กลุ่มแฮกเกอร์ Chaos RaaS
ปฏิบัติการ Ransomware-as-a-Service (RaaS) ที่เพิ่งเกิดขึ้นใหม่ภายใต้ชื่อ Chaos ได้เข้าสู่วงการโจมตี ก่อให้เกิดความกังวลในแวดวงความมั่นคงปลอดภัยไซเบอร์ Chaos ถูกพบเห็นครั้งแรกในเดือนกุมภาพันธ์ 2568 และดูเหมือนจะมีความเชื่อมโยงอย่างใกล้ชิดกับอดีตสมาชิกกลุ่ม BlackSuit ซึ่งเป็นกลุ่มที่โครงสร้างพื้นฐานของเว็บมืดถูกเจ้าหน้าที่บังคับใช้กฎหมายรื้อถอนไปเมื่อเร็วๆ นี้ในปฏิบัติการ Checkmate แม้จะมีชื่อเรียกเช่นนี้ แต่ Chaos ก็ไม่ได้มีความเกี่ยวข้องกับผู้สร้างแรนซัมแวร์ Chaos ก่อนหน้านี้ เช่น Yashma หรือ Lucky_Gh0$t ซึ่งยิ่งเพิ่มความสับสนให้กับภัยคุกคามที่ซับซ้อนอยู่แล้ว
สารบัญ
กลยุทธ์แห่งความโกลาหล: จากสแปมสู่การจัดการทางสังคม
ห่วงโซ่การโจมตีที่ผู้โจมตีกลุ่ม Chaos ใช้นั้นเริ่มต้นด้วยการส่งสแปมแบบใช้ความพยายามต่ำ และขยายขอบเขตอย่างรวดเร็วไปสู่การฟิชชิ่งด้วยเสียง (vishing) ผู้โจมตีใช้เทคนิคเหล่านี้เพื่อหลอกล่อเป้าหมายให้ติดตั้งซอฟต์แวร์เดสก์ท็อประยะไกล โดยเฉพาะอย่างยิ่ง Microsoft Quick Assist เพื่อเข้าถึงระบบเบื้องต้น
เมื่อเข้าไปภายในแล้ว พวกเขาจะใช้เครื่องมือตรวจสอบและจัดการระยะไกล (RMM) มากมาย เช่น AnyDesk, ScreenConnect, OptiTune, Syncro RMM และ Splashtop เพื่อสร้างการควบคุมเครือข่ายที่ถูกบุกรุกอย่างต่อเนื่อง การดำเนินการหลังการบุกรุกประกอบด้วยการเก็บเกี่ยวข้อมูลประจำตัว การลบบันทึกเหตุการณ์ของ PowerShell และการลบเครื่องมือรักษาความปลอดภัยเพื่อลดความสามารถในการตรวจจับและการตอบสนอง
การล่าสัตว์ใหญ่และการรีดไถสองครั้ง
Chaos ได้ใช้กลยุทธ์การล่าเหยื่อรายใหญ่ โดยมุ่งเป้าไปที่กลุ่มผู้กระทำความผิดที่มีมูลค่าสูงด้วยเทคนิคการรีดไถซ้ำซ้อน ซึ่งหมายความว่าไม่เพียงแต่เข้ารหัสไฟล์เท่านั้น แต่ยังขู่ว่าจะรั่วไหลข้อมูลที่ขโมยมา เว้นแต่จะจ่ายค่าไถ่ กลุ่มนี้ใช้ GoodSync ซึ่งเป็นซอฟต์แวร์ซิงค์ไฟล์ที่ถูกกฎหมาย เพื่อขโมยข้อมูลสำคัญก่อนที่จะปล่อยเพย์โหลดแรนซัมแวร์
ขั้นตอนสุดท้ายเกี่ยวข้องกับการปรับใช้ไบนารีแรนซัมแวร์แบบมัลติเธรดที่สามารถเข้ารหัสทรัพยากรทั้งภายในและเครือข่ายได้อย่างรวดเร็ว แรนซัมแวร์จึงใช้กลยุทธ์ป้องกันการวิเคราะห์ขั้นสูง ซึ่งรวมถึงการป้องกันเครื่องเสมือน เครื่องมือแก้จุดบกพร่อง แซนด์บ็อกซ์อัตโนมัติ และสภาพแวดล้อมการวิเคราะห์ภัยคุกคามอื่นๆ เพื่อขัดขวางความพยายามในการกู้คืนและหลีกเลี่ยงการตรวจจับ
ความเข้ากันได้ข้ามแพลตฟอร์มและค่าไถ่จำนวนมาก
แรนซัมแวร์ Chaos มีความสามารถในการใช้งานที่หลากหลาย ได้รับการยืนยันแล้วว่าสามารถใช้งานร่วมกับระบบ Windows, Linux, ESXi และ NAS ได้ ผู้โจมตีเรียกค่าไถ่จำนวนมาก โดยทั่วไปอยู่ที่ประมาณ 300,000 ดอลลาร์สหรัฐ เพื่อแลกกับเครื่องมือถอดรหัสและ 'ภาพรวมการเจาะระบบโดยละเอียด' ซึ่งรวมถึงลำดับการโจมตีและคำแนะนำด้านความปลอดภัย
เหยื่อที่ทราบส่วนใหญ่อยู่ในสหรัฐอเมริกา ทำให้เป็นภูมิภาคเป้าหมายหลักของภัยคุกคามที่เปลี่ยนแปลงไปนี้
เสียงสะท้อนจากอดีต: ความโกลาหลและความเชื่อมโยงของ BlackSuit
แม้ว่า Chaos จะเป็นชื่อใหม่ แต่เทคนิคและโครงสร้างพื้นฐานของ Chaos เผยให้เห็นถึงสายเลือดที่ชัดเจน นักวิเคราะห์ได้สังเกตเห็นความทับซ้อนอย่างมากกับการดำเนินงานของ BlackSuit รวมถึงความคล้ายคลึงกันใน:
- คำสั่งเข้ารหัส
- โครงสร้างและน้ำเสียงของบันทึกเรียกค่าไถ่
- การใช้เครื่องมือ RMM ที่เหมือนกัน
สิ่งนี้มีความสำคัญเนื่องจาก BlackSuit เองก็เป็นการรีแบรนด์ของ Royal ซึ่งสืบเชื้อสายมาจากกลุ่มอาชญากรแรนซัมแวร์ Conti อันโด่งดัง การเปลี่ยนภาพลักษณ์แสดงให้เห็นว่าผู้ก่อภัยคุกคามเหล่านี้รีแบรนด์และจัดระเบียบองค์กรใหม่อย่างไรเพื่อให้ก้าวล้ำหน้าหน่วยงานบังคับใช้กฎหมายและรักษาโมเมนตัมในการปฏิบัติงาน
ปฏิบัติการ Checkmate: ชัยชนะเชิงยุทธวิธีสำหรับการบังคับใช้กฎหมาย
การเกิดขึ้นของ Chaos เกิดขึ้นพร้อมๆ กับชัยชนะครั้งสำคัญของหน่วยงานบังคับใช้กฎหมายในการปิดระบบโครงสร้างพื้นฐานเว็บมืดของ BlackSuit ผู้เข้าชมเว็บไซต์ที่ถูกยึดได้จะพบกับหน้าสแปลชจากหน่วยงานสืบสวนความมั่นคงแห่งมาตุภูมิของสหรัฐฯ ซึ่งระบุว่าเว็บไซต์เหล่านี้ถูกยึดไว้ ซึ่งเป็นส่วนหนึ่งของความพยายามประสานงานระหว่างประเทศ อย่างไรก็ตาม เจ้าหน้าที่ยังไม่ได้ออกแถลงการณ์อย่างเป็นทางการเกี่ยวกับปฏิบัติการนี้
ความคิดสุดท้าย: ความโกลาหลนำมาซึ่งความซับซ้อนและการหลอกลวง
ความโกลาหลเป็นการผสมผสานที่อันตรายระหว่างการค้าที่ซับซ้อนและการสร้างแบรนด์ที่หลอกลวง การใช้เครื่องมือที่ถูกต้องตามกฎหมาย การโจมตีแบบเจาะจงเป้าหมาย และกลยุทธ์ป้องกันการตรวจจับ ทำให้มันกลายเป็นภัยคุกคามที่สำคัญ องค์กรต่างๆ จำเป็นต้องตื่นตัวและเสริมสร้างการป้องกัน ไม่เพียงแต่มัลแวร์เท่านั้น แต่ยังรวมถึงกลยุทธ์ทางวิศวกรรมสังคมที่ทำให้มัลแวร์ประสบความสำเร็จในเบื้องต้นด้วย
