ประกาศหลักเกณฑ์ใหม่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564

ตามที่กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ได้ออก พรบ. ฉบับปรับปรุงใหม่ ว่าด้วยเรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ พ.ศ. 2564 เมื่อวันที่ 13 สิงหาคม พ.ศ. 2564 (รายละเอียดของตัว พรบ. : http://www.

อัปเดตล่าสุด !! จากข่าวหน่วยงานทางการแพทย์ถูกประกาศขายข้อมูลบน Darkweb

จากเหตุการณ์เมื่อวันที่ 5 กันยายน ที่ผ่านมาเกี่ยวกับพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ในประเทศไทย ถูกประกาศขายอยู่บน Darkweb ขนาด 3.75 GBจากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้อัพเดทล่าสุดเมื่อเช้าวันนี้ 7 กันยายน ทาง รมว.สธ ได้ออกมายอมรับแล้วว่าข้อมูลที่หลุดออกมานั้นเป็นข้อมูลจริง โดยจากข้อมูลที่ประกาศออกมาระบุว่า ต้นเหตุเกิดขึ้นที่โรงพยาบาลของรัฐแห่งหนึ่งในจังหวัดเพชรบูรณ์ และได้ประสานงานกับ หน่วยงานที่เกี่ยวข้อง เร่งตรวจสอบเหตุการณ์ดังกล่าว

 

ที่มา: thaipbs

พบข้อมูลหน่วยงานทางการแพทย์ในประเทศไทยถูกประกาศขายบน Dark Web

เมื่อวันอาทิตย์ที่ 5 กันยายน ที่ผ่านมาพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ใน ประเทศไทย ถูกประกาศขายอยู่บน Dark Web ขนาด 3.75 GB

โดยข้อมูลที่ถูกขายประกอบด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน วันเกิด ชื่อบิดา โรงพยาบาล ข้อมูลของหมอทั้งหมด รวมถึงพาสเวิร์ดทั่วไปของระบบในโรงพยาบาล

จากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับจากหน่วยงานว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้

Reference :  Raidforums

สายการบินที่ตกเป็นข่าวว่าถูกโจมตีจากกลุ่ม LockBit 2.0 Ransomware ถูกปล่อยข้อมูลลูกค้าออกสู่สาธารณะเรียบร้อยแล้ว

จากเหตุการณ์เมื่อ วันที่ 23 สิงหาคม 2564 ที่ผ่านมานั้น สายการบินชื่อดังแห่งหนึ่งได้ถูกโจมตีโดย LockBit 2.0 Ransomware ซึ่งผู้โจมตีได้ข้อมูลออกไปมากกว่า 200 GB ประกอบไปด้วย ชื่อ นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ ช่องทางการติดต่อสื่อสาร ข้อมูลหนังสือเดินทาง ประวัติการเดินทาง ข้อมูลบัตรเครดิตบางส่วน และข้อมูลอาหารพิเศษของผู้โดยสาร และมีกำหนดระยะเวลาในการเจรจา หากไม่ทำตามเงื่อนไขของทางผู้โจมตีก็จะมีการปล่อยข้อมูลออกสู่สาธารณะ

และเมื่อวันที่ 28 สิงหาคม 2564 เวลา 19:37 ทาง LockBit 2.0 ก็ได้ทำการปล่อยข้อมูลของสายการบินออกมา แต่ทางสายการบิน ได้ยืนยันว่าเหตุการณ์ที่เกิดขึ้นนั้นไม่มีผลกระทบต่อการดำเนินธุรกิจของทางสายการบินเอง และระบบความปลอดภัยด้านการบินแต่อย่างใด

นอกจากสายการบินข้างต้นที่ถูกโจมตีแล้ว ก่อนหน้านั้นก็ได้มีการโจมตีสายการบิน ของประเทศเอธิโอเปียด้วยเช่นกัน และผู้โจมตีได้ปล่อยข้อมูลที่โจมตีสู่สาธารณะเมื่อวันที่ 23 สิงหาคม 2564 ที่ผ่านมานี้

การโจมตีทั้งสองสายการบินที่ได้กล่าวมานั้น เกิดขึ้นหลังจากที่ทางกลุ่มแฮกเกอร์ได้ทำการโจมตีบริษัทที่ปรึกษาด้านไอทีระดับโลกอย่าง Accenture และได้เรียกค่าไถ่เป็นเงินกว่า 50 ล้านดอลลาร์ เพื่อแลกกับการไม่ปล่อยให้ข้อมูลรั่วไหล ซึ่งมีขนาดข้อมูลกว่า 6TB ซึ่งแฮกเกอร์ได้อ้างว่า ได้รับความช่วยเหลือในการโจมตีนี้จากคนภายในองค์กรเอง และล่าสุดเมื่อวันที่ 1 กันยายน ทาง Accenture ได้ออกมาปฏิเสธว่าที่แฮกเกอร์ได้ข้อมูลไปนั้นไม่เป็นความจริง เพราะหลังจากที่ทางบริษัทตรวจพบการโจมตี ก็ได้ทำการ Isolated Server ออกไปในทันที

และนอกจากการโจมตีที่ได้กล่าวไปแล้วนั้น ล่าสุดทาง I-SECURE ได้พบว่าเมื่อช่วงสิ้นเดือนสิงหาคมที่ผ่านมา ยังมีอีกหนึ่งบริษัทในประเทศไทยที่โดนโจมตีโดย LockBit 2.0 Ransomware และมีกำหนดเวลาในการเจรจาให้เสร็จภายในวันที่ 7 กันยายน ที่จะถึง โดยหากไม่มีการเจรจาหรือทำตามเงื่อนไข ก็จะมีการปล่อยข้อมูลภายในให้รั่วไหลออกมา

ที่มา: BleepingComputer

 

วิเคราะห์ LockBit 2.0 Ransomware

เมื่อวันที่ 23 สิงหาคม 2564 ที่ผ่านมานั้น สายการบิน Bangkok Airways ได้ถูกโจมตีโดย LockBit 2.0 Ransomware ซึ่งผู้โจมตีได้ข้อมูลออกไปมากกว่า 200 GB ประกอบไปด้วย ชื่อ นามสกุล สัญชาติ เพศ หมายเลขโทรศัพท์ อีเมล ที่อยู่ ช่องทางการติดต่อสื่อสาร ข้อมูลหนังสือเดินทาง ประวัติการเดินทาง ข้อมูลบัตรเครดิตบางส่วน และข้อมูลอาหารพิเศษของผู้โดยสาร โดยทาง Bangkok Airways ได้ออกมายืนยันว่า ไม่มีผลกระทบต่อระบบความปลอดภัยด้านการบิน (more…)

Tokio Marine Singapore ยอมรับว่าถูกโจมตีโดย Ransomware

Tokio Marine Holdings เป็นบริษัทประกันภัยข้ามชาติในญี่ปุ่น ได้ประกาศว่า Tokio Marine Insurance Singapore (TMiS) ที่เป็นสาขาในสิงคโปร์ ได้ถูกโจมตีด้วย Ransomware เมื่อวันที่ 31 กรกฎาคม 2564 ที่ผ่านมา ทาง Tokio Marine ได้ให้ข้อมูลเพิ่มเติมว่าการโจมตีนี้ได้ส่งผลกระทบต่อ Marine Insurance Singapore เท่านั้น บริษัทในเครืออื่น ๆ ไม่ได้รับความเสียหาย เนื่องจากทาง TMiS ได้ยืนยันว่าได้แยกเครือข่ายทันทีหลังจากตรวจพบการโจมตี พร้อมทั้งแจ้งไปยังหน่วยงานรัฐบาลท้องถิ่น และได้ยืนยันว่าไม่มีข้อบ่งชี้ว่ามีการเข้าถึงข้อมูลของลูกค้า

แต่ยังไม่ชัดเจนว่าการโจมตีเกิดขึ้นได้อย่างไร และเมื่อไร และมีความเสียหายอะไรที่เกิดขึ้นบ้าง โดยทาง Tokio Marine ได้ทำการติดต่อ Vendor ภายนอกมาเพื่อทำการวิเคราะห์ระบบและเพื่อตรวจสอบขอบเขตของความเสียหายแล้ว

Ryan Specialty Group ได้เปิดเผยว่าเมื่อเดือนเมษายน บริษัทได้ตรวจพบการเข้าถึงบัญชีของพนักงานบางบัญชีโดยไม่ได้รับอนุญาต และภายในเดือนมิถุนายน บริษัทพบว่ามีการเข้าถึงข้อมูลส่วนบุคคลบางส่วน แต่ไม่สามารถระบุได้ว่ามีการเข้าถึงข้อมูลที่มีความสำคัญเช่น หมายเลขประกันสังคม หรือไม่

โดยตั้งแต่ต้นปีที่ผ่านมี มีบริษัทประกันภัยรายใหญ่อย่างน้อย 3 ราย ที่ถูกโจมตีโดย Ransomware ซึ่งประกอบไปด้วย CNA, AXA และ Tokio Marine เป็นรายที่ 3

ที่มา: BleepingComputer Cyberscoop

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

BlackMatter Ransomware ที่ถอดแบบมาจาก DarkSide

เมื่อวันศุกร์ที่ 7 พฤษภาคม 2021 ที่ผ่านมานั้น กลุ่มในเครือของ DarkSide Ransomware ได้โจมตี Colonial Pipeline ซึ่งเป็นท่อส่งเชื้อเพลิงของอเมริกา การโจมตีดังกล่าวนั้นส่งผลให้การขนส่งน้ำมันหยุดชะงัก และส่งผลกระทบเป็นวงกว้าง ทำให้เป็นพาดหัวข่าวไปทั่วโลก จากการกดดัน และตรวจสอบอย่างเข้มงวดของหน่วยงานระดับชาติในหนึ่งสัปดาห์ต่อมา DarkSide ได้ประกาศปิดตัวลง รวมถึง REvil ที่เป็นผู้อยู่เบื้องหลังการโจมตี KASEYA และ JBS ก็หยุดเคลื่อนไหวไปเช่นเดียวกัน (more…)

T-Mobile แจ้งถูกโจมตีขโมยข้อมูล คาดส่งผลต่อผู้ใช้งานถึง 54 ล้านคน

เหตุการณ์ข้อมูลรั่วไหลของ T-Mobile เริ่มมีข้อมูลของผลกระทบออกมาเรื่อยๆ หลังจากผลการตรวจสอบล่าสุดพบว่าในขณะนี้มีการเปิดเผยข้อมูลของลูกค้าที่ใช้บริการ T-Mobile มากกว่า 54 ล้านคน

เมื่อสุดสัปดาห์ที่ผ่านมาผู้โจมตีเริ่มขายข้อมูลส่วนบุคคลของลูกค้า T-Mobile 100 ล้านคนบนฟอรัมใต้ดินด้วยราคา 6 bitcoin หรือประมาณ 9 ล้าน 3 แสนบาท

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ถูกขโมยมีข้อมูลลูกค้า T-Mobile ประมาณ 100 ล้านคน ข้อมูลที่เปิดเผยอาจรวมถึง IMSI, IMEI ของลูกค้า, หมายเลขโทรศัพท์, ชื่อลูกค้า, PIN ความปลอดภัย, หมายเลขประกันสังคม, หมายเลขใบขับขี่ และวันเกิด

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ขโมยมาเมื่อประมาณ 2 สัปดาห์ก่อน มีข้อมูลลูกค้าย้อนหลังไปถึงปี 2547 โดยทาง T-Mobile ก็มีการยืนยันในภายหลังว่าเซิร์ฟเวอร์บางส่วนถูกแฮ็กจริง และเริ่มตรวจสอบข้อมูลลูกค้าที่ถูกเปิดเผยออกมา

เมื่อวันที่ 17 สิงหาคม T-Mobile ได้เปิดเผยการตรวจสอบ เกี่ยวกับเซิร์ฟเวอร์ที่ถูกแฮ็กเป็นครั้งแรก และกล่าวว่าข้อมูลส่วนบุคคลของผู้ใช้งาน 48.6 ล้านคนถูกขโมยออกไประหว่างการโจมตี

โดยวันนี้ (21 สิงหาคม) T-Mobile ได้อัปเดตจำนวนข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม 6 ล้านคนที่คาดว่าที่ได้รับผลกระทบจากการโจมตี
ในครั้งนี้ ซึ่งรวมแล้วการโจมตีครั้งนี้ส่งผลกระทบต่อผู้ใช้งานประมาณ 54.6 ล้านคน ซึ่งจำแนกตามนี้

ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในปัจจุบันจำนวน 13.1 ล้านบัญชี
ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในอดีตจำนวน 40 ล้านบัญชี

ข้อมูล ลูกค้าเก่าของ T-Mobile ที่เปิดเผยชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่ และวันเกิดจำนวน 667,000 บัญชี

ข้อมูล ลูกค้าแบบเติมเงินของ T-Mobile ที่ใช้งานอยู่ หมายเลขโทรศัพท์ และ PIN ของบัญชีจำนวน 850,000 บัญชี

ข้อมูล ที่เกี่ยวข้องกับบัญชี Metro ของ T-Mobile ในปัจจุบันที่อาจรวมอยู่ด้วยจำนวน 52,000 บัญชี

ตามที่ผู้โจมตีระบุช่องโหว่ที่ผู้โจมตีใช้มาจาก Configuration บนอุปกรณ์ Access Point ที่ใช้สำหรับระบบทดสอบ โดยปัญหาจากการ Configuration นั้นทำให้ Access Point ตัวนี้ถูกเข้าถึงได้จากอินเทอร์เน็ต แสดงว่าการโจมตีนี้ไม่ได้ใช้เทคนิคที่ซับซ้อน หรือเป็น Zero Day แต่เป็น T-Mobile เองที่พลาดเปิดประตูทิ้งไว้ และผู้โจมตีก็แค่หาประตูเจอเท่านั้นเอง

T-Mobile ได้บอกอีกว่าไม่พบการเข้าถึงข้อมูลการชำระเงิน หรือข้อมูลทางการเงิน แต่ก็แนะนำให้ลูกค้า T-Mobile ทุกคนระวังโดยให้ถือว่าข้อมูลของพวกเขารั่วไหลด้วยเช่นเดียวกัน รวมถึงให้ระวังข้อความ SMS หรือ อีเมลฟิชชิ่ง หากได้รับแล้ว อย่าคลิกลิงก์ใดๆ ที่อยู่ในข้อความเนื่องจากผู้โจมตีสามารถใช้ลิงก์เหล่านี้เพื่อรวบรวมข้อมูลจากลูกค้า T-Mobile ได้

ที่มา : Bleepingcomputer

จากเหตุการณ์ล่าสุดที่มีบริษัท IT ชั้นนำในประเทศไทย ถูกโจมตีด้วย Ransomware จากกลุ่ม BlackMatter

เราจะพามารู้จักกับ BlackMatter: กลุ่ม Ransomware มาแรง ที่เรียนรู้จากความผิดพลาดในอดีตของ Darkside และ REvil

ในเดือนกรกฎาคม กลุ่ม Ransomware กลุ่มใหม่เริ่มโพสต์โฆษณาบนฟอรัมเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตต่างๆ โดยประกาศว่ากำลังพยายามหาพันธมิตร และอ้างว่าได้รวมคุณลักษณะของกลุ่ม Ransomware ที่มีชื่อเสียงมาก่อนหน้าเช่น REvil และ DarkSide นั่นคือ BlackMatter (more…)

Permalink เซิร์ฟเวอร์ Microsoft Exchange ถูกแฮ็กผ่าน ProxyShell Exploits

ผู้ไม่หวังดีกำลังใช้ประโยชน์จากช่องโหว่ ProxyShell เพื่อติดตั้งแบ็คดอร์สำหรับการเข้าถึง Microsoft Exchange
ProxyShell เป็นชื่อของการโจมตีที่ใช้ช่องโหว่ของ Microsoft Exchange ที่เกี่ยวข้องกันสามช่องโหว่ เพื่อเรียกใช้งานโค้ดที่เป็นอันตราย จากระยะไกลโดยไม่ผ่านการตรวจสอบสิทธิ์

ช่องโหว่ทั้งสามตามรายการ ถูกค้นพบโดย Orange Tsai นักวิจัยด้านความปลอดภัยของ Devcore Principal ซึ่งเชื่อมโยงช่องโหว่เหล่านี้เข้าด้วยกันเพื่อเข้าควบคุมเซิร์ฟเวอร์ Microsoft Exchange ในการแข่งขันแฮ็ก Pwn2Own 2021 ในเดือนเมษายน

CVE-2021-34473 - Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
CVE-2021-34523 - Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)

CVE-2021-31207 - Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

เมื่อสัปดาห์ที่แล้ว Orange Tsai ได้พูดใน Black Hat เกี่ยวกับช่องโหว่ของ Microsoft Exchange ล่าสุดที่เขาค้นพบ โดยพบช่องโหว่นี้ในตอนที่เขากำลังกำหนดเป้าหมายการโจมตีไปที่ Microsoft Exchange Client Access Service (CAS)Tsai เปิดเผยในการพูดคุยในงานว่าการโจมตีที่ใช้ ProxyShell นั้นอาศัยการค้นหาอัตโนมัติของ Microsoft Exchange เพื่อทำการโจมตี SSRF

หลังจากงาน Black Hat แล้ว นักวิจัยด้านความปลอดภัย PeterJson และ Nguyen Jang ได้เผยแพร่ข้อมูลทางเทคนิคโดยละเอียดเพิ่มเติมเกี่ยวกับการสร้าง Exploits ProxyShell ที่ใช้ในการโจมตีได้สำเร็จ

และ หลังจากนั้นไม่นาน นักวิจัยด้านความปลอดภัย Kevin Beaumont เริ่มสังเกตุเห็นผู้ไม่หวังดีสแกนหาเซิร์ฟเวอร์ Microsoft Exchange ที่เสี่ยงต่อการถูกโจมตีด้วย ProxyShell

Rich Warren นักวิจัยด้านช่องโหว่ของ Beaumont และ NCC Group ก็ได้มีเปิดเผยว่าผู้ไม่หวังดีได้โจมตี Honeypots ของ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell ในการโจมตี

เมื่อมีการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ผู้ไม่หวังดีมักจะใช้ URL นี้ในการเริ่มโจมตี

https://Exchange-server/autodiscover/autodiscover.