• February 9, 2023

รีบเช็คด่วน!!! Google ออกโรงเตือน แฮ็กเกอร์เจาะบัญชีคลาวด์ ใช้ขุด Crypto

Threat Horizons เปิดรายงานด้านความปลอดภัยทางไซเบอร์ ของบริษัทเทคโนโลยีโดยให้ชี้ให้เห็นถึงรายละเอียดเกี่ยวกับภัยคุกคามต่อบริการคลาวด์ของแฮ็กเกอร์ ซึ่งเจาะระบบของผู้ใช้บัญชีคลาวด์เพื่อขุด cryptocurrency

จากการเปิดเผยของสำนักข่าว theguardian ระบุถือการออกมาเตือนของ Google ว่า ทีมปฏิบัติการความปลอดภัยทางไซเบอร์ของ Google ซึ่งตรวจพบภัยคุกคามจากการแฮ็กต่อบริการคลาวด์ ซึ่งเป็นชุดของบริการคอมพิวเตอร์ระยะไกลที่สามารถรวมการจัดเก็บข้อมูลของลูกค้าและไฟล์นอกสถานที่ และให้คำแนะนำเกี่ยวกับวิธีการ เพื่อจัดการกับภัยคุกคามดังกล่าว

ขณะที่ภัยคุกคามอื่น ๆ ที่ระบุโดยทีมในรายงาน “threat horizon” ฉบับแรก ได้แก่ แฮกเกอร์ชาวรัสเซียที่พยายาม แจ้งว่ารหัสผ่านของผู้ใช้ตกเป็นเป้าหมายโดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาล ขณะที่แฮ็กเกอร์ชาวเกาหลีเหนือซึ่งปลอมแปลงว่าเป็นผู้จัดหางานของ Samsung และใช้การโจมตีด้วยแรนซัมแวร์อย่างหนักในกลุ่มองค์กรเป้าหมาย

“การขุด” เป็นกระบวนการบล็อคเชนเช่นที่สนับสนุนคริปโตได้รับการควบคุมและตรวจสอบและต้องใช้พลังประมวลผลจำนวนมากซึ่ง Google รายงานว่ามีการแฮ็กบริการคลาวด์คอมพิวติ้ง 50 ครั้งเมื่อเร็ว ๆ นี้ โดยมากกว่า 80% ถูกใช้เพื่อทำการขุด cryptocurrency

รายงานกล่าวว่า “86% ของอินสแตนซ์ Google Cloud ที่ถูกบุกรุกถูกใช้เพื่อทำการขุด cryptocurrency ซึ่งเป็นกิจกรรมแสวงหาผลกำไรที่เน้นทรัพยากรบนคลาวด์” และเสริมว่าในกรณีส่วนใหญ่ซอฟต์แวร์การขุด cryptocurrency จะถูกดาวน์โหลดภายใน 22 วินาทีของบัญชี ซึ่ง Google กล่าวว่าใน 3 ใน 4 ของการแฮ็กระบบคลาวด์ ผู้โจมตีใช้ประโยชน์จากความปลอดภัยของลูกค้าที่ไม่ดีหรือซอฟต์แวร์ของบุคคลที่ 3 ที่มีช่องโหว่

คำแนะนำของ Google สำหรับลูกค้าระบบคลาวด์ในการปรับปรุงความปลอดภัย ได้แก่ การตรวจสอบสิทธิ์ซื้อหวยออนไลน์ถูกกฎหมายมั่นใจได้แบบสองปัจจัย (2FA)– การรักษาความปลอดภัยอีกชั้นหนึ่งนอกเหนือจากชื่อผู้ใช้และรหัสผ่านทั่วไป และการลงทะเบียนเข้าร่วมโปรแกรมความปลอดภัยในการทำงานของบริษัท

ในรายงานฉบับอื่นๆ Google กล่าวว่ากลุ่มแฮ็กเกอร์ APT28 ที่ได้รับการสนับสนุนจากรัฐบาลรัสเซีย หรือที่รู้จักในชื่อ Fancy Bear ได้กำหนดเป้าหมายบัญชี Gmail จำนวน 12,000 บัญชีในการพยายามฟิชชิ่งจำนวนมาก โดยผู้ใช้จะถูกหลอกให้ส่งรายละเอียดการเข้าสู่ระบบของตน ผู้โจมตีพยายามหลอกล่อเจ้าของบัญชีให้ส่งรายละเอียดของพวกเขาผ่านอีเมลที่ระบุว่า “เราเชื่อว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอาจพยายามหลอกล่อให้คุณรับรหัสผ่านบัญชีของคุณ” Google กล่าวว่าได้บล็อกอีเมลฟิชชิ่งทั้งหมดในการโจมตี ซึ่งเน้นที่สหราชอาณาจักร สหรัฐอเมริกา และอินเดีย และรายละเอียดอื่นๆที่ผู้ใช้ไม่ได้ระบุ

นอกจากนี้กลอุบายการแฮ็กอื่นที่ Google ระบุในรายงานนี้เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากเกาหลีเหนือซึ่งปลอมตัวเป็นเจ้าหน้าที่ Samsung และสร้างข้อมูลปลอมแปลงในการทำงานปลอมให้กับพนักงานใน บริษัทรักษาความปลอดภัยข้อมูลของเกาหลีใต้ โดยเหยื่อถูกนำทางไปยังลิงก์ที่เป็นอันตรายไปยังมัลแวร์ที่เก็บไว้ใน Google ไดรฟ์ ซึ่งขณะนี้ถูกบล็อกแล้ว

Google กล่าวว่าการจัดการกับการโจมตีด้วยแรนซัมแวร์ซึ่งไฟล์และข้อมูลในคอมพิวเตอร์ของผู้ใช้ได้รับการเข้ารหัสโดยผู้โจมตีจนกว่าจะมีการชำระเงินสำหรับการเปิดตัว เป็นเรื่องยากเพราะการเข้ารหัสจำนวนมาก “ทำให้การกู้คืนไฟล์แทบจะเป็นไปไม่ได้โดยไม่ต้องจ่ายค่าเครื่องมือถอดรหัส” รายงานระบุการเกิดขึ้นของ Black Matter ซึ่งอธิบายว่าเป็น “ตระกูลแรนซัมแวร์ที่กังวล”

อย่างไรก็ตาม เมื่อต้นเดือน Black Matter กล่าวว่ากำลังปิดตัวลงเนื่องจาก “แรงกดดันจากทางการ” ผู้ที่ตกเป็นเหยื่อของ Black Matter ได้แก่ กลุ่มเทคโนโลยีของญี่ปุ่นโอลิมปัส

นอกจากนี้ในรายงานของ Google ยังกล่าวอีก “Google ได้รับรายงานว่ากลุ่มแรนซัมแวร์ Black Matter ได้ประกาศว่าจะปิดการดำเนินงาน เนื่องจากแรงกดดันจากภายนอก จนกว่าจะได้รับการยืนยันซึ่งขณะนี้ยืนยันว่า Black Matter ยังคงมีความเสี่ยงที่รุนแรง”