Colombian energy supplier EPM โดนโจมตีจาก Blackcat Ransomware

2 January 2566
10

บริษัทพลังงานของโคลอมเบีย Empresas Públicas de Medellín (EPM) โดนโจมดีด้วย BlackCat/ALPHV Ransomware โจมตีเมื่อวันจันทร์ที่ผ่านมา ทำให้การดำเนินงานของบริษัทหยุดชะงัก และหยุดให้บริการออนไลน์ ซึ่ง EPM เป็นหนึ่งในผู้ให้บริการพลังงาน น้ำ และแก๊ซรายใหญ่ที่สุดของโคลอมเบีย โดยให้บริการแก่เทศบาล 123 แห่ง โดยบริษัทสร้างรายได้กว่า 2.5 หมื่นล้านดอลลาร์ในปี 2565 และมีเทศบาล Medellin ของโคลอมเบียเป็นเจ้าของและเมื่อวันอังคารบริษัทได้แจ้งให้พนักงานประมาณ 4,000 คน ทำงานจากที่บ้าน และฝ่าย IT Infrastructure ให้ทำการ Down Website ไม่ให้ใช้งาน ซึ่งทาง EPM เปิดเผยกับทางสื่อท้องถิ่นว่าพวกเขากำลังตอบสนองต่อเหตุการณ์ความปลอดภัยทางไซเบอร์ และจัดหาทางเลือกอื่นให้ลูกค้าในการชำระค่าบริการ โดยทางสำนักอัยการได้ยืนยันกับ EL COLOMBIANO ในภายหลังว่า Ransomware อยู่เบื้องหลังการโจมตี EPM ทำให้อุปกรณ์ถูกเข้ารหัส และข้อมูลถูกขโมย และอย่างไรก็ตาม ไม่มีการเปิดเผยการทำงานของ Ransomware BleepingComputer ได้ทราบการดำเนินการเรียกค่าไถ่ของ BlackCat หรือที่รู้จักกันในชื่อ ALPHV อยู่เบื้องหลังการโจมตี โดยอ้างว่าได้ขโมยข้อมูลขององค์กรในระหว่างการโจมตี และยังได้เห็นตัวอย่างการเข้ารหัส และหมายเหตุค่าไถ่จากการโจมตี EPM และยืนยันว่ามาจากการดำเนินการเรียกค่าไถ่ของ BlackCat แม้ว่าข้อความเรียกค่าไถ่ที่สร้างขึ้นในการโจมตีระบุว่าผู้คุกคามทำการขโมยข้อมูล แต่ข้อควรสังเกตข้อมูลนี้เป็นข้อความที่ใช้ในบันทึกเรียกค่าไถ่ของ BlackCat และไม่เฉพาะเจาะจงสำหรับ EPM ExMatter เป็นเครื่องมือที่ใช้ในการโจมตี BlackCat Ransomware เพื่อขโมยข้อมูลจากเครือข่ายองค์กรก่อนที่อุปกรณ์จะถูกเข้ารหัส จากนั้นข้อมูลที่ถูกขโมยจะถูกใช้เป็นส่วนหนึ่งของความพยายามขู่กรรโชกของ Ransomware เมื่อเครื่องมือทำงานจะขโมยข้อมูลจากอุปกรณ์ในเครือข่าย และจัดเก็บไว้ใน Server ที่ควบคุมโดยผู้โจมตีภายใน Folder ที่ตั้งชื่อตามชื่อ Windows Computer ที่ถูกขโมยมา เมื่อวิเคราะห์เครื่องมือ ExMatter Fernández พบว่ามันอัปโหลดข้อมูลไปยัง Server ที่ไม่มีความปลอดภัยเพียงพอ ทำให้ผู้เยี่ยมชมสามารถดูข้อมูลที่จัดเก็บไว้ในนั้นได้ ซึ่งในตัวแปร ExMatter จากโคลอมเบีย ข้อมูลถูกอัปโหลดไปยัง Folder ต่างๆ ที่ขึ้นต้นด้วย “EPM-” ดังที่แสดงด้านล่าง โดยทาง Fernández ได้บอกกับ BleepingComputer ว่าชื่อคอมพิวเตอร์เหล่านั้นตรงกับรูปแบบการตั้งชื่อคอมพิวเตอร์ของทาง Empresas Públicas de Medellín. แม้ว่าข้อมูลที่ถูกขโมยไปมีรายการที่แสดงอยู่ในไซต์มากกว่า 40 อุปกรณ์ ซึ่งทาง BleepingComputer ติดต่อ EPM เพื่อขอทราบข้อมูลเพิ่มเติมเกี่ยวกับการโจมตี และจำนวนข้อมูลที่ถูกขโมยไป แต่ยังไม่มีการตอบสนองใดๆ และนี้ไม่ใช่ครั้งแรกที่การโจมตีด้วย Ransomware มีเป้าหมายที่บริษัทพลังงานของโคลอมเบีย โดยในปี 2020 Enel Group ประสบกับการโจมตีด้วย Ransomware สองครั้งในปีเดียวกัน นอกจากนี้โคลอมเบียยังพบการโจมตีเพิ่มขึ้นในช่วงหลายเดือนที่ผ่านมา โดยระบบการรักษาพยาบาลของประเทศหยุดชะงัก เมื่อเดือนที่แล้วจากการโจมตีของ RansomHouse ใน Keralty องค์กรด้านการดูแลสุขภาพข้ามชาติ