ShadowByt3$ โจมตี Cropwise ในเหตุการณ์เรียกค่าไถ่ที่พุ่งเป้าข้อมูลการเกษตร

ShadowByt3$ โจมตี Cropwise ในเหตุการณ์เรียกค่าไถ่ที่พุ่งเป้าข้อมูลการเกษตร

กลุ่มแรนซัมแวร์ที่รู้จักในนาม ShadowByt3$ ได้ออกมาอ้างความรับผิดชอบต่อการโจมตีทางไซเบอร์ต่อ Cropwise แพลตฟอร์มเกษตรแม่นยำที่ดำเนินงานภายใต้ Syngenta Group หนึ่งในกลุ่มธุรกิจการเกษตรขนาดใหญ่ที่สุดในโลก การโจมตีครั้งนี้มีรายงานว่าเกี่ยวข้องกับการขโมยข้อมูลออกไปพร้อมกับคำเรียกค่าไถ่ ซึ่งก่อให้เกิดความกังวลอย่างหนักเกี่ยวกับความมั่นคงปลอดภัยของระบบเทคโนโลยีการเกษตรที่เก็บรักษาข้อมูลการปฏิบัติงานและข้อมูลลูกค้าที่อ่อนไหว

เหตุการณ์นี้เป็นหนึ่งในหลายข้ออ้างการโจมตีด้วยแรนซัมแวร์ที่ถูกรายงานติดต่อกันในเวลาใกล้เคียง โดยมีกลุ่มผู้ไม่หวังดีหลายกลุ่มพุ่งเป้าไปยังธุรกิจตั้งแต่ผู้จัดจำหน่ายเห็ดรายใหญ่ในสหรัฐฯ ไปจนถึงบริษัทจัดการความมั่งคั่ง รูปแบบที่เกิดขึ้นชี้ให้เห็นถึงระบบนิเวศของแรนซัมแวร์ที่ดุเดือดมากขึ้น โดยไม่มีภาคส่วนใด แม้แต่เทคโนโลยีการเกษตร ที่ได้รับการยกเว้น

สิ่งที่เราทราบเกี่ยวกับการโจมตี Cropwise

Cropwise เป็นแพลตฟอร์มดิจิทัลด้านปฐพีศาสตร์ที่รวบรวมและประมวลผลข้อมูลระดับฟาร์มโดยละเอียด ทั้งแผนที่แปลงปลูก แผนการเพาะปลูก บันทึกผลผลิต และคำแนะนำทางปฐพีศาสตร์ ข้อมูลในลักษณะที่แพลตฟอร์มเหล่านี้จัดเก็บไม่เพียงอ่อนไหวในเชิงปฏิบัติการ แต่ยังอาจรวมถึงข้อมูลส่วนบุคคลที่เชื่อมโยงกับเกษตรกรและธุรกิจการเกษตรที่พึ่งพาบริการนี้อีกด้วย

ShadowByt3$ เคยอ้างความรับผิดชอบต่อการโจมตีสถาบันอื่นมาก่อน รวมถึงกรณีที่มีรายงานที่ University of Georgia ซึ่งบ่งชี้ว่ากลุ่มนี้กำลังขยายขอบเขตเป้าหมายอย่างแข็งขัน การโจมตี Cropwise เป็นไปตาม剧本ที่คุ้นเคยกันดีในตอนนี้: แทรกซึมเครือข่ายเป้าหมาย ขโมยข้อมูลที่มีมูลค่า เข้ารหัสระบบ และออกคำเรียกค่าไถ่โดยข่มขู่ว่าจะปล่อยข้อมูลออกสู่สาธารณะ

ในขั้นตอนนี้ ขอบเขตทั้งหมดของข้อมูลที่ถูกบุกรุกในการโจมตี Cropwise ยังไม่ได้รับการยืนยันต่อสาธารณะ Syngenta Group ซึ่งมีสำนักงานใหญ่ในสวิตเซอร์แลนด์ ยังไม่ได้ออกแถลงการณ์โดยละเอียดในขณะที่เขียนบทความนี้

คลื่นข้ออ้างการโจมตีด้วยแรนซัมแวร์ในวงกว้าง

การโจมตี Cropwise ไม่ได้เกิดขึ้นโดยลำพัง ในช่วงเวลาใกล้เคียงกัน กลุ่มแรนซัมแวร์ Akira ได้อ้างการโจมตี Moorman Harting บริษัทจัดการความมั่งคั่งในสหรัฐฯ โดยข่มขู่ว่าจะเปิดเผยข้อมูลทางการเงินและข้อมูลส่วนบุคคลที่อ่อนไหวของลูกค้า ในอีกกรณีหนึ่ง Monterey Mushrooms ผู้จำหน่ายเห็ดสดรายใหญ่ที่สุดในสหรัฐฯ ถูกรายงานว่าเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ และยังมีกลุ่มที่ไม่ได้ระบุชื่ออ้างว่าได้ข้อมูลพาสปอร์ตของลูกค้ากว่า 300 รายจากการบุกรุกที่ไม่เกี่ยวข้องกัน

กลุ่มการโจมตีที่กระจุกตัวนี้เน้นย้ำประเด็นที่ผู้เชี่ยวชาญด้านความปลอดภัยได้ชี้ให้เห็นมาตลอดหลายปี: ปฏิบัติการแรนซัมแวร์ได้เข้าสู่ขั้นอุตสาหกรรมแล้ว กลุ่มต่าง ๆ ดำเนินงานด้วยโครงสร้างแบบแบ่งงานกันทำ บางครั้งมีการให้เช่าโครงสร้างพื้นฐานแบบแรนซัมแวร์-as-a-service ในขณะที่ผู้อื่นจัดการด้านการเจรจาและการเผยแพร่ข้อมูลที่ถูกขโมย ผลลัพธ์คือสภาพแวดล้อมภัยคุกคามที่มีปริมาณสูงและข้ามภาคส่วนต่าง ๆ

ดังที่พบในเหตุการณ์อย่าง การบุกรุกบริษัทลูกของ IBM ในอิตาลีที่เชื่อมโยงกับปฏิบัติการไซเบอร์ของจีน ภัยคุกคามที่ซับซ้อนมักจะผสมผสานการขโมยข้อมูลเข้ากับการโจมตีระบบ ทำให้การกู้คืนมีความซับซ้อนมากกว่าแค่การกู้คืนไฟล์ที่ถูกเข้ารหัส

สิ่งนี้หมายความว่าอย่างไรสำหรับคุณ

หากคุณคือธุรกิจที่ดำเนินงานในภาคเทคโนโลยีการเกษตร หรือภาคส่วนใดก็ตามที่รวบรวมข้อมูลการดำเนินงานที่อ่อนไหว เหตุการณ์ Cropwise เป็นเครื่องย้ำเตือนโดยตรงว่าแพลตฟอร์มเหล่านี้ได้กลายเป็นเป้าหมายที่น่าสนใจสำหรับแรนซัมแวร์มากเพียงใด คุณค่าของข้อมูลเกษตรแม่นยำนั้นเหนือกว่าตัวแพลตฟอร์มเอง มันเป็นตัวแทนของหน่วยสืบราชการลับทางการแข่งขันและข้อมูลส่วนบุคคลของผู้ประกอบการฟาร์มนับพันราย

สำหรับผู้ใช้แพลตฟอร์มอย่าง Cropwise เป็นรายบุคคล ความกังวลเร่งด่วนคือข้อมูลส่วนบุคคลหรือธุรกิจของตนอยู่ท่ามกลางข้อมูลที่ถูกขโมยออกไปหรือไม่ จนกว่า Syngenta หรือ Cropwise จะแจ้งการบุกรุกโดยละเอียด ผู้ใช้ควรสันนิษฐานว่าข้อมูลของตนอาจตกอยู่ในความเสี่ยง และเฝ้าระวังกิจกรรมทางบัญชีที่ผิดปกติ หรือความพยายามฟิชชิ่งที่อ้างถึงการดำเนินงานฟาร์มของตน

องค์กรที่ประมวลผลข้อมูลลูกค้าจำนวนมากควรตระหนักด้วยว่าบริการเฝ้าระวังดาร์กเว็บถูกนำมาใช้มากขึ้นเพื่อติดตามว่าชุดข้อมูลที่ถูกขโมยปรากฏขึ้นเพื่อขายหรือถูกเผยแพร่โดยกลุ่มแรนซัมแวร์หรือไม่ นี่ไม่ใช่ข้อกังวลที่อยู่เฉย ๆ ข้อมูลที่รั่วไหลจากการบุกรุกครั้งหนึ่งมักจะเป็นเชื้อเพลิงให้กับการโจมตีแบบเจาะจงในที่อื่น ๆ

ความเสี่ยงไม่ได้จำกัดอยู่เพียงธุรกิจเอกชน ดังที่เน้นย้ำในรายงานข่าวเกี่ยวกับ ภัยคุกคาม APT ที่เชื่อมโยงกับรัฐและวิธีการของพวกเขา แม้แต่องค์กรที่มีทรัพยากรพร้อมก็ต้องเผชิญกับเทคนิคการบุกรุกที่คงอยู่และพัฒนาอยู่ตลอดเวลา กลุ่มแรนซัมแวร์ได้นำกลวิธีเคลื่อนที่ด้านข้างและจัดเตรียมข้อมูลบางส่วนซึ่งในอดีตเคยเป็นลักษณะเฉพาะของการจารกรรมที่สนับสนุนโดยรัฐมาใช้

ขั้นตอนที่นำไปปฏิบัติได้ทันทีหลังการโจมตีครั้งนี้

นี่คือสิ่งที่ธุรกิจและบุคคลควรพิจารณาหลังจากการโจมตีเช่นนี้:

• การแบ่งส่วนเครือข่ายมีความสำคัญ. แรนซัมแวร์แพร่กระจายโดยการเคลื่อนที่ในแนวราบผ่านระบบที่เชื่อมต่อถึงกัน การแยกสภาพแวดล้อมข้อมูลอ่อนไหวออกจากเครือข่ายธุรกิจทั่วไปช่วยลดรัศมีการระเบิดของการบุกรุกเพียงครั้งเดียว
• เฝ้าระวังการรั่วไหลของข้อมูล. หากคุณหรือธุรกิจของคุณใช้ Cropwise ให้ติดตามการแจ้งเตือนจาก Syngenta และพิจารณาใช้บริการเฝ้าระวังการบุกรุกเพื่อตรวจสอบว่าข้อมูลของคุณปรากฏทางออนไลน์หรือไม่
• ทบทวนความเสี่ยงของแพลตฟอร์มบุคคลที่สาม. แพลตฟอร์ม SaaS ในภาคการเกษตร การเงิน และการดูแลสุขภาพ จัดเก็บข้อมูลจำนวนมากในนามของผู้ใช้ ธุรกิจควรสอบถามผู้ให้บริการเกี่ยวกับแผนการตอบสนองต่อเหตุการณ์และแนวทางปฏิบัติในการจัดการข้อมูลก่อนเริ่มใช้งาน
• แยกข้อมูลประจำตัวให้แยกจากกัน. หากคุณใช้รหัสผ่านซ้ำกันในหลายแพลตฟอร์ม การบุกรุกที่บริการหนึ่งจะกลายเป็นความเสี่ยงสำหรับบริการอื่น ๆ ทั้งหมด ใช้เครื่องมือจัดการรหัสผ่านและเปิดใช้งานการยืนยันตัวตนหลายปัจจัยทุกครั้งที่ทำได้
• มีแผนการตอบสนอง. เหตุการณ์แรนซัมแวร์ดำเนินไปอย่างรวดเร็ว องค์กรที่ผ่านการซักซ้อมขั้นตอนการตอบสนองต่อเหตุการณ์จะกู้คืนได้เร็วกว่าและสูญเสียข้อมูลน้อยกว่า

การโจมตี Cropwise โดย ShadowByt3$ เป็นเครื่องย้ำเตือนอย่างชัดเจนว่ากลุ่มแรนซัมแวร์ไม่ได้จำกัดตัวเองอยู่เพียงเป้าหมายที่มีมูลค่าสูงอย่างโรงพยาบาลหรือสถาบันการเงินเท่านั้น แพลตฟอร์มเกษตรแม่นยำและข้อมูลอ่อนไหวที่พวกเขาจัดเก็บในนามของเกษตรกรและธุรกิจการเกษตร ตกเป็นเป้าโจมตีอย่างแน่นหนาแล้ว การรับรู้ข้อมูลข่าวสารและดำเนินขั้นตอนเชิงรุกเพื่อรักษาความปลอดภัยของข้อมูลไม่ใช่ทางเลือกอีกต่อไปสำหรับองค์กรใดก็ตามที่จัดการข้อมูลลูกค้า