McLaren Health Care ข้อมูลรั่วไหล กระทบต่อผู้ใช้งานกว่า 2.2 ล้านราย

McLaren Health Care (McLaren) ออกมาประกาศเรื่องข้อมูลของผู้ใช้งานในช่วงปลายเดือนกรกฎาคมถึงสิงหาคมกว่า 2.2 ล้านรายรั่วไหลออกสู่สาธารณะ โดย McLaren เป็นระบบการดูแล (more…)

Sphynx ransomware ใช้ Impacket และ RemCom ช่วยในการโจมตี

Microsoft พบเวอร์ชันใหม่ของ BlackCat ransomware ซึ่งมีการฝัง Impacket networking framework และ Remcom hacking tool ที่สามารถเเพร่กระจายบนเครือข่ายที่ถูกโจมตี

ในเดือนเมษายนที่ผ่านมา นักวิจัยด้านความปลอดภัย VX-Underground ได้ทวีตให้ข้อมูลเกี่ยวกับเวอร์ชันใหม่ของเครื่องมือเข้ารหัส BlackCat/ALPHV ที่ชื่อว่า Sphynx

นักพัฒนา BlackCat ransomware ระบุไว้ในข้อความถึงกลุ่มพันธมิตรของพวกเขาว่า "การทดสอบคุณลักษณะพื้นฐานของ ALPHV/BlackCat 2.0: Sphynx เสร็จสมบูรณ์แล้ว"

การทำงานของ ransomware ได้ถูกอธิบายเพิ่มเติมไว้ว่า "code รวมถึง encryption ได้ถูกเขียนใหม่ทั้งหมดจากต้นฉบับ โดยค่าเริ่มต้นทุกไฟล์จะถูกล็อคไว้ ความสำคัญหลักของการอัปเดตครั้งนี้คือเพื่อเพิ่มประสิทธิภาพในการหลีกเลี่ยงการตรวจจับโดยระบบ AV/EDR"

หลังจากนั้นไม่นาน IBM Security X-Force ได้ทำการวิเคราะห์ BlackCat encryptor ตัวใหม่ และเตือนว่า encryptor นี้ได้ถูกพัฒนาเป็นชุดเครื่องมือแล้ว

ข้อความนี้อ้างอิงจาก strings ในไฟล์ที่ระบุว่ามี impacket ซึ่งถูกใช้สำหรับ post-exploitation หลังการเข้าถึงระบบ เช่น remote execution และการดักจับข้อมูลจาก processes

The BlackCat Sphynx encryptor

ทีม Threat Intelligence ของ Microsoft ระบุว่า "พวกเขาได้ทำการวิเคราะห์เวอร์ชันใหม่ของ Sphynx และพบว่ามันใช้ Impacket framework เพื่อทำการ lateral movement ในเครือข่ายที่ถูกควบคุม ซึ่งพบว่าถูกใช้งานในแคมเปญล่าสุดที่ถูกตรวจพบจาก Microsoft"

โดย Impacket เป็น open-source Python classes สำหรับใช้งานกับ network protocols ซึงโดยปกติจะถูกใช้งานอย่างแพร่หลายโดย penetration testers, red teamers และผู้โจมตี เพื่อโจมตีต่อไปบนเครือข่ายของเหยื่อ (lateral movement), ดึงข้อมูลสิทธิ์ในระบบจาก processes, ดำเนินการโจมตี NTLM relay และอื่น ๆ อีกมายมาย

Impacket ได้รับความนิยมอย่างมากในกลุ่มผู้โจมตีที่เจาะระบบอุปกรณ์บนเครือข่าย แล้วใช้ชุดเครื่องมือนี้เพื่อรับข้อมูลสิทธิ์ที่สูงขึ้น และเข้าถึงอุปกรณ์อื่น ๆ ในเครือข่าย

Microsoft รายงานว่า การดำเนินการของ BlackCat ใช้ Impacket framework ในการคัดลอกข้อมูลสิทธิ์การเข้าถึง และดำเนินการ remote execution เพื่อติดตั้งโปรแกรม encryptor ไปยังเครือข่ายทั้งหมด

นอกจาก Impacket แล้ว Microsoft ระบุว่า "โปรแกรม encryptor ยังฝัง Remcom hacking tool ซึ่งเป็นเครื่องมือ remote shell ขนาดเล็กที่ช่วยให้โปรแกรม encryptor สามารถรันคำสั่งจากระยะไกลบนอุปกรณ์อื่น ๆ ในเครือข่ายได้"

ในคำแนะนำของ Microsoft 365 Defender Threat Analytics ระบุว่า พวกเขาพบการใช้ encryption นี้ถูกใช้งานโดยเครือข่ายของ BlackCat ที่ชื่อ 'Storm-0875' มาตั้งแต่กรกฎาคม 2023

Microsoft ได้ระบุเวอร์ชันใหม่นี้ว่าเป็น BlackCat 3.0 โดยปฏิบัติการที่ชื่อว่า 'Sphynx' หรือ 'BlackCat/ALPHV 2.0'

BlackCat หรือเรียกอีกชื่อว่า ALPHV เริ่มดำเนินการมาตั้งแต่เดือนพฤศจิกายน 2021 และเชื่อกันว่าเป็นการรีแบรนด์ของกลุ่ม DarkSide/BlackMatter ซึ่งรับผิดชอบในการโจมตี Colonial Pipeline

กลุ่ม ransomware ดังกล่าว ถูกพิจารณาว่าเป็นหนึ่งในการดำเนินการ ransomware ชั้นนำ และระดับสูงสุดเสมอ โดยมีการพัฒนาวิธีการโจมตีอยู่ตลอดด้วยกลยุทธ์ใหม่ ๆ

ตัวอย่างเช่น การโจมตีแบบใหม่ในช่วงฤดูร้อนปีที่แล้ว กลุ่ม ransomware ได้สร้างเว็บไซต์บน Clearweb สำหรับเปิดเผยข้อมูลสำหรับเหยื่อที่เฉพาะเจาะจง เพื่อให้ลูกค้า และพนักงานสามารถตรวจสอบได้ว่าข้อมูลของตนถูกเปิดเผยหรือไม่ รวมถึงเมื่อเร็ว ๆ นี้ ผู้โจมตีทำได้สร้าง Data Leak API ซึ่งช่วยให้การเผยแพร่ข้อมูลที่ถูกขโมยเป็นเรื่องง่ายขึ้นอีกด้วย

ที่มา: bleepingcomputer

กลุ่ม FIN8 ใช้ Sardonic Backdoor ที่ปรับปรุงใหม่ในการโจมตีเพื่อติดตั้ง BlackCat Ransomware

FIN8 กลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน ทำการปรับปรุงแบ็คดอร์เวอร์ชันใหม่ที่ชื่อว่า Sardonic เพื่อนำไปสู่การติดตั้ง BlackCat Ransomware

Symantec Threat Hunter Team ระบุว่าการพัฒนาการโจมตีในครั้งนี้เป็นของกลุ่ม e-crime เพื่อกระจายความสนใจ และสร้างผลกำไรสูงสุดจากหน่วยงานที่โดนโจมตี ซึ่งความพยายามที่จะโจมตีนั้นเกิดขึ้นในเดือนธันวาคม 2565

FIN8 ถูกติดตามโดยบริษัทรักษาความปลอดภัยทางไซเบอร์ภายใต้ชื่อ Syssphinx ซึ่งมีการโจมตีมาตั้งแต่ปี 2559 ในเบื้องต้นเป็นการโจมตีระบบ Point of Sale (PoS) โดยใช้มัลแวร์อย่าง PUNCHTRACK และ BADHACH เป็นต้น และกลุ่มดังกล่าวได้กลับมาทำการโจมตีอีกครั้งหลังจากผ่านไปกว่าหนึ่งปีในเดือนมีนาคม 2564 ด้วย BADHATCH เวอร์ชันอัปเดต ตามมาด้วย bespoke implant แบบใหม่ที่เรียกว่า Sardonic ซึ่งเปิดเผยโดย Bitdefender ในเดือนสิงหาคม 2564

Sardonic backdoor ใช้ภาษา C++ ที่สามารถรวบรวมข้อมูลของระบบ และดำเนินการตามคำสั่ง และยังมีระบบปลั๊กอินที่ออกแบบมาเพื่อโหลด และดำเนินการ payloads ของมัลแวร์อื่น ๆ เพิ่มเติมในรูปแบบไฟล์ DLLs ซึ่งแตกต่างกับเวอร์ชันก่อนหน้าที่ออกแบบด้วยภาษา C++ โดย Iteration packs ล่าสุดมีการปรับเปลี่ยนที่สำคัญ โดยซอร์สโค้ดส่วนใหญ่ได้มีการเขียนใหม่ในภาษา C และมีการแก้ไขบางส่วนเพื่อให้ไม่ดูมีความคล้ายคลึงกัน

Symantec ได้ทำการวิเคราะห์เหตุการณ์พบว่า Sardonic จะถูกฝังอยู่ใน PowerShell script ที่ถูกติดตั้งในระบบของเป้าหมายหลังจากที่มีการเข้าถึงได้ในครั้งแรก โดยสคริปต์นี้ได้ออกแบบมาเพื่อเรียกใช้ตัวโหลด .NET ซึ่งจะทำการถอดรหัส และเรียกใช้ injector module เพื่อเรียกใช้ Implant ในตอนท้าย

Sardonic นอกจากจะรองรับ interactive sessions ได้สูงสุด 10 เซสชันบนโฮสต์ที่ติดมัลแวร์ เพื่อให้ผู้โจมตีเรียกใช้คำสั่งที่เป็นอันตรายได้แล้วนั้น ยังสามารถรองรับรูปแบบปลั๊กอินที่แตกต่างกันสามรูปแบบเพื่อเรียกใช้ DLL และ shellcode เพิ่มเติม และคุณสมบัติอื่น ๆ ของ Backdoor ยังมีความสามารถในการติดตั้งไฟล์ได้ตามต้องการ และส่งข้อมูลออกจากเครื่องที่ถูกโจมตีไปยัง Controlled infrastructure ของผู้โจมตี

ซึ่งไม่ใช่ครั้งแรกที่พบว่า FIN8 ใช้ Sardonic ในการเชื่อมต่อกับการโจมตีของแรนซัมแวร์ โดยในเดือนมกราคม 2565 Lodestone และ Trend Micro ได้เปิดเผยการใช้แรนซัมแวร์ White Rabbit ของ FIN8 ที่มีพื้นฐานมาจาก Sardonic

Symantec ระบุว่า Syssphinx ยังคงทำการพัฒนา และปรับปรุงความสามารถของโครงสร้างพื้นฐานในการติดตั้งมัลแวร์อย่างต่อเนื่อง ซึ่งมีการปรับปรุงเครื่องมือ และกลยุทธ์ในการโจมตีเป็นระยะ เพื่อหลีกเลี่ยงการตรวจจับ และการตัดสินใจของกลุ่มเพื่อต่อยอดจากการโจมตี point-of-sale เพื่อติดตั้งแรนซัมแวร์ แสดงให้เห็นถึงความทุ่มเทของผู้โจมตีในการเพิ่มผลกำไรสูงสุดจากองค์กรที่ตกเป็นเหยื่อ

Indicators of Compromise (IOC)

ที่มา : thehackernews  symantec

 

 

กลุ่ม BlackCat ransomware ใช้ Windows kernel drivers ที่เป็นอันตรายในการโจมตีเป้าหมาย

นักวิจัยของ Trend Micro ได้พบว่ากลุ่ม ALPHV ransomware (หรือ BlackCat) ได้ใช้ Windows kernel drivers ที่เป็นอันตรายในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัยในระหว่างที่ทำการโจมตีเป้าหมาย (more…)

ALPHV ransomware ใช้ช่องโหว่ Veritas Backup Exec ในการโจมตี และเข้าถึงระบบของเป้าหมาย

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ พบกลุ่ม Hacker ในเครือ ALPHV/BlackCat ransomware ที่มีชื่อว่า UNC4466 ใช้ช่องโหว่ 3 รายการ ที่ส่งผลกระทบต่อผลิตภัณฑ์ Veritas Backup เพื่อเข้าถึงระบบของเป้าหมาย (initial access)

ALPHV/BlackCat ransomware ถูกพบครั้งแรกในเดือนธันวาคม 2021 โดยมาจากการรวมตัวกันของสมาชิกกลุ่ม Darkside และ Blackmatter ที่ยุติปฏิบัติการลงอย่างกะทันหันเพื่อหลบหนีการจับกุมของหน่วยงานรัฐ (more…)

BlackCat Ransomware สร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ขโมยออกมา

BlackCat ransomware หรือในอีกชื่อที่เรียกว่า ALPHV ransomware ได้ปรับเปลี่ยนกลยุทธ์ในการขู่เรียกค่าไถ่เพื่อให้เหยื่อยอมที่จะจ่ายเงินเรียกค่าไถ่ โดยการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อที่ถูกโจมตีเพื่อเผยแพร่ข้อมูลที่ถูกขโมยออกมา ส่งผลให้ผู้ที่ตกเป็นเหยื่อของการโจมตีต้องหาวิธีในการยับยั้งการเผยแพร่ข้อมูล

BlackCat ransomware หรือ ALPHV ransomware เป็นกลุ่ม Hackers ที่มีแรงจูงใจในการโจมตี คือ เงินเรียกค่าไถ่ โดยมุ่งเป้าหมายไปยังกลุ่มสถาบันทางการเงินฝั่งสหรัฐอเมริกา ยุโรป และเอเชีย อีกทั้งยังพบว่าประเทศไทยเป็นหนึ่งในประเทศที่ตกเป็นเป้าหมายของการโจมตีเช่นกัน

วิธีการเผยแพร่ข้อมูล

เมื่อวันที่ 26 ธันวาคม 2022 กลุ่ม BlackCat ได้เผยแพร่ตัวอย่างข้อมูลที่ขโมยออกมาจากการโจมตีบริษัทที่ให้บริการทางการเงินรายหนึ่งบนเว็ปไซต์ที่อยู่บน Tor network เพื่อเรียกค่าไถ่ แต่เนื่องจากเหยื่อไม่ตอบสนองกลับมา กลุ่ม BlackCat จึงเผยแพร่ไฟล์ที่ถูกขโมยทั้งหมดเพื่อเป็นบทลงโทษสำหรับเหยื่อที่ไม่ยอมจ่ายค่าไถ่ ซึ่งเป็นขั้นตอนตามมาตรฐานสำหรับกลุ่มแรนซัมแวร์ แต่ด้วยวิธีการใหม่นั่นคือการสร้างเว็ปไซต์เลียนแบบเว็ปของเหยื่อเพื่อเผยแพร่ไฟล์ที่ขโมยมา

โดยเว็บไซต์เลียนแบบนี้มีข้อมูลที่ถูกขโมยออกมาจำนวนมาก ตั้งแต่บันทึกพนักงาน, แบบฟอร์มการชำระเงิน, ข้อมูลพนักงาน, ข้อมูลเกี่ยวกับทรัพย์สินและค่าใช้จ่าย, ข้อมูลทางการเงินสำหรับคู่ค้าและการสแกนหนังสือเดินทาง โดยมีขนาดประมาณ 3.5 GB สามารถดาวน์โหลดได้จากบริการไฟล์แชร์ที่ไม่ระบุตัวตนและเว็ปไซต์บน Tor network

โดยตอนนี้ยังไม่ทราบแน่ชัดว่าวิธีการนี้จะประสบความสำเร็จเพียงใด ซึ่งพบว่ามีจำนวนผู้เข้าถึงจำนวนมากขึ้นเรื่อย ๆ เนื่องจากข้อมูลไม่มีข้อจำกัดในการเข้าถึงใด ๆ ทั้งสิ้น แต่คาดว่าวิธีการและกลยุทธ์ในการขู่กรรโชกนี้ จะถูกนำไปใช้โดยกลุ่ม Hackers อื่น ๆ ต่อไปในอนาคต

ที่มา : bleepingcomputer

BlackCat ransomware อัปเกรดเครื่องมือที่ใช้สำหรับขโมยข้อมูล

BlackCat ransomware (หรือ ALPHV) ได้ชื่อว่าเป็นผู้สืบทอดการดำเนินการต่อจากกลุ่ม Darkside และ BlackMatter เนื่องจากมีการดำเนินการในรูปแบบ Ransomware -as-a-service (RaaS) ที่ล้ำสมัยที่สุด

นักวิจัยด้านความปลอดภัยของ Symantec ที่ติดตามปฏิบัติการของ BlackCat ในชื่อว่า "Noberus" รายงานว่ากลุ่มผู้พัฒนา BlackCat Ransomware ถือเป็นกลุ่มแรก ๆ ที่ใช้ภาษา Rust (ทำให้สามารถทำงานได้ในหลายแพลตฟอร์ม) ได้มีการปรับปรุงมัลแวร์ และเพิ่มคุณสมบัติใหม่ต่าง ๆ ออกมาอย่างต่อเนื่อง

เมื่อเร็ว ๆ นี้ เครื่องมือที่ใช้ในการขโมยข้อมูลออกจากระบบของเหยื่อที่มีชื่อว่า "Exmatter" ซึ่งเปิดตัวมาพร้อมกับ BlackCat ในเดือนพฤศจิกายน 2564 ซึ่งปัจจุบันได้รับการอัปเดตครั้งใหญ่ไปแล้วในเดือนสิงหาคม 2565 โดยมีการเปลี่ยนแปลงดังต่อไปนี้ :

จำกัดประเภทของไฟล์ที่จะขโมยออกมา โดยแยกออกเป็น PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT และ DWG
เพิ่ม FTP เป็นตัวเลือกการขโมยข้อมูลเพิ่มเติมจาก SFTP และ WebDav
เพิ่มตัวเลือกในการสร้างรายงานที่แสดงไฟล์ที่สามารถประมวลผลได้ทั้งหมด
เพิ่มคุณสมบัติ “Eraser” ที่ช่วยให้ทางเลือกในการจัดการกับไฟล์ที่เสียหาย
เพิ่มตัวเลือกการกำหนดค่า "Self-destruct" เพื่อปิด และลบตัวเองหากมีการดำเนินการที่ไม่ถูกต้อง
ลบการสนับสนุนสำหรับ Socks5
เพิ่มตัวเลือกสำหรับการปรับใช้ GPO

นอกเหนือจากการขยายฟังก์ชัน Exmatter รุ่นล่าสุดยังได้ผ่านการเปลี่ยนแปลงโค้ดจำนวนมากเพื่อใช้หลีกเลี่ยงการตรวจสอบ

อีกสิ่งที่เพิ่มความสามารถในการขโมยข้อมูลของ BlackCat เมื่อเร็ว ๆ นี้คือการใช้มัลแวร์ตัวใหม่ที่เรียกว่า "Eamfo" ซึ่งกำหนดเป้าหมายเป็นข้อมูลประจำตัวที่เก็บไว้ในระบบสำรองข้อมูลของ Veeam

นักวิจัยสังเกตว่ามัลแวร์ตัวดังกล่าวยังถูกใช้โดยกลุ่ม ransomware อื่น ๆ ในอดีต รวมไปถึง Monti, Yanluowang และ LockBit

ทำให้เห็นได้ชัดว่า BlackCat มีการพัฒนาอย่างต่อเนื่องด้วยเครื่องมือใหม่ การปรับปรุง และกลยุทธ์การขู่กรรโชกเพื่อทำให้การทำงานของ RaaS มีประสิทธิภาพมากขึ้น

นักวิจัยยังพบนักพัฒนาบางส่วนจากกลุ่ม Conti มีการย้ายเข้าไปร่วมกลุ่มกับ BlackCat/ALPHV หลังจากที่กลุ่ม Conti ransomware ยุติการดำเนินการ

การยุติการดำเนินการของกลุ่ม Conti ได้นำไปสู่การหลั่งไหลของผู้โจมตีที่มีประสบการณ์สูง ซึ่งสามารถปฏิบัติการ การโจมตีครั้งใหม่ได้อย่างรวดเร็วภายใต้การดำเนินการในชื่อกลุ่มใหม่

ที่มา : bleepingcomputer

 

Emotet Botnet เริ่มถูกใช้ในการโจมตีโดยกลุ่ม Quantum และ BlackCat Ransomware

มัลแวร์ Emotet กำลังถูกนำมาใช้โดยกลุ่ม ransomware-as-a-service (RaaS) ซึ่งรวมไปถึงกลุ่ม Quantum และ BlackCat หลังจากที่ Conti ยกเลิกปฏิบัติการไปในปีนี้

Emotet เริ่มจากการเป็นโทรจันเพื่อใช้โจมตีธนาคารในปี 2557 แต่การอัปเดตครั้งล่าสุดทำให้มันกลายเป็นภัยคุกคามที่มีความรุนแรงสูงซึ่งสามารถใช้เพื่อดาวน์โหลดเพย์โหลดอื่น ๆ ลงในเครื่องของเหยื่อ ซึ่งจะทำให้ผู้โจมตีสามารถควบคุมเครื่องของเหยื่อจากระยะไกลได้

AdvIntel รายงานว่า ตั้งแต่เดือนพฤศจิกายน พ.ศ. 2564 จนถึงมิถุนายน พ.ศ. 2565 Emotet ถือเป็นเครื่องมือโดยเฉพาะของกลุ่ม Conti ransomware แต่หลังจากการยุติปฏิบัติการไป Emotet ก็ถูกใช้เป็นเครื่องมือจากกลุ่ม Quantum และ BlackCat ransomware ในการโจมตีแทน

การโจมตีที่เกี่ยวข้องกับการใช้ Emotet หรือที่เรียกว่า SpmTools ถูกใช้เป็นจุดเริ่มต้นเพื่อติดตั้ง Cobalt Strike ซึ่งจะถูกใช้เป็นเครื่องมือสำหรับการโจมตีของแรนซัมแวร์

Quantum เป็นกลุ่มย่อยของ Conti ซึ่งในช่วงหลายเดือนที่ผ่านมาได้ใช้ call-back phishing ที่เรียกว่า BazaCall หรือ BazarCall เพื่อโจมตีเครือข่ายเป้าหมาย

AdvIntel ระบุว่าตรวจพบการแพร่กระจายของ Emotet มากกว่า 1,267,000 รายทั่วโลกตั้งแต่ต้นปีซึ่งสอดคล้องกับการรุกรานยูเครนของรัสเซีย

การแพร่กระจายเพิ่มขึ้นเป็นครั้งที่สองระหว่างเดือนมิถุนายนถึงกรกฎาคม เนื่องจากมีการใช้งานโดยกลุ่มแรนซัมแวร์ Quantum และ BlackCat รายงานโดยบริษัทรักษาความปลอดภัยในโลกไซเบอร์แสดงให้เห็นว่าประเทศที่เป็นเป้าหมายของ Emotet มากที่สุดคือสหรัฐอเมริกา, รองลงมาคือฟินแลนด์, บราซิล, เนเธอร์แลนด์ และฝรั่งเศส

ก่อนหน้านี้ ESET รายงานการตรวจพบ Emotet เพิ่มขึ้น 100 เท่าในช่วงสี่เดือนแรกของปี 2565 เมื่อเทียบกับปีก่อน Check Point บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอลระบุว่า Emotet จัดอยู่ในลำดับที่ 5 ในรายการมัลแวร์ที่แพร่กระจายมากที่สุดในเดือนสิงหาคม 2565 โดยอันดับแรกจะเป็น FormBook, Agent Tesla, XMRig และ GuLoade ตามลำดับ

ที่มา: thehackernews.