นักวิจัยด้านความปลอดภัยของ Kaspersky Lab ได้เปิดเผยแคมเปญมัลแวร์ใหม่ชื่อ Dark Tequila ซึ่งมีเป้าหมายเป็นลูกค้าของสถาบันการเงินหลายแห่งในเม็กซิโก โดยเผยแพร่มาตั้งแต่ปี 2013 และตรวจพบเลยจนกระทั่งในปี 2018

Dark Tequila ได้รับการออกแบบมาเพื่อขโมยข้อมูลทางการเงินของเหยื่อจากรายชื่อเว็บไซต์ธนาคารออนไลน์ รวมถึงข้อมูลรับรองการเข้าสู่ระบบไปยังเว็บไซต์ยอดนิยม, ที่จัดเก็บเวอร์ชันของโค้ดไปจนถึงบัญชีที่เก็บไฟล์สาธารณะและผู้จดทะเบียนโดเมน

มัลแวร์จะถูกส่งไปยังเครื่องคอมพิวเตอร์ของเหยื่อผ่าน Spear-Phishing หรืออุปกรณ์ USB ที่ติดเชื้อ ซึ่งเพื่อป้องกันการถูกตรวจจับ ก่อนที่จะแพร่เชื้อมัลแวร์จะตรวจสอบว่าคอมพิวเตอร์ที่ติดเชื่อมี AntiVirus หรือ Security Suite ติดตั้งหรือทำงานอยู่หรือไม่ ถ้าไม่มีจึงจะแพร่เชื้อมัลแวร์แบบ Multi-stage Payload

มัลแวร์ Dark Tequila มี 6 โมดูลหลัก ดังนี้
1. C&C - มัลแวร์นี้จะจัดการการติดต่อระหว่างคอมพิวเตอร์ที่ติดเชื้อและ command and control (C&C) server และตรวจสอบการโจมตีแบบ man-in-the-middle เพื่อป้องกันการวิเคราะห์มัลแวร์
2. CleanUp - หากมัลแวร์ตรวจพบพฤติกรรมที่น่าสงสัย เช่นการรันบน virtual machine หรือ debugging tools จะทำการล้างข้อมูลในระบบที่ติดไวรัสและลบหลักฐานที่มีอยู่
3. Keylogger - โมดูลนี้ได้รับการออกแบบมาเพื่อตรวจสอบระบบและบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบสำหรับรายการที่โหลดไว้ทั้งเว็บไซต์ ทั้งธนาคารและเว็บไซต์ยอดนิยมอื่น ๆ
4. Information Stealer - โมดูลขโมยรหัสผ่านจะดึงข้อมูลรหัสผ่านที่บันทึกไว้จากอีเมลและ FTP clients รวมทั้งเบราว์เซอร์
5. USB Infector - โมดูลนี้จะจำลองตัวเองและติดตั้งคอมพิวเตอร์เครื่องอื่น ๆ ผ่านทาง USB drives และจะ Copy ไฟล์ปฏิบัติการลงในไดรฟ์ ซึ่งจะทำงานโดยอัตโนมัติเมื่อเสียบเข้ากับระบบอื่น ๆ
6. Service Watchdog - โมดูลนี้มีหน้าที่ในการตรวจสอบให้แน่ใจว่ามัลแวร์กำลังทำงานอย่างถูกต้อง

รายชื่อเป้าหมาย ได้แก่ Cpanels, Plesk, ระบบจองเที่ยวบินออนไลน์, Microsoft Office 365, ลูกค้า IBM Lotus Notes, Zimbra email, Bitbucket, Amazon, GoDaddy, Register, Namecheap, Dropbox, Softlayer, Rackspace และบริการอื่น ๆ

ข้อแนะนำ
- ควรระมัดระวังในการเปิดอีเมลที่น่าสงสัยและลง Anti-virus ที่น่าเชื่อถือบนเครื่อง
- หลีกเลี่ยงการเชื่อมต่ออุปกรณ์ USB เข้ากับคอมพิวเตอร์ และปิดการทำงานอัตโนมัติบนอุปกรณ์ USB

ที่มา:thehackernews

สถิติผู้เคราะห์ร้ายที่เป็นเหยื่อการรั่วไหลของข้อมูลด้านสุขภาพสูงขึ้นในปี 2018

มีข้อมูลเพิ่มเติมเกี่ยวกับข้อมูลด้านสุขภาพรั่วไหลที่เกิดขึ้นใหม่ประมาณ 30 รายการ รวมถึงการโดนโจมตีแบบฟิชชิ่งที่ส่งผลกระทบต่อบุคคล 1.4 ล้านคน จากการรวบรวมล่าสุดอย่างเป็นทางการในช่วงหลายสัปดาห์ที่ผ่านมา ทำให้ยอดของเหยื่อในปี 2018 เพิ่มขึ้นสูงถึง 4.3 ล้านคน

เมื่อวันอังคารที่ผ่านมาพบว่าตลอดปี 2018 มีการพบเหตุการณ์ข้อมูลรั่วไหล 229 รายการ ซึ่งทำให้มีผู้ได้รับผลกระทบเพิ่มเป็น 6.1 ล้านคน เว็บไซต์บริการของ Health Insurance Portability and Accountability Act : HIPAA หรือที่ถูกเรียกว่า "wall of shame" แสดงรายการการละเมิดข้อมูลด้านสุขภาพกว่า 500 รายการ ตั้งแต่ปี 2009 โดยข้อมูลจาก Security Media Group ล่าสุดในเดือนกรกฎาคม รายงานว่าพบผู้ได้รับผลกระทบจำนวนทั้งสิ้น 2.2 ล้านคน โดยส่วนมากเกิดจากการโจมตีแบบฟิชชิ่งที่เกิดกับ Iowa Health Group ที่มีรายงานออกมาเมื่อวันที่ 30 กรกฏาคม ซึ่งส่งผลกระทบใหญ่ที่สุดในปีที่ 2018

การโจมตีโดยใช้ฟิชชิ่งหลอกลวงลักษณะเกี่ยวกับขั้นตอน หรือการดำเนินการด้านธุรกิจ ยกตัวอย่างเช่น ส่งมาจากหัวหน้าหรือผู้ร่วมงาน มักจะมีอัตราความสำเร็จสูง องค์กรจึงควรมีอุปกรณ์ความปลอดภัยเพื่อป้องกันภัยคุกคามที่มาจาก Email และมีการอบรมเพื่อปลูกฝังความตระหนักให้แก่พนักงานในการแยกแยะฟิชชิ่ง Email

Recommendation:ควรมีอุปกรณ์ความปลอดภัยเพื่อป้องกันภัยคุกคามที่มาจาก Email และมีการอบรมเพื่อปลูกฝังความตระหนักให้แก่พนักงานในการแยกแยะฟิชชิ่ง Email

ที่มา:bankinfosecurity

Twitch ได้มีการแจ้งเตือนเกี่ยวกับข้อบกพร่องของ Software ที่ทำให้ผู้อื่นสามารถดาวน์โหลดและอ่านข้อความเก่าๆได้

หลังจากที่ผู้ใช้งานเริ่มพูดถึงความผิดพลาดนี้ ทาง Twitch ก็ได้ออกมากล่าวว่าข้อผิดพลาดนี้ได้รับการแก้ไขเรียบร้อยแล้ว ซึ่งเป็นปัญหาของ code ในส่วนของการทำ archive เพื่อให้ผู้ใช้งานสามารถดาวน์โหลดออกไปเก็บไว้ได้ หลังจากที่ได้มีการนำ feature ที่ชื่อว่า "Messages" ออกไป แต่การทำ archive ดังกล่าวกลับผิดพลาด ส่งผลให้ข้อความส่วนตัวถูก archive ไปให้ผู้ใช้งานคนอื่น โดยรายงานกล่าวว่าข้อความหลักๆที่ได้รับผลกระทบจะเป็นพวกโฆษณาของ streamers ที่ผู้ใช้ subscribe เอาไว้ ทาาง Twitch ได้แจ้งผู้ใช้ผ่านทางอีเมลและส่งข้อความที่ได้รับผลกระทบเพื่อให้ตรวจสอบ

ผู้ใช้ Twitch สามารถค้นหาว่าข้อความของตนได้รับผลกระทบหรือไม่จากลิงก์ต่อไปนี้ twitch.

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

ฝันร้ายของการรักษาความปลอดภัยข้อมูลผู้ป่วย ประวัติของผู้ป่วยในระบบ National Health Service (NHS) หรือ ระบบประกันสุขภาพของสหราชอาณาจักรสูญหายกว่าหมื่นรายการ
ในปีที่ผ่านมาประวัติของผู้ป่วยในระบบประกันสุขภาพของสหราชอาณาจักรสูญหายหรือถูกย้ายไปผิดที่กว่าหนึ่งหมื่นรายการเนื่องจากการโจมตีของมัลแวร์ชื่อดัง WannaCry และการโจมตีอื่นๆ บ่งบอกถึงความจำเป็นที่มากขึ้นในการรักษาความปลอดภัยของข้อมูลผู้ป่วยในวงการสาธารณสุข
มีรายงานข้อมูลของผู้ป่วยจำนวน 9,132 ราย จาก 68 โรงพยาบาลสูญหายไปในปีที่ผ่านมา โดยโรงพยาบาลที่มีข้อมูลของผู้ป่วยสูญหายเป็นอันดับ 1 คือ โรงพยาบาลมหาวิทยาลัยเบอร์มิงแฮม จำนวนกว่า 3,179 ราย อันดับ 2 ได้แก่ Bolton NHS จำนวน 2,163 ราย และอันดับที่ 3 โรงพยาบาลมหาวิทยาลัย Bristol พบประวัติหายไป 1,105 ราย
"เหตุการณ์เหล่านี้เน้นย้ำถึงความจำเป็นในการปรับปรุงกระบวนการรักษาความปลอดภัยเกี่ยวกับการจัดการข้อมูลด้านสุขภาพ ใน NHS" ซึ่ง Barry Scott, EMEA CTO ของ Centrify กล่าว "มีการขายข้อมูลด้านสุขภาพบนเว็บในตลาดมืดเพิ่มขึ้น ทำให้มีความจำเป็นที่จะต้องปกป้องข้อมูลส่วนตัวของผู้ป่วยอย่างเร่งด่วน"
องค์กรด้านสาธารณสุขตกเป็นเป้าหมายต้นๆสำหรับแฮกเกอร์ เนื่องจากไม่มีระบบรักษาความปลอดภัยหนาแน่นและไม่มีพนักงานที่ผ่านการอบรมด้านความปลอดภัยทางไซเบอร์ เมื่อถูกโจมตีจึงส่งผลกระทบอย่างรุนแรง เช่น เมื่อระบบประกันสุขภาพของสหราชอาณาจักร ถูกโจมตีด้วย Wannacry ในปี 2017 เป็นผลให้ต้องยกเลิกการนัดหมายของผู้ป่วยกว่าสองหมื่นรายการ รวมทั้งผู้ป่วยที่ห้องฉุกเฉินไม่สามารถเข้ารักษาได้ บางโรงพยาบาลถึงกับไม่สามารถทำงานตามปกติได้เป็นเวลาหลายสัปดาห์

ที่มา : TechRepublic

ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Apache ออกแพทช์ด้านความปลอดภัยสำหรับ Apache Tomcat ARP/Native แก้ไขปัญหาช่องโหว่ที่ทำให้ผู้โจมตีสามารถเข้าถึงได้จากระยะไกลเพื่อควบคุบเครื่องเซิร์ฟเวอร์ที่มีช่องโหว่
Mishandled OCSP invalid response (CVE-2018-8019) เป็นช่องโหว่การตอบกลับ Online Certificate Status Protocol (OCSP) ที่ไม่ได้รับการจัดการอย่างถูกต้อง ส่งผลให้ผู้โจมตีสามารถใช้ใบรับรอง Certificates ที่ถูกเพิกถอนไปแล้วเพื่อ authenticate เมื่อมีการใช้งานร่วมกับ TLS มีกระทบกับ Apache เวอร์ชั่น 1.2.0 ถึง 1.2.16 และ 1.1.23 ถึง 1.1.34
OCSP check omitted (CVE-2017-15698) ช่องโหว่การ parsing AIA-Extension ของ client certificate ที่ไม่มีการจัดการฟิลด์ที่มีความยาวมากกว่า 127 ไบต์ได้ดีพอ ส่งผลให้เกิดข้อผิดพลาด และสามารถข้ามขั้นตอนการตรวจสอบของ OCSP ไปได้ มีผลกระทบกับ Apache เวอร์ชั่น 1.2.0 ถึง 1.2.14 และ 1.1.23 ถึง 1.1.34
ที่มา : us-cert

พบการโจมตีในลักษณะ malspam ทำการหลอกลวงโดยปลอมใบแจ้งหนี้สำหรับการแจ้งยอดค้างชำระ เมื่อมีการเปิดใบแจ้งหนี้จะถูกติดตั้ง AZORult ซึ่งเป็น Trojan ขโมยข้อมูล และ Hermes 2.1 Ransomware ลงในคอมพิวเตอร์ของผู้รับ
อีเมลสแปมเหล่านี้ถูกส่งมาโดยใส่ subject เป็น "Invoice Due" และอ้างว่าเป็นข้อมูลเกี่ยวกับยอดค้างชำระ ที่มีเอกสารแนบ Word ชื่อ Invoice.

ผู้เชี่ยวชาญด้านความปลอดภัยพบว่ามีการแพร่กระจายมัลแวร์แอพพลิเคชั่นเกมส์ "Fortnite" ปลอม
Fortnite เป็นหนึ่งในเกมส์แอนดรอยด์ที่ได้รับความนิยมมากที่สุดในขณะนี้ และได้รับความสนใจอย่างมากทั้งจากผู้เล่นเกมส์และผู้ใช้ที่ไม่ประสงค์ดี โดยเมื่อสองสัปดาห์ก่อน CEO ของ Epic Games กล่าวว่าเกมส์นี้จะไม่สามารถดาวน์โหลดได้จาก Google Play Store แต่ยังให้มีการดาวน์โหลดเป็น APK จากเว็บไซต์ที่เป็นทางการของผู้ขายเท่านั้น ซึ่งสถานการณ์ดังกล่าวทำให้ผู้ไม่หวังดีนำไปใช้ประโยชน์ในการเพร่กระจายมัลแวร์ได้
ทันทีที่เกมมีการเปิดให้ดาวน์โหลด มีเว็บไซต์จำนวนมากที่อ้างว่าเป็นผู้ขายที่ถูกต้อง โดยพยายามเลียนแบบหน้าเว็บที่ถูกต้อง เพื่อพยายามหลอกให้ผู้ใช้หลงเชื่อดาวน์โหลดไฟล์ติดตั้งพร้อมมัลแวร์

วิธีสังเกต
- มีคำว่า "Fortnite" รวมอยู่ใน URL แต่ไม่มีส่วนใดส่วนหนึ่งที่เป็น address ของ Epic Games หรือชื่ออื่น ๆ ที่เป็นส่วนหนึ่งของผู้จัดจำหน่ายอย่างเป็นทางการ
- ผู้ที่อยู่เบื้องหลังแอพพลิเคชั่นปลอมจะมีการใช้องค์ประกอบการออกแบบเว็บ, Layout และหน้า Landing Page ให้คล้ายกับเว็บจริง เพื่อพยายามชักจูงให้เชื่อ
- อาจจะมีการเปลี่ยนเส้นทาง(redirect) จากลิงก์ที่ถูกเผยแพร่บนฟอรัมเกมส์ หรือ Social Network และอื่น ๆ ไปยังหน้าเว็บปลอม

ที่มา : securityboulevard

ผู้ใช้ Instagram จำนวนหนึ่งได้แสดงความเห็นบน Twitter และ Reddit ว่าบัญชี Instagram ของพวกเขาถูกแฮ็กอย่างลึกลับ ทำให้ไม่สามารถล็อกอินกลับเข้าไปได้ และยังพบว่าบัญชีอีเมลที่ใช้ถูกเปลี่ยนเป็นโดเมน .ru

ผู้ที่ตกเป็นเหยื่อระบุว่า ชื่อบัญชี, รูปโปรไฟล์, รหัสผ่าน, ที่อยู่อีเมลที่เชื่อมโยงกับ Instagram รวมไปถึงบัญชี Facebook ที่เชื่อมต่ออยู่ ก็ถูกเปลี่ยนด้วย ซึ่งรูปโปรไฟล์ของพวกเขาถูกเปลี่ยนเป็นรูปภาพจากภาพยนตร์ยอดนิยม ได้แก่ Despicable Me 3 และ Pirates of the Caribbean

Mashable ระบุว่า ผู้ใช้ที่ได้รับผลกระทบจาก Instagram มีการเปิด Two-Factor Authentication (2FA) เพื่อพิสูจน์ตัวตนแต่ก็ยังได้รับผลกระทบจากการแฮ็ก อย่างไรก็ตามปัจจุบันยังไม่ได้รับการยืนยันแม้ว่าจะยังไม่ทราบว่าใครเป็นผู้อยู่เบื้องหลังการแฮ็กบัญชี Instagram แต่การใช้ที่อยู่อีเมลที่มาจากผู้ให้บริการอีเมลของรัสเซีย mail.