะเดียวกันแก๊งแรนซัมแวร์ก็ยืนยันว่าจะไม่ปล่อยข้อมูลออกมาหรือแม้กระทั้งการเปิดเผยข้อเท็จจริงว่าองค์กรของเหยื่อถูกโจรกรรมข้อมูล หากเหยื่อยอมจ่ายเงินค่าไถ่ เพราะแก๊งเหล่านี้อ้างว่าชื่อเสียงขององค์กรมีผลต่อธุรกิจของเหยื่อ ดังนั้นหากภาพลักษณ์ของเหยื่อได้รับความเสียหาย พวกเขาก็จะเสียประโยชน์ด้วยเช่นกัน
ยิ่งไปกว่านั้น BianLian ได้หยิบยกประเด็นด้านกฏหมายและวิเคราะห์เกี่ยวกับความเสี่ยงที่เหยื่ออาจต้องเผชิญหากมีการเปิดเผยต่อสาธารณะว่าองค์กรนั้นๆ กำลังประสบกับการถูกคุกคามและการละเมิด
ในความเป็นจริงแล้ว เราไม่อาจทราบได้เลยว่าทำไม BianLian ถึงยอมทิ้งกลยุทธ์การเข้ารหัสเพื่อแฮกข้อมูลอาจจะเป็นเพราะ Avast ได้เปิดตัวอุปกรณ์ถอดรหัสฟรีในเดือนม.ค.ที่ผ่านมา เพื่อช่วยให้เหยื่อสามารถกู้คืนไฟล์ที่เข้ารหัสโดยแรนซัมแวร์ได้
หรือเป็นเพราะอุปกรณ์ถอดรหัสนี้ช่วยให้แก๊งแรนซัมแวร์ตระหนักได้ว่า พวกเขาไม่ต้องการข้อมูลส่วนนั้นเพื่อใช้ในการโจมตีและขู่กรรโชกให้เหยื่อยอมจ่ายเงินค่าไถ่อีกต่อไป
อีกทั้ง BianLian ยังมองว่า อุปกรณ์ถอดรหัสนี้จะทำงานได้เฉพาะกับแรนซัมแวร์เวอร์ชันเก่าช่วงต้นปี 2022 เท่านั้น และจะทำให้ไฟล์ที่เข้ารหัส build เสียหายทั้งหมด
การเข้ารหัสไฟล์ การโจรกรรมข้อมูลและการขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยนั้นเรียกว่ากลยุทธ์ “การขู่กรรโชกซ้ำซ้อน” ซึ่งเป็นรูปแบบการบังคับเพิ่มเติมสำหรับแก๊งแรนซัมแวร์ที่ต้องการเพิ่มแรงกดดันให้กับเหยื่อ
โดยแก๊งแรนซัมแวร์ตระหนักดีว่าในหลายกรณี การรั่วไหลของข้อมูลที่ละเอียดอ่อนถือเป็นแรงจูงใจเหยื่ออย่างดีในการจ่ายเงินค่าไถ่และด้วยเหตุผลเหล่านี้เองที่ทำให้เกิดแรนซัมแวร์แบบไม่มีการเข้ารหัส
เช่น Babuk และ SnapMC และแบบที่อ้างว่าไม่มีส่วนร่วมในการเข้ารหัสไฟล์ RansomHouse, Donut และ Karakurt อย่างไรก็ตาม
กลุ่มแรนซัมแวร์ส่วนใหญ่ยังคงใช้เพย์โหลดในการเข้ารหัสโจมตีระบบ เนื่องจากการหยุดชะงักทางธุรกิจได้สร้างแรงกดดันให้กับเหยื่อจำนวนมากได้เป็นอย่างดี