แฮกเกอร์จากคิวบาร่วมทำสงครามไซเบอร์โจมตียูเครน

ศูนย์ประสานการรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ของยูเครน (CERT-UA) ออกคำเตือนเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ปลอมตัวเป็นสำนักประชาสัมพันธ์ของผู้บัญชาการกองทัพยูเครนในการส่งอีเมลแฝงมัลแวร์ไปยังเหยื่อ

ในอีเมลที่กลุ่มดังกล่าวส่งไปนั้นมีลิงก์ที่เชื่อมไปยังเว็บไซต์ภายนอกที่จะชี้ชวนให้ดาวน์โหลดไฟล์ เนื้อหาในเว็บไซต์นั้นอ้างว่าต้องการให้เหยื่ออัปเดตโปรแกรมอ่าน PDF หากเหยื่อกดปุ่มดาวน์โหลด มัลแวร์ประเภทโทรจันแบบสั่งการระยะไกล (RAT) ชื่อว่า Romcom ก็จะเข้าไปสู่เครื่องคอมพิวเตอร์ของเหยื่อในทันที

Romcom ถือเป็นมัลแวร์ชนิดใหม่ที่มีใช้ที่กลุ่มแฮกเกอร์จากคิวบานำมาใช้ โดย CERT-UA ตั้งชื่อกลุ่มนี้ว่า UAC-0132 (ส่วน Unit 42 ของ Palo Alto Network ขนานนามให้ว่าเป็น Tropical Scorpius ขณะที่ Mandiant ตั้งชื่อให้ว่า UNC2596)

จากการตรวจสอบของ Unit 42 ยังพบด้วยว่าแฮกเกอร์กลุ่มนี้ผสมผสานรูปแบบและเครื่องมือการโจมตีที่หลากหลาย ซึ่งยากต่อการป้องัน

คริส เฮาค์ (Chris Hauk) จาก Pixel Privacy บริษัทด้านไซเบอร์ระบุว่าการโจมตีในลักษณะนี้จะเพิ่มขึ้นเรื่อย ๆ หากสงครามระหว่างยูเครนและรัสเซียยังไม่ยุติ กลุ่มแฮกเกอร์บางส่วนก็ร่วมโจมตียูเครนด้วยเหตุผลทางการเงิน

Unit 42 เผยว่ากลุ่มแฮกเกอร์จากคิวบาเริ่มมามีบทบาทตั้งแต่ช่วงปลายปี 2019 และสร้างความเสียหายให้กับเหยื่อไปแล้วมากกว่า 60 ราย ได้เงินค่าไถ่จากมัลแวร์เรียกค่าไถ่ไปอย่างน้อย 43.9 ล้านเหรียญ (ราว 1,658 ล้านบาท) เหยื่ออันดับหนึ่งเป็นองค์กรจากสหรัฐอเมริกา รองลงมาคือออสเตรเลีย แคนาดา ออสเตรีย โคลอมเบีย อิตาลี หรือแม้แต่ไต้หวัน

โดย Unit 42 แนะนำให้นำเครื่องมือตรวจจับการโจมตีทางไซเบอร์ขั้นสูงมาใช้ อาทิ Sysmon, Windows Command Line และ Powershell รวมถึงให้คอยอัปเดตอุปกรณ์อย่างสม่ำเสมอ

ที่มา computerweekly

พิสูจน์อักษร : สุชยา เกษจำรัส