เมื่อวันที่ 20 สิงหาคม 2561 ทางบริษัท T-Mobile ผู้ให้บริการระบบโทรคมนาคมขนาดใหญ่ออกมาประกาศว่าแฮกเกอร์สามารถเข้าถึงและขโมยข้อมูลส่วนบุคคลของลูกค้าจำนวน 2 ล้านรายซึ่งประกอบไปด้วย ชื่อ, หมายเลขโทรศัพท์, Email Addresses, รหัสไปรษณีย์สำหรับเรียกเก็บเงิน, เลขที่บัญชีและประเภทบัญชี (แบบเติมเงินหรือแบบรายเดือน)

จากรายงานก่อนหน้าที่จะมีการแถลงอย่างเป็นทางการทาง T-Mobile อ้างว่าการเข้าถึงดังกล่าวไม่กระทบกับข้อมูลทางการเงินของลูกค้าเช่น ข้อมูลบัตรเครดิตและบัตรเดบิต, social security numbers หรือรหัสผ่าน แต่ในคำแถลงการณ์ล่าสุดได้รับการยอมรับว่าแฮ็กเกอร์สามารถเข้าถึงและขโมยรหัสผ่านที่ถูกเข้ารหัสของผู้ใช้งานไปด้วย

เหตุการณ์ที่เกิดขึ้นไม่ใช่ครั้งแรกที่ T-Mobile ถูกเข้าถึงข้อมูลซึ่งเมื่อเดือนตุลาคม 2560 มีการตรวจพบช่องโหว่ในเว็บไซต์ของ T-Mobile ที่อนุญาตให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของลูกค้าที่ประกอบด้วย email IDs, IMSI, หมายเลขบัญชีการเรียกเก็บเงิน, หมายเลขโทรศัพท์ที่ใช้ในการตรวจสอบหมายเลขสมาชิก เป็นต้น และในเดือนกุมภาพันธ์ปี 2560 Kane Gamble แฮ็กเกอร์ชาวอังกฤษรายงานช่องโหว่ระดับ Critical ที่ส่งผลให้ผู้โจมตีสามารถ Hijack บัญชีลูกค้าได้อย่างง่ายดายโดยการ โพสต์เป็นลูกค้าผ่านทางเว็บไซต์ของ T-Mobile เอง

ที่มา : hackread

นักวิจัยได้แจ้งเตือนถึงการใช้งาน DNS query ที่ไม่ปลอดภัย ทำให้สามารถถูกดักขโมยข้อมูลโดยการปลอม DNS ให้ชี้ไปยังผู้ไม่หวังดี

อ้างอิงจากงานวิจัยที่ได้รับการเปิดเผยโดยนักวิจัยของมหาวิทยาลัย Texas สหรัฐอเมริกา และมหาวิทยาลัย China Tsinghua จากจีน ระบุว่า DNS query ประมาณ 0.66% ของการเข้าถึงเว็บไซต์ที่ส่งผ่าน TCP สามารถถูกดักฟังข้อมูลได้ ทีมงานวิจัยจากจีนและสหรัฐอเมริกาอธิบายผลการวิจัยไว้ในบทความ "Who Is Answering My Queries : Understanding and Characterizing Interception of the DNS Resolution Path.

URL shortener, ปลั๊กอินปลอมและไฟล์ popuplink.js ที่เป็นอันตราย เป็น 3 อย่างที่พบว่าถูกใช้บน WordPress เพื่อแพร่กระจายมัลแวร์ตั้งแต่เดือนกรกฎาคม จากการเปลี่ยนเส้นทางผู้เข้าชมเว็บไซต์ที่ตกเป็นเหยื่อไปสู่เว็บไซต์หลอกลวงและโฆษณาต่าง ๆ

ทีมวิจัยจาก Sucuri ได้พบเมื่อวันที่ 17 สิงหาคม ว่ามีเว็บไซต์ที่มีมัลแวร์ popuplink.

นักวิจัยด้านความปลอดภัยของ Kaspersky Lab ได้เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ Dark Tequila ซึ่งมีเป้าหมายเป็นลูกค้าของสถาบันการเงินหลายแห่งในเม็กซิโก โดยเผยแพร่มาตั้งแต่ปี 2013 และตรวจพบเลยจนกระทั่งในปี 2018

Dark Tequila ได้รับการออกแบบมาเพื่อขโมยข้อมูลทางการเงินของเหยื่อจากรายชื่อเว็บไซต์ธนาคารออนไลน์ รวมถึงข้อมูลรับรองการเข้าสู่ระบบไปยังเว็บไซต์ยอดนิยม, ที่จัดเก็บเวอร์ชันของโค้ดไปจนถึงบัญชีที่เก็บไฟล์สาธารณะและผู้จดทะเบียนโดเมน

มัลแวร์จะถูกส่งไปยังเครื่องคอมพิวเตอร์ของเหยื่อผ่าน Spear-Phishing หรืออุปกรณ์ USB ที่ติดเชื้อ ซึ่งเพื่อป้องกันการถูกตรวจจับ ก่อนที่จะแพร่เชื้อมัลแวร์จะตรวจสอบว่าคอมพิวเตอร์ที่ติดเชื่อมี AntiVirus หรือ Security Suite ติดตั้งหรือทำงานอยู่หรือไม่ ถ้าไม่มีจึงจะแพร่เชื้อมัลแวร์แบบ Multi-stage Payload

มัลแวร์ Dark Tequila มี 6 โมดูลหลัก ดังนี้
1. C&C - มัลแวร์นี้จะจัดการการติดต่อระหว่างคอมพิวเตอร์ที่ติดเชื้อและ command and control (C&C) server และตรวจสอบการโจมตีแบบ man-in-the-middle เพื่อป้องกันการวิเคราะห์มัลแวร์
2. CleanUp - หากมัลแวร์ตรวจพบพฤติกรรมที่น่าสงสัย เช่นการรันบน virtual machine หรือ debugging tools จะทำการล้างข้อมูลในระบบที่ติดไวรัสและลบหลักฐานที่มีอยู่
3. Keylogger - โมดูลนี้ได้รับการออกแบบมาเพื่อตรวจสอบระบบและบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบสำหรับรายการที่โหลดไว้ทั้งเว็บไซต์ ทั้งธนาคารและเว็บไซต์ยอดนิยมอื่น ๆ
4. Information Stealer - โมดูลขโมยรหัสผ่านจะดึงข้อมูลรหัสผ่านที่บันทึกไว้จากอีเมลและ FTP clients รวมทั้งเบราว์เซอร์
5. USB Infector - โมดูลนี้จะจำลองตัวเองและติดตั้งคอมพิวเตอร์เครื่องอื่น ๆ ผ่านทาง USB drives และจะ Copy ไฟล์ปฏิบัติการลงในไดรฟ์ ซึ่งจะทำงานโดยอัตโนมัติเมื่อเสียบเข้ากับระบบอื่น ๆ
6. Service Watchdog - โมดูลนี้มีหน้าที่ในการตรวจสอบให้แน่ใจว่ามัลแวร์กำลังทำงานอย่างถูกต้อง

รายชื่อเป้าหมาย ได้แก่ Cpanels, Plesk, ระบบจองเที่ยวบินออนไลน์, Microsoft Office 365, ลูกค้า IBM Lotus Notes, Zimbra email, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace และบริการอื่น ๆ

ข้อแนะนำ
- ควรระมัดระวังในการเปิดอีเมลที่น่าสงสัยและลง Anti-virus ที่น่าเชื่อถือบนเครื่อง
- หลีกเลี่ยงการเชื่อมต่ออุปกรณ์ USB เข้ากับคอมพิวเตอร์ และปิดการทำงานอัตโนมัติบนอุปกรณ์ USB

ที่มา:thehackernews

สถิติผู้เคราะห์ร้ายที่เป็นเหยื่อการรั่วไหลของข้อมูลด้านสุขภาพสูงขึ้นในปี 2018

มีข้อมูลเพิ่มเติมเกี่ยวกับข้อมูลด้านสุขภาพรั่วไหลที่เกิดขึ้นใหม่ประมาณ 30 รายการ รวมถึงการโดนโจมตีแบบฟิชชิ่งที่ส่งผลกระทบต่อบุคคล 1.4 ล้านคน จากการรวบรวมล่าสุดอย่างเป็นทางการในช่วงหลายสัปดาห์ที่ผ่านมา ทำให้ยอดของเหยื่อในปี 2018 เพิ่มขึ้นสูงถึง 4.3 ล้านคน

เมื่อวันอังคารที่ผ่านมาพบว่าตลอดปี 2018 มีการพบเหตุการณ์ข้อมูลรั่วไหล 229 รายการ ซึ่งทำให้มีผู้ได้รับผลกระทบเพิ่มเป็น 6.1 ล้านคน เว็บไซต์บริการของ Health Insurance Portability and Accountability Act : HIPAA หรือที่ถูกเรียกว่า "wall of shame" แสดงรายการการละเมิดข้อมูลด้านสุขภาพกว่า 500 รายการ ตั้งแต่ปี 2009 โดยข้อมูลจาก Security Media Group ล่าสุดในเดือนกรกฎาคม รายงานว่าพบผู้ได้รับผลกระทบจำนวนทั้งสิ้น 2.2 ล้านคน โดยส่วนมากเกิดจากการโจมตีแบบฟิชชิ่งที่เกิดกับ Iowa Health Group ที่มีรายงานออกมาเมื่อวันที่ 30 กรกฏาคม ซึ่งส่งผลกระทบใหญ่ที่สุดในปีที่ 2018

การโจมตีโดยใช้ฟิชชิ่งหลอกลวงลักษณะเกี่ยวกับขั้นตอน หรือการดำเนินการด้านธุรกิจ ยกตัวอย่างเช่น ส่งมาจากหัวหน้าหรือผู้ร่วมงาน มักจะมีอัตราความสำเร็จสูง องค์กรจึงควรมีอุปกรณ์ความปลอดภัยเพื่อป้องกันภัยคุกคามที่มาจาก Email และมีการอบรมเพื่อปลูกฝังความตระหนักให้แก่พนักงานในการแยกแยะฟิชชิ่ง Email

Recommendation:ควรมีอุปกรณ์ความปลอดภัยเพื่อป้องกันภัยคุกคามที่มาจาก Email และมีการอบรมเพื่อปลูกฝังความตระหนักให้แก่พนักงานในการแยกแยะฟิชชิ่ง Email

ที่มา:bankinfosecurity

Twitch ได้มีการแจ้งเตือนเกี่ยวกับข้อบกพร่องของ Software ที่ทำให้ผู้อื่นสามารถดาวน์โหลดและอ่านข้อความเก่าๆได้

หลังจากที่ผู้ใช้งานเริ่มพูดถึงความผิดพลาดนี้ ทาง Twitch ก็ได้ออกมากล่าวว่าข้อผิดพลาดนี้ได้รับการแก้ไขเรียบร้อยแล้ว ซึ่งเป็นปัญหาของ code ในส่วนของการทำ archive เพื่อให้ผู้ใช้งานสามารถดาวน์โหลดออกไปเก็บไว้ได้ หลังจากที่ได้มีการนำ feature ที่ชื่อว่า "Messages" ออกไป แต่การทำ archive ดังกล่าวกลับผิดพลาด ส่งผลให้ข้อความส่วนตัวถูก archive ไปให้ผู้ใช้งานคนอื่น โดยรายงานกล่าวว่าข้อความหลักๆที่ได้รับผลกระทบจะเป็นพวกโฆษณาของ streamers ที่ผู้ใช้ subscribe เอาไว้ ทาาง Twitch ได้แจ้งผู้ใช้ผ่านทางอีเมลและส่งข้อความที่ได้รับผลกระทบเพื่อให้ตรวจสอบ

ผู้ใช้ Twitch สามารถค้นหาว่าข้อความของตนได้รับผลกระทบหรือไม่จากลิงก์ต่อไปนี้ twitch.

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

ฝันร้ายของการรักษาความปลอดภัยข้อมูลผู้ป่วย ประวัติของผู้ป่วยในระบบ National Health Service (NHS) หรือ ระบบประกันสุขภาพของสหราชอาณาจักรสูญหายกว่าหมื่นรายการ
ในปีที่ผ่านมาประวัติของผู้ป่วยในระบบประกันสุขภาพของสหราชอาณาจักรสูญหายหรือถูกย้ายไปผิดที่กว่าหนึ่งหมื่นรายการเนื่องจากการโจมตีของมัลแวร์ชื่อดัง WannaCry และการโจมตีอื่นๆ บ่งบอกถึงความจำเป็นที่มากขึ้นในการรักษาความปลอดภัยของข้อมูลผู้ป่วยในวงการสาธารณสุข
มีรายงานข้อมูลของผู้ป่วยจำนวน 9,132 ราย จาก 68 โรงพยาบาลสูญหายไปในปีที่ผ่านมา โดยโรงพยาบาลที่มีข้อมูลของผู้ป่วยสูญหายเป็นอันดับ 1 คือ โรงพยาบาลมหาวิทยาลัยเบอร์มิงแฮม จำนวนกว่า 3,179 ราย อันดับ 2 ได้แก่ Bolton NHS จำนวน 2,163 ราย และอันดับที่ 3 โรงพยาบาลมหาวิทยาลัย Bristol พบประวัติหายไป 1,105 ราย
"เหตุการณ์เหล่านี้เน้นย้ำถึงความจำเป็นในการปรับปรุงกระบวนการรักษาความปลอดภัยเกี่ยวกับการจัดการข้อมูลด้านสุขภาพ ใน NHS" ซึ่ง Barry Scott, EMEA CTO ของ Centrify กล่าว "มีการขายข้อมูลด้านสุขภาพบนเว็บในตลาดมืดเพิ่มขึ้น ทำให้มีความจำเป็นที่จะต้องปกป้องข้อมูลส่วนตัวของผู้ป่วยอย่างเร่งด่วน"
องค์กรด้านสาธารณสุขตกเป็นเป้าหมายต้นๆสำหรับแฮกเกอร์ เนื่องจากไม่มีระบบรักษาความปลอดภัยหนาแน่นและไม่มีพนักงานที่ผ่านการอบรมด้านความปลอดภัยทางไซเบอร์ เมื่อถูกโจมตีจึงส่งผลกระทบอย่างรุนแรง เช่น เมื่อระบบประกันสุขภาพของสหราชอาณาจักร ถูกโจมตีด้วย Wannacry ในปี 2017 เป็นผลให้ต้องยกเลิกการนัดหมายของผู้ป่วยกว่าสองหมื่นรายการ รวมทั้งผู้ป่วยที่ห้องฉุกเฉินไม่สามารถเข้ารักษาได้ บางโรงพยาบาลถึงกับไม่สามารถทำงานตามปกติได้เป็นเวลาหลายสัปดาห์

ที่มา : TechRepublic

ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Apache ออกแพทช์ด้านความปลอดภัยสำหรับ Apache Tomcat ARP/Native แก้ไขปัญหาช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกลเพื่อควบคุบเครื่องเซิร์ฟเวอร์ที่มีช่องโหว่
Mishandled OCSP invalid response (CVE-2018-8019) เป็นช่องโหว่การตอบกลับ Online Certificate Status Protocol (OCSP) ที่ไม่ได้รับการจัดการอย่างถูกต้อง ส่งผลให้ผู้โจมตีสามารถใช้ใบรับรอง Certificates ที่ถูกเพิกถอนไปแล้วเพื่อ authenticate เมื่อมีการใช้งานร่วมกับ TLS มีกระทบกับ Apache เวอร์ชั่น 1.2.0 ถึง 1.2.16 และ 1.1.23 ถึง 1.1.34
OCSP check omitted (CVE-2017-15698) ช่องโหว่การ parsing AIA-Extension ของ client certificate ที่ไม่มีการจัดการฟิลด์ที่มีความยาวมากกว่า 127 ไบต์ได้ดีพอ ส่งผลให้เกิดข้อผิดพลาด และสามารถข้ามขั้นตอนการตรวจสอบของ OCSP ไปได้ มีผลกระทบกับ Apache เวอร์ชั่น 1.2.0 ถึง 1.2.14 และ 1.1.23 ถึง 1.1.34
ที่มา : us-cert