News

Palo Alto แจ้งเตือนช่องโหว่ Zero-Day บน Firewall ที่ใช้ GlobalProtect Portal VPN

ช่องโหว่ Zero-Day ใหม่ที่ Palo Alto ออกมาแจ้งเตือนนี้อาจถูกนำมาใช้ในการโจมตีเข้ามาในเครือข่ายโดยไม่ต้องพิสูจน์ตัวตน และสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้

นักวิจัย Randori จากบริษัทรักษาความปลอดภัยทางไซเบอร์ใน Massachusetts ได้เป็นผู้ค้นพบช่องโหว่ดังกล่าว และถูกระบุเป็นช่องโหว่หมายเลข CVE-2021-3064 (PAN-OS: Memory Corruption Vulnerability in GlobalProtect Portal and Gateway Interfaces | CVSS:9.8) ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.1 (PAN-OS 8.1.0 - PAN-OS 8.1.16) โดยช่องโหว่ดังกล่าวประกอบไปด้วยวิธีการ Bypass validations โดยเว็บเซิฟเวอร์จากภายนอก (HTTP smuggling) และการทำ Buffer overflow

ช่องโหว่ดังกล่าวได้รับการพิสูจน์แล้วว่าทำให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Physical Firewall และ Virtual Firewall ได้ แต่ด้านรายละเอียดทางเทคนิคที่เกี่ยวข้องกับช่องโหว่นี้นั้นจะยังไม่ถูกเปิดเผยออกมาเป็นเวลา 30 วัน เพื่อป้องกันไม่ให้ผู้ที่ไม่หวังดีนำไปใช้ในการโจมตี

ทาง Palo Alto Networks ออกมาให้ข้อมูลว่า ช่องโหว่ Memory corruption ใน Palo Alto Networks GlobalProtect portal และ Gateway interface ทำให้ผู้โจมตี disrupt system processes จึงทำให้ผู้โจมตีอาจจะสามารถสั่งรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ระดับสูงได้ แต่ผู้โจมตีจะต้องมีการเข้าถึง GlobalProtect interface ได้ก่อนในการโจมตีด้วยช่องโหว่นี้

อย่างไรก็ตาม Palo Alto Networks ได้แนะนำให้องค์กรที่ได้รับผลกระทบเปิดใช้งาน Threat Signature ID “91820 และ 91855” สำหรับตรวจสอบ Traffic เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นกับช่องโหว่ CVE-2021-3064

ที่มา: thehackernews

กลุ่ม Clop ใช้ประโยชน์จากช่องโหว่ของ SolarWinds Serv-U ในการโจมตีโดยใช้แรนซัมแวร์

กลุ่มแรนซัมแวร์ Clop หรือในชื่ออื่น ๆ เช่น TA505 และ FIN11 กำลังใช้ช่องโหว่ของ SolarWinds Serv-U เพื่อโจมตีเครือข่ายองค์กร และเข้ารหัสด้วยแรนซัมแวร์

Serv-U Managed File Transfer และ Serv-U Secure FTP มีช่องโหว่ Remote code execution ซึ่งมีหมายเลขช่องโหว่ CVE-2021-35211 ซึ่งสามารถทำให้ผู้โจมตีสามารถสั่งรันคำสั่งที่เป็นอันตรายบนเซิร์ฟเวอร์ที่มีช่องโหว่ด้วยสิทธิ์ระดับสูงได้

SolarWinds ได้ปล่อยอัปเดตฉุกเฉินในเดือนกรกฎาคม 2021 หลังจากการพบว่าเริ่มมีการใช้ช่องโหว่ดังกล่าวในการโจมตี บริษัทยังเตือนด้วยว่าช่องโหว่นี้จะมีผลเฉพาะกับลูกค้าที่เปิดใช้งาน SSH feature

ช่องโหว่ที่ใช้ในการโจมตีด้วยแรนซัมแวร์

จากรายงานโดย NCC พบว่าการติดมัลแวร์เรียกค่าไถ่ Clop ในช่วงสองสามสัปดาห์ที่ผ่านมา ส่วนใหญ่เริ่มต้นจากการโจมตีด้วยช่องโหว่ CVE-2021-35211

เป็นที่ทราบกันดีว่ากลุ่ม Clop มักจะใช้ช่องโหว่ต่างๆในการโจมตี เช่น การโจมตีช่องโหว่ Zero-day ของ Accellion แต่นักวิจัยระบุว่ากลุ่ม Clop ก็มักใช้อีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายในการโจมตีด้วยเช่นเดียวกัน

ในการโจมตีครั้งใหม่ที่พบโดย NCC ผู้โจมตีใช้ประโยชน์จากช่องโหว่บน Serv-U เพื่อสร้างกระบวนการที่ควบคุมโดยผู้โจมตี ซึ่งทำให้พวกเขาสามารถเรียกใช้คำสั่งบนระบบเป้าหมายได้ ทำให้ผู้โจมตีสามารถติดตั้งมัลแวร์ และทำการ lateral movement ไปยังภายในเครือข่าย โดยเป้าหมายก็เพื่อการโจมตีด้วยแรนซัมแวร์ต่อไป

สัญญาณที่บ่งบอกว่าระบบกำลังถูกโจมตีคือ Errors ใน Serv-U logs ซึ่งจะเกิดขึ้นเมื่อถูกโจมตีผ่านช่องโหว่ข้างต้น

Errors ที่แสดงใน logs จะคล้ายกับข้อความต่อไปนี้:

‘EXCEPTION: C0000005; CSUSSHSocket::ProcessReceive();’

สัญญาณของการถูกโจมตีอีกประการหนึ่งคือร่องรอยของ PowerShell command execution ซึ่งใช้ในการติดตั้ง Cobalt Strike บนระบบที่มีช่องโหว่

สำหรับการพยายามแฝงตัวอยู่บนเครื่องที่โจมตีได้สำเร็จ ผู้โจมตีจะใช้การ Hijack schedule task ที่ถูกใช้อยู่แล้วบนระบบ เช่น registry backup เพื่อโหลด 'FlawedGrace RAT' ขึ้นมาทำงานได้ตลอดเวลา ซึ่ง FlawedGrace เป็นเครื่องมือที่ TA505 ใช้มาตั้งแต่เดือนพฤศจิกายน 2017 และยังคงเป็นเครื่องมือที่ใช้งานอยู่ของกลุ่ม

กลุ่ม NCC ได้โพสต์วิธีการตรวจสอบสำหรับผู้ดูแลระบบที่สงสัยว่าอาจถูกโจมตี:

ตรวจสอบว่าเวอร์ชัน Serv-U ของคุณมีช่องโหว่หรือไม่
ค้นหา DebugSocketlog.

ช่องโหว่ VMware vCenter Server ที่มีระดับความรุนแรงสูง และยังไม่มีแพตช์อัปเดต

vCenter Server เป็นยูทิลิตี้การจัดการจากส่วนกลางสำหรับ VMware และใช้เพื่อจัดการ Virtual machines, multiple ESXi hosts และส่วนประกอบที่เกี่ยวข้องทั้งหมดจากตำแหน่ง single centralized

ช่องโหว่อยู่ในการตรวจสอบสิทธิ์ IWA (Integrated Windows Authentication) โดยได้รับคะแนน CVSS 7.1 ช่องโหว่นี้รายงานโดย Yaron Zinar และ Sagi Sheinfeld จาก CrowdStrike

เซิร์ฟเวอร์ vCenter มีช่องโหว่ในการยกระดับสิทธิ์ในการตรวจสอบสิทธิ์ IWA (Integrated Windows Authentication) ผู้โจมตีที่มีการเข้าถึงเซิร์ฟเวอร์ vCenter ที่ไม่ใช่ผู้ดูแลระบบอาจใช้ประโยชน์จากช่องโหว่นี้เพื่อยกระดับสิทธิ์ได้

ช่องโหว่นี้ส่งผลกระทบต่อ vCenter 6.7 และ 7.0 เช่นเดียวกับ Cloud Foundation 3.x และ 4.x และยังไม่มีแพตช์อัปเดตในขณะนี้

วิธีแก้ปัญหาเบื้องต้นสำหรับช่องโหว่ CVE-2021-22048 คือการเปลี่ยนไปใช้ AD over LDAPS/Identity Provider Federation for AD FS (vSphere 7.0 เท่านั้น) จาก Integrated Windows Authentication (IWA) โดยสามารถดูรายละเอียดคำแนะนำสำหรับช่องโหว่ VMware vCenter แต่ละ Version ได้ที่ vmware.

จับได้แล้ว มือแฮกเว็บไซต์ “ศาลรัฐธรรมนูญ”

วันที่ 11 พฤศจิกายนที่ผ่านมา มีรายงานจากสำนักข่าวในประเทศไทยระบุว่า เว็บไซต์ศาลรัฐธรรมนูญ ถูกแฮกโดยเปลี่ยนชื่อไซต์เป็น Kangaroo Court และเปลี่ยนแปลงการแสดงผลหน้าเว็บไซต์เป็นมิวสิกวิดีโอเพลง Guillotine (It Goes Yah) ของวงดนตรีแนวฮิปฮอปจากสหรัฐชื่อ Death Grips และทำให้ไม่สามารถเข้าได้นั้น ซึ่งต่อมาทางกระทรวงดิจิทัลฯ ประกาศว่ากำลังเร่งหาตัวผู้กระทำผิด

ล่าสุดวันที่ 13 พฤศจิกายน มีรายข่าวจากสำนักข่าวว่าเจ้าหน้าที่ตำรวจสามารถจับกุมมือแฮกได้แล้ว หลังจากแกะรอยจากไอพีจนสามารถจับกุมได้ที่ จ.อุบลราชธานี เป็นชายวัย 33 ปี จบปริญญาตรีด้านวิทยาศาสตร์การแพทย์ โดยผู้ที่ถูกจับกุมให้การรับสารภาพว่าเป็นผู้แฮกเว็บไซต์ศาลรัฐธรรมนูญจริง จึงมีการสอบปากคำพร้อมยึดอุปกรณ์คอมพิวเตอร์ที่เกี่ยวข้องกับการกระทำความผิดเพื่อส่งให้กลุ่มงานตรวจพิสูจน์พยานหลักฐานดิจิทัลต่อไป

หากมีความคืบหน้าเพิ่มเติมทาง i-secure จะอัปเดตข้อมูลให้ทราบอีกครั้ง

กลุ่ม Conti ransomware ขอโทษราชวงศ์อาหรับจากกรณีเผยแพร่ข้อมูลที่ขโมยออกมา

เมื่อเดือนตุลาคม 2564 ที่ผ่านมา ทางกลุ่ม Conti ransomware ได้ทำการโจมตี และขโมยข้อมูลของร้านขายเครื่องประดับในประเทศอังกฤษที่ชื่อว่า Graff ซึ่งอ้างว่าได้ข้อมูลของลูกค้าออกมาประมาณ 11,000 ราย และได้ทำการปล่อยข้อมูลเอกสารต่างๆประมาณ 69,000 ฉบับออกสู่สาธารณะ ซึ่งข้อมูลลูกค้าที่ทางแฮ็กเกอร์ได้ขโมยออกมานั้นมีรายชื่อ และข้อมูลของบุคคลที่มีชื่อเสียงอยู่หลายคนด้วย แต่หลังจากนั้นก็เกิดเหตุการณ์ที่ไม่คาดฝันขึ้นมาเมื่อพบว่าทางแฮ็กเกอร์ได้ออกมาโพสน์ขอโทษหลังจากที่ได้ทำการปล่อยข้อมูลออกมา

รายละเอียดของการแถลงโพสต์ขอโทษในวันพฤหัสที่ผ่านมาจากกลุ่ม Conti ต่อราชวงศ์อาหรับนั้นได้ระบุว่าพวกเขาไม่ได้ตั้งใจที่จะขาย หรือแลกเปลี่ยนข้อมูลดังกล่าว และจากนี้ไปพวกเขาจะใช้กระบวนการตรวจสอบข้อมูลอย่างเข้มงวดก่อนก่อนดำเนินการขั้นต่อไปในอนาคต และทางกลุ่มได้สัญญาที่จะลบข้อมูลใด ๆ ที่เกี่ยวราชวงศ์ซาอุดีอาระเบีย สหรัฐอาหรับเอมิเรตส์ และกาตาร์ โดยทันที

นอกจากนี้ในไฟล์ข้อมูลที่รั่วไหลยังมีข้อมูลที่สำคัญของบุคคลที่มีชื่อเสียง หรือคนดังอื่น ๆ อีก เช่น เดวิค เบ็คแฮม, โอปราห์ วินฟรีย์ และโดนัลด์ ทรัมป์ รวมถึงข้อมูลของมกุฎราชกุมาร Mohammad bin salman ของซาอุดิอาระเบียอีกด้วย

ที่มา: hackread

Patch Tuesday ประจำเดือนพฤศจิกายน 2021 ของ Microsoft แก้ไข 6 ช่องโหว่ Zero-days และช่องโหว่อื่นๆรวม 55 ช่องโหว่

แพทช์ Patch Tuesday ประจำเดือนพฤศจิกายน 2021 ของ Microsoft มีการแก้ไข 6 ช่องโหว่ zero-days และช่องโหว่อื่นๆรวม 55 รายการ โดยช่องโหว่ที่ถูกพบว่ามีการใช้ในการโจมตีอยู่ในปัจจุบันคือช่องโหว่ของ Microsoft Exchange และ Excel โดยที่ช่องโหว่ Zero-day ของ Exchange คือช่องโหว่ที่มีแฮ็กเกอร์ใช้ในงาน Tianfu hacking contest

Microsoft ได้แก้ไขช่องโหว่ทั้งหมด 55 รายการด้วยการอัปเดตในวันนี้ โดยมี 6 รายการจัดอยู่ในประเภท Critical และ 49 รายการเป็นระดับ Important จำนวนช่องโหว่แต่ละประเภทมีดังต่อไปนี้:

20 ช่องโหว่ Elevation of Privilege
2 ช่องโหว่ Security Feature Bypass
15 ช่องโหว่ Remote Code Execution
10 ช่องโหว่ Information Disclosure
3 ช่องโหว่ Denial of Service
4 ช่องโหว่ Spoofing

แก้ไข 6 ช่องโหว่ Zero-days โดยมี 2 ช่องโหว่ที่ถูกพบว่ามีการใช้ในการโจมตีอยู่ในปัจจุบัน

Patch Tuesday ของเดือนพฤศจิกายนมีการแก้ไขช่องโหว่ Zero-day 6 ช่องโหว่ โดยมี 2 ช่องโหว่สำคัญใน Microsoft Exchange และ Microsoft Excel

ช่องโหว่ที่พบว่ามีการใช้ในการโจมตีที่ได้รับการแก้ไขในเดือนนี้ ได้แก่:

CVE-2021-42292 - Microsoft Excel Security Feature Bypass Vulnerability
CVE-2021-42321 - Microsoft Exchange Server Remote Code Execution Vulnerability

ช่องโหว่ของ Microsoft Exchange CVE-2021-42321 เป็นช่องโหว่ Remote code execution ซึ่งถูกใช้เป็นส่วนหนึ่งของการแฮ็กในงาน Tianfu Cup เมื่อเดือนที่แล้ว

ส่วนช่องโหว่ Microsoft Excel CVE-2021-42292 ถูกค้นพบโดย Microsoft Threat Intelligence Center และถูกใช้ในการโจมตีเพื่อติดตั้งมัลแวร์

ส่วนการอัปเดตความปลอดภัยของ Microsoft Office สำหรับ Mac ยังไม่ได้รับการอัพเดทในครั้งนี้ Microsoft ยังแก้ไขช่องโหว่อื่นๆ ที่มีการเปิดเผยต่อสาธารณะอีก 4 ช่องโหว่ แต่ยังไม่มีข้อมูลว่าถูกใช้ในการโจมตีแล้วหรือไม่

CVE-2021-38631 - ช่องโหว่ Windows Remote Desktop Protocol (RDP) Information Disclosure
CVE-2021-41371 - ช่องโหว่ Windows Remote Desktop Protocol (RDP) Information Disclosure
CVE-2021-43208 - ช่องโหว่ 3D Viewer Remote Code Execution
CVE-2021-43209 - ช่องโหว่ 3D Viewer Remote Code Execution

อัปเดตช่องโหว่ล่าสุดจากบริษัทอื่นๆ

Vendor รายอื่นที่เผยแพร่การอัปเดตในเดือนพฤศจิกายน ได้แก่:

การอัปเดตความปลอดภัยเดือนพฤศจิกายนของ Adobe สำหรับแอปพลิเคชันต่างๆ
การอัปเดตความปลอดภัยเดือนพฤศจิกายนของ Android เมื่อสัปดาห์ที่แล้ว
Cisco ออกอัปเดตความปลอดภัยสำหรับผลิตภัณฑ์จำนวนมากในเดือนนี้ ซึ่งรวมถึงช่องโหว่ hard-coded password and SSH keys
SAP ออกอัปเดตความปลอดภัยในเดือนพฤศจิกายน
การอัปเดตความปลอดภัย Patch Tuesday ประจำเดือนพฤศจิกายน 2564

หากต้องการคำอธิบายแบบเต็มของช่องโหว่ในแต่ละระบบ และระบบที่ได้รับผลกระทบ สามารถดูรายงานฉบับเต็มได้ที่นี่ bleepingcomputer

ที่มา: bleepingcomputer

พบช่องโหว่ที่เป็นอันตรายบน Philips TASY EMR ที่อาจนำไปสู่การเปิดเผยข้อมูลผู้ป่วย

Philips Tasy EMR เป็นโซลูชันด้านการดูแลสุขภาพแบบบูรณาการที่จะช่วยให้สามารถจัดการกระบวนการทางคลินิก องค์กร และการบริหาแบบรวมศูนย์ ซึ่งรวมถึงการวิเคราะห์ การเรียกเก็บเงิน การจัดการสินค้าคงคลัง และความต้องการสำหรับใบสั่งยา และมีการใช้งานโดยสถาบันด้านสุขภาพมากกว่า 950 แห่ง ซึ่งส่วนใหญ่อยู่ในแถบละตินอเมริกา

สำนักงานความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้เตือนถึงช่องโหว่ที่สำคัญที่จะส่งผลกระทบต่อระบบเวชระเบียนอิเล็กทรอนิกส์ (EMR) ของ Philips Tasy ที่อาจถูกใช้ในการโจมตีจากแฮกเกอร์ เพื่อดึงข้อมูลที่ความสำคัญของผู้ป่วยออกจากฐานข้อมูลได้

CISA ได้กล่าวในการแถลงการณ์ทางการแพทย์ที่เผยแพร่ออกมาเมื่อวันที่ 4 พฤศจิกายน 2564 ว่าการใช้ประโยชน์จากช่องโหว่เหล่านี้ หากสำเร็จอาจส่งผลให้ข้อมูลที่เป็นความลับของผู้ป่วยถูกเปิดเผย หรือดึงออกจากฐานข้อมูลของ Tasy และถูกเข้าถึงโดยไม่ได้รับอนุญาต หรือถูกโจมตีทำให้ระบบไม่สามารถให้บริการได้

ช่องโหว่ SQL Injection CVE-2021-39375 และ CVE-2021-39376 จะส่งผลกระทบต่อ Tasy EMR HTML5 3.06.1803 และเวอร์ชั่นก่อนหน้า และอาจจะอนุญาตให้แฮกเกอร์แก้ไขคำสั่งบนฐานข้อมูล SQL จนส่งผลให้เกิดการเข้าถึงได้โดยไม่ได้รับอนุญาต การเปิดเผยข้อมูลที่มีความสำคัญ และแม้แต่การถูกสั่งรันคำสั่งที่เป็นอันตรายได้

CVE-2021-39375 (CVSS:8.8) มีผลกระทบโดยจะมีการอนุญาตให้มีการทำ SQL Injection ผ่าน WAdvanceFilter/getDimensionItemsByCode FilterValue parameter

CVE-2021-39376 (CVSS:8.8) มีผลกระทบโดยจะมีการอนุญาตให้มีการทำ SQL Injection ผ่าน CorCad_F2/executaConsultaEspecifico IE_CORPO_ASSIST or CD_USUARIO_CONVENIO parameter

อย่างไรก็ตาม เป็นที่น่าจับตามองว่าก่อนที่จะใช้ประโยชน์จากช่องโหว่เหล่านี้ ผู้โจมตีจะต้องมีข้อมูลประจำตัวที่อนุญาตให้เข้าถึงระบบที่ได้รับผลกระทบอยู่แล้ว และทาง Philips เอง ได้บอกว่าในเวลานี้ยังไม่ได้รับรายงานเกี่ยวกับการใช้ประโยชน์จากช่องโหว่เหล่านี้

คำแนะนำ

ผู้ให้บริการด้านการดูแลสุขภาพทั้งหมดที่ใช้ระบบ EMR ที่มีช่องโหว่ควรรีบทำการอัพเดทเป็นเวอร์ชั่น 3.06.1804 หรือสูงกว่านั้นโดยเร็วที่สุด เพื่อป้องกันการถูกโจมตีจากช่องโหว่ดังกล่าว

ที่มา: thehackernews

Robinhood ข้อมูลรั่วไหล ส่งผลกระทบต่อผู้ใช้งานหลายล้านคน

Robinhood Markets Inc. Financial Service สัญชาติอเมริกา แจ้งว่ามีข้อมูลส่วนบุคคลของผู้ใช้งานประมาณ 7 ล้านคน หรือประมาณหนึ่งในสามของลูกค้าของบริษัท ถูกขโมยออกไปจากการถูกโจมตีเมื่อสัปดาห์ที่แล้ว และผู้โจมตีเรียกร้องให้มีการจ่ายเงินค่าไถ่สำหรับข้อมูล

ผู้โจมตีได้ข้อมูลอีเมลของผู้ใช้งานประมาณ 5 ล้านคน รวมถึงชื่อเต็มประมาณ 2 ล้านคน Robinhood กล่าวเมื่อวันจันทร์ในแถลงการณ์ สำหรับลูกค้าบางรายอาจจะมีข้อมูลส่วนอื่นด้วยเช่นชื่อ วันเกิด และรหัสไปรษณีย์ ประมาณ 310 คน และข้อมูลที่มากกว่านี้ประมาณ 10 คน

Robinhood Markets Inc.

สหรัฐฯ ยึดเงิน 6 ล้านดอลลาร์จาก REvil Ransomware และจับกุมแฮกเกอร์ที่โจมตีบริษัท Kaseya

กระทรวงยุติธรรมสหรัฐฯ ประกาศการจับกุมตัวผู้มีส่วนเกี่ยวข้องกับ REvil ransomware ที่มีส่วนในการโจมตีบริษัท Kaseya เมื่อวันที่ 2 กรกฎาคม และยึดเงินคืนได้กว่า 6 ล้านดอลลาร์

ผู้ต้องสงสัยคือ Yaroslav Vasinskyi สัญชาติยูเครน วัย 22 ปี ถูกจับกุมเมื่อวันที่ 8 ตุลาคมในข้อหาก่ออาชญากรรมทางไซเบอร์ตามคำสั่งของสหรัฐอเมริกาเมื่อพบว่าผู้ต้องสงสัยพยายามเข้าประเทศโปแลนด์จากประเทศบ้านเกิดของเขา(ยูเครน)

Vasinskyi เป็นที่รู้จักในนามแฝง (Profcomserv, Rabotnik, Rabotnik_New, Yarik45, Yaraslav2468 และ Affiliate 22) เป็นหนึ่งในผู้ที่มีส่วนเกี่ยวข้องกับ REvil ransomware ซึ่งโดนจับกุมด้วยความร่วมมือระหว่างประเทศในการต่อสู้กับภัยคุกคามจากแรนซัมแวร์

การเรียกค่าไถ่จำนวนมากกว่า 760 ล้าน

ข่าวการจับกุม Vasinskyi ไม่ได้รับความสนใจเท่าใดนัก จนกระทั่งมีคำสั่งฟ้อง และหมายจับถูกเปิดเผยเมื่อวันที่ 5 พฤศจิกายน

ในการแถลงข่าวในวันนี้กระทรวงยุติธรรมสหรัฐฯ ได้ประกาศข้อกล่าวหาต่อ Vasinskyi โดยเน้นย้ำถึงการมีส่วนร่วมในการโจมตี Kaseya ซึ่งส่งผลกระทบต่อธุรกิจประมาณ 1,500 แห่งทั่วโลก

REvil ransomware หรือที่เรียกว่า Sodinokibi ที่มาจากกลุ่ม GandCrab ได้มีการโจมตีด้วยการใช้ประโยชน์จากช่องโหว่ใน WebLogic Server ในเดือนเมษายน 2019

ตามคำฟ้อง Vasinskyi เป็นผู้ที่มีส่วนเกี่ยวข้อง REvil ransomware มาเป็นเวลานาน โดยเป็นส่วนหนึ่งที่ร่วมกันทำการโจมตีประมาณ 2,500 ครั้งกับธุรกิจทั่วโลก ตั้งแต่วันที่ 1 มีนาคม 2019

การสอบสวนเปิดเผยว่าการเรียกค่าไถ่ของ Vasinskyi มีมูลค่าทั้งหมด 767 ล้านดอลลาร์ แต่มีเหยื่อยอมจ่ายเงินเพียง 2.3 ล้านดอลลาร์ เชื่อกันว่า Vasinskyi มีส่วนเกี่ยวข้องกับการโจมตีบริษัทอย่างน้อยเก้าแห่งในสหรัฐอเมริกา

ในทางกลับกันการเรียกค่าไถ่ทั้งหมดที่เกิดขึ้นจาก REvil ransomware ได้รับเงินไปมากกว่า 200 ล้านดอลลาร์ นับตั้งแต่เริ่มดำเนินการ และเข้ารหัสคอมพิวเตอร์มาแล้วอย่างน้อย 175,000 เครื่อง

ในบรรดาบริษัททั้งหมดที่ถูกโจมตี บริษัท Kaseya Managed Service Provider (MSP) เป็นบริษัทที่ใหญ่ที่สุด โดยถูกเรียกค่าไถ่เป็นเงิน 70 ล้านดอลลาร์เพื่อเป็นค่าถอดรหัสของระบบทั้งหมด

เหตุการณ์นี้ส่งผลให้สหรัฐฯ ต้องเร่งดำเนินการเพื่อต่อต้านกับภัยคุกคามแรนซัมแวร์ โดยมีการร่วมมือกับหน่วยงานบังคับใช้กฎหมายทั่วโลก ซึ่งสหรัฐฯ ร้องขอให้มีการส่งตัวผู้ร้ายข้ามแดน เพื่อทำการประกาศข้อกล่าวหา และดำเนินคดีกับ Vasinskyi

การยึดเงินคืนจาก Ransomware

กระทรวงยุติธรรมสหรัฐฯ ยังประกาศด้วยว่าหน่วยงานบังคับใช้กฎหมายได้ยึดเงินจำนวน 6.1 ล้านดอลลาร์ จาก Yevgeniy Polyanin สัญชาติรัสเซียซึ่งมีส่วนเกี่ยวข้องกับ REvil ransomware เช่นเดียวกัน

ก่อนหน้านี้สหรัฐฯ ได้เงินเรียกค่าไถ่คืนจำนวน 4.4 ล้านดอลลาร์ ที่ Colonial Pipeline จ่ายให้กับกลุ่ม DarkSide Ransomware หลังจากการโจมตีที่ทำให้การจ่ายเชื้อเพลิงหยุดชะงักลง

Polyanin ที่รู้จักกันในนามแฝง (LK4D4, Damnating, damn2Life, Noolleds, Antunpitre, Affiliate 23) เชื่อว่ามีส่วนในการโจมตีองค์กรต่าง ๆ รวมถึงหน่วยงานรัฐบาลของสหรัฐฯ และบริษัทเอกชนหลายแห่งประมาณ 3,000 ครั้ง โดยมีการเรียกค่าไถ่เงินจากเหยื่อไปประมาณ 13 ล้านดอลลาร์

ตามคำฟ้อง Polyanin ได้มีการเข้าถึง และเข้ารหัสเครือข่ายของหน่วยงานรัฐบาล 13 แห่งในเท็กซัส ซึ่งเป็นช่วงเดียวกันกับที่รัฐบาลท้องถิ่น 22 แห่งถูกโจมตีจาก REvil ransomware ที่ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์จาก MSP เมื่อประมาณวันที่ 16 สิงหาคม 2019

ในขณะที่แฮกเกอร์เรียกค่าไถ่รวมเป็นเงิน 2.5 ล้านดอลลาร์ ถือเป็นจำนวนที่เยอะที่สุดในขณะนั้น แต่แฮกเกอร์ไม่ได้อะไรจากการเรียกค่าไถ่ในครั้งนี้ เนื่องจากการประสานงานของรัฐ และรัฐบาลกลางในการช่วยกู้ระบบกลับคืนมา

ส่วนหนึ่งของกลยุทธ์ในการตอบโต้ภัยคุกคามแรนซัมแวร์ กระทรวงการคลังสหรัฐฯ ประกาศคว่ำบาตรทั้ง Polyanin และ Vasinskyi โดยอายัติทรัพย์สิน และผลประโยชน์ทั้งหมดที่อยู่ภายใต้เขตอำนาจศาลของสหรัฐอเมริกา

"นอกจากนี้มากกว่า 50 เปอร์เซ็นต์ของหน่วยงาน หรือบุคคล ที่มีส่วนร่วมในการทำธุรกรรมบางอย่าง อาจมีความเสี่ยงต่อการโดนคว่ำบาตร หรือถูกดำเนินคดีตามกฎหมายด้วยเช่นกัน" - กระทรวงการคลังสหรัฐฯ

ข้อกล่าวหาของ Polyanin ที่เหมือนกับ Vasinskyi:

สมรู้ร่วมคิดในการฉ้อโกงที่เกี่ยวข้องกับคอมพิวเตอร์
สร้างความเสียหายต่อคอมพิวเตอร์ที่มีการป้องกันโดยเจตนา
สมรู้ร่วมคิดในการฟอกเงิน

กระทรวงยุติธรรมสหรัฐฯ ใช้ความพยายามเป็นระยะเวลากว่า 5 เดือน ส่งผลให้มีการจับกุมผู้ที่มีส่วนเกี่ยวข้องกับการเรียกค่าไถ่ของ REvil ransomware ไปทั้งหมด 7 ราย

เมื่อวันที่ 4 พฤศจิกายน เจ้าหน้าที่ในโรมาเนียได้จับกุมผู้ต้องหาที่มีส่วนเกี่ยวข้องกับ REvil ransomware สองราย ผู้ที่มีส่วนเกี่ยวข้องกับ GandCrab ถูกจับกุมในวันเดียวกันในคูเวต และอีกสามคนถูกจับกุมในเดือนกุมภาพันธ์ เมษายน และตุลาคม

"การจับกุม Yaroslav Vasinskyi กับผู้ต้องหา Yevgeniy Polyanin และการยึดทรัพย์สินมูลค่า 6.1 ล้านดอลลาร์ รวมถึงการจับกุมตัวผู้ที่ใช้ Sodinokibi/REvil อีกสองคนในโรมาเนียถือเป็นสุดยอดของความร่วมมืออย่างใกล้ชิดของรัฐบาลระหว่างประเทศ รัฐบาลสหรัฐฯ และโดยเฉพาะอย่างยิ่งกลุ่มหุ้นส่วนภาคเอกชนของเรา ” - ผู้อำนวยการ FBI คริสโตเฟอร์ เรย์กล่าว

การจับกุมบริษัทในเครือ REvil ครั้งนี้ประสบความสำเร็จเนื่องจากความพยายามของพนักงานสอบสวน และอัยการจากเขตอํานาจศาลหลายแห่ง:

ตำรวจแห่งชาติของโรมาเนีย และผู้อำนวยการสอบสวนกลุ่มอาชญากร และการก่อการร้าย
ตำรวจม้าของประเทศแคนาดา(RCMP)
ศาลปารีสของประเทศฝรั่งเศส และ BL2C (ตำรวจหน่วยต่อต้านอาชญากรรมไซเบอร์)
กองตำรวจแห่งชาติ (เนเธอร์แลนด์)
สำนักงานอัยการแห่งชาติของประเทศโปแลนด์, กองกำลังรักษาชายแดน, สำนักงานความมั่นคงภายในประเทศ และกระทรวงยุติธรรม
รัฐบาลของนอร์เวย์ และออสเตรเลีย

ที่มา : bleepingcomputer

สหรัฐฯ ประกาศมอบรางวัลเป็นเงินจำนวน 10 ล้านดอลลาร์สหรัฐฯ สำหรับผู้ที่ให้ข้อมูลของกลุ่ม DarkSide Ransomware

เมื่อวันพฤหัสที่ 4 พฤศจิกายน 2564 ที่ผ่านมา ทางรัฐบาลสหรัฐได้ประกาศว่าจะให้เงินรางวัล 10 ล้านดอลลาห์สำหรับผู้ที่ให้ข้อมูลที่นำไปสู่การระบุตัวตน หรือตำแหน่งของบุคคลสำคัญของกลุ่ม DarkSide Ransomware หรือกลุ่มที่รีแบรนด์มาจากกลุ่มดังกล่าว

นอกจากนี้ กระทรวงการต่างประเทศของอเมริกาเองก็ยังได้เสนอเงินรางวัลสูงถึง 5 ล้านดอลลาร์สำหรับข้อมูลข่าวสารต่าง ๆ ที่จะส่งผลให้มีการจับกุม หรือการตัดสินให้มีการลงโทษในประเทศใด ๆ ของบุคคลที่เกี่ยวข้อง หรือพยายามที่จะมีส่วนร่วมในการโจมตีต่าง ๆ ที่เกี่ยวข้องกับองค์กรอาชญากรรมข้ามชาติ

ซึ่งทางกระทรวงต่างประเทศสหรัฐฯได้กล่าวว่า การเสนอเงินรางวัลนี้สหรัฐอเมริกาได้แสดงให้เห็นถึงความตั้งใจในการปกป้องเหยื่อของ Ransomware ทั่วโลกจากการหาผลประโยชน์จากกลุ่มอาชญากรไซเบอร์ และสหรัฐกำลังมองหามิตรประเทศที่ถูกโจมตีจากกลุ่ม Ransomware และเต็มใจที่จะร่วมมือกับสหรัฐฯในการให้ความยุติธรรมกับองค์กรที่ตกเป็นเหยื่อซึ่งได้รับผลกระทบจาก Ransomware

การเสนอเงินรางวัลดังกล่าวนั้นเป็นการตอบสนองต่อการโจมตีจากกรณี Colonial Pipeline จากกลุ่ม DarkSide Ransomware เมื่อเดือนพฤษภาคม 2564 ที่ได้ทำลายระบบท่อส่งน้ำมันที่ใหญ่ที่สุดในสหรัฐอเมริกา และทำให้การจ่ายเชื้อเพลิงไปยังชายฝั่งตะวันออกหยุดชะงักลงเป็นเวลากว่าหนึ่งสัปดาห์ และข้อมูลภายในองค์กรก็ได้ถูกนำไปเผยแพร่ใน Darkweb

จากการตรวจสอบอย่างละเอียดที่ตามมาภายหลังจากการโจมตีนี้ทำให้กลุ่ม DarkSide ปิดตัวลงไปเมื่อวันที่ 17 พฤษภาคม และตั้งแต่นั้นมาก็ได้มีกลุ่ม BlackMatter เกิดขึ้นมาโดยมีโครงสร้างในลักษณะเดียวกันกับกลุ่ม DarkSide และก็ได้ปิดตัวลงไปเช่นกันเมื่อเดือนที่แล้วจากการกดดันจากหน่วยงานท้องถิ่น และการวางมือจากสมาชิกภายในกลุ่มเอง

ถึงแม้ว่า Ransomware gang จะมีการจัดตั้งกลุ่มขึ้นมาใหม่ ซึ่งส่วนใหญ่จะมีการรีแบรนด์ไปใช้ชื่อใหม่ แต่หน่วยงานบังคับใช้กฎหมายในสหรัฐอเมริกา ยุโรป และเอเชีย ก็ได้พยายามกดดันกลุ่มอาชญากรเหล่านี้ในรูปแบบต่าง ๆ ซึ่งเป็นการบังคับให้อาชญากรไซเบอร์เหล่านี้ต้องหยุดปฏิบัติการ เพราะกลัวว่าจะถูกตามจับได้ในที่สุด

ที่มา: thehackernews