Conti ransomware ยุติปฏิบัติการ เพื่อรีแบรนด์กลุ่มให้เล็กลง

กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป

ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน

แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม

ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”

(more…)

FujiFilm กำลังตรวจสอบการถูกโจมตีด้วยแรนซัมแวร์ และได้ดำเนินการปิดเครือข่ายบางส่วนเพื่อป้องกันการแพร่กระจาย

FujiFilm หรือที่รู้จักในชื่อ Fuji เป็นกลุ่มบริษัทข้ามชาติของญี่ปุ่นที่มีสำนักงานใหญ่อยู่ในกรุงโตเกียว ประเทศญี่ปุ่น เมื่อเริ่มต้นบริษัท Fuji เป็นผู้จัดจำหน่ายฟิล์ม และกล้อง ภายหลังจากที่บริษัทเติบโตขึ้นก็มีการทำธุรกิจทางด้านยา อุปกรณ์จัดเก็บข้อมูล เครื่องถ่ายเอกสาร และเครื่องพิมพ์ รวมไปถึงกล้องดิจิตอลในปัจจุบันด้วย โดย Fuji เป็นบริษัทที่ทำรายได้ถึง 20.1 พันล้านดอลลาร์ในปี 2020 และมีพนักงานมากถึง 37,151 คนทั่วโลก

วันที่ 2/6/21 FUJIFILM ประกาศว่าสำนักงานใหญ่ในโตเกียวถูกโจมตีด้วยแรนซัมแวร์ ในวันอังคารที่ 1/6/21 และกำลังดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตจากภายนอกบริษัท มีการปิดเครือข่ายบางส่วน และตัดการเชื่อมต่อจากภายนอก โดยมีการประสานงานไปยังสาขาต่าง ๆ ทั่วโลก

นอกจากนี้ทาง FUJIFILM USA ได้ประกาศบนเว็บไซต์ โดยระบุว่าเนื่องจากระบบเครือข่ายบางส่วนกำลังประสบปัญหา ทำให้ส่งผลกระทบต่อระบบอีเมลและโทรศัพท์

FUJIFILM ยังไม่ได้มีการระบุถึงกลุ่มแรนซัมแวร์ที่ทำการโจมตี แต่ทาง Vitali Kremez ซีอีโอของ Advanced Intel ได้บอกกับแหล่งข่าว BleepingComputer ว่า FUJIFILM พบการติดโทรจัน Qbot เมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอาจส่งผลกระทบถึงการโจมตีในครั้งนี้และปัจจุบันกลุ่มมัลแวร์ Qbot มีการทำงานร่วมกับกลุ่มแรนซัมแวร์ REvil และในอดีตเคยร่วมมือกับกลุ่มแรนซัมแวร์ ProLock และ Egregor อีกด้วย

แม้ว่าแรนซัมแวร์จะถูกใช้งานมาตั้งแต่ปี 2555 แล้ว แต่เมื่อเร็วๆ นี้ การโจมตีบริษัท Colonial Pipeline ท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดของสหรัฐ และบริษัท JBS ผู้ผลิตเนื้อวัวรายใหญ่ที่สุดของโลก ทำให้การโจมตีนี้กลับได้รับความสนใจจากทั่วโลก โดยรัฐบาลสหรัฐฯ ได้มีการจัดตั้งคณะทำงานขึ้นเพื่อแนะนำนโยบายและแนวทางในการต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

Mount Locker แรนซัมแวร์ชนิดใหม่ที่มุ่งเป้าหมายไปยังซอฟต์แวร์ TurboTax

Vitali Kremez จาก Advanced Intel ได้เปิดเผยถึงการวิเคราะห์แรนซัมแวร์ชนิดใหม่ที่มีชื่อว่า Mount Locker ransomware ที่เริ่มแพร่กระจายในเดือนกรกฎาคม 2020 ที่ผ่านมา โดยแรนซัมแวร์ชนิดใหม่นี้มุ่งเป้าไปยังซอฟต์แวร์ TurboTax เพื่อทำการขโมยข้อมูลและเอกสารในการยืนภาษี จากนั้นจะเข้ารหัสไฟล์เพื่อใช้ในการขู่กรรโชกเหยื่อและเรียกค่าไถ่จากการที่ต้องยื่นภาษีก่อนกำหนดเส้นตายภาษีในวันที่ 15 เมษายน 2021

Vitali Kremez กล่าวว่า Mount Locker ransomware เป็นแรนซัมแวร์ที่มีการปฏิบัติการโดย human-operated ransomware เมื่อแรนซัมแวร์สามารถเข้าถึงเครือข่ายแรนซัมแวร์จะมุ่งเป้าหมายไปยัง ซอฟต์แวร์ภาษี TurboTax โดยแรนซัมแวร์จะทำการแสกนและรวบรวมไฟล์ที่มีนามสกุลไฟล์ .Tax, .tax2009, .tax2013 และ .tax2014 ที่เชื่อมโยงกับซอฟต์แวร์ TurboTax จากนั้นจะทำการส่งข้อมูลกลับไปยัง C&C ของกลุ่มปฏิบัติการและจะทำการเข้ารหัสไฟล์บนเครื่องที่บุกรุก เพื่อใช้ในการเรียกค่าไถ่เหยื่อ

ทั้งนี้ผู้ใช้ควรหมั่นตรวจสอบและสำรองข้อมูลไฟล์ TurboTax และเอกสารสำคัญอื่นๆ บนสื่อภายนอกเช่น USB หรือ External HDD หลังจากที่ทำการเปลี่ยนแปลงข้อมูลใดๆ และทำการถอดสื่อภายนอกทุกครั้งที่ทำการเปลื่ยนเเปลงเสร็จ เพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer