ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Reddit ถูกแฮกจากการดักรับ SMS ที่เป็น 2FA ของพนักงาน ข้อมูลทั้งหมดตั้งแต่ปี 2007 หลุดรวมถึงข้อมูลผู้ใช้งาน

Reddit เว็บบอร์ดขนาดใหญ่ที่ก่อตั้งตั้งแต่ปี 2005 ออกประกาศข่าวการถูกแฮก โดยผู้โจมตีได้ข้อมูลของผู้ใช้งาน Reddit ปัจจุบันไปบางส่วน และฐานข้อมูลสำรองของปี 2007 ทั้งหมด ซึ่งมีข้อมูลทั้งหมดของเว็บไซต์ตั้งแต่ก่อตั้งจนถึงเดือนพฤษภาคม ปี 2007 ซึ่งการถูกแฮกครั้งนี้เกิดจากผู้โจมตีสามารถเข้าถึง SMS ซึ่งเป็น two factor authentication (2FA) ของพนักงาน Reddit ได้และใช้เข้าถึงข้อมูลดังกล่าว

Reddit พบว่าในวันที่ 19 มิถุนายน 2018 ที่ผ่านมา ผู้โจมตีสามารถทำการโจมตีบัญชีของพนักงาน Reddit ที่เป็นผู้ดูแลระบบทำให้สามารถเข้าถึงข้อมูลและ infrastructure ของ Reddit ได้ ถึงแม้ว่าข้อมูลและ infrastructure จะมีการป้องกันโดยการใช้ two factor authentication (2FA) ในการเข้าถึงก็ตาม โดยต้องยืนยันตนสองขั้นโดยใช้สองวิธียืนยันตัวตนที่แตกต่างกันร่วมกันเช่น ใช้สิ่งที่ผู้ใช้ทราบ (เช่น รหัสผ่านหรือ PIN) ร่วมกับสิ่งที่ผู้ใช้มี (เช่น SMS หรือ authenticator app หรือ usb token) ก็ตาม แต่เนื่องจากบัญชีพนักงานดังกล่าวใช้ SMS เพิ่มจากรหัสผ่านในการยืนยันตัวตน ทำให้สามารถถูกโจมตีด้วยการดักรับ SMS ดังกล่าวและใช้เข้าสู่ระบบได้

Reddit แจ้งว่าข้อมูลที่ผู้โจมตีได้ไปคือ ข้อมูลทั้งหมดของ Reddit ตั้งแต่ก่อตั้งเว็บจนถึงเดือนพฤษภาคม ปี 2007, รายชื่อ email ของผู้ใช้งานปัจจุบันสำหรับส่ง email เสนอแนะหัวข้อที่น่าสนใจในบอร์ดและ source code ของระบบ ซึ่งข้อมูลหลุดที่กระทบกับผู้ใช้งานคือส่วนที่เป็นข้อมูลทั้งหมดของ Reddit ตั้งแต่ก่อตั้งเว็บจนถึงเดือนพฤษภาคม ปี 2007 โดย Reddit ได้แจ้งเตือนผู้ใช้ที่ได้รับผลกระทบในสองส่วนดังกล่าวแล้ว และได้แจ้งหน่วยงานทางกฏหมายให้ทราบถึงเหตุการณ์นี้แล้ว

ทั้งนี้ Reddit ได้แนะนำผู้ใช้เพิ่มเติมดังนี้

1. ตรวจสอบว่าตัวเองได้รับผลกระทบหรือไม่ ด้วยการตรวจสอบว่าเป็นผู้ใช้ที่สมัคร Reddit ตั้งแต่ก่อนปี2007 หรือ เป็นผู้ใช้ที่ได้รับ email จาก noreply@redditmail.

พบช่องโหว่บลูทูธใหม่ กระทบอุปกรณ์จำนวนมากนับล้าน

พบช่องโหว่ตัวใหม่ในบลูทูธ CVE-2018-5383 เกิดจากการดำเนินการเข้ารหัสที่ไม่สมบูรณ์ในระดับ Firmware โดยกระทบอุปกรณ์จำนวนมากจากบริษัทรายใหญ่ ไม่ว่าจะเป็น Apple Broadcom Intel และ Qualcomm โดยกระทบทั้งมือถือ เครื่องคอมพิวเตอร์ และอุปกรณ์อื่นๆที่มีความสามารถในการรับส่งบลูทูธ

เมื่อวันที่23 กรกฏาคม 2018 ที่ผ่านมามีประกาศเตือนถึงช่องโหว่ตัวใหม่ในบลูทูธ ซึ่งเกิดจากการดำเนินการเข้ารหัสที่ไม่สมบูรณ์ในบลูทูธ บลูทูธเป็นมาตรฐานในการส่งข้อมูลแบบไร้สายโดยอาศัยคลื่นวิทยุและมีระยะทางในการส่งไม่เกิน 10 เมตรโดยใช้กระบวนการเข้ารหัส Elliptic curve Diffie–Hellman หรือ ECDH ในการส่งข้อมูลระหว่างอุปกรณ์ ทั้งนี้ในกระบวนการ ECDH ดังกล่าว ต้องมีการตรวจสอบ elliptic curve parameters เพื่อยีนยันความถูกต้อง
ซึ่งช่องโหว่ของบลูทูธที่ค้นพบใหม่นี้ เกิดจากไม่มีการตรวจสอบ elliptic curve parameters ดังกล่าว ซึ่งทำให้ผู้โจมตีในระยะสัญญาณบลูทูธสามารถทำการโจมตีแบบ man-in-the-middle โดยดักจับ key ที่ใช้ในการเข้ารหัส ดักจับข้อมูลที่ส่งผ่านบลูทูธ และนำมาถอดรหัสข้อมูลดังกล่าวได้ ดัดแปลงข้อมูลที่ถูกรับส่งระหว่างทาง หรือแม้กระทั่งฝังมัลแวร์ได้

ช่องโหว่ดังกล่าวกระทบอุปกรณ์จำนวนมากที่มีความสามารถในการรับส่งบลูทูธจากหลายบริษัท ไม่ว่าจะเป็น Apple Broadcom Intel และ Qualcomm ซึ่งบริษัทบางส่วนได้ออกอัปเดตเพื่อแก้ไขบ้างแล้ว เช่น
- Apple ได้แก้ไขช่องโหว่ดังกล่าวไปใน macOS Excessive Sierra 10.13.5, iOS 11.4, watchOS 4.3.1, และ tvOS 11.4
- Intel ออกไดรว์เวอร์ให้กับอุปกรณ์ที่มีผลกระทบ โดยสามารถดูรายละเอียดอุปกรณ์ที่ได้รับผลกระทบได้ที่ https://www.

พบช่องโหว่ใน RubyGems ซึ่งเป็นเครื่องมือที่ใช้ในการจัดการภาษา Ruby รายละเอียดช่องโหว่ที่พบมีดังนี้
• DNS request hijacking vulnerability.

นักวิจัยด้านความปลอดภัยจาก ERPScan พบช่องโหว่ใน SAP POS Xpress Server ช่วยให้ผู้โจมตีสามารถแก้ไขไฟล์ configuration บนระบบ SAP-Point Sale, เปลี่ยนแปลงราคาสินค้า, รวบรวมข้อมูลบัตรชำระเงินและส่งข้อมูลไปยังเซิร์ฟเวอร์ของผู้โจมตี โดยได้มีการรายงานช่องโหว่ดังกล่าวไปยัง SAP แล้วในเดือนเมษายนปี พ.ศ. 2560

ช่องโหว่ดังกล่าวเกิดจาก SAP POS Xpress Server ไม่มีการตรวจสอบสิทธิ์ในการเข้าถึงระบบ ซึ่งหมายความผู้โจมตีสามารถแก้ไขข้อมูลสำคัญโดยไม่ต้องมีการยื่นยันตัวตนใดๆ โดยผู้โจมตีสามารถปรับเปลี่ยนราคาสินค้า, วิธีการชำระเงิน หรือแม้กระทั้งติดตั้ง sniffers ข้อมูลบัตรชำระเงิน

นักวิจัยกล่าวว่าผู้โจมตีจะต้องอยู่ในร้านและเชื่อมต่ออุปกรณ์พิเศษที่รันคำสั่งที่เป็นอันตรายทั้งหมดโดยอัตโนมัติ ซึ่งคืออุปกรณ์ Rasberry Pi board โดยมีค่าใช้จ่ายประมาณ 25 เหรียญ ซึ่งนักวิจัย ERPScan ได้ทดลองใช้ช่องโหว่ที่ค้นพบเพื่อปรับราคาของ Macbook Pro ที่มีราคาสูงมากให้เหลือเพียง 1 เหรียญ

ผูัเชี่ยวชาญยังเตือนว่าช่องโหว่ดังกล่าวสามารถทำให้ระบบ SAP POS ไม่สามารถใช้งานได้ และทำให้เกิดความเสียหายทางการเงินอย่างร้ายแรงต่อผู้ค้าปลีกที่ไม่ได้ติดตั้งแพทช์รักษาความปลอดภัยของ SAP โดยช่องโหว่ใน SAP Point of Sale (POS) Retail Xpress Server ได้รับการแก้ไขและแพทช์รักษาความปลอดภัย โดยสามารถดาวน์โหลดได้จาก SAP Support Portal

ที่มา : BLEEPINGCOMPUTER

Dinesh Venkatesan ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec พบแอพพลิเคชันสำหรับสร้าง Ransomware บน Android จากโฆษณาผ่าน Social Network Messaging และบนเว็บบอร์ดเกี่ยวกับการแฮ็คของจีน ที่ช่วยให้แฮ็คเกอร์สามารถดาวน์โหลดและใช้ Trojan Development Kits (TDKs) สร้าง Ransomware เป็นของตัวเองได้ ซึ่ง Ransomware ที่ถูกสร้างขึ้นมานี้จะมีพฤติกรรมคล้ายกับ Lockdroid Ransomware คือจะทำการล็อกอุปกรณ์ไม่ให้ผู้ใช้สามารถใช้งานได้ และเปลี่ยนรหัส PIN

จุดเด่นของแอปพลิเคชันนี้ คือ การทำงานโดยใช้ GUI แบบง่ายๆ ที่ช่วยให้ผู้ใช้สามารถกำหนดค่าได้โดยที่แทบไม่ต้องใช้ความรู้ด้านการเขียนโปรแกรม เมื่อดาวน์โหลดแอพพลิเคชันมาติดตั้ง หลังเปิดใช้งานแอพพลิเคชันจะให้ใส่ข้อมูลสำหรับสร้าง Ransomware เป็นของตัวเอง ได้แก่
- ข้อความที่เรียกค่าไถ่บนหน้าจอ
- รหัสที่ใช้ปลดล็อคอุปกรณ์
- ไอคอนของ ransomware-laced app
- กระบวนการเชิงคณิตศาสต์สำหรับการปรับแต่งโค้ดแบบสุ่ม
- Animations ที่จะให้แสดงผลบนหน้าจอของเครื่องที่ติด Ransomware

Recommendation
- Backups ข้อมูลอย่างสม่ำเสมอ
- ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน
- ไม่คลิกลิงก์หรือเปิดไฟล์ ที่มาพร้อมกับอีเมลที่น่าสงสัย
- ให้ความสำคัญกับสิทธิ์ที่ app ร้องขอทุกครั้ง

ที่มา : BLEEPINGCOMPUTER

ทาง Ubuntu ออกประกาศ Security Notice (USN-3396-1) โดยรายละเอียดมีการอัพเดทและแก้ไขช่องโหว่ของโปรแกรม OpenJDK

ระบบปฏิบัติการที่ได้รับผลกระทบคือ Ubuntu 14.04 LTS
ซึ่งอัพเดทช่องโหว่กว่า 20 ช่องโหว่ โดยทั้งหมดนี้ถูกแก้ไขและอัพเดทใน OpenJDK 7

วิธีการอัพเดท สามารถทำตามขั้นตอนได้ตามลิ้งต่อไปนี้ https://wiki.

นักวิจัยแจ้งอันตรายจากลิงก์วิดีโอที่ส่งมาจากใครก็ตาม บน Facebook Messenger ไม่ควรเปิดลิงก์ดังกล่าว เนื่องจากจะทำการเปิดเว็บไซต์ปลอมที่หลอกให้ติดตั้ง Software ที่เป็นอันตราย ซึ่ง URL ที่เปิดจะพาเหยื่อไปยังปลายทางที่ต่างกันออกไปขึ้นอยู่กับ Browser และ Operating System ตัวอย่างเช่น
- ผู้ใช้ Mozilla Firefox บน Windows จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่แจ้งให้อัพเดต Flash Player พร้อมไฟล์ Windows ซึ่งมีค่าสถานะเป็น Adware Software
- ผู้ใช้ Google Chrome ถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ปลอมแปลงเป็น YouTube ซึ่งจะแสดง popup หลอกให้ผู้ที่ตกเป็นเหยื่อดาวน์โหลดส่วนขยาย Chrome ที่เป็นอันตรายจาก Google Web Store
- ผู้ใช้ Safari บน Apple Mac OS X จะคล้ายกับ Firefox คือแจ้งอัพเดต Flash Player พร้อมไฟล์ระบบ MacOS ซึ่งเป็น Adware Software

เพื่อความปลอดภัย ควรระมัดระวังในการเปิดดูภาพหรือลิงก์วิดีโอที่ส่งมา ถึงแม้มาจากเพื่อนของคุณ ควรตรวจสอบความถูกต้องก่อน และให้อัพเดต Software Antivirus บนเครื่องให้เป็นรุ่นล่าสุดยู่เสมอ

ที่มา : TheHackerNews

นักวิจัยได้พบ Extension อันตรายที่อยู่บน Google’s Chrome Web Store มีจุดประสงค์เพื่อดักจับการกรอก ชื่อผู้ใช้งาน และรหัสผ่านบน Web Browser ของเครื่องเหยื่อ ซึ่งครอบคลุมถึงการเข้าใช้งาน Online Banking ด้วย Extension ตัวนี้มีชื่อว่า “Interface Online” ถูกค้นพบครั้งแรกเมื่อวันที่ 31 กรกฎาคม ที่ผ่านมา และ Google ได้ทำการ Remove ออกไปเรียบร้อยแล้ว หลังจากได้รับการแจ้งจาก Renato Marinho ซึ่งเป็นนักวิจัยจาก Morphus Labs และยังเป็นอาสาสมัครจาก SANS ด้วย แต่เมื่อวันที่ 16 สิงหาคม ที่ผ่านมา กลับพบว่า Extension ดังกล่าวกลับมาให้ดาวน์โหลดอีกครั้ง

“Interface Online” Extension จะทำการดักจับทุกการเชื่อมต่อที่ผ่าน Chrome เมื่อพบว่ามีการเชื่อมต่อไปยังเว็ปไซต์ใดๆที่อยู่ในรายการ จะเป็นการไปเรียกให้ JavaScript ที่ฝังไว้ทำงาน เพื่อทำการขโมย ชื่อผู้ใช้งาน และรหัสผ่านที่ได้ทำการกรอกลงไป จากนั้นจึงทำการส่งข้อมูลที่ได้ดังกล่าวไปยังเครื่อง C&C ของผู้โจมตี ที่น่ากังวลไปกว่านั้น จากการตรวจสอบล่าสุดพบว่าผลิตภัณฑ์ Anti-malware เพียง 3 จาก 57 เท่านั้นที่ระบุว่าไฟล์ JavaScript ดังกล่าวเป็นอันตราย (อ้างอิงจาก VirusTotal)

ดังนั้นเพื่อหลีกเลี่ยงจากการโดนขโมยข้อมูลผ่าน Web Browser ต่างๆ จึงไม่ควรดาวน์โหลด Extension หรือ Plug-in ที่ไม่มีความจำเป็นในการใช้งาน และไม่มีแหล่งที่มาที่ชัดเจน รวมถึงไม่ควรหลีกเลี่ยงการเข้าเว็ปไซต์ที่ไม่มี Certificate (https)

ที่มา : ArsTechnica

Microsoft ปล่อย patch ประจำเดือน August 2017 โดยแก้ไขปัญหาด้านความปลอดภัย 48 รายการ ได้แก่ Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft SharePoint, Adobe Flash Player และ Microsoft SQL Server

สามารถดูรายละเอียด จาก Link ด้านล่างครับ
https://portal.