กลุ่มแรนซัมแวร์ RansomHub ซึ่งถูกกล่าวหาว่าเป็นผู้โจมตีทางไซเบอร์ต่อบริษัทน้ำมันยักษ์ใหญ่อย่าง Halliburton ได้ทำให้มีผู้ตกเป็นเหยื่ออย่างน้อย 210 ราย โดยทางรัฐบาลสหรัฐฯ ได้ออกคำแนะนำเกี่ยวกับกลุ่มนี้เพื่อเตือนและให้ข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นจากกลุ่มนี้ รวมถึงวิธีการป้องกันและรับมือกับการโจมตีจากแรนซัมแวร์ในอนาคต
กลุ่มแรนซัมแวร์ RansomHub ถูกเชื่อว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ต่อบริษัทน้ำมันยักษ์ใหญ่อย่าง Halliburton โดยรัฐบาลสหรัฐฯ ได้ออกคำแนะนำเกี่ยวกับกลุ่มอาชญากรรมไซเบอร์นี้
Halliburton ซึ่งถือว่าเป็นบริษัทบริการน้ำมันที่ใหญ่เป็นอันดับสองของโลก ได้เปิดเผยเมื่อวันที่ 21 สิงหาคมในเอกสารที่ยื่นต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (SEC) ว่ามีบุคคลที่ไม่ได้รับอนุญาตเข้าถึงระบบบางส่วนของบริษัท
แม้จะไม่มีการเปิดเผยรายละเอียดทางเทคนิคต่อสาธารณะ แต่ขั้นตอนการตอบสนองต่อเหตุการณ์ที่บริษัทอธิบายแสดงให้เห็นว่าอาจมีการโจมตีด้วยแรนซัมแวร์
ตั้งแต่เหตุการณ์นี้เป็นที่รู้จัก มีรายงานที่ยังไม่ได้รับการยืนยันหลายฉบับที่ระบุว่า RansomHub อยู่เบื้องหลังการโจมตี Halliburton รวมถึงจากนักวิจัยแรนซัมแวร์ที่มีชื่อเสียงอย่าง Dominic Alvieri
ใน Reddit มีบุคคลนิรนามหลายคนกล่าวถึง RansomHub ว่าเป็นผู้โจมตี โดยมีคนหนึ่งอ้างว่าข้อมูลถูกขโมยและอาชญากรไซเบอร์เรียกร้องค่าไถ่เป็นเงิน 45 ล้านดอลลาร์
Bleeping Computer ก็รายงานเมื่อวันพฤหัสบดีว่า RansomHub อยู่เบื้องหลังการโจมตี Halliburton โดยอ้างอิงจากตัวชี้วัดการบุกรุก (IoCs)
เว็บไซต์รั่วไหลของ RansomHub บน Tor ในขณะที่เขียนนี้ยังไม่กล่าวถึง Halliburton ซึ่งแสดงให้เห็นว่าหากพวกเขาอยู่เบื้องหลังการโจมตีจริง พวกอาชญากรไซเบอร์ยังคงอยู่ในขั้นตอนการเจรจากับบริษัท
Halliburton ยังไม่ได้เปิดเผยข้อมูลใดๆ นอกเหนือจากคำแถลงเริ่มต้นและเอกสารที่ยื่นต่อ SEC ทาง SecurityWeek ได้ติดต่อกับบริษัทเพื่อยืนยันว่าบริษัทถูกโจมตีโดยกลุ่มแรนซัมแวร์ RansomHub และจะอัปเดตบทความนี้หากบริษัทตอบกลับ
หน่วยงานความมั่นคงทางไซเบอร์ CISA, FBI, HHS และ Multi-State Information Sharing and Analysis Center (MS-ISAC) ได้เผยแพร่คำแนะนำร่วมเมื่อวันพฤหัสบดีเกี่ยวกับการโจมตีของ RansomHub
คำแนะนำนี้อธิบายกลวิธี เทคนิค และขั้นตอน (TTPs) ที่ใช้ใน RansomHub และแบ่งปันตัวชี้วัดการบุกรุก (IoCs) ที่สามารถใช้เพื่อตรวจจับและป้องกันการบุกรุก
ตามที่หน่วยงานรัฐบาลระบุ ปฏิบัติการของ RansomHub ได้เข้ารหัสและขโมยข้อมูลจากเหยื่ออย่างน้อย 210 รายตั้งแต่เริ่มต้นในเดือนกุมภาพันธ์ 2024
เว็บไซต์รั่วไหลของ RansomHub บน Tor ปัจจุบันระบุเหยื่อ 180 ราย แต่รัฐบาลสหรัฐฯ อาจรับรู้ถึงเหยื่อรายอื่นๆ เพิ่มเติม
คำแนะนำของรัฐบาลกล่าวถึงว่าเหยื่อของ RansomHub มาจากหลายภาคส่วนโครงสร้างพื้นฐานที่สำคัญ เช่น น้ำ, เทคโนโลยีสารสนเทศ, บริการและสิ่งอำนวยความสะดวกของรัฐบาล, การดูแลสุขภาพ, บริการฉุกเฉิน, บริการการเงิน, อาหารและการเกษตร, สิ่งอำนวยความสะดวกทางการค้า, การผลิตที่สำคัญ, การสื่อสาร, และการขนส่ง
อย่างไรก็ตาม คำแนะนำนี้ไม่ได้กล่าวถึงเหยื่อในภาคพลังงาน ซึ่งรวมถึงบริษัทน้ำมัน ซึ่งอาจบ่งชี้ว่าช่วงเวลาของคำแนะนำนี้อาจไม่เกี่ยวข้องกับการโจมตี Halliburton
Credit: Securityweek.com
