“Scattered LAPSUS$ Hunters เปลี่ยนกลยุทธ์ – เปิดบริการ EaaS และล่าคนวงใน หลังแฮก Salesforce!”
นักวิจัยจาก Unit 42 ของ Palo Alto Networks พบว่ากลุ่มแฮกเกอร์ชื่อ Scattered LAPSUS$ Hunters ซึ่งเชื่อมโยงกับ Bling Libra syndicate กำลังเปลี่ยนกลยุทธ์จากการใช้ ransomware มาเป็น Extortion-as-a-Service (EaaS) คือเน้นขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัสไฟล์
หลังจากแฮก Salesforce และขโมยข้อมูลกว่า 1 พันล้านรายการ พวกเขาเริ่มรุกหนัก โดยเปิด Telegram channel ชื่อ “SLSH 6.0 part 3” เพื่อโชว์ข้อมูลที่ขโมยมา และประกาศว่า “จะไม่ปล่อยข้อมูลเพิ่ม เพราะสิ่งที่มีอยู่มันร้ายแรงเกินกว่าจะเปิดเผย”
กลุ่มนี้ยังเปิดรับสมัคร “คนวงใน” จากบริษัทต่าง ๆ เช่น call center, gaming, SaaS, telecom และ hosting provider ในหลายประเทศ เพื่อให้พนักงานขาย credentials หรือเข้าถึงระบบภายในได้ง่ายขึ้น
ที่น่าสนใจคือพวกเขา tease ว่ากำลังพัฒนา ransomware ตัวใหม่ชื่อ SHINYSP1D3R ซึ่งอาจเป็นแค่เครื่องมือสร้างภาพลักษณ์เพื่อดึง affiliate เข้าร่วม EaaS มากกว่าจะใช้จริง เพราะจนถึงตอนนี้ยังไม่มีการเข้ารหัสไฟล์จากกลุ่มนี้เลย
Unit 42 ยังพบว่าเว็บไซต์ data leak ของกลุ่มถูก deface และไม่สามารถยืนยันได้ว่าข้อมูลยังอยู่หรือไม่ ซึ่งอาจเป็นผลจากแรงกดดันจากหน่วยงานรัฐหรือความเสี่ยงทางกฎหมาย
กลยุทธ์ใหม่ของ Scattered LAPSUS$ Hunters
เปลี่ยนจาก ransomware เป็น Extortion-as-a-Service (EaaS)
ขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัส
ลดความเสี่ยงจากการถูกไล่ล่าทางกฎหมาย
ใช้ Telegram channel เป็นช่องทางสื่อสารและโชว์ข้อมูล
การล่าคนวงใน
เปิดรับสมัครพนักงานจากหลายอุตสาหกรรม
เน้น call center, gaming, SaaS, telecom และ hosting provider
ใช้ insider access เพื่อ bypass ระบบรักษาความปลอดภัย
คล้ายกับกลยุทธ์ของกลุ่ม Muddled Libra (Scattered Spider)
การ tease ransomware ใหม่
ชื่อว่า SHINYSP1D3R
อาจเป็นแค่เครื่องมือสร้างภาพลักษณ์
ยังไม่มีหลักฐานการเข้ารหัสไฟล์
อาจใช้เพื่อดึง affiliate เข้าร่วม EaaS
ความเคลื่อนไหวล่าสุด
ข้อมูลจาก 6 องค์กรถูกปล่อยหลัง deadline
รวมถึง PII เช่น ชื่อ, วันเกิด, เบอร์โทร, ข้อมูล frequent flyer
เว็บไซต์ data leak ถูก deface ไม่สามารถเข้าถึงได้
กลุ่มประกาศว่าจะไม่ปล่อยข้อมูลเพิ่ม
https://securityonline.info/scattered-lapsus-hunters-pivot-to-eaas-launch-insider-recruitment-campaign-after-salesforce-extortion/
นักวิจัยจาก Unit 42 ของ Palo Alto Networks พบว่ากลุ่มแฮกเกอร์ชื่อ Scattered LAPSUS$ Hunters ซึ่งเชื่อมโยงกับ Bling Libra syndicate กำลังเปลี่ยนกลยุทธ์จากการใช้ ransomware มาเป็น Extortion-as-a-Service (EaaS) คือเน้นขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัสไฟล์
หลังจากแฮก Salesforce และขโมยข้อมูลกว่า 1 พันล้านรายการ พวกเขาเริ่มรุกหนัก โดยเปิด Telegram channel ชื่อ “SLSH 6.0 part 3” เพื่อโชว์ข้อมูลที่ขโมยมา และประกาศว่า “จะไม่ปล่อยข้อมูลเพิ่ม เพราะสิ่งที่มีอยู่มันร้ายแรงเกินกว่าจะเปิดเผย”
กลุ่มนี้ยังเปิดรับสมัคร “คนวงใน” จากบริษัทต่าง ๆ เช่น call center, gaming, SaaS, telecom และ hosting provider ในหลายประเทศ เพื่อให้พนักงานขาย credentials หรือเข้าถึงระบบภายในได้ง่ายขึ้น
ที่น่าสนใจคือพวกเขา tease ว่ากำลังพัฒนา ransomware ตัวใหม่ชื่อ SHINYSP1D3R ซึ่งอาจเป็นแค่เครื่องมือสร้างภาพลักษณ์เพื่อดึง affiliate เข้าร่วม EaaS มากกว่าจะใช้จริง เพราะจนถึงตอนนี้ยังไม่มีการเข้ารหัสไฟล์จากกลุ่มนี้เลย
Unit 42 ยังพบว่าเว็บไซต์ data leak ของกลุ่มถูก deface และไม่สามารถยืนยันได้ว่าข้อมูลยังอยู่หรือไม่ ซึ่งอาจเป็นผลจากแรงกดดันจากหน่วยงานรัฐหรือความเสี่ยงทางกฎหมาย
กลยุทธ์ใหม่ของ Scattered LAPSUS$ Hunters
เปลี่ยนจาก ransomware เป็น Extortion-as-a-Service (EaaS)
ขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัส
ลดความเสี่ยงจากการถูกไล่ล่าทางกฎหมาย
ใช้ Telegram channel เป็นช่องทางสื่อสารและโชว์ข้อมูล
การล่าคนวงใน
เปิดรับสมัครพนักงานจากหลายอุตสาหกรรม
เน้น call center, gaming, SaaS, telecom และ hosting provider
ใช้ insider access เพื่อ bypass ระบบรักษาความปลอดภัย
คล้ายกับกลยุทธ์ของกลุ่ม Muddled Libra (Scattered Spider)
การ tease ransomware ใหม่
ชื่อว่า SHINYSP1D3R
อาจเป็นแค่เครื่องมือสร้างภาพลักษณ์
ยังไม่มีหลักฐานการเข้ารหัสไฟล์
อาจใช้เพื่อดึง affiliate เข้าร่วม EaaS
ความเคลื่อนไหวล่าสุด
ข้อมูลจาก 6 องค์กรถูกปล่อยหลัง deadline
รวมถึง PII เช่น ชื่อ, วันเกิด, เบอร์โทร, ข้อมูล frequent flyer
เว็บไซต์ data leak ถูก deface ไม่สามารถเข้าถึงได้
กลุ่มประกาศว่าจะไม่ปล่อยข้อมูลเพิ่ม
https://securityonline.info/scattered-lapsus-hunters-pivot-to-eaas-launch-insider-recruitment-campaign-after-salesforce-extortion/
🕶️ “Scattered LAPSUS$ Hunters เปลี่ยนกลยุทธ์ – เปิดบริการ EaaS และล่าคนวงใน หลังแฮก Salesforce!”
นักวิจัยจาก Unit 42 ของ Palo Alto Networks พบว่ากลุ่มแฮกเกอร์ชื่อ Scattered LAPSUS$ Hunters ซึ่งเชื่อมโยงกับ Bling Libra syndicate กำลังเปลี่ยนกลยุทธ์จากการใช้ ransomware มาเป็น Extortion-as-a-Service (EaaS) คือเน้นขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัสไฟล์
หลังจากแฮก Salesforce และขโมยข้อมูลกว่า 1 พันล้านรายการ พวกเขาเริ่มรุกหนัก โดยเปิด Telegram channel ชื่อ “SLSH 6.0 part 3” เพื่อโชว์ข้อมูลที่ขโมยมา และประกาศว่า “จะไม่ปล่อยข้อมูลเพิ่ม เพราะสิ่งที่มีอยู่มันร้ายแรงเกินกว่าจะเปิดเผย”
กลุ่มนี้ยังเปิดรับสมัคร “คนวงใน” จากบริษัทต่าง ๆ เช่น call center, gaming, SaaS, telecom และ hosting provider ในหลายประเทศ เพื่อให้พนักงานขาย credentials หรือเข้าถึงระบบภายในได้ง่ายขึ้น
ที่น่าสนใจคือพวกเขา tease ว่ากำลังพัฒนา ransomware ตัวใหม่ชื่อ SHINYSP1D3R ซึ่งอาจเป็นแค่เครื่องมือสร้างภาพลักษณ์เพื่อดึง affiliate เข้าร่วม EaaS มากกว่าจะใช้จริง เพราะจนถึงตอนนี้ยังไม่มีการเข้ารหัสไฟล์จากกลุ่มนี้เลย
Unit 42 ยังพบว่าเว็บไซต์ data leak ของกลุ่มถูก deface และไม่สามารถยืนยันได้ว่าข้อมูลยังอยู่หรือไม่ ซึ่งอาจเป็นผลจากแรงกดดันจากหน่วยงานรัฐหรือความเสี่ยงทางกฎหมาย
✅ กลยุทธ์ใหม่ของ Scattered LAPSUS$ Hunters
➡️ เปลี่ยนจาก ransomware เป็น Extortion-as-a-Service (EaaS)
➡️ ขโมยข้อมูลแล้วเรียกค่าไถ่โดยไม่เข้ารหัส
➡️ ลดความเสี่ยงจากการถูกไล่ล่าทางกฎหมาย
➡️ ใช้ Telegram channel เป็นช่องทางสื่อสารและโชว์ข้อมูล
✅ การล่าคนวงใน
➡️ เปิดรับสมัครพนักงานจากหลายอุตสาหกรรม
➡️ เน้น call center, gaming, SaaS, telecom และ hosting provider
➡️ ใช้ insider access เพื่อ bypass ระบบรักษาความปลอดภัย
➡️ คล้ายกับกลยุทธ์ของกลุ่ม Muddled Libra (Scattered Spider)
✅ การ tease ransomware ใหม่
➡️ ชื่อว่า SHINYSP1D3R
➡️ อาจเป็นแค่เครื่องมือสร้างภาพลักษณ์
➡️ ยังไม่มีหลักฐานการเข้ารหัสไฟล์
➡️ อาจใช้เพื่อดึง affiliate เข้าร่วม EaaS
✅ ความเคลื่อนไหวล่าสุด
➡️ ข้อมูลจาก 6 องค์กรถูกปล่อยหลัง deadline
➡️ รวมถึง PII เช่น ชื่อ, วันเกิด, เบอร์โทร, ข้อมูล frequent flyer
➡️ เว็บไซต์ data leak ถูก deface ไม่สามารถเข้าถึงได้
➡️ กลุ่มประกาศว่าจะไม่ปล่อยข้อมูลเพิ่ม
https://securityonline.info/scattered-lapsus-hunters-pivot-to-eaas-launch-insider-recruitment-campaign-after-salesforce-extortion/
0 Comments
0 Shares
45 Views
0 Reviews
Thai