Sobeys ถูกโจมตีโดย Black Basta Ransomware
Sobeys เป็นบริษัทยักษ์ใหญ่ด้านค้าปลีกของแคนาดา ซึ่งประกอบธุรกิจเกี่ยวกับร้านขายของชำ และร้านขายยา ได้ประสบปัญหาระบบไอทีตั้งแต่สุดสัปดาห์ที่ผ่านมา โดยหนึ่งในสองธุรกิจคือ ธุรกิจร้านขายของชำได้รับผลกระทบ Sobeys มีพนักงาน 134,000 คน ให้บริการเครือข่ายร้านค้า 1,500 ร้าน ใน 10 จังหวัด ภายใต้ชื่อร้านค้าปลีก Sobeys, Safeway, IGA, Foodland, FreshCo, Thrifty Foods และ Lawtons Drugs
บริษัทแม่ Sobeys Empire เปิดเผยว่า ร้านขายของชำทุกที่ยังคงเปิดให้บริการอยู่ มีเพียงบริการบางอย่างด้านไอทีเท่านั้นที่ได้รับผลกระทบ เกิดจากการโจมตีโดย Black Basta Ransomware ที่เข้ารหัสระบบบนเครือข่าย และแถลงการณ์นี้ได้เผยแพร่บนเว็บไซต์ทางการของ Sobeys พร้อมกับระบุข้อมูลสำคัญ เกี่ยวกับวิธีการให้บริการของร้านค้า เนื่องจากมีเพียงเครื่องที่จุดขาย (POS) ถูกล็อกไม่ให้เข้าใช้งาน แต่ระบบประมวลผลการชำระเงินออนไลน์ยังคงทำงานได้ เพราะได้รับการตั้งค่าให้ทำงานบนเครือข่ายที่แยกจากกัน
ภาพถ่ายบันทึกเรียกค่าไถ่ของ Black Basta Ransomware ที่แบ่งปันโดยพนักงานของ Sobeys
แม้รายละเอียดเกี่ยวกับกลุ่มแรนซัมแวร์นี้จะหายาก แต่ไม่ใช่การดำเนินการใหม่ เป็นการรีแบรนด์ เนื่องจากรูปแบบการเจรจาต่อรอง และความสามารถในการเจาะข้อมูลเหยื่อรายใหม่ทำได้อย่างรวดเร็ว สันนิษฐานว่า Black Basta เชื่อมโยงกับกลุ่ม Conti ransomware แต่ล่าสุดพบหลักฐาน Black Basta เชื่อมโยงกับกลุ่มแฮ็กเกอร์ FIN7 ที่มีแรงจูงใจทางการเงินซึ่งพูดภาษารัสเซีย เป็นที่รู้จักในเรื่องการปรับใช้มัลแวร์ POS และกำหนดเป้าหมายไปยังบริษัทหลายร้อยแห่งทั่วโลก ในการโจมตีแบบสเปียร์ฟิชชิ่ง
ตัวอย่าง IOC
| File Name | Detection Name | SHA-256 |
| Accounting#7405.iso | Trojan.Win32.QAKBOT.YACI | 582a5e2b2652284ebb486bf6a367aaa6bb817c856f08ef54db64c6994c5b91bd |
| Contract.lnk | Trojan.LNK.QAKBOT.YACIW | e9e214f7338c6baefd2a76ee66f5fadb0b504718ea3cebc65da7a43a5ff819a4 |
| fodder.txt | 4dcf06a5afc699bbb73650cefe4ad86a1b686a257c607e0b96dda85d69544d8a | |
| enunciatedNaught.cm | Trojan.BAT.QAKBOT.YACIW | d44b05b248f95986211ab3dc2765f1d76683594a174984c8b801bd7eade8aa47 |
| eyelid.png | dd755395b36acfceaa0d7e9c5479df4b1c919d57837fe43068980c5fa7dd6875 | |
| reflectiveness.db | Trojan.Win32.QAKBOT.YACIW | 01fd6e0c8393a5f4112ea19a26bedffb31d6a01f4d3fe5721ca20f479766208f |
| sharpOutvotes.js | Trojan.JS.QAKBOT.YACIW | 06c4c4d100e9a7c79e2ee8c4ffa1f7ad165a014f5f14f90ddfc730527c564e35 |
คำแนะนำ
- ควรอัปเดตแพตช์ของซอฟต์แวร์และอุปกรณ์ต่าง ๆ ให้เป็นเวอร์ชันล่าสุดอยู่เสมอ
- ควรสำรองข้อมูลไฟล์เป็นประจำ และเก็บไว้ในอุปกรณ์จัดเก็บข้อมูลแบบออฟไลน์
ซึ่งช่วยให้สามารถกู้คืนข้อมูลไปยังระบบปฏิบัติการที่ติดตั้งใหม่ได้
Ref: https://www.bleepingcomputer.com/news/security/canadian-food-retail-giant-sobeys-hit-by-black-basta-ransomware/IOC : https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/j/black-basta-ransomware-gang-infiltrates-networks-via-qakbot,-brute-ratel-and-cobalt-strike/ioc-black-basta-infiltrates-networks-via-qakbot-brute-ratel-and-cobalt-strike.txt