แก๊งแรนซัมแวร์ BlackCat อ้างความรับผิดชอบการโจมตีท่อส่งก๊าซในยุโรป

วันที่รายงาน : 2 ส.ค.65 [TLP: WHITE]
เรื่อง : แก๊งแรนซัมแวร์ BlackCat อ้างความรับผิดชอบการโจมตีท่อส่งก๊าซในยุโรป
แหล่งข่าว : https://www.bleepingcomputer.com/news/security/blackcat-ransomware-claims-attack-on-european-gas-pipeline/
วันที่แหล่งข่าวเผยแพร่ : 1 ส.ค.65

สาระสำคัญ : แก๊งแรนซัมแวร์ ALPHV หรือที่รู้จักในชื่อ BlackCat อ้างความรับผิดชอบในการโจมตีทางไซเบอร์กับ Creos Luxembourg SA ซึ่งเป็นผู้ให้บริการท่อส่งก๊าซธรรมชาติและเครือข่ายไฟฟ้าในประเทศแถบยุโรปกลาง โดย Encevo เจ้าของ Creos ซึ่งเป็นผู้ส่งพลังงานใน 5 ประเทศในสหภาพยุโรป ได้ประกาศเมื่อวันที่ 25 กรกฎาคม ว่าพวกเขาถูกโจมตีทางอินเทอร์เน็ตเมื่อสุดสัปดาห์ที่ผ่านมาในช่วงระหว่างวันที่ 22 ถึง 23 กรกฎาคม ซึ่งการโจมตีทางไซเบอร์ส่งผลให้พอร์ทัลลูกค้าของ Encevo และ Creos ไม่สามารถใช้งานได้ แต่ก็ไม่มีการหยุดการบริการ และเมื่อวันที่ 28 กรกฎาคม บริษัทได้โพสต์อัปเดตเกี่ยวกับการโจมตีทางไซเบอร์ โดยผลการสอบสวนเบื้องต้นระบุว่าผู้โจมตีได้ขโมยข้อมูลจำนวนหนึ่งจากระบบไป

โดยแก๊งแรนซัมแวร์ ALPHV/BlackCat ได้เพิ่ม Creos ลงในเว็บไซต์ที่ใช้เรียกค่าไถ่เมื่อวันเสาร์ โดยขู่ว่าจะเผยแพร่ไฟล์ที่ขโมยมา 180,000 ไฟล์ ซึ่งมีขนาดรวม 150 GB ซึ่งรวมถึงสัญญา ข้อตกลง หนังสือเดินทาง ตั๋วเงิน และอีเมล แม้ว่าจะยังไม่มีการประกาศเวลาที่แน่นอนสำหรับการดำเนินการนี้ แต่ผู้โจมตีก็จะเปิดเผยภายในวันจันทร์

ALPHV/BlackCat เพิ่งเปิดตัวแพลตฟอร์มแรนซัมแวร์ใหม่ ที่พวกเขาทำให้ข้อมูลที่ถูกขโมยสามารถค้นหาได้โดยผู้เข้าชม โดยมีเป้าหมายเพื่อเพิ่มแรงกดดันต่อเหยื่อของพวกเขาในการทำให้พวกเขาต้องจ่ายค่าไถ่ โดยเป็นที่รู้กันว่า BlackCat เป็นการดำเนินการรีแบรนด์ของ DarkSide ซึ่งปิดตัวลงภายใต้แรงกดดันจากการบังคับใช้กฎหมาย หลังจากการโจมตี ransomware กับ Colonial Pipeline ซึ่งหลังจากปิด DarkSide แล้ว มีการเปลี่ยนชื่อเป็น BlackMatter เพื่อหลบเลี่ยงการบังคับใช้กฎหมาย แต่แรงกดดันยังคงดำเนินต่อไป ทำให้แก๊งค์ต้องปิดตัวลงอีกครั้ง แต่เมื่อเดือนพฤศจิกายน พ.ศ. 2564 ก็ได้มีผู้คุกคามเปิดตัวใหม่เป็น BlackCat/ALPHV ซึ่งมักจะหลีกเลี่ยงเป้าหมายใหญ่ของอเมริกาและพุ่งเป้าหมายไปที่หน่วยงานในยุโรปแทน

NCERT Infoshare beta version (ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ ศปช.) สกมช.

Loading

Related Posts

กลุ่ม Witchetty APT ใช้ Steganography ในการโจมตีหน่วยงานในตะวันออกกลาง

ทีม Symantec Threat Hunter ของ Broadcom ได้สังเกตเห็นกลุ่มจารกรรมทางไซเบอร์ชื่อ Witchetty ใช้ Steganography เพื่อซ่อนแบ็คดอร์ที่ไม่มีเอกสารในโลโก้ Windows โดยกลุ่มนี้ใช้แบ็คดอร์ในการโจมตีรัฐบาลตะวันออกกลาง

Read more

CISA ออกคำแนะนำในการเปลี่ยนไปใช้ TLP 2.0

Cybersecurity and Infrastructure Security Agency (CISA) ได้เผยแพร่คู่มือผู้ใช้เพื่อช่วยองค์กรในการเตรียมตัวสำหรับวันที่ 1 พฤศจิกายน 2022 โดยเปลี่ยนจาก Traffic Light Protocol (TLP) เวอร์ชัน 1.0 เป็น TLP 2.0

Read more

ยูเครนจับกุมกลุ่มอาชญากรไซเบอร์เพื่อขายข้อมูลกว่า 30 ล้านบัญชี

หน่วยงานบังคับใช้กฎหมายของยูเครนเปิดเผยว่าได้จับกุมกลุ่มแฮ็คที่ปฏิบัติการจากเมืองลวิฟ โดยได้รับการสนับสนุนจากรัสเซีย ซึ่งกลุ่มนี้ได้ทำการขายบัญชีกว่า 30 ล้านบัญชีที่เป็นของพลเมืองยูเครนและสหภาพยุโรปบน dark web ซึ่งทำกำไรได้ 372,000 ดอลลาร์ (14 ล้าน UAH) โดยผ่านระบบการชำระเงินทางอิเล็กทรอนิกส์ เช่น YooMoney, Qiwi และ WebMoney ที่ผิดกฎหมายในประเทศ

Read more

Erbium มัลแวร์ตัวใหม่ สามารถขโมยรหัสผ่าน ที่แพร่กระจายไปกับโปรแกรมแคร็กเกม

มัลแวร์ใหม่ที่ขโมยข้อมูล ‘Erbium’ กำลังถูกแพร่กระจายไปกับโปรแกรมการโกงสำหรับวิดีโอเกมยอดนิยม เพื่อใช้ขโมยข้อมูลประจำตัวของเหยื่อและ cryptocurrency wallets

Read more

Sophos ออกแพตซ์แก้ไขช่องโหว่ RCE Zero-Day ในไฟร์วอลล์

บริษัทซอฟต์แวร์รักษาความปลอดภัย Sophos ได้ออกแพตช์อัปเดตไฟร์วอลล์ของบริษัท หลังจากที่พบว่าผู้โจมตีใช้ช่องโหว่ Zero-Day อันใหม่นี้เพื่อโจมตีเครือข่ายของลูกค้า ที่หมายเลขช่องโหว่ CVE-2022-3236 (คะแนน CVSS: 9.8) ส่งผลกระทบต่อ Sophos Firewall v19.0 MR1 (19.0.1) และเวอร์ชั่นที่เก่ากว่า ซึ่งช่องโหว่ดังกล่าวเป็นการแทรกโค้ดในพอร์ทัลผู้ใช้งานและส่วนประกอบ Webadmin ที่อาจส่งผลให้เกิดโค้ดจากระยะไกลได้

Read more

OpIran : กลุ่ม Anonymous ประกาศสงครามกับรัฐบาลอิหร่าน จากสาเหตุการเสียชีวิตของ Mahsa Amini

กลุ่มแฮ็กเกอร์ Anonymous เปิดตัวปฏิบัติการ Operation Iran กับ รัฐบาลอิหร่าน เนื่องมาจากการปราบปรามผู้ประท้วงที่เกิดขึ้นอย่างต่อเนื่อง หลังจากการเสียชีวิตของหญิงสาวชาวอิหร่านที่ชื่อ Mahsa Amini

Read more