กลุ่มอาชญากรรมไซเบอร์รูปแบบใหม่ บริการเครื่องมือขโมยข้อมูล
นอกจากจะมีกลุ่มที่ให้บริการเรียกค่าไถ่ (Ransomware-as-a-service) แล้ว ยังมีกลุ่มอาชญากรรมในรูปแบบใหม่เกิดขึ้นในปี 2022 ที่ผ่านมา นั่นก็คือบริการ มัลแวร์ และ บริการจารกรรมรหัสผ่านและข้อมูลส่วนตัว (malware and info-stealing as a service)
กลุ่มที่พูดภาษารัสเซีย 34 กลุ่มได้รับการระบุเมื่อเร็ว ๆ นี้ว่าเป็นผู้อยู่เบื้องหลังการกระจายมัลแวร์ขโมยข้อมูลโดยใช้เครื่องมือหลักชื่อว่า Racoon และ Redline เพื่อแอบจารกรรมรหัสผ่านสำหรับบัญชีเกมบน Steam และ Roblox ข้อมูลประจำตัวสำหรับ Amazon และ PayPal รวมถึงข้อมูลสำหรับบันทึกการชำระเงินของผู้ใช้และข้อมูลประจำตัวกระเป๋าเงินดิจิทัล มัลแวร์ลักษณะนี้ถูกเรียกว่า “Info Stealer”
ในช่วง 7 เดือนแรกของปี 2022 แก๊งเหล่านี้ได้ร่วมกันโจมตีอุปกรณ์ของผู้ใช้กว่า 890,000 เครื่องและขโมยรหัสผ่านมากกว่า 50 ล้านรหัส ซึ่งกลุ่มเหล่านี้จะใช้เครื่องมือหลายอย่างร่วมกันโจมตีผ่านบริการ Telegram ในภาษารัสเซีย แต่ กลุ่มเป้าหมายหลักของพวกเขาเป็นผู้ใช้ในสหรัฐอเมริกา บราซิล อินเดีย เยอรมนี และอินโดนีเซีย
นักวิเคราะห์ของ Group-IB ระบุว่า แก๊งขโมยข้อมูลประกอบด้วยนักต้มตุ๋นออนไลน์ระดับล่างที่ดำเนินการในรูปแบบ Classiscam หลอกลวงยอดนิยม ยิ่งไปกว่านั้น ธุรกิจขโมยของผิดกฎหมายซึ่งประสานงานผ่านกลุ่ม Telegram ก็ใช้รูปแบบการทำงานเดียวกันกับ Classiscam
จากการวิเคราะห์พบว่าในช่วงต้นปี 2021 มีกลุ่ม และ บ๊อต (bot) จำนวนมากใน Telegram ที่ถูกสร้างขึ้นมาเพื่อกระจาย “Info Stealer” และเป็นที่แน่ชัดว่า อาชญากรไซเบอร์ทั้งหลายก็เริ่มต้นใช้งาน “Info Stealer” นั้นในช่วงเวลาเดียวกัน โดยเฉลี่ยแล้ว กลุ่มที่มี “Info Stealer” แฝงตัวอยู่จะมีผู้ใช้เฉลี่ยอยู่ที่ 200 คน วิธีการกระจายของพวกเขาก็ง่ายมาก โดยการฝัง link ลงในข้อความประกาศในกลุ่ม เช่น รีวิวสินค้า รีวิวเกมส์ โดยการแนบลิงค์ที่บอกว่า คลิ้กเพื่อชมตัวอย่าง หรืออะไรทำนองนั้น หรือใช้วิธีการง่ายๆแต่ได้ผลเสมอคือการประกาศจับรางวัล (lucky draw) โดยการให้กด link ในข้อความ ซึ่งแท้จริงแล้วเป็น malware
“Info Stealer” ที่ได้รับความนิยมสูงสุดในกลุ่มที่ตรวจสอบคือ RedLine ซึ่งใช้โดย 23 จาก 34 แก๊งอาชญากร ส่วน Racoon อยู่ในอันดับที่สอง โดยมี 8 กลุ่มใช้เครื่องมือนี้ นอกจารก RedLine และ Racoon แล้ว ก็ยังมี “Info Stealer” แบบ “custom” ตามใจคนสั่งทำอีกด้วย ซึ่งพบว่ามี 3 กลุ่มที่ใช้รูปแบบนี้ ในบางครั้งผู้ควบคุมการปฏิบัติงาน จะให้ใช้ทั้ง RedLine และ Racoon เพื่อให้เกิดการแลกเปลี่ยนข้อมูลหรือเงินที่ถูกขโมยของเครื่องมือทั้งสองตัว ทั้ง RedLine และ Racoon มีให้เช่าบน dark web ในราคาราว 150–200 ดอลลาร์สหรัฐฯ ต่อเดือน