News

EDP บริษัทด้านพลังงานยักษ์ใหญ่ในยุโรปยืนยันถูก Ragnar Locker ransomware โจมตี

Energias de Portugal Renewables North America (EDPR NA) บริษัทพลังงานทดแทนอเมริกาเหนือยืนยันถูก Ragnar Locker ransomware โจมตีส่งผลกระทบต่อระบบงานของบริษัทแม่ ซึ่งเป็นบริษัทด้านพลังงานยักษ์ใหญ่ข้ามชาติของโปรตุเกส Energias de Portugal (EDP)

ตามรายงานในขณะนั้นพบว่าแฮกเกอร์ขอให้กลุ่ม EDP จ่ายค่าไถ่จำนวน 1580 Bitcoins (ประมาณ 10 ล้านดอลลาร์) สำหรับข้อมูลที่มากกว่า 10 TB ที่ถูกกล่าวหาว่าขโมยข้อมูลมาจากเซิร์ฟเวอร์

Ragnar Locker ransomware ถูกพบครั้งแรกขณะที่ใช้เป็นส่วนหนึ่งของการโจมตีในช่วงหลังเดือนธันวาคม 2019 โดย Ragnar Locker เป็นที่รู้จักจากการพุ่งเป้าโจมตีกลุ่มผู้ให้บริการแบบ MSP

ที่มา: bleepingcomputer

กลุ่มแฮกเกอร์เกาหลีเหนือถูกเชื่อมโยงกับการโจมตีเว็บไซต์ Online Store หลายเเห่งโดยการโจมตีด้วย web skimming หรือ Magecart

SanSec บริษัทรักษาความปลอดภัยทางด้านไซเบอร์ของเนเธอร์แลนด์ ได้กล่าวถึงรายงานที่ตีพิมพ์ว่ากลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือได้ทำการโจมตีเว็บไซต์ Online Stores หลายเเห่ง โดยกลุ่มแฮกเกอร์ได้ทำการรันโค้ดที่เป็นอันตรายลงไปในเว็บไซต์ Online Store เพื่อทำการขโมยข้อมูลบัตรเคดิตของลูกค้าที่ทำการกรอกข้อมูลจ่ายเงินในเว็บไซต์ Online Store

ในรายงานยังกล่าวอีกว่ากลุ่มแฮกเกอร์ที่ทำการโจมตีนั้นจะใช้วิธีการโจมตีประเภท "web skimming," "e-skimming" หรือ "Magecart attack" โดยเป้าหมายของกลุ่มแฮกเกอร์คือการเข้าถึงเซิร์ฟเวอร์แบ็กเอนด์ของเว็บไซต์ Online Store หรือ third-party widget ที่พวกเขาสามารถทำการติดตั้งและเรียกใช้โค้ดที่เป็นอัตราย เพื่อทำการรวบรวมข้อมูลการชำระเงินด้วยบัตรเครดิตของลูกค้าที่ทำการจ่ายเงินเพื่อทำการขโมยและนำไปขายในเว็บไซต์ใต้ดิน

บริษัท SanSec ยังกล่าวอีกว่าหลักฐานการโจมตีนี้ชี้กลับไปที่กลุ่มแฮกเกอร์เกาหลีเหนือที่ชื่อ Hidden Cobra หรืออีกชื่อคือ Lazarus Group ซึ่งรูปแบบการโจมตีของแฮกเกอร์กลุ่มนี้นั้นยังไม่เป็นที่รู้จัก แต่มักจะพบว่าใช้การโจมตีแบบ Spearphishing attack เพื่อขโมยรหัสผ่านของพนักงานขาย

ทั้งนี้ผู้ใช้งานอินเตอร์เน็ตต้องมีความระมัดระวังในการใช้งานเว็บไซต์ Online Store และควรทำการตรวจยอดเงินการใช้จ่ายบัตรเคดิตอยู่เสมอ หากพบยอดชำระผิดปกติให้ทำการติดต่อธนาคารเพื่อเเจ้งยกเลิกบัตร

ที่มา: zdnet

Palo Alto Networks (PAN) ได้กล่าวถึงช่องโหว่ที่รุนแรงอีกครั้งที่พบใน PAN-OS GlobalProtect portal และส่งผลกระทบต่ออุปกรณ์ Next generation firewall

CVE-2020-2034 เป็นช่องโหว่เกี่ยวกับ OS command injecton ทำให้ผู้โจมตีสามารถ Remote โดยไม่ผ่านการตรวจสอบสิทธิ์และสามารถรัน OS command โดยใช้สิทธิ์ root บนอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตซ์ โดยช่องโหว่นี้สามารถทำได้ยากและมีความซับซ้อน ผู้โจมตีต้องการข้อมูลระดับหนึ่งเกี่ยวกับการกำหนดค่าไฟร์วอลล์ที่ได้รับผลกระทบ ช่องโหว่ CVE-2020-2034 ได้รับการจัดอันดับความรุนแรงสูงด้วยคะแนนฐาน CVSS 3.x ที่ Score 8.1

ช่องโหว่นี้มีผลกระทบกับอุปกรณ์ที่เปิดใช้งาน GlobalProtect portal เท่านั้น ช่องโหว่นี้ไม่สามารถเกิดขึ้นได้หากปิดการใช้งานฟีเจอร์นี้ ในขณะเดียวกันบริการ Prisma Access ไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้ได้ถูกแก้ไขแล้ว โดยผู้ใช้ต้องอัปเดตแพทซ์ในเวอร์ชันที่มากกว่าหรือเท่ากับ PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 หรือเวอร์ชันที่ใหม่กว่าทั้งหมด ส่วน Version PAN-OS 7.1 และ PAN-OS 8.0 จะไม่ได้รับการแก้ไขสำหรับช่องโหว่นี้

ที่มา: bleepingcomputer

อดีตวิศวกรของ Yahoo ถูกตัดสินให้ถูกคุมขังและถูกกักบริเวณในบ้านเป็นเวลาห้าปี หลังจากทำการแฮกเข้าสู่บัญชีส่วนตัวของผู้ใช้ Yahoo Mail กว่า 6,000 รายเพื่อทำการค้นหารูปภาพและวิดีโอส่วนตัวของเข้าของบัญชี โดย Reyes Daniel Ruiz วัย 34 ปีจาก Tracy รัฐ California ถูกศาลตัดสินให้จ่ายค่าปรับเป็นเงิน $ 5,000 (156,235 บาท) และอีก $118,456 (3,701,394 บาท) ให้กับ Yahoo เพื่อชดใช้ความเสียหายที่เกิดขึ้น

เอกสารประกอบคำตัดสินเปิดเผยว่า Ruiz ก่ออาชญากรรมของเขาในขณะที่ทำงานที่ Yahoo ในฐานะวิศวกร ระหว่างปี 2009 ถึงกรกฎาคม 2019 โดย Reyes ใช้สิทธ์ในการเข้าถึง backend ของ Yahoo เพื่อทำการเข้าถึงรหัสผ่านถูกเข้าด้วยฟังก์ชันแฮชแล้วจึงทำการถอดค้าหารหัสผ่านแบบ plaintext จากค่าแฮชดังกล่าวเพื่อเข้าถึงบัญชี Yahoo Mail ของแฟนสาว, เพื่อนและเพื่อนร่วมงานของเขา เมื่อเข้าถึงบัญชีได้เขาทำการค้นหารูปภาพและวีดีโอส่วนตัวของเจ้าของบัญชีจากนั้นทำการดาวน์โหลดและเก็บไว้ในฮาร์ดไดรฟ์ส่วนตัวที่บ้าน

นักวิจัยยังกล่าวด้วยว่า Ruiz ยังใช้บัญชีอีเมล Yahoo ที่ถูกแฮกทำการหลอกล่อหยื่อเพื่อเข้าถึงบัญชีและที่จัดเก็บไฟล์ส่วนบุคคล ในบริการต่างๆ เช่น Apple iCloud, Gmail, Hotmail, Dropbox และ Photobucket และคาดว่ามีผู้ที่ตกเป็นเหยื่อจำนวน 6,000 คน

การแฮกของ Ruiz ถูกตรวจพบโดยวิศวกรของ Yahoo คนอื่นในเดือนมิถุนายน 2018 และได้รายงานต่อเจ้าหน้าที่หลังจากตรวจพบ โดยหลังจากถูกตรวจพบ Ruiz ได้ทำการทำลายฮาร์ดไดรฟ์ที่ใช้เก็บข้อมูลที่เข้าทำการละเมิดข้อมูล ซึ้งมีข้อมูลอยู่ในนั้นเป็นจำนวน 2 TB ซึ่งเชื่อกันว่ามีภาพและวิดีโอส่วนตัวระหว่าง 1,000 ถึง 4,000 ภาพ

เนื่องจาก Ruiz ทำลายฮาร์ดไดรฟ์ส่วนตัวของเขาอัยการสหรัฐฯ กล่าวว่าพวกเขาสามารถระบุเหยื่อได้เพียง 3,137 คนจากเหยื่อทั้งหมด 6,000 คนเท่านั้น

ที่มา: zdnet

F5 Networks ซึ่งเป็นหนึ่งในผู้ให้บริการเครือข่ายระดับองค์กรที่ใหญ่ที่สุดในโลกได้เผยแพร่คำแนะนำด้านความปลอดภัยเพื่อเตือนลูกค้าให้ทำการอัพเดตเเพตซ์แก้ไขข้อบกพร่องด้านความปลอดภัยที่เป็นอันตรายซึ่งมีแนวโน้มว่าจะถูกนำไปใช้ประโยชน์ เพื่อโจมตีองค์กรต่างๆ โดยช่องโหว่ดังกล่าวถูกติดตามด้วยรหัส CVE-2020-5902 ช่องโหว่ที่เกิดขึ้นนั้นส่งผลกระทบต่อผลิตภัณฑ์ BIG-IP ซึ่งอยู่ในอุปกรณ์เน็ตเวิร์คเช่น Web Traffic Shaping Systems, Load balance, Firewall, Access Gateway ตลอดจนไปถึง SSL Middleware เป็นต้น

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligent Response) จาก บริษัทไอ-ซีเคียว จำกัด จะมาติดตามรายละเอียดของช่องโหว่นี้ พร้อมทั้งอธิบายที่มาการตรวจจับและการป้องกันการโจมตีช่องโหว่นี้ โดยในบล็อกนี้นั้นเราจะทำการติดตามและอัปเดตข้อมูลรายวันเพื่อให้ผู้ใช้บริการได้รับข้อมูลที่ทันสมัยที่สุด

รายละเอียดช่องโหว่โดยย่อ

รายละเอียดของช่องโหว่เชิงเทคนิค

การโจมตีช่องโหว่

ระบบที่ได้รับผลกระทบ

การตรวจจับและป้องกันการโจมตี

Root Cause ของช่องโหว่

การบรรเทาผลกระทบ

อ้างอิง

รายละเอียดช่องโหว่โดยย่อ
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Remote Code Execution (RCE) ที่เกิดขึ้นจากข้อผิดพลาดใน BIG-IP Management Interface หรือที่เรียกว่า TMUI (Traffic Management User Interface) โดยช่องโหว่นี้ถูกประเมินด้วยคะแนน CVSSv3 แบบ Base Score อยู่ที่ 10/10 ซึ่งถือว่าเป็นช่องโหว่ที่มีความรุนเเรงและอัตรายอย่างมาก

ผู้ประสงค์ร้ายสามารถใช้ประโยน์จากช่องโหว่นี้ผ่านทางอินเตอร์เน็ตเพื่อเข้าถึง TMUI Component ซึ่งทำงานบน Tomcat เซิร์ฟเวอร์บนระบบปฏิบัติการ Linux ของ BIG-IP ซึ่งช่องโหว่นี้ทำให้ผู้บุกรุกสามารถรันคำสั่งบนระบบได้ โดยการรันคำสั่งสามารถสร้างหรือลบไฟล์, Disable Service และยังสามารถรันคำสั่งโค้ด Java บนอุปกรณ์ที่ใช้ BIG-IP ได้

ช่องโหว่นี้ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยด้านความปลอดภัยจาก Positive Technologies นักวิจัยได้ทำการค้นหาอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต โดยการใช้ Shodan Search พบว่ายังมีอุปกรณ์ BIG-IP ประมาณ 8,400 ที่สามารถเข้าได้ผ่านอินเตอร์เน็ตซึ่ง 40% อยู่ในประเทศสหรัฐอเมริกา

รูปที่ 1 จำนวนอุปกรณ์ BIG-IP ที่สามารถเข้าได้ผ่านอินเตอร์เน็ต

รายละเอียดของช่องโหว่เชิงเทคนิค
ช่องโหว่ CVE-2020-5902 เป็นช่องโหว่ Directory Traversal ใน /tmui/locallb/workspace/tmshCmd.

Juniper Networks ออกอัปเดตแก้ไขช่องโหว่ให้กับผลิตภัณฑ์ โดยช่องโหว่ที่สำคัญคือช่องโหว่ CVE-2020-1654 ใน Junos OS

CVE-2020-1654 เป็นช่องโหว่เมื่อเปิดใช้งาน ICAP redirect โดยผู้โจมตีจะสามารถส่ง HTTP message อันตรายมาจากระยะไกลได้ เมื่อ Junos OS ทำการประมวลผล HTTP message อันตรายเหล่านั้นอาจทำให้เกิดความเสียหายตั้งแต่การหยุดทำงาน (Denial of Service) ไปจนถึงเป็นการรันคำสั่งอันตรายจากระยะไกล (RCE) ได้
ส่งผลกระทบ Junos OS 18.1, 18.2, 18.3, 18.4, 19.1, 19.2 และ 19.3 บน SRX Series

ที่มา : juniper.

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

นักวิจัยจาก Sophos ได้เปิดเผยว่าพบแคมเปญฟิชชิ่งรูปแบบใหม่ที่กำหนดเป้าหมายไปยังเจ้าของบล็อกเกอร์และเจ้าของเว็บไซต์ด้วยอีเมลที่ปลอมแปลงมาจากผู้ให้บริการโฮสต์ติ้ง ด้วยการเสนอการอัปเกรดโดเมนเพื่อใช้งาน DNSSEC

นักวิจัยกล่าวว่าผู้ประสงค์ร้ายนั้นจะใช้ข้อมูลจาก WHOIS เพื่อส่งอีเมลฟิชชิ่งไปหาเป้าหมายและจะทำการปลอมแปลงเป็นผู้ให้บริการ WordPress, NameCheap, HostGator, Microsoft Azure และบริษัทโฮสติ้งที่มีชื่อเสียงอื่นๆ โดยเนื้อหาอีเมลจะเสนอให้ทำการอัพเกรด DNS ของเว็บไซต์ให้ไปใช้โปรโตคอล DNS ที่ใหม่กว่าคือ DNSSEC เพียงเเค่ผู้ใช้ทำการคลิกที่ลิงก์เพื่อเปิดใช้งานฟีเจอร์นี้

นักวิจัยจาก Sophos อธิบายว่าโปรโตคอล DNSSEC นั้นไม่ใช่สิ่งที่เจ้าของเว็บไซต์จะทำการติดตั้งเอง โดยการติดตั้งและอัพเกรดนั้นจะต้องถูกทำการตั้งค่ามาจากผู้ให้บริการโฮสติ้ง ส่วนเป้าหมายของแคมเปญนั้นคือการขโมย credential ของผู้ใช้งานที่ไม่สงสัยหรือไม่มีความรู้เกี่ยวกับโปรโตคอล DNSSEC

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งที่ทำการเปิดอ่านและให้ทำการระมัดระวังในการคลิกลิ้งค์จากอีเมลหรือแม้เเต่การกรอกแบบฟอร์มจากเว็ปไซต์และระบบที่ไม่คุ้นเคย เพื่อป้องกันการถูกขโมยข้อมูลของผู้ใช้

ที่มา: bleepingcomputer

Citrix ได้ทำการออกเเพตซ์แก้ไขช่องโหว่ 11 รายการที่พบว่าส่งผลกระทบต่อ Citrix ADC, Citrix Gateway และ Citrix SD-WAN WANOP (อุปกรณ์รุ่น 4000-WO, 4100-WO, 5000-WO และ 5100-WO) ซึ่งแพตซ์การเเก้ไขนี้ไม่เกี่ยวข้อกับช่องโหว่การโจมตีจากระยะไกล CVE-2019-19781 ที่ได้ออกเเพตซ์ความปลอดภัยไปแล้วในเดือนมกราคม 2020 และช่องโหว่เหล่านี้ไม่มีผลต่ออุปกรณ์ Citrix เวอร์ชั่นคลาวด์

โดยช่องโหว่ที่ได้รับการเเก้ไขมีรายละเอียดที่สำคัญมีดังนี้

ช่องโหว่ CVE-2019-18177 โดยช่องโหว่เป็นประเภท Information disclosure โดยช่องโหว่ทำให้ผู้โจมตีที่ผ่านการตรวจสอบสิทธิ์ผ่าน VPN User สามารถดูข้อมูลการตั้งค่าได้ ส่วนช่องโหว่ CVE-2020-8195 และ CVE-2020-8196 เป็นช่องโหว่การเปิดเผยข้อมูลเช่นกัน โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP สามารถดูข้อมูลการตั้งค่าได้
ช่องโหว่ CVE-2020-8187 เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Denial of Service (DoS) ระบบได้ ช่องโหว่นี้จะมีผลกับ Citrix ADC และ Citrix Gateway 12.0 และ 11.1 เท่านั้น
ช่องโหว่ CVE-2020-8190 เป็นช่องโหว่ประเภทการยกระดับสิทธ์ ซึ่งช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธ์จาก NSIP ทำการยกระดับสิทธิ์ได้ ส่วน CVE-2020-8199 ซึ่งเป็นเป็นช่องโหว่ประเภทการยกระดับสิทธ์เช่นกัน โดยช่องโหว่จะมีผลกระทบต่อปลั๊กอิน Citrix Gateway สำหรับ Linux ทำให้ผู้โจมตีสามารถยกระดับสิทธ์ภายใน Citrix Gateway สำหรับ Linux ได้
ช่องโหว่ CVE-2020-8191 และ CVE-2020-8198 เป็นช่องโหว่ Cross Site Scripting (XSS) ทำให้ผู้โจมตีจากระยะไกลสามารถทำการ XSS โดยการหลอกล่อให้เหยื่อทำการเปิดลิงก์ที่ควบคุมโดยผู้โจมตีในเบราว์เซอร์เพื่อทำการโจมตีผู้ใช้
ช่องโหว่ CVE-2020-8193 เป็นช่องโหว่การ Bypass การตรวจสอบสิทธ์ โดยเงื่อนไขคือผู้โจมตีต้องสามารถเข้าถึง NSIP ได้ก่อนจึงจะสามารถใช้ประโยชน์จากช่องโหว่ได้
ช่องโหว่ CVE-2020-8194 เป็นช่องโหว่ Code injection โดยเงื่อนไขของคือผู้ใช้ต้องดาวน์โหลดและดำเนินการไบนารี่ที่เป็นอันตรายจาก NSIP ก่อนจึงจะทำให้ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ได้

Citrix ได้แนะนำให้ผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพซต์การแก้ไขและติดตั้งให้เป็นเวอร์ชั่นใหม่ล่าสุดเพื่อป้องกันผู้ไม่หวังดีทำการใช้ประโยชน์จากช่องโหว่ดังกล่าว

ที่มา: citrix.

แฮกเกอร์ทำการอัปโหลดโน๊ตเรียกค่าไถ่บนฐานข้อมูล MongoDB จำนวน 22,900 แห่งที่สามารถเข้าได้ถึงจากอินเตอร์เน็ตโดยไม่ต้องใช้รหัสผ่าน ซึ่งคิดเป็นจำนวนประมาณ 47% ของฐานข้อมูล MongoDB ที่พบการเข้าถึงได้จากอินเตอร์เน็ต

Victor Gevers นักวิจัยด้านความปลอดภัยจาก GDI Foundation ได้กล่าวว่าการข่มขู่เรียกค่าไถ่นั้นเกิดขึ้นช่วงต้นเดือนเมษายนที่ผ่านมา กลุ่มแฮกเกอร์จะทำการใช้สคริปต์ในการค้นหาและเพื่อเเสกนฐานข้อมูล MongoDB ที่ทำการตั้งค่าผิดพลาด หลังจากเจอเป้าหมายกลุ่มแฮกเกอร์จะทำการทิ้งโน๊ตเรียกค่าไถ่เป็นจำนวนเงิน 0.015 bitcoin หรือ ประมาณ 4,358 บาท โดยให้เวลาจ่ายค่าไถ่เป็นเวลา 2 วัน ถ้าเกิดเหยื่อไม่ทำการจ่ายเงินกลุ่มแฮกเกอร์จะทำการส่งเรื่องว่าเกิดข้อมูลรั่วไหลต่อหน่วยงาน General Data Protection Regulation (GDPR) ซึ่งเป็นหน่วยงานที่ดูเเลและป้องกันการรั่วไหลของข้อมูลสหภาพยุโรป

ข้อเเนะนำ
ผู้ดูเเลระบบควรทำการตรวจสอบฐานข้อมูลของท่าน ว่าสามารถเข้าถึงฐานข้อมูลจากอินเตอร์เน็ตและมีการใช้รหัสผ่านหรือไม่ เพื่อป้องกันผู้ไม่หวังดีใช้ประโยชน์จากการตั้งค่าที่ผิดพลาดเข้าถึงฐานข้อมูล

ที่มา: zdnet