สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ร่วมกับสำนักสอบสวนกลาง (FBI), กระทรวงสาธารณสุขและบริการมนุษย์ (HHS) และศูนย์วิเคราะห์และแบ่งปันข้อมูลหลายรัฐ (MS-ISAC) ออกคำเตือนเมื่อวันอังคารที่ผ่านมา เกี่ยวกับแนวโน้มที่เพิ่มขึ้นของการโจมตีด้วยแรนซัมแวร์ “Interlock” ซึ่งกำลังพุ่งเป้าไปที่ภาคธุรกิจเอกชนและองค์กรที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญ โดยใช้รูปแบบการเรียกค่าไถ่แบบสองชั้น (Double Extortion) ทั้งการเข้ารหัสข้อมูลและการข่มขู่เปิดเผยข้อมูลหากไม่จ่ายเงินค่าไถ่
Interlock ถือเป็นกลุ่มแรนซัมแวร์หน้าใหม่ที่เริ่มปฏิบัติการตั้งแต่เดือนกันยายน 2024 โดยมีเป้าหมายทั่วโลก และเน้นเจาะระบบของหน่วยงานด้านสาธารณสุขเป็นพิเศษ กลุ่มนี้เคยมีประวัติเชื่อมโยงกับการโจมตีแบบ ClickFix โดยปลอมตัวเป็นเครื่องมือไอทีเพื่อเข้าถึงเครือข่าย รวมถึงใช้โทรจันควบคุมระยะไกลชื่อ NodeSnake โจมตีมหาวิทยาลัยในสหราชอาณาจักร ล่าสุดกลุ่มได้อ้างความรับผิดชอบต่อการเจาะระบบบริษัท DaVita ซึ่งเป็นบริษัทใน Fortune 500 ด้านบริการดูแลไต พร้อมขโมยข้อมูลกว่า 1.5 เทราไบต์ รวมถึงการเจาะระบบ Kettering Health ซึ่งเป็นเครือข่ายสถานพยาบาลขนาดใหญ่ในสหรัฐฯ
รายงานระบุว่ากลุ่ม Interlock ใช้วิธีเข้าถึงระบบที่ผิดจากปกติ เช่น การฝังมัลแวร์ผ่านเว็บไซต์จริงที่ถูกเจาะระบบ (Drive-by Download) รวมถึงนำเทคนิคใหม่ FileFix มาใช้หลอกล่อเหยื่อผ่านอินเทอร์เฟซของ Windows เพื่อให้รันโค้ดอันตรายโดยไม่แสดงคำเตือนด้านความปลอดภัย ผู้เชี่ยวชาญแนะนำให้องค์กรเร่งใช้มาตรการป้องกัน อาทิ ระบบกรอง DNS, ไฟร์วอลล์สำหรับการเข้าถึงเว็บไซต์, การฝึกอบรมพนักงานเกี่ยวกับวิศวกรรมสังคม ตลอดจนการจัดการสิทธิ์ผู้ใช้งานอย่างรัดกุม และเปิดใช้งานการยืนยันตัวตนหลายชั้น (MFA) เพื่อเสริมความปลอดภัยเชิงลึกให้ครอบคลุมทั้งระบบ
———————————————————————————————————————————————————–
