สายการบินบริติชแอร์เวย์ ได้แจ้งตำรวจหลังจากมีการขโมยข้อมูลลูกค้าจากเว็บไซต์และแอปฯ ในมือถือ

สายการบินบริติชแอร์เวย์กล่าวว่าการโจมตีตังกล่าวกระทบกับข้อมูลส่วนบุคคลและการเงินของลูกค้าที่ทำการจองในเว็บไซต์หรือแอปพลิเคชันตั้งแต่เวลา 10.58 น. ตามเวลาท้องถิ่นในวันที่ 21 สิงหาคมถึงเวลา 9.45 น. ในวันที่ 5 กันยายน โดยกระทบบัตรเครดิตประมาณ 380,000 ใบ โดยข้อมูลที่ถูกขโมยไม่รวมข้อมูลรายละเอียดเกี่ยวกับการเดินทางหรือรายละเอียดบนหนังสือเดินทาง ซึ่งสายการบินแก้ไขช่องโหว่ที่ถูกโจมตีแล้ว ทำให้เว็บไซต์กลับมาทำงานได้ตามปกติ และจะสืบสวนกรณีนี้อย่างเร่งด่วน

สายการบินบริติชแอร์เวย์กำลังแจ้งลูกค้าที่ได้รับผลกระทบและแนะนำให้ทุกคนที่อาจได้รับผลกระทบติดต่อธนาคารหรือผู้ให้บริการบัตรเครดิตของตน

ที่มา : ZDNet

ช่องโหว่ zero-day ใน Task Scheduler บน Windows ถูกใช้โจมตีด้วยมัลแวร์แล้ว

หลังจากที่มีผู้เผยแพร่ช่องโหว่ zero-day ใน Task Scheduler บน Windows ในช่วงเช้าวันอังคารที่ 28 สิงหาคม ตามเวลาในประเทศไทย นักวิจัยจาก ESET ได้ค้นพบมัลแวร์ที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวแล้วสร้างโดยกลุ่ม PowerPool ในสองวันต่อมา

กลุ่ม PowerPool ถูกตั้งชื่อตามวิธีในการโจมตี ซึ่งเป็นการโจมตีด้วยสคริปต์ PowerShell กลุ่ม PowerPool ทำการโจมตีไปทั่วโลกผ่านทาง spam อีเมลโดยพบเหยื่อจากหลายประเทศ ได้แก่ ชิลี เยอรมัน อินเดีย ยูเครน เป็นต้น อีเมลดังกล่าวประกอบด้วยไฟล์แนบอันตรายที่จะทำให้เครื่องของเหยื่อที่หลงเปิดติด backdoor หากกลุ่ม PowerPool คาดว่าเครื่องของเหยื่อมีข้อมูลสำคัญ จะทำการยกสิทธิ์ของ backdoor ด้วยช่องโหว่ zero-day ดังกล่าว

นักวิจัยจาก ESET กล่าวว่า ช่องโหว่นี้ถูกใช้โจมตีได้อย่างรวดเร็วเนื่องจากผู้เผยแพร่ช่องโหว่ได้เปิดเผย source code ที่ใช้ในการโจมตีด้วย ทำให้ง่ายต่อการนำไปใช้ต่อ ทั้งนี้มีการคาดการว่าไมโครซอฟต์จะทำการแพตช์ช่องโหว่ดังกล่าวในแพตช์ประจำเดือนกันยายน 2018

ที่มา : ZDNet

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.

ผู้ใช้ Avast พบปัญหาด้านการใช้งานอินเทอร์เน็ตและการใช้งานโปรแกรม Malwarebytes หลังจากทำการอัปเกรดแล้ว

ในสัปดาห์นี้ผู้ใช้ผลิตภัณฑ์ป้องกันไวรัสของ Avast ได้รายงานปัญหาอินเทอร์เน็ตหลังจากอัปเกรด หากผู้ใช้มีโปรแกรม Malwarebytes ติดตั้งอยู่อาจก่อให้เกิดความขัดข้องกับโปรแกรมเช่นกัน หากต้องการให้โปรแกรมทั้งสองทำงานได้อย่างปกติ จะต้องปิดโมดูลการป้องกันของโปรแกรมใดโปรแกรมหนึ่งเพื่อหลีกเลี่ยงปัญหาดังกล่าว

หลังจากอัปเกรดเป็น Avast 18.6.2349 ผู้ใช้จำนวนมากเริ่มร้องเรียนปัญหาที่ไม่สามารถเรียกดูเว็บไซต์ได้ พวกเขาได้ทดสอบ Ping ไปยังที่อยู่ IP ได้แต่ไม่สามารถเข้าถึงเว็บไซต์ผ่านเบราว์เซอร์ได้ แต่เมื่อปิดใช้งานคอมโพเนนต์ Avast WebShield ที่ช่วยปกป้องผู้ใช้จากการเรียกดูไซต์หรือสคริปต์ที่เป็นอันตราย จึงสามารถเรียกดูเว็บได้ตามปกติ

พนักงานของ Avast ชื่อ Filip Braun กล่าวว่าปัญหานี้อาจเกิดจากการอัปเดตที่ล้มเหลว จึงแนะนำให้ผู้ใช้ลองทำการติดตั้งใหม่ และผู้ใช้บางรายระบุว่าพบปัญหาแม้ว่าจะไม่มีการติดตั้ง Malwarebytes ก็ตาม

ทาง Malwarebytes กล่าวว่าถ้าต้องการใช้โมดูลการปกป้องเว็บต่อไป จะต้องปิดการใช้งาน "Real Site Protection" ของ Avast และทาง Malwarebytes กำลังทำงานร่วมกับ Avast / AVG ในการแก้ไขปัญหาเหล่านี้

ที่มา: bleepingcomputer

เมื่อสัปดาห์ที่ผ่านมานักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam ค้นพบ ransomware ตัวใหม่ชื่อว่า CryptoNar จากการตรวจสอบพบว่ามีผู้ติด ransomware ดังกล่าวเกือบ 100 คน

CryptoNar หรือ Crypto Nar Ransomware จะเข้ารหัสไฟล์ของเหยื่อ โดยจะทำการเข้ารหัสไฟล์แตกต่างกันออกไปขึ้นอยู่กับชนิดของไฟล์ที่กำลังถูกเข้ารหัส โดยไฟล์ที่เป็น .txt หรือ .md จะทำการเข้ารหัสไฟล์ทั้งหมดและเปลี่ยนนามสกุลไฟล์เป็น .fully.

ตำรวจ Rostov กำลังตามจับแฮกเกอร์ที่ขโมยเงินจำนวน 1.264 ล้านรูเบิลจากตู้ ATM

สันนิษฐานว่าในวันที่ 14 สิงหาคม แฮกเกอร์เปิดแป้นพิมพ์ pin ของ ATM เพื่อเชื่อมต่อและดึงเงินจำนวนมากออกมา สิ่งที่น่าสนใจคือการทราบเรื่องในสองสัปดาห์ต่อมา เนื่องจากแฮกเกอร์ไม่ได้ทำให้อุปกรณ์ใดใดเสียหาย

เมื่อวันที่ 29 สิงหาคมหัวหน้าแผนกรักษาความปลอดภัยของธนาคารได้ร้องเรียนต่อเจ้าหน้าที่ตำรวจและรายงานการโจรกรรมเงินจำนวนมาก ซึ่งขณะนี้แฮกเกอร์ยังไม่ถูกจับกุม

ที่มา: ehackingnews

Air Canada แจ้งผู้ใช้แอปพลิเคชันมือถือ 20,000 ราย ว่าข้อมูลที่อยู่ในโปรไฟล์ของผู้ใช้อาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต

ระหว่างวันที่ 22-24 สิงหาคม บริษัทสังเกตพบการเข้าสู่ระบบที่ผิดปกติและทำการปิดกั้นการพยายามดังกล่าวเพื่อป้องกันข้อมูลของลูกค้า โดยทาง Air Canada ได้ทำการล็อกบัญชีแอปบนอุปกรณ์ไว้ทั้งหมด 1.7 ล้านบัญชี ผู้ที่ต้องการเปิดใช้งานบัญชีของตนอีกครั้งให้ปฏิบัติตามคำแนะนำในแอปครั้งต่อไปที่ลงชื่อเข้าใช้

ผู้บุกรุกที่เข้าถึงโปรไฟล์ของผู้ใช้แอป Air Canada สามารถเข้าถึงข้อมูลชื่อ ที่อยู่ อีเมลและหมายเลขโทรศัพท์ได้ และข้อมูลเพิ่มเติมที่ผู้ใช้อาจเพิ่มลงในโปรไฟล์ของพวกเขา เช่น หมายเลข Passport หมายเลข NEXUS วันเดือนปีเกิด สัญชาติ วันหมดอายุ และหนังสือเดินทาง เป็นต้น

Air Canada กล่าวว่าข้อมูลบัตรเครดิต และบัญชี aircanada.

ข้อมูลของโรงแรม Huazhu Hotels Group Ltd. รั่วไหล ซึ่งดำเนินธุรกิจโรงแรม 13 กลุ่ม มีทั้งหมด 5,162 โรงแรม ตั้งอยู่ในประเทศจีน 1,119 โรงแรม ถือว่าเป็นกลุ่มธุรกิจโรงแรมที่ใหญ่ที่สุดในประเทศจีนอีกด้วย

จากข่าวรายงานว่า แฮกเกอร์ได้ประกาศขายรายละเอียดข้อมูลส่วนตัวของแขกที่เข้าพักในโรงแรมกว่า 130 ล้านคน โดยมีมูลค่า 8 Bitcoin (56,000 ดอลล่าร์สหรัฐฯ) โดยประกาศขายที่ Dark Web ของประเทศจีน ประกอบไปด้วยข้อมูลดังต่อไปนี้ หมายเลขบัตรประจำตัว, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, รหัสผ่านเข้าสู่ระบบ, ข้อมูลการลงทะเบียนการเช็คอิน (ชื่อลูกค้า, หมายเลขบัตรประจำตัว, ที่อยู่บ้าน, วันเกิด) และข้อมูลการจองห้องพัก (ชื่อ, หมายเลขบัตร, หมายเลขโทรศัพท์มือถือ, เวลาเช็คอิน, เวลาออกเดินทาง, หมายเลขโรงแรม, หมายเลขห้อง) โดยส่วนใหญ่จะเป็นข้อมูลลูกค้าที่เข้าพักโรงแรมในเครือของ Huazhu ซึ่ง ได้แก่ Hanant Hotel, Grand Mercure, Joye, Manxin, Novotel, Mercure, CitiGo, Orange, All Season, Starway, Ibis, Elan และ Haiyou

ปัจจุบันทางโรงแรม Huazhu ก็ได้ออกมายอบรับว่าเป็นข้อมูลของลูกค้าจริง เกิดจากความผิดพลาดของทีม development มีการอัปโหลดสำเนาข้อมูลเก็บไว้ที่ GitHub อาจเป็นสาเหตุที่ทำให้เกิดข้อมูลรั่วไหลในครั้งนี้

ที่มา : bleepingcomputer

นักวิจัยพบ Email ปลอมพร้อมไฟล์แนบที่แฝง DarkComet RAT(DarkComet remote access Trojan) จากผู้ไม่หวังดี โดยตัวอย่างที่พบนั้นเป็น Email มีหัวข้อว่า "Shipping docs#330" และมีเอกสาร DOC000YUT600.pdf.

Instagram ประกาศแผนการปรับปรุงกลไกการตรวจสอบสิทธิ์แบบ 2FA โดยการเพิ่มการตรวจสอบสิทธิ์จากแอพพลิเคชั่นภายนอกเพื่อเพิ่มความปลอดภัยให้กับบัญชีของผู้ใช้งานทั่วโลก
แต่เดิม Instagram มีการใช้งาน 2FA (การยืนยันแบบสองขั้นตอน) ผ่าน SMS เท่านั้น ซึ่งสองสัปดาห์ก่อนหน้าการประกาศนี้มีรายงานข่าวว่า ผู้ใช้งาน Instagram ถูก hack account ทั้งที่บาง account มีการเปิดใช้งาน 2FA แต่
สามารถโดนแฮกและทำการเปลี่ยนแปลงโปรไฟล์ บางรายถูกลบโพสข้อมูลเก่า รวมถึงการปิดการยืนยันตรวจ 2FA และเปลี่ยนแปลง email ให้เป็น email ใหม่ที่มี domain จากรัสเซีย
ตั้งแต่วันนี้เป็นต้นไปผู้ใช้ Instagram จะทยอยได้รับการรองรับ 2FA ด้วยรหัสที่สร้างขึ้นโดยแอปพลิเคชัน "authenticator" แทนรหัสที่ได้รับผ่านทาง SMS ได้ โดยน่าจะครอบคลุมผู้ใช้ทั่วโลกในอีกไม่กี่สัปดาห์นี้

ทั้งนี้การใช้งาน 2FA ผ่าน SMS ได้รับการเตีอนว่าไม่ปลอดภัย https://www.