Louisiana governor declares state emergency after local ransomware outbreak

ผู้ว่าการรัฐลุยเซียนาประกาศภาวะฉุกเฉินเพื่อรับมือมัลแวร์

เมื่อวันที่ 24 กรกฏาคม 2019 John Bel Edwards ผู้ว่าการรัฐลุยเซียนา สหรัฐอเมริกาได้ประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์จากมัลแวร์ หลังจากโรงเรียนรัฐบาลหลายแห่งในรัฐลุยเซียนาติดมัลแวร์จนระบบไอทีของโรงเรียนไม่สามารถใช้งานได้ โดยการประกาศภาวะฉุกเฉินในครั้งนี้เกิดขึ้นเพื่อให้รัฐจัดสรรหน่วยงานมาช่วยรับมือเหตุการณ์ดังกล่าว เช่น ตำรวจ National Guard ผู้เชี่ยวชาญด้านไซเบอร์ เป็นต้น โดยประกาศดังกล่าวจะมีผลจนถึง 21 สิงหาคม 2019

ในปัจจุบันยังไม่มีการประกาศจากทางการว่ามัลแวร์ดังกล่าวเป็นมัลแวร์ชนิดใด แต่ Eddie Jones ผู้อำนวยการโรงเรียน Florien ที่ได้รับผลกระทบให้สัมภาษณ์ว่าพบมัลแวร์เรียกค่าไถ่ในระบบของโรงเรียน

นี่เป็นครั้งที่สองที่รัฐในสหรัฐอเมริกามีการประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์ โดยครั้งแรกเกิดขึ้นที่รัฐโคโลราโดในเดือนกุมภาพันธ์ปี 2018 เนื่องจากเกิดติดเชื้อมัลแวร์เรียกค่าไถ่ SamSam จนทำให้กรมขนส่งทางบกของรัฐโคโลราโดไม่สามารถปฏิบัติงานได้ จึงต้องมีการประกาศภาวะฉุกเฉินเพื่อจัดการจราจร

ที่มา:
1. zdnet
2. louisiana
3. wafb

Air Canada Mobile App Users Affected By Data Breach

Air Canada แจ้งผู้ใช้แอปพลิเคชันมือถือ 20,000 ราย ว่าข้อมูลที่อยู่ในโปรไฟล์ของผู้ใช้อาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต

ระหว่างวันที่ 22-24 สิงหาคม บริษัทสังเกตพบการเข้าสู่ระบบที่ผิดปกติและทำการปิดกั้นการพยายามดังกล่าวเพื่อป้องกันข้อมูลของลูกค้า โดยทาง Air Canada ได้ทำการล็อกบัญชีแอปบนอุปกรณ์ไว้ทั้งหมด 1.7 ล้านบัญชี ผู้ที่ต้องการเปิดใช้งานบัญชีของตนอีกครั้งให้ปฏิบัติตามคำแนะนำในแอปครั้งต่อไปที่ลงชื่อเข้าใช้

ผู้บุกรุกที่เข้าถึงโปรไฟล์ของผู้ใช้แอป Air Canada สามารถเข้าถึงข้อมูลชื่อ ที่อยู่ อีเมลและหมายเลขโทรศัพท์ได้ และข้อมูลเพิ่มเติมที่ผู้ใช้อาจเพิ่มลงในโปรไฟล์ของพวกเขา เช่น หมายเลข Passport หมายเลข NEXUS วันเดือนปีเกิด สัญชาติ วันหมดอายุ และหนังสือเดินทาง เป็นต้น

Air Canada กล่าวว่าข้อมูลบัตรเครดิต และบัญชี aircanada.

Data of 130 Million Chinese Hotel Chain Guests Sold on Dark Web Forum

ข้อมูลของโรงแรม Huazhu Hotels Group Ltd. รั่วไหล ซึ่งดำเนินธุรกิจโรงแรม 13 กลุ่ม มีทั้งหมด 5,162 โรงแรม ตั้งอยู่ในประเทศจีน 1,119 โรงแรม ถือว่าเป็นกลุ่มธุรกิจโรงแรมที่ใหญ่ที่สุดในประเทศจีนอีกด้วย

จากข่าวรายงานว่า แฮกเกอร์ได้ประกาศขายรายละเอียดข้อมูลส่วนตัวของแขกที่เข้าพักในโรงแรมกว่า 130 ล้านคน โดยมีมูลค่า 8 Bitcoin (56,000 ดอลล่าร์สหรัฐฯ) โดยประกาศขายที่ Dark Web ของประเทศจีน ประกอบไปด้วยข้อมูลดังต่อไปนี้ หมายเลขบัตรประจำตัว, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, รหัสผ่านเข้าสู่ระบบ, ข้อมูลการลงทะเบียนการเช็คอิน (ชื่อลูกค้า, หมายเลขบัตรประจำตัว, ที่อยู่บ้าน, วันเกิด) และข้อมูลการจองห้องพัก (ชื่อ, หมายเลขบัตร, หมายเลขโทรศัพท์มือถือ, เวลาเช็คอิน, เวลาออกเดินทาง, หมายเลขโรงแรม, หมายเลขห้อง) โดยส่วนใหญ่จะเป็นข้อมูลลูกค้าที่เข้าพักโรงแรมในเครือของ Huazhu ซึ่ง ได้แก่ Hanant Hotel, Grand Mercure, Joye, Manxin, Novotel, Mercure, CitiGo, Orange, All Season, Starway, Ibis, Elan และ Haiyou

ปัจจุบันทางโรงแรม Huazhu ก็ได้ออกมายอบรับว่าเป็นข้อมูลของลูกค้าจริง เกิดจากความผิดพลาดของทีม development มีการอัปโหลดสำเนาข้อมูลเก็บไว้ที่ GitHub อาจเป็นสาเหตุที่ทำให้เกิดข้อมูลรั่วไหลในครั้งนี้

ที่มา : bleepingcomputer

Beware of Fake “Shipping Docs” Malspam Pushing the DarkComet RAT

นักวิจัยพบ Email ปลอมพร้อมไฟล์แนบที่แฝง DarkComet RAT(DarkComet remote access Trojan) จากผู้ไม่หวังดี โดยตัวอย่างที่พบนั้นเป็น Email มีหัวข้อว่า "Shipping docs#330" และมีเอกสาร DOC000YUT600.pdf.

Instagram Expands 2FA Support Following Recent Wave of Account Hacks

Instagram ประกาศแผนการปรับปรุงกลไกการตรวจสอบสิทธิ์แบบ 2FA โดยการเพิ่มการตรวจสอบสิทธิ์จากแอพพลิเคชั่นภายนอกเพื่อเพิ่มความปลอดภัยให้กับบัญชีของผู้ใช้งานทั่วโลก
แต่เดิม Instagram มีการใช้งาน 2FA (การยืนยันแบบสองขั้นตอน) ผ่าน SMS เท่านั้น ซึ่งสองสัปดาห์ก่อนหน้าการประกาศนี้มีรายงานข่าวว่า ผู้ใช้งาน Instagram ถูก hack account ทั้งที่บาง account มีการเปิดใช้งาน 2FA แต่
สามารถโดนแฮกและทำการเปลี่ยนแปลงโปรไฟล์ บางรายถูกลบโพสข้อมูลเก่า รวมถึงการปิดการยืนยันตรวจ 2FA และเปลี่ยนแปลง email ให้เป็น email ใหม่ที่มี domain จากรัสเซีย
ตั้งแต่วันนี้เป็นต้นไปผู้ใช้ Instagram จะทยอยได้รับการรองรับ 2FA ด้วยรหัสที่สร้างขึ้นโดยแอปพลิเคชัน "authenticator" แทนรหัสที่ได้รับผ่านทาง SMS ได้ โดยน่าจะครอบคลุมผู้ใช้ทั่วโลกในอีกไม่กี่สัปดาห์นี้

ทั้งนี้การใช้งาน 2FA ผ่าน SMS ได้รับการเตีอนว่าไม่ปลอดภัย https://www.

Windows 0-day pops up out of Twitter

บัญชีทวิตเตอร์ @SandboxEscaper ได้โพสทวิตเกี่ยวกับการพบช่องโหว่บน ALPC ที่ถูกใช้งานใน task scheduler ซึ่งไม่มีใครค้นพบมาก่อนบน Microsoft Windows (ช่องโหว่ zero day) ผู้เชี่ยวชาญ CERT/CC ตรวจสอบข้อผิดพลาดดังกล่าว พร้อมยืนยันการค้นพบช่องโหว่นี้

Microsoft Windows task scheduler มีช่องโหว่ในการยกระดับสิทธิ์ ที่ ALPC สามารถอนุญาตให้ local user ยกระดับสิทธิ์เป็น SYSTEM ได้ หากช่องโหว่นี้ถูกประยุกต์ใช้จะทำให้ malware ทำการควบคุมเครื่องได้ที่ถูกโจมตีได้

ช่องโหว่ทำงานได้ทั้ง windows 10 64-bit, windows 10 32-bit และ windows Server 2016 ทั้งนี้ Microsoft ได้ออกมาแจ้งว่า จะให้คำแนะนำในการรับมือกับผลกระทบโดยเร็วที่สุด

ที่มา: The Register

US Government Takes Steps to Bolster CVE Program

รัฐบาลสหรัฐฯกำลังดำเนินการแก้ไขโครงการ CVE : Common Vulnerabilities and Exposures ที่มีปัญหาในช่วงหลายปีที่ผ่านมา

CVE ก่อตั้งมาเพื่อเป็นมาตรฐานกำหนดชื่อช่องโหว่ด้านความปลอดภัยซึ่งได้ยอมรับจากภาครัฐและเอกชน ก่อตั้งโดย MITRE โดยใช้เงินสนับสนุนจากรัฐบาลสหรัฐฯ ซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัยที่สุดทั่วโลกต่างใช้หมายเลข CVE เพื่อระบุและติดตามการโจมตีด้านไซเบอร์ โดยเจาะจงเฉพาะข้อบกพร่องของซอฟต์แวร์

ตั้งแต่ช่วงปลายปี 2015 ระบบ CVE เกิดปัญหาหลายอย่าง เช่น ออกเลข CVE ล่าช้า ซึ่ง MITRE กล่าวว่าสาเหตุความล่าช้าเกิดจากการเพิ่มจำนวนอย่างรวดเร็วของผู้ผลิตซอฟต์แวร์และการเพิ่มของ IOT โดยรายงานเมื่อปลายปี 2016 พบว่าองค์กรล้มเหลวในการออกเลข CVE ให้กับช่องโหว่กว่า 6,000 รายการที่ถูกค้นพบในปี 2015

ในช่วงปลายเดือนมีนาคมปี 2017 คณะกรรมการจากรัฐบาลสหรัฐฯได้เริ่มทำการตรวจสอบระบบ CVE ซึ่งเมื่อวันจันทร์ที่ผ่านมาคณะกรรมการได้สรุปผลการตรวจสอบและแนวทางปฏิบัติที่เสนอเพื่อแก้ไขปัญหาที่พบในระบบ CVE โดยพบปัญหาใหญ่สองข้อคือ 1. เงินทุนที่ได้รับลดลง และ 2. ขาดการกำกับดูแลโครงการ CVE

1. ปัญหาเงินทุนลดลง
คณะกรรมการพบว่าเงินทุนสนับสนุนโครงการ CVE ต่อปีลดลงกว่า 37 เปอร์เซ็นในช่วงปี 2012 ถึง 2015 จึงเสนอให้แก้ด้วยการจัดหาเงินทุนสนับสนุนอย่างต่อเนื่อง เพื่อลดความผันผวนของงบประมาณ น่าจะทำให้ MITER มุ่งเน้นที่จะใช้ฐานข้อมูล CVE แทนการกังวลเกี่ยวกับเงินทุนในอนาคต

2.ปัญหาขาดการกำกับดูแลโครงการ CVE
คณะกรรมการพบว่าแนวทางที่ปฏิบัติในอดีตสำหรับการจัดการโครงการ CVE ยังไม่เพียงพอ จึงเสนอให้ MITER ดำเนินการตรวจสอบเสถียรภาพและประสิทธิภาพของโครงการ CVE ในทุกๆ ปี เพื่อให้พบปัญหาก่อนที่มีปัญหาจะร้ายแรงและกระทบกับภาคอุตสาหกรรมด้านความปลอดภัยไซเบอร์

ที่มา: BLEEPINGCOMPUTER

OCR Software Dev Exposes 200,000 Customer Documents

OCR Software ที่กำลังพัฒนาของ Abbyy ทำข้อมูลเอกสารลูกค้าจำนวน 200,000 ฉบับรั่วไหล เนื่องจากฐานข้อมูล MongoDB มีการรักษาความปลอดภัยไม่เพียงพอ

เมื่อวันที่ 19 สิงหาคม นักวิจัย Bob Diachenko ได้ค้นพบฐานข้อมูล MongoDB มีการตั้งค่าที่ผิดพลาดบนแพลตฟอร์มระบบคลาวด์ Amazon Web Services (AWS) มีขนาด 142GB และอนุญาตให้เข้าถึงได้โดยไม่ต้องเข้าสู่ระบบ ทำให้ผู้บุกรุกสามารถเข้าถึงไฟล์ลูกค้าได้

ฐานข้อมูลเก็บเอกสารที่สแกนโดยมีข้อมูลสำคัญ ได้แก่ สัญญาข้อตกลง ข้อมูลจดหมายภายในและบันทึกช่วยจำ รวมถึงไฟล์มากกว่า 200,000 ไฟล์ของลูกค้า Abbyy ที่สแกนข้อมูลและเก็บไว้ในระบบพร้อมใช้งานในระบบคลาวด์ หลักฐานบ่งบอกว่าฐานข้อมูลเป็นของ Abbyy มาจากชุดเอกสารที่มีชื่อผู้ใช้งาน Abbyy อยู่ในรูปแบบที่อยู่อีเมลของบริษัท และรหัสผ่านที่เข้ารหัส โดยกลุ่มลูกค้าของ Abbyy ชื่อดังมีอยู่ในหลายภาคส่วนเช่น Volkswagen, Deloitte, PwC, PepsiCo, Sberbank, McDonald's

Diachenko กล่าวว่าสองวันหลังจากการแจ้งเตือนของเขา ทีมรักษาความปลอดภัยที่ Abbyy ได้ทำการปิดการเข้าถึงข้อมูลดังกล่าวแล้ว

ที่มา: BLEEPINGCOMPUTER

Google Warns Businesses of Government-backed Phishing Attacks

Google เตือนธุรกิจต่างๆให้ระวัง Phishing Attack ที่มีรัฐบาลหนุนหลัง

การโจมตีแบบฟิชชิ่งอาจไม่ใช่ปัญหาใหม่ แต่ก็ไม่ใช่เรื่องง่ายที่บริษัทจะป้องกันการโจมตี ซึ่งเป็นเรื่องสำคัญของความปลอดภัยที่จะต้องสนใจ ไม่เสมอไปที่ผู้โจมตีจะต้องใช้ช่องโหว่ zero day หรือเขียนมัลแวร์ที่มีความสามารถในการดักจับการพิมพ์ (keystroke) แต่ทั้งหมดที่ต้องทำคือหลอกล่อให้ผู้ใช้งานคลิ๊กไปยังเว็บไซต์ที่ดูเหมือนจะน่าเชื่อถือ เพื่อที่จะขโมยรหัสผ่าน

เมื่อไม่นานมานี้มีการโจมตีแบบฟิชชิ่งเป็นจำนวนมากซึ่งดูเหมือนว่าแฮกเกอร์ได้รับการหนุนหลังจากหน่วยงานรัฐบาล การโจมตีแบบฟิชชิ่งนี้อาจพบได้น้อยกว่าการขโมยข้อมูลส่วนตัวและอาชญากรออนไลน์ทั่วไป แต่อย่างไรก็ตามการรั่วไหลของข้อมูลก็ยังคงที่เป็นที่ต้องติดตามและให้ความสนใจ ฟิชชิ่งแบบที่มีรัฐบาลหนุนหลังนั้นอาจจะมีเป้าหมาย เช่น นักข่าว นักวิจารณ์การเมือง และองค์กรต่าง ๆ อย่างไรก็ตามหากไม่สามารถได้ข้อมูลที่ต้องการจากบัญชี Gmail ของบุคคลเหล่านี้ได้ ก็อาจะทำการเปลี่ยนเป้าหมายเป็นคนใดคนหนึ่งที่ทำงานอยู่ในองค์กรแทน

ธุรกิจกว่า 4 ล้านรายทั่วโลก มีการใช้งาน G Suite ที่ประกอบด้วยเครื่องมือหลากหลายใช้งานอยู่บนระบบ Cloud ของ Google ที่ถูกออกแบบมาเพื่อให้พนักงานทำงานอย่างมีประสิทธิภาพ ซึ่งไม่ต้องแปลกใจเลยว่าเหตุใดจึงเป็นที่สนใจของหน่วยงานและรัฐบาลทั่วโลก และเพื่อปกป้องลูกค้าขององค์กรให้ดียิ่งขึ้น เมื่อต้นเดือนที่ผ่านมา Google ได้ประกาศว่าให้ผู้ดูแลระบบ G Suite สามารถรับคำเตือนเมื่อ Google เชื่อว่าผู้บุกรุกที่ได้รับการสนับสนุนจากรัฐบาลมีความพยายามที่จะเข้าถึงข้อมูลผู้ใช้หรือเข้าถึงคอมพิวเตอร์โดยใช้วิธีการฟิชชิ่งหรือวิธีอื่น ๆ

ที่มา: Business Insights

Iranian Hackers Target Universities in Global Cyberattack Campaign

Cobalt Dickens ซึ่งเป็นกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่านตกเป็นผู้ต้องสงสัยอยู่เบื้องหลังการโจมตีมหาวิทยาลัยทั่วโลกเพื่อขโมยข้อมูลประจำตัว

กลุ่มนักวิจัยของ Secureworks ได้เปิดเผยการโจมตีหลังจากเริ่มพบ URL ปลอมแปลงในหน้าเว็บเข้าสู่ระบบของมหาวิทยาลัย หลังจากนำหมายเลข IP ไปวิเคราะห์เพิ่มเติมพบการโจมตีขนาดใหญ่ที่เกี่ยวข้องกับ 16 โดเมนที่มีเว็บไซต์ปลอมแปลงมากกว่า 300 แห่งและหน้าเว็บเข้าสู่ระบบของ 76 มหาวิทยาลัยใน 14 ประเทศ ผู้บุกรุกมุ่งเป้าไปที่โรงเรียนในสหรัฐอเมริกา, สหราชอาณาจักร, ออสเตรเลีย, แคนาดา, จีน, อิสราเอล, ญี่ปุ่นและตุรกี เป็นต้น และได้แจ้งเตือนไปยังเป้าหมายดังกล่าว

ผู้ที่ตกเป็นเหยื่อจะถูกหลอกให้ป้อนข้อมูลเข้าสู่ระบบในหน้าเข้าสู่ระบบปลอม หลังจากนั้นจะเปลี่ยนเส้นทางไปยังหน้าเว็บที่ถูกต้อง เพื่อให้เหยื่อป้อนข้อมูลเข้าสู่ระบบเป็นครั้งที่สอง โดเมนส่วนใหญ่ในเหตุการณ์ดังกล่าวจะเชื่อมต่อกับบาง IP และ DNS ซึ่งโดเมนหนึ่งถูกจดทะเบียนในเดือนพฤษภาคมปีพ.ศ. 2561 เพื่อนำโดเมนย่อยที่ออกแบบมาใช้หลอกเป้าหมายของมหาวิทยาลัยและเปลี่ยนเส้นทางผู้เข้าชมไปยังหน้าการเข้าสู่ระบบปลอมบนโดเมนอื่นที่ควบคุมโดยผู้บุกรุก เพื่อใช้ข้อมูลประจำตัวที่ได้มาขโมยทรัพย์สินทางปัญญาอย่างงานวิจัยต่างๆ

ที่มา: DARKReading , INDEPENDENT