กลุ่มอาชญากรทางไซเบอร์ส่งมอบเครื่องมือถอดรหัสแรนซัมแวร์ (Ransomware Decryptor) แก่ศูนย์ข้อมูลแห่งชาติอินโดนีเซียโดยไม่คิดค่าใช้จ่าย แต่ขอเป็นการบริจาคแทน

กลุ่มอาชญากรทางไซเบอร์ที่ได้โจมตีระบบของศูนย์ข้อมูลแห่งชาติอินโดนีเซียในเดือนมิถุนายน สร้างผลกระทบต่อหลายร้อยบริการของรัฐบาล ได้ส่งมอบเครื่องมือถอดรหัสให้โดยไม่คิดค่าใช้จ่าย รวมทั้งระบุถึงคำขอโทษต่อเหตุการณ์ดังกล่าว แต่มีการแนบลิ้งสำหรับการบริจาค เพื่อให้ประชาชน และรัฐบาลสามารถแสดงความขอบคุณต่อความมีน้ำใจของทางกลุ่มได้

“Brain Cipher” เป็นกลุ่มก่ออาชญากรรมทางไซเบอร์ค่อนข้างใหม่ที่ใช้งาน LockBit 3.0 ในเวอร์ชันของกลุ่มเอง โดยสร้าง และดัดแปลงจากเวอร์ชันที่ถูกปล่อยออกมาจากผู้พัฒนาเก่าของทาง LockBit ในปี 2023 ซึ่งถูกนำมาใช้เรียกค่าไถ่กว่า $8 ล้านเหรียญจากประเทศอินโดนีเซีย ก่อนจะเปลี่ยนเป็นการรับบริจาคในครั้งนี้

ศูนย์ข้อมูลแห่งชาติกำลังกลับมาให้บริการอย่างช้า ๆ

ประเทศอินโดนีเซียมีศูนย์ข้อมูลแห่งชาติกว่า 4 แห่ง ซึ่งมีการบริหารจัดการภายใต้มาตรฐานความปลอดภัยสูงสุดของประเทศ และเป็นแหล่งข้อมูลที่เปรียบเสมือนกระดูกสันหลังของการดำเนินงานของรัฐบาลเลยทีเดียว โดยเหตุการณ์ที่เกิดขึ้นคือทางกลุ่มแฮ็กเกอร์ได้เข้าโจมตีศูนย์ข้อมูลแห่งชาติแห่งใหม่ (ชั่วคราว) ซึ่งกำลังดำเนินการก่อสร้างตามมาตรฐานความปลอดภัยสูงสุดของประเทศ พร้อมทั้งติดตั้งแรนซัมแวร์ที่ทำให้ส่งผลกระทบเป็นวงกว้าง ซึ่งกลุ่มผู้ที่ได้รับผลกระทบอย่างรุนแรงทันทีนั้นคือกลุ่มนักท่องเที่ยว กลุ่มผู้สมัครเป็นผู้อพยพ อันเนื่องมาจากระบบของทางสนามบินได้ล่มลงไป แต่ความเสียหายที่เกิดขึ้นไม่ได้เกิดเพียงแค่กับ 2 กลุ่มนี้เท่านั้น ยังส่งผลกระทบไปทุกด้าน ตั้งแต่การอนุญาตด้านการศึกษาไปจนถึงการอนุญาตทางธุรกิจ ซึ่งทั้งหมดนี้คาดว่าต้องใช้เวลาในการกู้ระบบคืนตั้งแต่หลายสัปดาห์ไปจนถึงหลายเดือน

ในวันที่ 4 กรกฎาคม 2024 ที่ผ่านมา กระทรวงการคมนาคม และสารสนเทศ (Ministry of Communications and Informatics - Kominfo) ได้ออกมายืนยันว่าได้รับชุดเครื่องมือถอดรหัสจาก Brain Cipher แล้ว ซึ่งถูกใช้ในการกู้คืน 6 ชุดข้อมูลที่ได้รับผลกระทบของศูนย์ข้อมูลแห่งชาติแล้ว อย่างไรก็ตาม ยังไม่มีประกาศอย่างเป็นทางการว่าชุดเครื่องมือถอดรหัสจะสามารถใช้งานกับระบบ และข้อมูลที่ได้รับผลกระทบได้ทั้งหมด และเป็นที่แน่นอนว่าต้องใช้เวลาในการกู้คืนระบบ และข้อมูลหลายสัปดาห์ กว่า 230 หน่วยงานของรัฐจะสามารถให้บริการได้อย่างเต็มรูปแบบอีกครั้ง ถึงแม้ว่าชุดเครื่องมือจะสามารถใช้งานได้กับทุกระบบ และข้อมูลก็ตาม

Brain Cipher ได้ส่งมอบชุดเครื่องมือถอดรหัสให้ในวันที่ 3 กรกฎาคม 2024 แต่ในโพสต์บน Dark web ยังมีรายละเอียดระบุคำเตือนถึงข้อกำหนด และเงื่อนไขถึง Kominfo ว่าให้รัฐบาลใช้ชุดเครื่องมือในการกู้คืนข้อมูลเพียงเท่านั้น ห้ามขอความช่วยเหลือจากหน่วยงานภายนอก มิเช่นนั้นจะดำเนินการเปิดเผยข้อมูลที่นำออกมาได้แก่สาธารณะ และยังระบุเพิ่มเติมว่านี่จะเป็นครั้งแรก และครั้งสุดท้าย ในการที่กลุ่มนี้จะมอบชุดเครื่องมือถอดรหัสให้โดยไม่มีค่าใช้จ่ายแก่เหยื่อ และยังอวดอ้างถึงความมีน้ำใจของทางกลุ่ม และเชิญชวนให้ทำการบริจาคคริปโตแก่ทางกลุ่ม เพื่อแสดงถึงคำขอบคุณที่ทางกลุ่มมอบชุดเครื่องมือให้

จากเหตุกาณ์ดังกล่าว ยังไม่มีเหตุผลที่ชัดเจนว่าทำไมทางกลุ่มก่ออาชญากรรมทางไซเบอร์ถึงมอบชุดเครื่องมือถอดรหัสให้ เนื่องจากก่อนหน้านี้ทาง Kominfo ไม่ได้มีการติดต่อกับกลุ่ม Brain Cipher เลย ซึ่งเป็นไปได้ว่าเกิดจากการยืนยันปฏิเสธการจ่ายเงินให้แก่กลุ่มแฮ็กเกอร์ และทางกลุ่มแฮ็กเกอร์ก็มองว่าเป็นอีกช่องทางในการหาชื่อเสียงของทางกลุ่มได้พร้อม ๆ กันกับหลีกเลี่ยงกลไกของหน่วยงานบังคับใช้กฏหมายระหว่างประเทศได้ ซึ่งเป็นสาเหตุของการล่มสลายในหลายกลุ่มแรนซัมแวร์ใหญ่ ๆ ในช่วงไม่กี่ปีที่ผ่านมา

รัฐมนตรีช่วยด้านการเมือง กฏหมาย และความมั่นคงของอินโดนีเซีย (Purn) Hadi Tjahjanto ได้ออกแถลงการณ์เมื่อวันที่ 1 กรกฎาคม 2024 ระบุว่าศูนย์ข้อมูลแห่งชาติถูกยึดไปเนื่องจากพนักงานใช้งานรหัสผ่านร่วมกัน และพนักงานคนดังกล่าวคาดว่าจะตกเป็นเป้าหมายในการดำเนินคดีอีกด้วย และจากเหตุการณ์ความเสียหายดังกล่าวได้นำไปสู่การบังคับใช้ระเบียบตามมาตรฐานความมั่นคงแห่งชาติที่เข้มงวดมากยิ่งขึ้นโดยทันที ซึ่งรวมไปถึงการใช้งานระบบเฝ้าระวัง และติดตามความปลอดภัยทางไซเบอร์ของพนักงานรัฐทั้งหมด โดยใช้งานระบบ PDN ที่ได้รับผลกระทบชั่วคราว และขยายระบบสำหรับสำรองข้อมูลของรัฐบาลให้ใหญ่ยิ่งขึ้น ทั้งนี้อธิบดีกรมสารสนเทศประยุกต์ “Samuel Abrijani Pangerapan” ได้ลาออกจากตำแหน่งภายหลังการโจมตีศูนย์ข้อมูลแห่งชาติแล้ว

ระยะเวลาใช้งานชุดเครื่องมือถอดรหัสแรนซัมแวร์ อาจต้องใช้เวลานานพอสมควรเนื่องจากต้องยกระดับความปลอดภัยขององกรค์ไปพร้อม ๆ กันด้วย

เหตุการณ์ความเสียหายที่เกิดขึ้นครั้งนี้ ได้กระตุ้นให้เกิดการทบทวนด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับชาติ ซึ่งนำไปสู่การวิพากษ์วิจารณ์ถึงความหละหลวมมากเกินไปของการดูแลระบบมาระยะหนึ่งแล้ว และประกอบกับอินโดนีเซียได้พบการโจมตีที่เพิ่มขึ้นกว่า 30 ล้านครั้งในช่วงไม่กี่ปีที่ผ่านมา โดยส่วนใหญ่เกิดจาก Phishing หรือการพยายามขโมยข้อมูล credentials ต่าง ๆ ซึ่งผู้ดำรงตำแหน่งทางการเมืองก็ได้รับการวิพากษ์วิจารณ์ในส่วนของการคัดเลือกนักการเมืองที่ไม่มีประสบการณ์ด้าน IT มาทำหน้าที่ พร้อมทั้งความเข้าใจที่ล้าสมัยถึงความอันตรายของการโจรกรรมข้อมูล และอินโดนีเซียยังต้องประสบปัญหาในการสำรองข้อมูลที่ไม่เพียงพอ เนื่องจากไม่มีกฏหมายบังคับหน่วยงานของรัฐให้ดำเนินการเตรียมพร้อมรับมือตามมาตรฐานความปลอดภัยทางไซเบอร์

Brain Cipher ได้เริ่มปฏิบัติการมาตั้งแต่มิถุนายน และการโจมตีศูนย์ข้อมูลแห่งชาตินี้ถือเป็นก้าวสำคัญที่สำเร็จของกลุ่มเลยก็ว่าได้ โดยทางกลุ่มพยายามสร้างชื่อเสียงด้วยการส่งมอบชุดเครื่องมือถอดรหัสให้เหยื่อไปโดยไม่คิดค่าใช้จ่าย เนื่องจากกลุ่มแรนซัมแวร์รายใหญ่ ที่รวมไปถึง LockBit เองด้วย กำลังตกเป็นเป้าหมายหลักของหน่วยงานผู้บังคับใช้กฏหมาย ซึ่งปัจจุบันยังไม่มีข้อมูลเกี่ยวกับกลุ่มนี้มากนัก แต่ดูเหมือนว่าจะมีข้อกำหนด และเงื่อนไขไม่ให้เหยื่อขอความช่วยเหลือจากตำรวจ และนำผู้เจรจาบุคคลที่สามเข้ามามีส่วนร่วม

ที่มา : Cpomagazine

ทีมงาน I-SECURE ขอประมวลเหตุการณ์ช่องโหว่ ที่จัดอยู่ในระดับความรุนแรงสูงมาก พร้อมผลทดสอบการป้องกันการโจมตี ของ Log4j หรืออีกชื่อหนึ่ง Log4Shell โดยมีหมายเลขช่องโหว่เป็น CVE-2021-44228 ที่ผ่านมาตลอด 1 สัปดาห์

เมื่อวันที่ 10 ธันวาคม 2564 ได้มีการเผยแพร่รายละเอียดข้อมูลช่องโหว่ระดับความรุนแรงสูงมาก Log4j โดยทาง govinfosecurity ซึ่งเป็นบริษัทที่เชี่ยวชาญด้านการรักษาความปลอดภัยข้อมูล การจัดการความเสี่ยง ความเป็นส่วนตัว และการฉ้อโกง ISMG ของสหรัฐอเมริกา ให้ข้อมูลถึงระดับความรุนแรง ผลกระทบที่เกิดขึ้นกับแอพพลิเคชั่นจำนวนมากที่ใช้ภายในองค์กร พร้อมคำแนะนำจากสำนักงานความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา
ซึ่งสามารถดูรายละเอียดได้ที่ : https://www.

ผู้ไม่หวังดีเริ่มใช้ประโยชน์จากข่าวไวรัสโควิดสายพันธุ์ใหม่ Omicron หลอกเหยื่อด้วยฟิชชิ่ง

ผู้ไม่หวังดีใช้ประโยชน์จากข่าวการเกิดขึ้นของไวรัสโควิด Omicron ที่กำลังได้รับความสนใจเป็นอย่างมาก ทำให้ตอนนี้ถูกนำมาใช้เป็นเหยื่อล่อในแคมเปญอีเมลที่เป็นอันตราย

โดยผู้ไม่หวังดีสามารถปรับตัวให้เข้ากับเทรนด์ล่าสุด และประเด็นร้อนแรงอย่างรวดเร็ว เนื่องจากการเพิ่มความกลัวให้กับผู้คนเป็นวิธีที่ดีที่สุดในการทำให้เหยื่อรีบเปิดอีเมลอ่านโดยไม่คิดให้รอบคอบก่อน

จากกรณีที่เป็นข่าวว่า "มีนักวิทยาศาสตร์กังวลเกี่ยวกับการแพร่เชื้อในระดับสูง และความไร้ประสิทธิผลของวัคซีนที่มีอยู่ต่อการกลายพันธุ์"

ทำให้มันเป็นหัวข้อที่เหมาะสำหรับฟิชชิ่งเป็นอย่างมาก เพราะแม้แต่ผู้ที่ได้รับวัคซีนไปแล้วก็ยังกังวลว่าพวกเขาก็อาจจะได้รับผลกระทบ

แคมเปญฟิชชิ่งนี้ ได้มุ่งเป้าไปที่สหราชอาณาจักร (UK)

องค์กรคุ้มครองผู้บริโภคของสหราชอาณาจักรได้มีการเผยแพร่ตัวอย่างอีเมลฟิชชิ่ง 2 ฉบับ ซึ่งอ้างว่าเป็นอีเมลจากองค์กรบริการสุขภาพแห่งชาติของสหราชอาณาจักร (NHS) เตือนเกี่ยวกับไวรัสโควิดสายพันธุ์ใหม่ Omicron

อีเมลเหล่านี้เสนอการตรวจ PCR test เพื่อตรวจหาเชื้อไวรัสโควิด Omicron ฟรี และใช้ชื่ออีเมล ‘contact-nhs@nhscontact.

แคมเปญการโจมตีอีเมล์ฟิชชิ่ง DocuSign มุ่งเป้าไปที่พนักงานระดับปฏิบัติการ

ปัจจุบันกลุ่มผู้โจมตีฟิชชิ่งกำลังเปลี่ยนการกำหนดเป้าหมายการโจมตีอีเมลฟิชชิงเป็นกลุ่มพนักงานทั่วไปแทนกลุ่มผู้บริหารระดับสูง เพราะบุคคลกลุ่มนี้ก็ยังเป็นกลุ่มที่สามารถเข้าถึงระบบ หรือข้อมูลที่สำคัญภายในองค์กรได้

จากรายงานของนักวิจัยจาก Avanan พบว่าครึ่งหนึ่งของอีเมลฟิชชิ่งทั้งหมดที่ได้ทำการวิเคราะห์ในช่วงไม่กี่เดือนที่ผ่านมา มีการแอบอ้างเป็นพนักงานทั่วไปของบริษัทโดย 77% ของเป้าหมายในการส่งอีเมลฟิชชิ่ง จะเป็นการส่งไปยังพนักงานในระดับเดียวกัน ซึ่งก่อนหน้านี้ส่วนใหญ่อีเมลฟิชชิ่งจะถูกปลอมแปลงเป็นอีเมลที่ส่งจากผู้บริหารระดับสูง (Chief Executive Officer (CEO)) และ ผู้บริหารสูงสุดทางด้านการเงิน (Chief Financial Officer (CFO)) โดยมีเป้าหมายเพื่อหลอกให้พนักงานทั่วไปในบริษัทให้หลงเชื่อ เนื่องจากเป็นอีเมลที่มาจากผู้บริหารระดับสูง หรือผู้บังคับบัญชาจะยิ่งเพิ่มโอกาสให้ผู้รับหลงเชื่อข้อความในอีเมลเหล่านั้นได้ง่ายขึ้น แต่ปัจจุบันในกลุ่มผู้บริหารระดังสูงมีการเพิ่มความระมัดระวังมากขึ้น และองค์กรขนาดใหญ่มีการเพิ่มการป้องกันความปลอดภัยสำหรับบัญชีที่สำคัญเพิ่มขึ้นอีกด้วย จึงทำให้ผู้โจมตีเปลี่ยนเป้าหมายในการปลอมแปลงอีเมลเป็นกลุ่มของพนักงานทั่วไปแทน

จากรายงานของทาง Avanan ระบุว่าผู้โจมตีใช้เทคนิคในการโจมตีโดยอาศัย Docusign ซึ่งเป็นแพลตฟอร์มระบบจัดการลายมือชื่ออิเล็กทรอนิกส์ หรือ e-Signature ที่สามารถระบุตัวตนผู้ทำธุรกรรมกับเอกสารหรือข้อมูลอิเล็กทรอนิกส์บนคลาวด์ที่ถูกต้องตามกฎหมาย

ผู้โจมตีใช้ DocuSign เป็นทางเลือกเพื่อหลอกลวงให้ผู้รับลงลายมือชื่ออิเล็กทรอนิกส์สำหรับเอกสารจากอีเมลที่ทำการส่ง และขอให้ผู้รับป้อนข้อมูลประจำตัวเพื่อเปิดดูเอกสารและลงชื่อ

แม้ว่าอีเมลจะถูกสร้างมาเพื่อให้ดูเหมือนว่าเป็นข้อความที่ถูกต้องจาก Docusign แต่อีเมลเหล่านั้นไม่ได้ถูกส่งจากแพลตฟอร์ม เพราะหากเป็นอีเมลจริงของ DocuSign ผู้ใช้จะไม่ถูกขอให้ป้อนรหัสผ่าน แต่จะส่งอีเมลรหัสการตรวจสอบสิทธิ์ไปยังผู้รับแทน ด้วยความเร่งรีบในการทำงานประจำวัน มีแนวโน้มว่าพนักงานหลายคนอาจถูกหลอกโดยข้อความเหล่านี้ และเข้าใจว่าข้อความนี้เป็นคำขอจาก DocuSign จริง และทำการป้อนข้อมูลที่สำคัญลงไปทำให้ข้อมูลเหล่านั้นถูกส่งต่อให้กับผู้โจมตี

ดังนั้นเมื่อผู้ใช้ได้รับอีเมล สิ่งสำคัญคือต้องใช้เวลาและประเมินอีเมลเพื่อหาสัญญาณของการหลอกลวง รวมถึงไฟล์แนบที่ไม่พึงประสงค์ การสะกดคำผิด และการคำขอให้ทำการป้อนข้อมูลประจำตัวลงในอีเมลถือว่าเป็นสิ่งสำคัญในการพิจารณา

การโจมตีฟิชชิ่งโดยการอาศัย Docusign นั้นไม่ใช่เรื่องใหม่ และถูกใช้โดยผู้โจมตีจำนวนมากเพื่อขโมยข้อมูลสำหรับการเข้าสู่ระบบ และการแพร่กระจายมัลแวร์ โดยในช่วงเดือนสิงหาคม 2019 ผู้โจมตีใช้ DocuSign landing pages took พยายามหลอกล่อให้ผู้ใช้งานป้อนข้อมูลประจำตัวที่สำคัญสำหรับบริการอีเมลทั้งหมดของผู้ใช้

ที่มา : bleepingcomputer

Extension บล็อกโฆษณาบน Chrome แอบแทรกสคริปต์ไว้เบื่องหลัง

Extension ที่ช่วยในการบล็อกโฆษณาชื่อ AllBlock Chromium มีการแอบแทรกลิงก์ที่สร้างรายได้ให้กับนักพัฒนาได้

Extension นี้ยังคงมีอยู่ในเว็บสโตร์ของ Chrome และมีการโฆษณาว่าสามารถบล็อกโฆษณาที่ YouTube และ Facebook เพื่อป้องกันป๊อปอัป และเพิ่มความเร็วในการเข้าใช้งานได้ดีขึ้นอีกด้วย

อย่างไรก็ตาม ตามที่นักวิจัยของ Imperva ระบุ Extension นี้แสดงโฆษณาที่หลอกลวง โดยมีการทำให้ URL ที่ถูกต้องเปลี่ยนเส้นทางไปยังลิงก์ที่สร้างรายได้ให้นักพัฒนา

การแทรกโฆษณา หรือลิงก์ลงในหน้าเว็บ ทำให้ผู้หลอกลวงสร้างรายได้จากโฆษณา หรือเปลี่ยนเส้นทางผู้คนไปยังเว็ปไซต์ในเครือข่ายพันธมิตรเพื่อรับค่าตอบแทน

ในเดือนสิงหาคม พ.ศ. 2564 นักวิจัยของ Imperva ค้นพบชุดโดเมนที่เป็นอันตรายที่ไม่เคยพบมาก่อนหน้านี้ถูกกระจายผ่านสคริปต์การแทรกโฆษณา

สคริปต์ที่เป็นอันตรายนี้จะส่ง URL ที่ถูกต้องไปยังเซิร์ฟเวอร์ที่ผู้ไม่หวังดีสร้างขึ้น เพื่อรับการตอบกลับด้วยโดเมนที่เมื่อผู้ใช้งานเผลอคลิกลิงก์ก็จะถูกนำไปสู่เว็ปไซต์อื่นๆ ซึ่งปกติแล้วจะเป็นลิงก์ในเครือข่ายพันธมิตรเพื่อให้นักพํฒนาได้รับค่าตอบแทน

สคริปต์นี้ยังมีเทคนิคการหลีกเลี่ยงการตรวจจับ เช่น ยกเว้นการทำงานใน Search Engine ของประเทศรัสเซีย, ล้างคอนโซลการดีบักทุกๆ 100 ms และตรวจจับตัวแปร Firebug ที่เริ่มต้นใช้งานอยู่

จากการศึกษาในรายละเอียดของ AllBlock ทีมงานของ Imperva พบสคริปต์ที่ชื่อว่า "bg.

กลุ่มแฮกเกอร์ FIN7 ใช้เอกสารอันตรายที่หลอกว่าเป็น ‘Windows 11 Alpha’ เพื่อวาง JavaScript Backdoor

การโจมตีจะเริ่มต้นด้วยฟิชชิ่งอีเมล หรือแคมเปญสเปียร์ฟิชชิ่งที่มีเอกสาร Microsoft Word ที่เป็นอันตราย (.doc) พร้อมด้วยรูปภาพหลอกลวงที่ระบุว่าเป็น Windows 11 Alpha

เมื่อเหยื่อเปิดใช้งานฟังก์ชันการแก้ไขเนื้อหา (Enable Editing and Content) ก็จะเข้าสู่กระบวนการติดตั้ง โดยไฟล์ที่ฝังอยู่กับรูปภาพนั้นคือ VBA macro เมื่อเหยื่อเปิดใช้งานเนื้อหา VBA macro ก็จะทำงานทันที

VBA macro ประกอบไปด้วยข้อมูลขยะมากมาย เป็นกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้เพื่อขัดขวางการวิเคราะห์ข้อมูล เมื่อดึงข้อมูลขยะออกแล้วจะเหลือเพียง VBA macro เมื่อวิเคราะห์ JavaScript เพิ่มเติมนักวิจัยได้พบว่ามี Strings ที่ซับซ้อนควบคู่ไปกับฟังก์ชันการถอดรหัสที่ซับซ้อน

นักวิจัยพบว่าแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้ สั่งให้การโจมตีนี้ไม่ทำงานสำหรับบางประเทศ ได้แก่ รัสเซีย ยูเครน ซอร์เบีย สโลวีเนีย เอสโตเนีย ซึ่งหากตรวจพบภาษาเหล่านี้ จะเรียกใช้ฟังก์ชัน me2XKr เพื่อหยุดการทำงาน

กลุ่ม FIN7 จะมุ่งเป้าการโจมตีไปที่ ภาคโทรคมนาคม การศึกษา การค้าปลีก การเงิน และการบริการในสหรัฐฯ ผ่านการโจมตีที่สร้างขึ้นอย่างตั้งใจ

นอกจากนี้ FIN7 ยังหาวิธีการหลีกเลี่ยงการตรวจจับ และบังคับใช้กฎหมายเพื่อเอาผิดพวกเขา โดยการใช้เทคนิคขั้นสูง และแปลกใหม่เพื่อขัดขวางการตรวจจับอยู่ตลอดเวลา

ในบางครั้งพบว่ากลุ่มนี้เป็นที่รู้จักกันในอีกชื่อว่า Carbanak และมีการเพิ่มกลยุทธ์การสร้างรายได้ที่หลากหลายมากขึ้น ซึ่งทำให้กลุ่มของ FIN7 สามารถขยายผลกระทบของการโจมตีได้ ส่งผลให้แฮกเกอร์กลุ่มนี้มีความได้เปรียบในการแข่งขันกับกลุ่มอื่น ๆ และยังสามารถกำหนดเป้าหมายไปยังอุตสาหกรรมที่หลากหลายได้

แม้ว่า FIN7 จะมีเทคนิคที่โดดเด่นในการขโมยข้อมูลบัตรเครดิตจำนวนมาก แต่ความทะเยอทะยานของพวกเขาไม่ได้จำกัดอยู่เพียงการขโมยข้อมูลบัตรเครดิต เพราะในขณะที่ปัจจุบันมีการเข้ารหัสแบบ end-to-end encryption (E2EE) เพื่อป้องกันไม่ให้ผู้โจมตี หรือแฮกเกอร์ได้ข้อมูลบัตรเครดิตไปได้โดยง่าย พวกเขาจึงหันไปโจมตีแผนกการเงินขององค์กรเป้าหมายแทน

จากการวิเคราะห์ของ Anomali Threat Research ที่ลงไว้เมื่อ 2 กันยายน พ.ศ. 2564 กล่าวว่า "การกำหนดเป้าหมายเฉพาะของโดเมน Clearmind ดูจะเป็นวิธีการทำงานที่ FIN7 ต้องการ" "เป้าหมายของกลุ่มคือการใช้แบ็คดอร์ในรูปแบบ JavaScript ที่คาดว่า FIN7 น่าจะใช้มาตั้งแต่ปี 2561

ที่มา : ehackingnews

43% ของมัลแวร์ถูกดาวน์โหลดผ่าน Malicious ไฟล์ของ Microsoft Office

ในไตรมาสที่ 3 ของปี 2020 พบว่าประมาณ 38% ของมัลแวร์ที่ดาวน์โหลดได้ทั้งหมดถูกซ่อนอยู่ในไฟล์ Microsoft Office – ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยเป็น 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

Microsoft Office มีผู้ใช้งานออนไลน์หลายสิบล้านคนต่อวันทั่วโลก ในขณะเดียวกันไฟล์เหล่านี้ก็ถูกใช้โดยอาชญากรไซเบอร์เพื่อกระจายมัลแวร์ และเป็นวิธีที่สามารถทำกำไรให้กับอาชญากรได้

ดังนั้นเพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลดมัลแวร์ แฮ็กเกอร์จะสร้าง malicious macros ในไฟล์เอกสารของ Office และส่งไฟล์เหล่านี้ไปยังผู้ใช้งานผ่านอีเมล ซึ่งโดยปกติแล้วเมื่อมีการเปิดไฟล์ ผู้ใช้งานมักจะถูกหลอกให้เปิดการใช้งาน macros ที่ Microsoft Office จึงทำให้เมื่อผู้ใช้งานเปิดไฟล์เอกสารที่ผู้โจมตีสร้างขึ้นจึงทำให้ malicious macros ที่อยู่ในเอกสารสามารถทำงานได้ทันที

นักวิจัยของ Atlas VPN ระบุว่าเกือบ 43% ของการดาวน์โหลดมัลแวร์ทั้งหมดถูกซ่อนอยู่ในไฟล์ของ MS Office ไฟล์แบบนี้ค่อนข้างเป็นที่นิยมในหมู่ไม่หวังดี เนื่องจากสามารถหาวิธีหลบเลี่ยงการตรวจจับจากซอฟต์แวร์ antivirus ส่วนใหญ่ได้อย่างง่ายดาย

เป็นที่น่าสังเกตว่าการค้นพบของ Atlas VPN เป็นการอิงจากรายงานอื่นที่ชื่อว่า Netskope Threat Lab Cloud and Threat Report: July 2021 Edition ซึ่งครอบคลุมถึงวิธีที่อาชญากรไซเบอร์ใช้ประโยชน์จาก Office docs

ในงานวิจัยของ Netskope Threat Lab ได้ประเมินเอกสารจากแพลตฟอร์มที่แตกต่างกัน ได้แก่ Google Docs และ ไฟล์ PDF ไม่ใช่แค่จาก Microsoft Office 365

ตามรายงานในไตรมาสที่สองของปี 2020 ประมาณ 14% ของมัลแวร์ที่สามารถดาวน์โหลดได้ ทั้งหมดถูกพบซ่อนอยู่ในที่ Office documents และไตรมาสที่สามของปี 2020 ร้อยละนี้เพิ่มขึ้นถึง 38% ส่วนใหญ่เกิดจากการเพิ่มขึ้นของผู้ใช้งานที่ต้องทำงานจากที่บ้าน

ในไตรมาสแรกของปี 2021 อัตรานี้ลดลงเล็กน้อยอยู่ที่ 34% แต่คาดว่าจะกลับมาสร้างสถิติใหม่อีกครั้งในระดับ 43% ในไตรมาสถัดไป

นักวิจัยระบุว่า EMOTET เป็นหนึ่งในมัลแวร์ที่อันตรายที่สุดที่พบในไฟล์ Microsoft Word และด้วยความพยายามร่วมกันของหน่วยงานบังคับใช้กฎหมายทั่วโลก และบริษัทรักษาความปลอดภัยทางไซเบอร์ได้จัดการ EMOTET ได้ในปี 2021

แต่ EMOTET ไม่ได้หายไป เพราะตัวมันเป็นมัลแวร์ที่สามารถนำไปสู่ติดตั้งมัลแวร์ที่เป็นอันตรายชนิดอื่น เช่น ransomware, information stealers, trojans

อย่างไรก็ตามการวิจัยของ Trend Micro ยืนยันว่า EMOTET ยังคงถูกแพร่กระจายโดยเครื่องที่ยึดครองโดยผู้โจมตี (compromised) ตัวอย่างเช่น EMOTET มีความเกี่ยวข้องกับการโจมตีของ Trickbot และ Ryuk ซึ่งเป็นหนึ่งในตระกูล ransomware ที่โด่งดังที่สุด

ที่มา : hackread.

Ramsomware Group REvil จากรัสเซียกลับมาออนไลน์อีกครั้งหลังจากหายไป 2 เดือน

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

พบช่องโหว่ระดับร้ายแรงบน Azure App ที่ Microsoft แอบติดตั้งไว้บน Linux VMs

 

 

 

 

 

 

 

 

 

เมื่อวันอังคารที่ผ่านมา Microsoft ได้กล่าวถึงช่องโหว่ด้านความปลอดภัย 4 รายการซึ่งเป็นส่วนหนึ่งของการอัปเดต Patch Tuesday
ที่อาจจะถูกนำไปใช้ในการโจมตีโดยผู้ไม่หวังดี เพื่อกำหนดเป้าหมายไปยังลูกค้าที่ใช้บริการ Azure cloud และยกระดับสิทธิ์จนเข้ายึดระบบที่มีช่องโหว่เหล่านั้นได้จากระยะไกล

นักวิจัยจาก Wiz เรียกช่องโหว่พวกนี้รวมกันว่า OMIGOD ซึ่งช่องโหว่เหล่านี้จะส่งผลกระทบต่อ software agent ที่ชื่อว่า Open Management Infrastructure ซึ่ง Software Agent จะถูกติดตั้ง และเรียกใช้งานอัตโนมัติ โดยผู้ใช้งานไม่รู้ตัว

CVE-2021-38647 (CVSS score: 9.8) - Open Management Infrastructure Remote Code Execution Vulnerability
CVE-2021-38648 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38645 (CVSS score: 7.8) - Open Management Infrastructure Elevation of Privilege Vulnerability

CVE-2021-38649 (CVSS score: 7.0) - Open Management Infrastructure Elevation of Privilege Vulnerability

Open Management Infrastructure (OMI) เป็นโอเพ่นซอร์สที่เทียบเท่ากับ Windows Management Infrastructure (WMI) แต่ออกแบบมาสำหรับระบบ Linux และ UNIX เช่น CentOS, Debian, Oracle Linux, Red Hat Enterprise Linux Server, SUSE Linux และ Ubuntu

ลูกค้า Azure บนเครื่อง Linux รวมถึงผู้ใช้บริการเหล่านี้มีความเสี่ยงที่จะถูกโจมตี

Azure Automation
Azure Automatic Update
Azure Operations Management Suite (OMS)
Azure Log Analytics
Azure Configuration Management
Azure Diagnostics

 

 

 

 

 

 

 

 

 

"เมื่อผู้ใช้เปิดใช้งานบริการดังกล่าว OMI จะถูกติดตั้งอย่างเงียบๆ บนเครื่อง VM (Virtual Machine) ของพวกเขา โดยทำงานด้วยสิทธิพิเศษสูงสุดเท่าที่เป็นไปได้" Nir Ohfeld นักวิจัยด้านความปลอดภัยของ Wiz กล่าว

"นอกเหนือจากลูกค้า Azure cloud แล้ว ลูกค้า Microsoft รายอื่นๆ จะได้รับผลกระทบ เนื่องจากสามารถติดตั้ง OMI บนเครื่อง Linux ได้ และมักใช้ในองค์กร" Ohfeld กล่าวเสริม

เนื่องจาก OMI ทำงานเป็น Root ที่มีสิทธิ์สูงสุด ช่องโหว่ดังกล่าวอาจถูกโจมตีโดยผู้ไม่หวังดีจากภายนอก หรือผู้ใช้ที่มีสิทธิ์ต่ำเพื่อรันโค้ดที่เป็นอันตรายจากระยะไกลบนเครื่องเป้าหมาย และยกระดับสิทธิ์ของตนเอง และทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากการยกระดับสิทธิ์ในการติดตั้งการโจมตีอื่นๆอีกต่อไป

ช่องโหว่ 4 รายการที่สำคัญที่สุดคือช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เกิดจากพอร์ต HTTPS ที่ถูกเปิดไว้ เช่น 5986, 5985 หรือ 1270 ทำให้ผู้ไม่หวังดีสามารถที่จะเข้าถึง Azure ของเป้าหมายได้ และเริ่มเคลื่อนย้ายตนเองเข้าสู่เครือข่ายของเหยื่อ

"ด้วยแพ็กเก็ตเดียว ผู้ไม่หวังดีสามารถเป็น Root บนเครื่องจากระยะไกลได้โดยเพียงแค่ลบ Authentication Header มันง่ายมาก" "นี่เป็นช่องโหว่เรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่เราสามารถเห็นได้ในตำราเรียนตั้งแต่ในยุค 90 เป็นเรื่องผิดปกติอย่างมากที่ยังสามารถเห็นมันเกิดขึ้นกับ Endpoints นับล้าน ในปี 2021" Ohfeld กล่าว

OMI เป็นเพียงตัวอย่างหนึ่งของ Software Agent ที่แอบติดตั้งโดยผู้ใช้งานไม่รู้ตัว สิ่งสำคัญคือต้องทราบว่า Software Agent เหล่านี้ไม่ได้มีเพียงใน Azure แต่ใน Amazon Web Services และ Google Cloud Platform ก็อาจมีเช่นเดียวกัน

คำแนะนำ

ในตอนนี้ Azure ไม่สามารถ Update OMI ให้ผู้ใช้งานที่ติดตั้ง Version ที่มีช่องโหว่ได้ แต่ผู้ใช้งานสามารถแก้ไขได้โดยดาวน์โหลด Package Repository ของ Microsoft และดำเนินการ Update OMI โดย การติดตั้ง OMI Version ใหม่ รายละเอียดสามารถเข้าไปอ่านเพิ่มเติมได้ใน

ที่มา : msrc.

T-Mobile แจ้งถูกโจมตีขโมยข้อมูล คาดส่งผลต่อผู้ใช้งานถึง 54 ล้านคน

เหตุการณ์ข้อมูลรั่วไหลของ T-Mobile เริ่มมีข้อมูลของผลกระทบออกมาเรื่อยๆ หลังจากผลการตรวจสอบล่าสุดพบว่าในขณะนี้มีการเปิดเผยข้อมูลของลูกค้าที่ใช้บริการ T-Mobile มากกว่า 54 ล้านคน

เมื่อสุดสัปดาห์ที่ผ่านมาผู้โจมตีเริ่มขายข้อมูลส่วนบุคคลของลูกค้า T-Mobile 100 ล้านคนบนฟอรัมใต้ดินด้วยราคา 6 bitcoin หรือประมาณ 9 ล้าน 3 แสนบาท

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ถูกขโมยมีข้อมูลลูกค้า T-Mobile ประมาณ 100 ล้านคน ข้อมูลที่เปิดเผยอาจรวมถึง IMSI, IMEI ของลูกค้า, หมายเลขโทรศัพท์, ชื่อลูกค้า, PIN ความปลอดภัย, หมายเลขประกันสังคม, หมายเลขใบขับขี่ และวันเกิด

ผู้โจมตีกล่าวว่าฐานข้อมูลที่ขโมยมาเมื่อประมาณ 2 สัปดาห์ก่อน มีข้อมูลลูกค้าย้อนหลังไปถึงปี 2547 โดยทาง T-Mobile ก็มีการยืนยันในภายหลังว่าเซิร์ฟเวอร์บางส่วนถูกแฮ็กจริง และเริ่มตรวจสอบข้อมูลลูกค้าที่ถูกเปิดเผยออกมา

เมื่อวันที่ 17 สิงหาคม T-Mobile ได้เปิดเผยการตรวจสอบ เกี่ยวกับเซิร์ฟเวอร์ที่ถูกแฮ็กเป็นครั้งแรก และกล่าวว่าข้อมูลส่วนบุคคลของผู้ใช้งาน 48.6 ล้านคนถูกขโมยออกไประหว่างการโจมตี

โดยวันนี้ (21 สิงหาคม) T-Mobile ได้อัปเดตจำนวนข้อมูลส่วนบุคคลของลูกค้าเพิ่มเติม 6 ล้านคนที่คาดว่าที่ได้รับผลกระทบจากการโจมตี
ในครั้งนี้ ซึ่งรวมแล้วการโจมตีครั้งนี้ส่งผลกระทบต่อผู้ใช้งานประมาณ 54.6 ล้านคน ซึ่งจำแนกตามนี้

ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในปัจจุบันจำนวน 13.1 ล้านบัญชี
ข้อมูล ชื่อและนามสกุล, วันเกิด, SSN และข้อมูลใบขับขี่/บัตรประจำตัวของลูกค้า T-Mobile ในอดีตจำนวน 40 ล้านบัญชี

ข้อมูล ลูกค้าเก่าของ T-Mobile ที่เปิดเผยชื่อลูกค้า หมายเลขโทรศัพท์ ที่อยู่ และวันเกิดจำนวน 667,000 บัญชี

ข้อมูล ลูกค้าแบบเติมเงินของ T-Mobile ที่ใช้งานอยู่ หมายเลขโทรศัพท์ และ PIN ของบัญชีจำนวน 850,000 บัญชี

ข้อมูล ที่เกี่ยวข้องกับบัญชี Metro ของ T-Mobile ในปัจจุบันที่อาจรวมอยู่ด้วยจำนวน 52,000 บัญชี

ตามที่ผู้โจมตีระบุช่องโหว่ที่ผู้โจมตีใช้มาจาก Configuration บนอุปกรณ์ Access Point ที่ใช้สำหรับระบบทดสอบ โดยปัญหาจากการ Configuration นั้นทำให้ Access Point ตัวนี้ถูกเข้าถึงได้จากอินเทอร์เน็ต แสดงว่าการโจมตีนี้ไม่ได้ใช้เทคนิคที่ซับซ้อน หรือเป็น Zero Day แต่เป็น T-Mobile เองที่พลาดเปิดประตูทิ้งไว้ และผู้โจมตีก็แค่หาประตูเจอเท่านั้นเอง

T-Mobile ได้บอกอีกว่าไม่พบการเข้าถึงข้อมูลการชำระเงิน หรือข้อมูลทางการเงิน แต่ก็แนะนำให้ลูกค้า T-Mobile ทุกคนระวังโดยให้ถือว่าข้อมูลของพวกเขารั่วไหลด้วยเช่นเดียวกัน รวมถึงให้ระวังข้อความ SMS หรือ อีเมลฟิชชิ่ง หากได้รับแล้ว อย่าคลิกลิงก์ใดๆ ที่อยู่ในข้อความเนื่องจากผู้โจมตีสามารถใช้ลิงก์เหล่านี้เพื่อรวบรวมข้อมูลจากลูกค้า T-Mobile ได้

ที่มา : Bleepingcomputer