แฮกเกอร์เรียกค่าไถ่ Luna Moth ปลอมตัวเป็นแผนกช่วยเหลือด้านไอทีเพื่อเจาะระบบบริษัทในสหรัฐฯ

แฮกเกอร์เรียกค่าไถ่ Luna Moth ปลอมตัวเป็นแผนกช่วยเหลือด้านไอทีเพื่อเจาะระบบบริษัทในสหรัฐฯ

กลุ่มโจมตีไซเบอร์ที่มีชื่อว่า Luna Moth หรือรู้จักในนาม Silent Ransom Group ซึ่งมีเป้าหมายหลักในการขโมยข้อมูลและเรียกร้องค่าไถ่จากองค์กรในสหรัฐอเมริกา โดยใช้วิธีสแปมอีเมล์ปลอมแปลงเป็นฝ่าย IT Help Desk เพื่อหลอกให้เหยื่อโทรกลับและติดต่อรับ “บริการช่วยเหลือ” จากปลอม เมื่อเหยื่อรับสายแล้ว ผู้โจมตีจะปลอมตัวเป็นเจ้าหน้าที่ฝ่ายไอทีและชักจูงให้ติดตั้งซอฟต์แวร์ RMM (Remote Monitoring & Management) ที่ถูกจัดทำขึ้นปลอมจากเว็บไซต์ปลอม โดยซอฟต์แวร์เหล่านี้เป็นเครื่องมือที่มีลายเซ็นดิจิทัลถูกต้องตามที่ใช้งานในองค์กรจริง ทำให้ไม่เกิดการแจ้งเตือนจากระบบความปลอดภัย

ในการกระทำของพวกเขา กลุ่ม Luna Moth ใช้เทคนิค “callback phishing” ซึ่งมีการส่งอีเมล์ที่มีหมายเลขสายโทรของฝ่ายช่วยเหลือ IT ที่ปลอมแปลงให้ดูเหมือนบริการของบริษัทชั้นนำ เช่น บริษัทกฎหมายหรือสถาบันการเงินในสหรัฐฯ โดยในหลายกรณี พวกเขาได้จดทะเบียนโดเมนปลอมไม่น้อยกว่า 37 โดเมนผ่าน GoDaddy โดยใช้รูปแบบการสะกดที่คล้ายกับชื่อบริษัทจริง สิ่งนี้ช่วยเพิ่มความน่าเชื่อถือและหลอกลวงให้เป้าหมายไว้วางใจในการรับสายและดำเนินการตามคำแนะนำของผู้โจมตี

หลังจากที่เหยื่อดำเนินการติดตั้งซอฟต์แวร์ RMM แล้ว ผู้โจมตีจะได้สิทธิ์เข้าควบคุมเครื่องของเหยื่อในรูปแบบการเข้าถึงแบบรีโมท ทำให้สามารถแพร่กระจายไปยังอุปกรณ์อื่น ๆ ภายในเครือข่าย ค้นหาและคัดลอกข้อมูลสำคัญ โดยกระบวนการขโมยข้อมูลนี้จะถูกดำเนินการผ่านเครื่องมือที่หลากหลาย เช่น WinSCP หรือ Rclone หลังจากนั้น กลุ่มโจมตีจะติดต่อองค์กรและขู่คุกคามว่าจะเปิดเผยข้อมูลที่ถูกขโมยหากไม่ชำระค่าไถ่ โดยจำนวนเงินที่เรียกร้องจะอยู่ในช่วงประมาณ 1 ถึง 8 ล้านดอลลาร์สหรัฐฯ

ผู้โจมตีไซเบอร์ในยุคปัจจุบันมีความชาญฉลาดและใช้เทคนิคทางสังคมวิทยา (social engineering) ในการหลอกลวงเหยื่อ โดยไม่จำเป็นต้องใช้มัลแวร์หรือ ransomware ในขั้นตอนแรกของการโจมตีเลย สิ่งที่สำคัญสำหรับองค์กรคือการมีมาตรการตรวจจับและป้องกัน เช่น การจำกัดการเรียกใช้ซอฟต์แวร์ RMM ที่ไม่ได้รับอนุญาต และการอัปเดต blocklist สำหรับ IP address และโดเมนที่น่าสงสัย เพื่อป้องกันไม่ให้การโจมตีเหล่านี้สามารถผ่านเข้ามาในเครือข่ายได้ง่ายๆ

สำหรับผู้ที่เกี่ยวข้องกับการรักษาความปลอดภัยทางไซเบอร์ ควรเร่งตรวจสอบความน่าเชื่อถือของอีเมล์และข้อมูลติดต่อที่ได้รับ รวมทั้งให้ความรู้แก่พนักงานในองค์กรเกี่ยวกับวิธีการจับสัญญาณเตือนของการโจมตีด้วยวิธี phishing และ social engineering เพื่อป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ในอนาคต

ที่มา: Bleepingcomputer

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com