Instagram ได้มีการออกประกาศเตือนผู้ใช้งานในกรณีที่มีกลุ่มแฮกเกอร์ได้โจมตีช่องโหว่บน API ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนตัว อาทิ อีเมลที่ใช้ในการสมัครสมาชิกและเบอร์โทรศัพท์ได้ โดยทาง Instagram ได้ดำเนินการแจ้งผู้ใช้งานที่ได้รับผลกระทบแล้ว และยืนยันว่าการโจมตีช่องโหว่ดังกล่าวนั้นไม่ได้ส่งผลให้ข้อมูลที่เป็นชื่อบัญชีผู้ใช้งานหรือรหัสผ่านรั่วไหล

ต่อมานักวิจัยด้านความปลอดภัยได้มีการค้นพบเว็บไซต์ซึ่งประกาศขายข้อมูลดังกล่าว โดยเปิดให้ผู้ที่ต้องการซื้อสามารถทำการค้นหาโดยใช้ชื่อบัญชีที่ต้องการและซื้อข้อมูลที่มีในราคา 10 ดอลลาร์สหรัฐฯ ต่อบัญชีผู้ใช้ได้

Recommendation: จากการตรวจสอบเบื้องต้น ข้อมูลที่รั่วไหลออกมาดังกล่าวบางส่วนมีข้อมูลของดาราและผู้มีชื่อเสียงในไทยเป็นจำนวนมาก แนะนำให้เตรียมการหากมีการนำข้อมูลไปใช้ในการหลอกลวงผู้อื่นต่อ รวมถึงเพิ่มมาตรการรักษาความปลอดที่จำเป็นครับ

ที่มา: theregister

พบว่า Spambot ที่ถูกเรียกว่า "Onliner" ได้ทำการรวบรวมชื่อผู้ใช้, รหัสผ่าน และข้อมูลการเข้าสู่ระบบ Email Server หลายล้านรายการ เพื่อใช้ในการส่งสแปมผ่านเซิร์ฟเวอร์ที่ "ถูกต้องตามกฎหมาย" และสามารถหลบหลีกการตรวจจับจากตัวกรองสแปมได้

นักวิจัยด้านความปลอดภัยจาก Paris ที่ใช้ชื่อว่า "Benkow" ระบุว่าค้นพบ Web Server ในประเทศเนเธอร์แลนด์ ซึ่งเก็บไฟล์ข้อมูลจำนวนมากประกอบด้วยข้อมูล Email Address , Password และ Email Server จำนวนมากที่ใช้ในการส่งสแปม ข้อมูลดังกล่าวทั้งหมดนี้ได้รับการรวบรวมมาจากแหล่งต่างๆ เช่น จากการแฮก LinkedIn และ Badoo(เครือข่ายการหาคู่เดท) รวมถึงแหล่งข้อมูลที่ไม่รู้จักอื่นๆรวมแล้วประมาณ 80 ล้านบัญชี

Spambot เหล่านี้จะถูกใช้ในการกระจาย Banking Malware ที่มีชื่อว่า "Ursnif" โดยจะมีการแนบไฟล์ เช่น ใบแจ้งหนี้จากโรงแรม หรือบริษัทประกันภัย เมื่อไฟล์ถูกเปิด malware จะถูกดาวน์โหลดมาลงในเครื่อง เพื่อทำการขโมยข้อมูลส่วนบุคคลต่างๆ เช่น ชื่อผู้ใช้งาน, รหัสผ่าน และข้อมูลเครดิตการ์ด โดยเป้าหมายหลักคือเครื่องที่เป็น Windows และปัจจุบันอาจมี Email ที่โดนโจมตีไปแล้วมากถึง 711 ล้านบัญชี

ที่มา:zdnet

Michael Gillespie จาก ID-Ransomware ได้ค้นพบ ตัวใหม่โดยมีการเพิ่ม Extension .arena ลงในไฟล์ที่เข้ารหัส
โดยยังไม่ทราบแน่ชัดว่ามัลแวร์นี้มีการกระจายอย่างไร แต่ในอดีต Crysis จะแพร่กระจายโดยการ Remote Desktop และติดตั้ง ransomware ด้วยตนเอง

เมื่อมีการติดตั้ง ransomware เครื่องจะสแกนคอมพิวเตอร์เพื่อหาไฟล์บางชนิดและเข้ารหัสข้อมูลเหล่านั้น เมื่อไฟล์ถูกเข้ารหัสจะต่อท้ายนามสกุลของไฟล์ในรูปแบบ ". id- [id] [email] .arena" เช่นไฟล์ชื่อ test.

นักวิจัยด้านความปลอดภัย Victor Gevers จาก GDI Foundation ได้พบรายการชื่อผู้ใช้งาน รหัสผ่านรวมไปถึงหมายเลขไอพีของอุปกรณ์ IoT มากกว่า 8,233 รายการ โดยเป็นรายการชื่อผู้ใช้งานและรหัสผ่านของอุปกรณ์ที่เข้าถึงได้จาก Telnet ทั้งหมด 2,174 รายการ ซึ่งโพสต์ไว้ในเว็บไซต์ Pastebin โดยได้ถูกโพสต์เป็นครั้งแรกในเดือนมิถุนายน แต่ได้รับการอัปเดตหลายครั้งนับจากวันที่โพสต์ ข้อมูลนี้จะทำให้ใครก็ตามที่มีสามารถเข้าถึงอุปกรณ์ IoT และทำให้กลายเป็น Botnet ที่อันตราย
รหัสผ่าน 10 อันดับแรกที่ได้รับการตีพิมพ์ ได้แก่

รหัส admin จำนวน 4,621 รายการ
รหัส 123456 จำนวน 698 รายการ
รหัส 12345 จำนวน 575 รายการ
รหัส xc3511 จำนวน 530 รายการ
รหัส GMB182 จำนวน 495 รายการ
รหัส Zte521 จำนวน 415 รายการ
รหัส password จำนวน 399 รายการ
รหัส oelinux123 จำนวน 385 รายการ
รหัส jauntech จำนวน 344 รายการ
รหัส 1234 จำนวน 341 รายการ

คำแนะนำสำหรับเหตุการณ์นี้คือผู้ใช้งานอุปกรณ์ IoT ควรเปลี่ยนรหัสจากค่าเริ่มต้น (Default) ให้เป็นรหัสที่ปลอดภัยอย่างน้อย 12 ตัวอักษร และควรเปิดการใช้งานระยะไกลเมื่อจำเป็นเท่านั้น

ที่มา: arstechnica

เมื่อสัปดาห์ที่ผ่านมา พบกลุ่ม email ที่มีการใช้ชื่อ "Wanna see the Game of Thrones in advance?" หลอกให้เหยื่อเปิด email และ download ไฟล์ที่แนบมา ซึ่งไฟล์เหล่านี้สามารถสั่งให้ผู้ใช้งานเรียกใช้ Powershell Script เพื่อทำการติดตั้ง 9002 Remote Access Trojan ส่งผลให้ผู้โจมตีสามารถเข้าควบคุมเครื่องของเหยื่อได้

เบื้องหลังการโจมตีนี้คือกลุ่ม cyber-espionage ที่ใช้ชื่อว่า Deputy Dog, Group 27 หรือ APT17

ที่มา: bleepingcomputer

Ransomware ชื่อ "Nuclear BTCWare" ค้นพบโดย Michael-Gillespie และถูกเผยแพร่โดยนักพัฒนาซอฟต์แวร์เจาะระบบ จากการ Remote จากระยะไกลไปยังเครื่องเหยื่อที่มีการตั้ง Password ที่คาดเดาได้ง่าย เมื่อแฮกเกอร์สามารถเข้าถึงเครื่องคอมพิวเตอร์เหยื่อได้จึงทำการติดตั้ง ransomware และเข้ารหัสไฟล์ของเหยื่อ

แม้ว่าวิธีการเข้ารหัสจะคล้ายกับ Ransomware อื่นๆ แต่ก็จะมีความแตกต่างบางอย่าง เช่นไฟล์เรียกค่าไถ่ชื่อ "HELP.hta" และมีคำแนะนำให้ติดต่อ black.

พบการโจมตีผ่าน email แบบใหม่ชื่อว่า ROPEMAKER ซึ่งทำให้ผู้โจมตีสามารถเปลี่ยนข้อมูลภายในของเมลที่ผู้รับได้รับผ่านไฟล์ CSS ที่มีการดาวโหลดมาจาก server (remote CSS files) ROPEMAKER มีชื่อเต็มว่า “Remotely Originated Post-delivery Email Manipulation Attacks Keeping Email Risky” โดยมีแนวคิดในการโจมตีด้วยการส่ง email ให้เหยื่อในรูปแบบฟอร์ม HTML แต่แทนที่จะใช้ inline หรือ embedded CSS code ในการตกแต่งตัว text ของเมลนั้น จะใช้ไฟล์ CSS ที่โหลดมาจาก server ในเครื่องของผู้โจมตีแทน
การโจมตี ROPEMAKER เกิดขึ้นเมื่อตอนที่ผู้ใช้งานทำการเปิดอีเมลอ่าน ทำให้การโจมตีสามารถข้ามผ่านระบบป้องกันหลายระบบได้ ROPEMAKER มีอยู่สองแบบ แบบแรก ROPEMAKER Switch จะเกี่ยวข้องกับการใช้ฟังก์ชัน CSS Display เพื่อเปลี่ยนข้อมูลที่แสดงภายในเมล และแบบที่สอง ROPEMAKER Matrix จะเกี่ยวกับการฝัง matrices ของ ASCII characters สำหรับทุกตัวอักษรภายในเมล
Mimecast บริษัทรักษาความปลอดภันในบอสตันออกมาให้ข้อมูลถึงเรื่องนี้ว่า ที่จริงแล้ว ROPEMAKER ไม่ใช่ช่องโหว่ หรือแม้กระทั่งบัค ยกตัวอย่างเช่น Outlook.

เมื่อวันที่ 20 สิงหาคม 2560 ที่ผ่านมา กลุ่มแฮกเกอร์ที่เรียกตัวเองว่า OurMine ได้เข้าควบคุมบัญชี Twitter และ Facebook อย่างเป็นทางการของ PlayStation Network (PSN) กลุ่มแฮกเกอร์ OurMine ประกาศว่าพวกเขาได้เข้าควบคุมบัญชีเหล่านั้นได้ และมีการระบุถึงฐานข้อมูล PlayStation Network ได้เช่นกัน ( ตัวอย่างข้อความที่โพส )

"PlayStation Network Databases leaked #OurMine," the first tweet by OurMine on the compromised PlayStation Twitter account read.

นักวิจัยด้านความปลอดภัยจาก ERPScan พบช่องโหว่ใน SAP POS Xpress Server ช่วยให้ผู้โจมตีสามารถแก้ไขไฟล์ configuration บนระบบ SAP-Point Sale, เปลี่ยนแปลงราคาสินค้า, รวบรวมข้อมูลบัตรชำระเงินและส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยได้มีการรายงานช่องโหว่ดังกล่าวไปยัง SAP แล้วในเดือนเมษายนปี พ.ศ. 2560

ช่องโหว่ดังกล่าวเกิดจาก SAP POS Xpress Server ไม่มีการตรวจสอบสิทธิ์ในการเข้าถึงระบบ ซึ่งหมายความผู้โจมตีสามารถแก้ไขข้อมูลสำคัญโดยไม่ต้องมีการยื่นยันตัวตนใดๆ โดยผู้โจมตีสามารถปรับเปลี่ยนราคาสินค้า, วิธีการชำระเงิน หรือแม้กระทั้งติดตั้ง sniffers ข้อมูลบัตรชำระเงิน

นักวิจัยกล่าวว่าผู้โจมตีจะต้องอยู่ในร้านและเชื่อมต่ออุปกรณ์พิเศษที่รันคำสั่งที่เป็นอันตรายทั้งหมดโดยอัตโนมัติ ซึ่งคืออุปกรณ์ Rasberry Pi board โดยมีค่าใช้จ่ายประมาณ 25 เหรียญ ซึ่งนักวิจัย ERPScan ได้ทดลองใช้ช่องโหว่ที่ค้นพบเพื่อปรับราคาของ Macbook Pro ที่มีราคาสูงมากให้เหลือเพียง 1 เหรียญ

ผูัเชี่ยวชาญยังเตือนว่าช่องโหว่ดังกล่าวสามารถทำให้ระบบ SAP POS ไม่สามารถใช้งานได้ และทำให้เกิดความเสียหายทางการเงินอย่างร้ายแรงต่อผู้ค้าปลีกที่ไม่ได้ติดตั้งแพทช์รักษาความปลอดภัยของ SAP โดยช่องโหว่ใน SAP Point of Sale (POS) Retail Xpress Server ได้รับการแก้ไขและแพทช์รักษาความปลอดภัย โดยสามารถดาวน์โหลดได้จาก SAP Support Portal

ที่มา : BLEEPINGCOMPUTER

Dinesh Venkatesan ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec พบแอพพลิเคชันสำหรับสร้าง Ransomware บน Android จากโฆษณาผ่าน Social Network Messaging และบนเว็บบอร์ดเกี่ยวกับการแฮ็คของจีน ที่ช่วยให้แฮ็คเกอร์สามารถดาวน์โหลดและใช้ Trojan Development Kits (TDKs) สร้าง Ransomware เป็นของตัวเองได้ ซึ่ง Ransomware ที่ถูกสร้างขึ้นมานี้จะมีพฤติกรรมคล้ายกับ Lockdroid Ransomware คือจะทำการล็อกอุปกรณ์ไม่ให้ผู้ใช้สามารถใช้งานได้ และเปลี่ยนรหัส PIN

จุดเด่นของแอปพลิเคชันนี้ คือ การทำงานโดยใช้ GUI แบบง่ายๆ ที่ช่วยให้ผู้ใช้สามารถกำหนดค่าได้โดยที่แทบไม่ต้องใช้ความรู้ด้านการเขียนโปรแกรม เมื่อดาวน์โหลดแอพพลิเคชันมาติดตั้ง หลังเปิดใช้งานแอพพลิเคชันจะให้ใส่ข้อมูลสำหรับสร้าง Ransomware เป็นของตัวเอง ได้แก่
- ข้อความที่เรียกค่าไถ่บนหน้าจอ
- รหัสที่ใช้ปลดล็อคอุปกรณ์
- ไอคอนของ ransomware-laced app
- กระบวนการเชิงคณิตศาสต์สำหรับการปรับแต่งโค้ดแบบสุ่ม
- Animations ที่จะให้แสดงผลบนหน้าจอของเครื่องที่ติด Ransomware

Recommendation
- Backups ข้อมูลอย่างสม่ำเสมอ
- ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน
- ไม่คลิกลิงก์หรือเปิดไฟล์ ที่มาพร้อมกับอีเมลที่น่าสงสัย
- ให้ความสำคัญกับสิทธิ์ที่ app ร้องขอทุกครั้ง

ที่มา : BLEEPINGCOMPUTER