Vanilla Tempest โจมตีหน่วยสาธารณสุขด้วย INC Ransomware

สรุปข้อมูล 

Microsoft พบว่ากลุ่มแฮกเกอร์ Vanilla Tempest ใช้ INC Ransomware โจมตีหน่วยงานสาธารณสุขของสหรัฐอเมริกา ซึ่ง INC Ransomware เป็น Ransomware-as-a-service (RaaS) ที่ใช้เทคนิค Multi-extortion Model ซึ่งพบการโจมตีครั้งแรก เมื่อเดือนกรกฎาคม 2566 โดยกลุ่มแฮกเกอร์ดังกล่าวไม่ได้มีเป้าหมายที่เฉพาะเจาะจง ไม่ว่าจะเป็นหน่วยงานภาครัฐหรือเอกชน เช่น บริษัท Yamaha Motor ในประเทศฟิลิปปินส์ บริษัท Xerox Business Solutions (XBS) ของสหรัฐอเมริกา และระบบบริการสาธารณสุขแห่งชาติ (NHS) ในประเทศสกอตแลนด์

รายละเอียดการโจมตี

1. การโจมตีจะเริ่มขึ้นเมื่อระบบติดมัลแวร์ Gootloader มาจากเหตุการณ์การโจมตีครั้งก่อนหน้านี้ของกลุ่มแฮกเกอร์ Storm-0494 ซึ่งในต่อมากลุ่มแฮกเกอร์ Vanilla Tempest จะใช้ประโยชน์จากเหตุการณ์ดังกล่าวในการเข้าถึงระบบ 
2. หลังจากแฮกเกอร์เข้าถึงระบบของเหยื่อ แฮกเกอร์จะททำการติดตั้ง Supper Backdoor และใช้ AnyDesk ในการ Remote นอกจากนี้แฮกเกอร์ใช้ MEGA (Cloud Storage) เพื่อซิงค์ข้อมูลเครือข่ายของเหยื่อ
3. ต่อมาแฮกเกอร์จะทำการ Lateral movement ด้วยการใช้ Remote Desktop Protocol (RDP) และ Windows Management Instrumentation (WMI) เพื่อทำการติดตั้ง INC Ransomware ลงบนระบบเครือข่ายของเหยื่อ

ผลกระทบจากการโจมตี 

ผลกระทบจากการโจมตีของกลุ่มแฮกเกอร์ดังกล่าว ทำให้ระบบ IT และโทรศัพท์เกิดความขัดข้อง ส่งผลให้หน่วยงานสุขภาพและสาธารณสุขนั้นไม่สามารถเข้าถึงฐานของผู้ป่วยได้ อีกทั้งผู้ป่วยไม่สามารถทำการนัดออนไลน์ รวมไปถึงหน่วยงานนั้นจะต้องทำการ เลื่อนนัดผู้ป่วยบางส่วนออกไป เช่น ผู้ป่วยที่ไม่เร่งด่วน และผู้ป่วยทางเลือก นอกจากนี้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนตัวของเหยื่อ เช่น ข้อมูลทางสุขภาพ แล้วกลุ่มแฮกเกอร์อาจเข้าควบคุมระบบได้ทั้งหมด ซึ่งส่งผลให้หน่วยงานนั้น ๆ สูญเสียชื่อเสียง และเสียค่าใช้จ่ายเพื่อแก้ไขและฟื้นฟูระบบทั้งหมด

สรุปการโจมตี 

การโจมตีในครั้งนี้มีเป้าหมายเป็นหน่วยงานสุขภาพและสาธารณสุขในประเทศสหรัฐอเมริกา ซึ่งแฮกเกอร์จะใช้เทคนิค Multi-extortion Model ในการโจมตีหน่วยงาน เพื่อทำการโจรกรรมข้อมูล เรียกค่าไถ่ ส่งผลให้การใช้งานในระบบขัดข้อง เกิดความเสียหายต่อข้อมูล ชื่อเสียง และค่าใช้จ่าย นอกจากที่จะมีผลกระทบโดยตรงกับหน่วยงานที่ถูกโจมตีแล้วยังมีผลกระทบทางอ้อมต่อการให้บริการกับลูกค้าหรือผู้ใช้งานอีกด้วย

คำแนะนำ

1. ทำการ Full-Scan ที่ Endpoint ทุก ๆ สัปดาห์ เพื่อป้องกันไฟล์อันตราย
2. หมั่นตรวจสอบและอัปเดตระบบปฏิบัติการอย่างสม่ำเสมอ
3. ทำการ Backup file สำคัญไว้ในระบบคลาวด์
4. ใช้ Multi-factor Authentication หรือ Token ในการเข้าสู่ระบบ
   

แหล่งอ้างอิง

hxxps://www[.]bleepingcomputer[.]com/news/microsoft/microsoft-vanilla-tempest-hackers-hit-healthcare-withinc-ransomware/