LockBit 2.0 Ransomware กำลังหาคนภายในองค์กรต่าง ๆ เพื่อช่วยพวกเขาในการเจาะ และเข้ารหัสเครือข่ายขององค์กรนั้นๆ และสัญญากับผู้ที่ให้ข้อมูลขององค์กรตัวเองว่าจะจ่ายเงินให้ 1 ล้านเหรียญ

ในเดือนมิถุนายน 2021 LockBit ได้ประกาศเปิดตัวเวอร์ชั่นใหม่ของ LockBit 2.0 ransomware-as-a-service ในการเปิดตัวใหม่นี้รวมถึงเว็บไซต์ TOR ที่ออกแบบใหม่และคุณสมบัติขั้นสูงต่างๆ รวมถึงอุปกรณ์เข้ารหัสอัตโนมัติบนเครือข่ายผ่าน Group policy และด้วยการเปิดตัวใหม่นี้ LockBit ได้เปลี่ยน Windows wallpaper บนอุปกรณ์ที่ถูกเข้ารหัสเพื่อเสนอว่า “ล้านดอลลาร์ สำหรับบุคคลภายในองค์กรที่ให้ข้อมูล account ที่สามารถเข้าถึงเครือข่ายขององค์กร”

ข้อความเต็มๆเขียนไว้ว่า LockBit กำลังมองหา RDP, VPN, Credentials อีเมลขององค์กรที่สามารถใช้เข้าถึงเครือข่ายได้ และยังบอกด้วยว่าจะส่ง Virus ให้กับคนภายในที่จะดำเนินการบนคอมพิวเตอร์ ซึ่งจะทำให้กลุ่ม Ransomware เข้าถึงเครือข่ายจากระยะไกลได้ และยังได้ทิ้งช่องทางการติดต่อเป็น ToxID:xxxx เพื่อติดต่อกับทางแฮกเกอร์เกี่ยวกับรายละเอียดต่าง ๆ

ยังไงก็ตาม ดูเหมือนว่าข้อความนี้มีแนวโน้มที่จะมุ่งเป้าไปที่บุคคลที่สามจากภายนอกที่เป็นที่ปรึกษาด้าน IT ที่เห็นข้อความนี้ในขณะที่กำลังทำการตอบสนองต่อการโจมตี และแม้ว่าวิธีนี้อาจจะฟังดูยาก แต่ว่าก็ไม่ใช่ครั้งแรกที่แฮกเกอร์พยายามหาพนักงานภายในองค์กร หรือบุคคลที่สาม เพื่อเข้ารหัสเครือข่ายของบริษัท ยกตัวอย่างเช่นในเดือนสิงหาคม 2020 FBI ได้จับกุมชาวรัสเซียคนหนึ่งในข้อหาพยายามจ้างพนักงานของเทสลาเพื่อวางมัลแวร์บนเครือข่ายภายใน Tesla Neveda Gigafactory ด้วยเช่นกัน

ที่มา : bleepingcomputer.

บริษัท Accenture ยักษ์ใหญ่แห่งวงการที่ปรึกษาด้านไอทีระดับโลก ซึ่งเป็นที่รู้จักในการให้บริการในอุตสาหกรรมที่หลากหลาย ทั้งธุรกิจยานยนต์ ธนาคาร รัฐบาล เทคโนโลยี พลังงาน โทรคมนาคม และอื่นๆ อีกมากมาย โดยมีข่าวออกมาว่าบริษัท Accenture ถูกโดนโจมตีโดย LockBit Ransomware

โดยกลุ่ม Ransomware ที่รู้จักกันในชื่อ LockBit 2.0 ได้ทำการขู่ว่าจะทำการเผยแพร่ข้อมูลที่ได้อ้างว่าได้มาจากการโจมตี Accenture ในครั้งล่าสุด หากยังไม่มีการจ่ายค่าไถ่ภายในวันนี้ (11 สิงหาคม) และถึงแม้ว่าทาง LockBit จะยังไม่ได้แสดงหลักฐานการขโมยข้อมูลออกมา แต่พวกเขาได้บอกว่าพร้อมที่จะขายข้อมูลให้กับผู้ที่ได้ประโยชน์จากข้อมูลที่ขโมยมา โดยทาง LockBit ได้กล่าวใน Data leak site ว่า “ผู้ใช้งานไม่ได้มีความปลอดภัย หรือความเป็นส่วนตัวเลย จากที่พวกเราเข้าถึงระบบได้ในแบบเดียวกับคนภายในบริษัท พวกเราคิดว่าบริการของพวกเขา (Accenture) จะปลอดภัยกว่านี้ซะอีก ดังนั้นถ้าคณสนใจที่จะซื้อข้อมูลของพวกเขา ติดต่อเราได้เลย”

ส่วนทาง Accenture ได้บอกกับ BleepingComputer ว่า “ระบบที่ได้รับผลกระทบนั้นได้รับการกู้คืนจากข้อมูลที่สำรองไว้แล้ว และด้วยการควบคุมความปลอดภัย และวิธีการรับมือของเรา ทำให้สามารถระบุเหตุการณ์ที่ผิดปกติภายในองค์กร และได้ทำการแยก Server ที่ได้รับผลกระทบออกจากระบบทันที พร้อมกู้คืนระบบที่ได้รับผลกระทบอย่างเต็มที่จากการที่ได้สำรองข้อมูลไว้ และไม่ได้มีผลกระทบกับการดำเนินงานของ Accenture หรือระบบของลูกค้าแต่อย่างใด”

ซึ่งเมื่อดูจากข้อความที่มีการติดต่อกันระหว่างกลุ่มแฮ็กเกอร์กับทีมผู้เชี่ยวชาญของ Cyble กล่าวว่ากลุ่ม LockBit Ransomware อ้างว่าได้ขโมยข้อมูลจำนวน 6 TB จาก Accenture และได้เรียกค่าไถ่จำนวน 50 ล้านดอลลาร์ พร้อมทั้งบอกถึงวิธีการเข้าถึงเครือข่ายของ Accenture ว่าผ่านคนภายในขององค์กรเอง พร้อมทั้งมีแหล่งข่าวที่ไม่ได้มีการเปิดเผยได้บอกกับ BleepingComputer ว่า Accenture ได้ยืนยันการถูกโจมตีโดย Ransomware กับผู้ให้บริการ CTI(Cyber Threat Intelligence) อย่างน้อยหนึ่งราย และทาง Accenture ก็กำลังดำเนินการแจ้งลูกค้าเพิ่มเติมต่อไป และนอกจากนี้ Hudson Rock บริษัทด้านข่าวกรองอาชญากรรมทางอินเทอร์เน็ตได้เปิดเผยว่า Accenture มีคอมพิวเตอร์ถูกบุกรุกกว่า 2,500 เครื่อง ซึ่งเป็นของพนักงานและพาร์ทเนอร์

ที่มา : bleepingcomputer.

ในวันพฤหัสที่ผ่านมาใน Security Advisory Update ทาง Cisco ได้ออกมาเปิดเผยถึงช่องโหว่ที่สามารถรันโค้ดที่เป็นอันตรายได้จากระยะไกล (Remote code execution) ที่พบในอุปกรณ์ Adaptive Security Device Manager (ASDM) เมื่อเดือนที่ผ่านมา ซึ่งเป็น Zero-day และยังไม่ได้รับการแก้ไข

Cisco ASDM คือระบบจัดการไฟร์วอลล์ที่ทำหน้าที่ควบคุมไฟร์วอลล์ ของ Cisco เช่น Adaptive Security Appliance (ASA) และ AnyConnect Secure Mobility clients

โดย Cisco เปิดเผยว่า “ขณะนี้ Cisco มีแผนในการแก้ไขช่องโหว่ใน ASDM ดังกล่าว แต่ตอนนี้ยังไม่มีซอฟต์แวร์อัพเดทสำหรับแก้ปัญหานี้ รวมไปถึงยังไม่มี Workaround สำหรับกรณีนี้อีกด้วย” และทาง Cisco ได้ทำการปรับปรุงรายละเอียดของเวอร์ชันที่อาจจะถูกโจมตีได้จากเวอร์ชั่น '9.16.1 และก่อนหน้า' เป็น '7.16(1.150) และก่อนหน้า'

การตรวจสอบ Verification Signature ที่ไม่ถูกต้องระหว่าง ASDM และ Launcher ไม่ตรงกัน จะทำให้เกิดช่องโหว่ Zero-day นี้ขึ้น โดยปัจจุบันมีรหัสของช่องโหว่คือ CVE-2021-1585 หากผู้ไม่ประสงค์ดีสามารถใช้ช่องโหว่ดังกล่าวในการรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องมีการพิสูจน์ตัวตน

Cisco อธิบายว่า “ผู้ไม่หวังดีสามารถใช้ช่องโหว่นี้หาประโยชน์ในลักษณะ Man-in-the-middle เพื่อแทรกการโจมตีด้วยโค้ดที่เป็นอันตรายระหว่างที่ ASDM และ Launcher มีการติดต่อกัน”

“หากจะโจมตีให้สำเร็จ ผู้โจมตีอาจจะต้องใช้วิธี Social Engineering เพื่อชักจูงให้ผู้ใช้งานทำการเชื่อมต่อระหว่าง Launcher ไปยัง ASDM”

อย่างไรก็ตาม Cisco ยืนยันว่า Product Security Incident Response Team (PSIRT) ยังไม่ได้รับข้อมูลว่ามีการโจมตีด้วยช่องโหว่นี้เกิดขึ้นจริง

Cisco ได้แก้ไขช่องโหว่ Zero-day CVE-2020-3556 ที่ถูกพบมามากกว่า 6 เดือนก่อนของอุปกรณ์ AnyConnect Secure Mobility Client VPN software เมื่อ 3 เดือนที่แล้ว จาก Exploit Code ที่ถูกปล่อยออกมา แต่ Cisco PSIRT แจ้งว่ายังไม่พบการโจมตีในวงกว้างเช่นกัน

Cisco รายงาน Zero-day นี้ในเดือน พฤศจิกายน 2020 โดยไม่มีการออกแพตซ์เพื่อแก้ไขช่องโหว่แต่อย่างใด มีเพียงเทคนิคการลดความเสี่ยงของช่องทางที่จะถูกใช้ในการโจมตี

CVE-2020-3556 ได้รับการแก้ไขในเดือน พฤษภาคม และถือเป็นความโชคดีที่ไม่มีความเสียหายอะไรเกิดขึ้นก่อนหน้านั้น อาจเนื่องมาจาก default VPN setups มีการป้องกันระบบเองอยู่แล้ว และการโจมตีโดยใช้ช่องโหว่นี้ต้องอาศัยผู้มีความเชี่ยวชาญสูงมาก

อย่างไรก็ดีหลังจากที่ทีม Offensive ของ Positive Technologies เปิดเผยช่องโหว่ของ Cisco ASA เมื่อเดือนที่ผ่านมา ก็เริ่มพบเห็นการโจมตีเกิดขึ้น ซึ่ง Cisco ออกการแก้ไขช่องโหว่บางส่วนในเดือนตุลาคม 2020 และแก้ไขช่องโหว่อย่างสมบูรณ์ในเดือนเมษายน 2021

ที่มา : ehackingnews.

หลังจากมีการปล่อย Patch Tuesday ไปเมื่อวันอังคารที่ผ่านมา Microsoft ได้รับทราบถึงข้อมูลการโจมตีในลักษณะ Remote Code Execution อีก 1 ช่องโหว่ที่อยู่ใน Service Print Spooler โดยทาง Microsoft ให้ข้อมูลเสริมว่ากำลังดำเนินการเพื่อแก้ไขช่องโหว่นี้ และจะมีการปล่อยให้อัพเดทแพตซ์แก้ไขช่องโหว่ในการอัพเดทครั้งถัดไป

ช่องโหว่นี้ได้รหัสเป็น CVE-2021-36958(CVSS score: 7.3) ซึ่งช่องโหว่นี้ถือว่าเป็นส่วนนึงของช่องโหว่ PrintNightmare ที่ Microsoft ออกแพตซ์ปิดช่องโหว่ไปในช่วงที่ผ่านมา Victor Mata จาก Accenture Security ผู้รายงานช่องโหว่ได้รายงานช่องโหว่ดังกล่าวให้กับ Microsoft ในเดือนธันวาคม 2020 ที่ผ่านมา

ช่องโหว่ Remote Code Execution นี้จะเกิดขึ้นเมื่อ Windows Print Spooler Service ดำเนินการกับไฟล์ด้วยสิทธิ์ที่ไม่เหมาะสม ซึ่งทำให้หลังจากที่ผู้โจมตีทำการโจมตีช่องโหว่นี้สำเร็จ จะสามารถเรียกรันโค้ดต่างๆได้ด้วยสิทธิ์ system ของระบบ ทำให้ผู้โจมตีสามารถติดตั้ง โปรแกรม ดู เปลี่ยนแปลง หรือ ลบข้อมูล หรือ สร้างบัญชีใหม่พร้อมสิทธิ์ผู้ใช้งานเต็มรูปแบบได้

เป็นที่น่าสังเกตว่าก่อนหน้านี้ Microsoft ทำการปล่อยอัปเดต patch ของ Windows โดยใช้วิธีเปลี่ยนค่าตั้งต้นของ Point และ Print โดยป้องกันไม่ให้สามารถติดตั้งหรืออัปเดตไดรเวอร์ Printer ใหม่ได้จากภายนอก หากไม่มีสิทธิ์ของผู้ดูแลระบบ

การแก้ไขปัญหาชั่วคราวทาง Microsoft แนะนำให้ผู้ใช้งานปิด Service Print Spooler เพื่อป้องกันไม่ให้ผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ โดยศูนย์ประสานงาน CERT ยังแนะนำให้ผู้ใช้บล็อกการรับส่งข้อมูล SMB ขาออกเพื่อป้องกันการเชื่อมต่อกับเครื่องพิมพ์ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตีได้

ที่มา : thehackernews.

ผู้ใช้งาน 1.2 ล้านคนได้รับผลกระทบจากข้อมูลรั่วไหลของบริษัท Practicefirst จากการโจมตีด้วย Supply Chain Ransomware

Practicefirst บริษัทให้บริการด้านการจัดการทางการแพทย์ ในรัฐนิวยอร์ก ได้ออกมาเปิดเผยถึงข้อมูลรั่วไหลต่อเจ้าหน้าที่ของรัฐบาลกลาง เมื่อวันที่ 1 กรกฎาคม จากคำชี้แจงของบริษัท บริษัทได้จ่ายเงินค่าไถ่เพื่อแลกกับการให้ผู้โจมตีสัญญาว่าจะทำลาย และไม่เปิดเผยไฟล์ข้อมูลอออกสู่สาธารณะ

HIPAA Breach Reporting Tool ซึ่งเป็นเว็บไซต์ดูแลโดย Department of Health and Human Services ได้แสดงรายการข้อมูลด้านสุขภาพที่ถูกขโมยไป ซึ่งส่งผลกระทบต่อประชาชนอย่างน้อย 500 ราย หรือมากกว่านั้น
ส่วน Practicefirst รายงานว่าเหตุการณ์ดังกล่าวส่งผลกระทบต่อผู้ใช้งานมากกว่า 1.2 ล้านราย ซึ่งเป็นการละเมิดข้อมูลสุขภาพที่ใหญ่เป็นอันดับหกที่รายงานบนเว็บไซต์ HHS ในปี 2564

เมื่อวันที่ 30 ธันวาคม 2020 บริษัท Practicefirst ออกมาชี้แจงว่าพบแฮ็กเกอร์พยายามใช้แรนซัมแวร์เพื่อเข้ารหัสข้อมูลบนระบบ และได้คัดลอกไฟล์หลายไฟล์จากระบบ รวมถึงไฟล์ที่มีข้อมูลส่วนตัวของผู้ป่วย และพนักงาน เมื่อบริษัททราบถึงสถานการณ์ดังกล่าว บริษัทแจ้งว่าได้ปิดระบบ เปลี่ยนรหัสผ่าน แจ้งหน่วยงานบังคับใช้กฎหมาย และจ้างผู้เชี่ยวชาญด้านความความปลอดภัยเข้ามาช่วยเหลือแล้ว

ข้อมูลที่ถูกขโมยออกไปประกอบไปด้วย ชื่อ ที่อยู่ อีเมล วันเดือนปีเกิด หมายเลขใบขับขี่ หมายเลขประกันสังคม การวินิจฉัย ข้อมูลห้องปฏิบัติการและการรักษา หมายเลขประจำตัวผู้ป่วย ข้อมูลยา ข้อมูลระบุ และเคลมประกันสุขภาพ หมายเลขประจำตัวผู้เสียภาษี ชื่อผู้ใช้พร้อมรหัสผ่าน ชื่อผู้ใช้ของพนักงานที่มีคำถาม และคำตอบเพื่อความปลอดภัย บัญชีธนาคาร ข้อมูลบัตรเครดิต/บัตรเดบิต เป็นต้น

ที่มา : ehackingnews.

Cryptominer ELFs ใช้ MSR เพื่อเพิ่มกระบวนการขุด
ทีมวิจัยภัยคุกคามของ Uptycs สังเกตเห็น Golang-based worm ปล่อยไบนารี cryptominer ซึ่งใช้ไดรเวอร์ MSR (Model Specific Register) เพื่อปิดใช้งานการดึงข้อมูลล่วงหน้าของฮาร์ดแวร์ (Hardware Prefetcher) และเพิ่มความเร็วของกระบวนการขุดขึ้น 15%
The Golang-based worm ซึ่งมุ่งเป้าการโจมตีไปยังเป้าหมายเซิร์ฟเวอร์ *nix ที่มีช่องโหว่ โดยใช้ประโยชน์จากช่องโหว่ของเว็บเซิร์ฟเวอร์ที่เป็นที่นิยม เพื่อแพร่กระจายตัวเอง และตัวขุดที่ฝังตัว worm สายพันธุ์ใหม่ซึ่งถูกตรวจจับได้ในเดือนมิถุนายน พ.ศ. 2564 โดยระบบ Threat Intelligence แม้ว่าฟังก์ชันการทำงานบางอย่างจะคล้ายกับมัลแวร์ที่บริษัทรักษาความปลอดภัย Intezer กล่าวถึงเมื่อปีที่แล้ว แต่มัลแวร์รุ่นใหม่นี้ก็มีฟังก์ชันที่มากกว่าเดิม
ข้อมูลต่อไปนี้จะให้รายละเอียดเกี่ยวกับการใช้ MSR เพื่อปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้าในมัลแวร์ cryptomining นอกจากนี้ยังกล่าวถึงเทคนิคใหม่บางอย่างที่ใช้โดยผู้โจมตีใน kill chain เพื่อฝังตัว และติดตั้ง Worm ลงในไดเร็กทอรีที่สำคัญบนเซิร์ฟเวอร์ที่มีช่องโหว่

ตัวดึงข้อมูลฮาร์ดแวร์ (Hardware Prefetcher) และ MSR
ตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าเป็นเทคนิคที่โปรเซสเซอร์ใช้ดึงข้อมูลล่วงหน้าโดยพิจารณาจากพฤติกรรมการเข้าถึงที่ผ่านมาโดย Core โปรเซสเซอร์ (หรือ CPU) โดยตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้า จะเก็บข้อมูลจากหน่วยความจำหลักลงในแคช L2 อย่างไรก็ตาม สำหรับโปรเซสเซอร์แบบมัลติคอร์ การดึงข้อมูลฮาร์ดแวร์ล่วงหน้าอาจส่งผลให้ประสิทธิภาพของระบบโดยรวมลดลง
MSR ในสถาปัตยกรรมโปรเซสเซอร์ใช้เพื่อสลับคุณลักษณะบางอย่างของ CPU และการตรวจสอบประสิทธิภาพของคอมพิวเตอร์ การจัดการกับการ MSR ทำให้สามารถปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้าได้

ซอฟต์แวร์ขุดเหรียญคริปโตใช้ MSR เพื่อปิดใช้งานการดึงข้อมูลฮาร์ดแวร์ล่วงหน้า
ซอฟต์แวร์ขุดเหรียญคริปโตที่ทำงานด้วยสิทธิ์ของ Root สามารถปิดใช้งานตัวดึงข้อมูลล่วงหน้าได้ สิ่งนี้ทำเพื่อเพิ่มประสิทธิภาพการดำเนินการขุดเหรียญ ซึ่งจะเป็นการเพิ่มความเร็วของกระบวนการขุด โดยมีการตรวจพบจากการขุดเหรียญ Xmrig โดยระบบ Threat Intelligence ซึ่งใช้ MSR เพื่อปิดการใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้า
นักขุด Xmrig ใช้อัลกอริทึม RandomX สร้างโปรแกรมที่ไม่ซ้ำกันหลายโปรแกรม ซึ่งสร้างขึ้นโดยข้อมูลที่เลือกจากชุดข้อมูลที่สร้างจากแฮชของบล็อกคีย์ รหัสที่จะเรียกใช้ภายใน VM ถูกสร้างขึ้นแบบสุ่มและแฮชผลลัพธ์จะถูกใช้ในการทำงาน
เนื่องจากโปรแกรม RandomX ทำงานใน VM การดำเนินการนี้จึงมักใช้หน่วยความจำมาก ดังนั้น ตัวขุดจะปิดใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าโดยใช้ MSR ตามเอกสารของ Xmrig การปิดใช้งานตัวดึงข้อมูลฮาร์ดแวร์ล่วงหน้าจะเพิ่มความเร็วได้มากถึง 15%
นักขุดเหมืองใช้คำสั่ง modprobe msr เพื่อโหลดไดรเวอร์ msr (ดังรูปที่ 1)
รูปที่ 1: คำสั่งที่ใช้โหลดไดรเวอร์ msr

(more…)

Apple พลาดยกเลิกการแก้ช่องโหว่ที่เคยแก้ไปแล้วใน iOS 12.3 ทำให้ jailbreak ได้บน iOS 12.4
Apple พลาดยกเลิกการแก้ช่องโหว่ที่เคยแก้ไปแล้วใน iOS 12.3 ทำให้ jailbreak ได้บน iOS 12.4 รายงานโดย Motherboard
แฮกเกอร์พบช่องโหว่ในสุดสัปดาห์ที่แล้ว และ Pwn20wnd ได้ปล่อยฟรีโค้ด jailbreak ที่ใช้งานบนอุปกรณ์ iOS เวอร์ชันล่าสุดหรือเวอร์ชั่นที่ต่ำกว่า 12.3 สู่สาธารณะ
Jailbreak code ส่วนใหญ่จะเก็บไว้เป็นความลับเพื่อไม่ให้ Apple แก้ไขมัน นี่จึงเป็นครั้งแรกที่มันปล่อยออกสู่สาธารณะ
นักวิจัยบอกแก่ Motherboard ว่า อาจมีบางคนที่สร้าง spyware จากข้อผิดพลาดของ Apple โดยสร้างแอปที่สามารถหลบหลีก iOS sandbox ที่ป้องกันแอปจากการเข้าถึงข้อมูลของแอปอื่นหรือระบบ ซึ่งเมื่อหลบหลีก sandbox ได้ก็จะขโมยข้อมูลของผู้ใช้ได้
Stefan Esser นักวิจัยความปลอดภัยอีกคนกล่าวว่า ผู้ใช้ควรจะระวังแอปที่ดาวน์โหลดจาก App Store ในช่วงนี้ แอปดังกล่าวอาจมีโค้ด jailbreak แฝงอยู่
Apple ยังไม่ออกแถลงเกี่ยวกับความผิดพลาดในครั้งนี้ แต่คาดว่าจะแก้ปัญหาดังกล่าวเร็วๆ นี้

ที่มา macrumors

ผู้ว่าการรัฐลุยเซียนาประกาศภาวะฉุกเฉินเพื่อรับมือมัลแวร์

เมื่อวันที่ 24 กรกฏาคม 2019 John Bel Edwards ผู้ว่าการรัฐลุยเซียนา สหรัฐอเมริกาได้ประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์จากมัลแวร์ หลังจากโรงเรียนรัฐบาลหลายแห่งในรัฐลุยเซียนาติดมัลแวร์จนระบบไอทีของโรงเรียนไม่สามารถใช้งานได้ โดยการประกาศภาวะฉุกเฉินในครั้งนี้เกิดขึ้นเพื่อให้รัฐจัดสรรหน่วยงานมาช่วยรับมือเหตุการณ์ดังกล่าว เช่น ตำรวจ National Guard ผู้เชี่ยวชาญด้านไซเบอร์ เป็นต้น โดยประกาศดังกล่าวจะมีผลจนถึง 21 สิงหาคม 2019

ในปัจจุบันยังไม่มีการประกาศจากทางการว่ามัลแวร์ดังกล่าวเป็นมัลแวร์ชนิดใด แต่ Eddie Jones ผู้อำนวยการโรงเรียน Florien ที่ได้รับผลกระทบให้สัมภาษณ์ว่าพบมัลแวร์เรียกค่าไถ่ในระบบของโรงเรียน

นี่เป็นครั้งที่สองที่รัฐในสหรัฐอเมริกามีการประกาศภาวะฉุกเฉินเพื่อรับมือภัยคุกคามทางไซเบอร์ โดยครั้งแรกเกิดขึ้นที่รัฐโคโลราโดในเดือนกุมภาพันธ์ปี 2018 เนื่องจากเกิดติดเชื้อมัลแวร์เรียกค่าไถ่ SamSam จนทำให้กรมขนส่งทางบกของรัฐโคโลราโดไม่สามารถปฏิบัติงานได้ จึงต้องมีการประกาศภาวะฉุกเฉินเพื่อจัดการจราจร

ที่มา:
1. zdnet
2. louisiana
3. wafb

Air Canada แจ้งผู้ใช้แอปพลิเคชันมือถือ 20,000 ราย ว่าข้อมูลที่อยู่ในโปรไฟล์ของผู้ใช้อาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต

ระหว่างวันที่ 22-24 สิงหาคม บริษัทสังเกตพบการเข้าสู่ระบบที่ผิดปกติและทำการปิดกั้นการพยายามดังกล่าวเพื่อป้องกันข้อมูลของลูกค้า โดยทาง Air Canada ได้ทำการล็อกบัญชีแอปบนอุปกรณ์ไว้ทั้งหมด 1.7 ล้านบัญชี ผู้ที่ต้องการเปิดใช้งานบัญชีของตนอีกครั้งให้ปฏิบัติตามคำแนะนำในแอปครั้งต่อไปที่ลงชื่อเข้าใช้

ผู้บุกรุกที่เข้าถึงโปรไฟล์ของผู้ใช้แอป Air Canada สามารถเข้าถึงข้อมูลชื่อ ที่อยู่ อีเมลและหมายเลขโทรศัพท์ได้ และข้อมูลเพิ่มเติมที่ผู้ใช้อาจเพิ่มลงในโปรไฟล์ของพวกเขา เช่น หมายเลข Passport หมายเลข NEXUS วันเดือนปีเกิด สัญชาติ วันหมดอายุ และหนังสือเดินทาง เป็นต้น

Air Canada กล่าวว่าข้อมูลบัตรเครดิต และบัญชี aircanada.

ข้อมูลของโรงแรม Huazhu Hotels Group Ltd. รั่วไหล ซึ่งดำเนินธุรกิจโรงแรม 13 กลุ่ม มีทั้งหมด 5,162 โรงแรม ตั้งอยู่ในประเทศจีน 1,119 โรงแรม ถือว่าเป็นกลุ่มธุรกิจโรงแรมที่ใหญ่ที่สุดในประเทศจีนอีกด้วย

จากข่าวรายงานว่า แฮกเกอร์ได้ประกาศขายรายละเอียดข้อมูลส่วนตัวของแขกที่เข้าพักในโรงแรมกว่า 130 ล้านคน โดยมีมูลค่า 8 Bitcoin (56,000 ดอลล่าร์สหรัฐฯ) โดยประกาศขายที่ Dark Web ของประเทศจีน ประกอบไปด้วยข้อมูลดังต่อไปนี้ หมายเลขบัตรประจำตัว, หมายเลขโทรศัพท์มือถือ, ที่อยู่อีเมล, รหัสผ่านเข้าสู่ระบบ, ข้อมูลการลงทะเบียนการเช็คอิน (ชื่อลูกค้า, หมายเลขบัตรประจำตัว, ที่อยู่บ้าน, วันเกิด) และข้อมูลการจองห้องพัก (ชื่อ, หมายเลขบัตร, หมายเลขโทรศัพท์มือถือ, เวลาเช็คอิน, เวลาออกเดินทาง, หมายเลขโรงแรม, หมายเลขห้อง) โดยส่วนใหญ่จะเป็นข้อมูลลูกค้าที่เข้าพักโรงแรมในเครือของ Huazhu ซึ่ง ได้แก่ Hanant Hotel, Grand Mercure, Joye, Manxin, Novotel, Mercure, CitiGo, Orange, All Season, Starway, Ibis, Elan และ Haiyou

ปัจจุบันทางโรงแรม Huazhu ก็ได้ออกมายอบรับว่าเป็นข้อมูลของลูกค้าจริง เกิดจากความผิดพลาดของทีม development มีการอัปโหลดสำเนาข้อมูลเก็บไว้ที่ GitHub อาจเป็นสาเหตุที่ทำให้เกิดข้อมูลรั่วไหลในครั้งนี้

ที่มา : bleepingcomputer