Permalink LockBit Ransomware อ้างการโจมตีบริษัท Entrust และประกาศเผยแพร่ข้อมูลที่ขโมยมา

กลุ่มแรนซัมแวร์ LockBit อ้างว่าได้ทำการโจมตี Entrust บริษัทยักษ์ใหญ่ด้านความปลอดภัยดิจิทัลในเดือนมิถุนายน

ต้นเดือนมิถุนายนที่ผ่านมา Entrust ได้แจ้งลูกค้าว่าบริษัทถูกโจมตีทางไซเบอร์ และมีข้อมูลบางส่วนถูกขโมยออกจากระบบภายใน และกำลังดำเนินการตรวจสอบ โดยจะมีการติดต่อลูกค้าหากพบว่ามีข้อมูลที่ส่งผลต่อความปลอดภัยของการให้บริการ

ถึงแม้ Entrust จะไม่ได้เปิดเผยรายละเอียดของการโจมตี แต่ก็ยืนยันมาตลอดว่าไม่พบหลักฐานว่าการโจมตีส่งผลกระทบต่อบริการของบริษัท เนื่องจากระบบที่ถูกโจมตี และระบบที่ให้บริการกับลูกค้าอยู่คนละส่วนกัน และยังสามารถให้บริการได้ตามปกติ โดย Vitali Kremez AdvIntel CEO ระบุว่าผู้โจมตีเป็นกลุ่มแรนซัมแวร์ที่มีชื่อเสียง ที่ได้ข้อมูลในการโจมตี Entrust จากการซื้อข้อมูลที่ทำให้สามารถเข้าถึงเครือข่ายของ Entrust ได้ต่อมาอีกที

LockBit อ้างการโจมตี Entrust

โดยในวันที่ 18 ส.ค. 2565 ที่ผ่านมา นักวิจัยด้านความปลอดภัย Dominic Alvieri ระบุว่า LockBit ได้สร้างหน้าเพจแสดงข้อมูลที่ขโมยออกมาจาก Entrust โดยระบุว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมาทั้งหมดในเย็นวันที่ 19 ส.ค. 2565 เนื่องจาก Entrust ไม่ยอมเจรจา หรือปฏิเสธที่จะตอบรับข้อเสนอในการเรียกค่าไถ่ของ LockBit

LockBit ถือเป็นหนึ่งในแรนซัมแวร์ที่พบมากที่สุดในขณะนี้ ในเดือนมิถุนายนที่ผ่านมาพึ่งมีการเปิดตัว LockBit 3.0 ซึ่งมาพร้อมกับตัวเข้ารหัสใหม่โดยอิงจากซอร์สโค้ดของ BlackMatter, มีตัวเลือกการชำระเงินใหม่ และช่องทางให้กลุ่มผู้ไม่หวังดีแจ้งช่องโหว่ของซอฟแวร์ต่างๆเข้าไปเพื่อแลกกับเงินรางวัล

Update: 21 ส.ค. 2565 LockBit เริ่มปล่อยข้อมูลของ Entrust

โดยวันที่ 19 ส.ค. 2565 ที่ผ่านมา LockBit เริ่มทยอยปล่อยข้อมูลของ Entrust ออกมา โดยมีข้อมูลเบื้องต้นเป็นภาพแคปเจอร์หน้าจอของข้อมูลที่อ้างว่าถูกขโมยมา โดย Alvieri นักวิจัยที่ติดตามการเผยแพร่ข้อมูลของ Entrust ระบุว่าข้อมูลอื่นๆประกอบไปด้วยเอกสารทางบัญชี กฏหมาย และการตลาด แต่ที่น่าสนใจคือหลังจาก LockBit เริ่มทยอยปล่อยข้อมูลไปสักพัก เว็ปไซต์ดังกล่าว(บน Tor Network) ก็ออฟไลน์ไป โดย LockBit อ้างว่าพวกเขาถูก DDoS จาก Entrust

ที่มา: bleepingcomputer

FBI เตือน! กลุ่มแฮกเกอร์ส่ง USB ไดรฟ์มาให้เพื่อใช้แพร่กระจาย ransomware

 

 

 

 

 

 

 

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนถึงองค์กรต่างๆ เกี่ยวกับ แฟลชไดร์ USB อันตรายที่มาพร้อมกับ ransomware ซึ่งสามารถแพร่กระจายผ่านทางอีเมล และเป็นช่องทางให้เกิดโจมตีทางไซเบอร์ได้ โดยแฟลชไดร์ USB จะถูกส่งมาในรูปแบบของ "กล่องของขวัญตกแต่งที่มีจดหมายขอบคุณปลอม บัตรของขวัญปลอม และ USB"

รายละเอียดแผนการหลอกลวง

กลุ่มอาชญากรไซเบอร์ FIN7 ส่งของขวัญที่น่าสงสัยให้กับบริษัทต่างๆในสหรัฐอเมริกา ซึ่งพัสดุถูกปลอมแปลงให้เป็นการส่งโดยกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) หรือไม่ก็มาจาก Amazon เพื่อหลอกลวงให้ผู้รับเปิดพัสดุเหล่านี้มาใช้งาน

ในกล่องพัสดุประกอบด้วยแฟลชไดร์ USB ที่มีมัลแวร์ และยังมีจดหมายระบุรายระเอียดแนวทางปฏิบัติเกี่ยวกับไวรัสโควิด 19 ซึ่งคาดว่าออกโดยกระทรวงสาธารณสุข หรือไม่ก็เป็นของขวัญจาก Amazon

 

 

 

 

 

 

 

 

 

 

 

 

 

 

แคมเปญนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2021

ตามรายงาน FBI ระบุว่ามีการส่งไดร์ USB ที่ติดตั้งไวรัสตั้งแต่เดือนสิงหาคม 2021 พัสดุเหล่านี้ถูกส่งผ่านทางไปรษณีย์สหรัฐ (USPS) ไปยังบริษัทในอุตสาหกรรมต่างๆเช่น การขนส่ง การประกันภัย และการป้องกันประเทศ โดยพัสดุประกอบด้วยแฟลชไดร์ Lily Go USB ที่ภายหลังถูกระบุว่าถูกติดตั้ง ransomware ไว้ โดยหน่วยงานต่างๆพบว่าเมื่อนำมาใช้งาน แฟลชไดร์ดังกล่าวจะดำเนินการโจมตีด้วยวิธีการที่เรียกว่า BadUSB ซึ่งจะติดตั้งตัวเองลงบนเครื่อง และแสร้งทำเป็นอุปกรณ์คีย์บอร์ดแทนที่จะเป็นไดร์ USB ซึ่งอาจส่งผลให้เกิดการแพร่กระจาย BlackMatter และ REvil ransomware ไปยังคอมพิวเตอร์ของบริษัทที่เป็นเหยื่อ

"เป้าหมายสุดท้ายของ FIN7 ในการโจมตีคือการเข้าถึงเครือข่ายของเหยื่อ และติดตั้ง ransomware (ทั้ง BlackMatter และ REvil) ภายในเครือข่าย โดยใช้เครื่องมือต่างๆรวมถึง Metasploit, Cobalt Strike, Carbanak malware, the Griffon backdoor, and PowerShell scripts" FBI กล่าว

คำเตือนของ FBI เน้นย้ำถึงข้อที่ว่าไม่ควรใช้งานแฟลชไดร์ USB ที่ไม่รู้จักกับอุปกร์ของตน หรือองค์กร

ที่มา : hackread

จากเหตุการณ์ล่าสุดที่มีบริษัท IT ชั้นนำในประเทศไทย ถูกโจมตีด้วย Ransomware จากกลุ่ม BlackMatter

เราจะพามารู้จักกับ BlackMatter: กลุ่ม Ransomware มาแรง ที่เรียนรู้จากความผิดพลาดในอดีตของ Darkside และ REvil

ในเดือนกรกฎาคม กลุ่ม Ransomware กลุ่มใหม่เริ่มโพสต์โฆษณาบนฟอรัมเกี่ยวกับอาชญากรรมทางอินเทอร์เน็ตต่างๆ โดยประกาศว่ากำลังพยายามหาพันธมิตร และอ้างว่าได้รวมคุณลักษณะของกลุ่ม Ransomware ที่มีชื่อเสียงมาก่อนหน้าเช่น REvil และ DarkSide นั่นคือ BlackMatter (more…)

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

Ransomware BlackMatter เวอร์ชัน Linux มุ่งเป้าโจมตีไปยัง VMWare ESXi

กลุ่ม BlackMatter ได้เข้าร่วมกลุ่มปฏิบัติการแรนซัมแวร์เพื่อพัฒนาตัวเข้ารหัสเวอร์ชัน Linux ที่กำหนดเป้าหมายไปยัง VMWare ESXi
องค์กรมีการเปลี่ยนไปใช้ Virtual Machine สำหรับเซิร์ฟเวอร์ของตนมากขึ้นเรื่อยๆ เพื่อการจัดการทรัพยากรที่ดีขึ้นและการกู้คืนระบบจากความเสียหาย เนื่องจาก VMware ESXi เป็นแพลตฟอร์ม Virtual Machine ที่ได้รับความนิยมมากที่สุด ทำให้ Ransomware ส่วนใหญ่เริ่มพัฒนาตัวเข้ารหัสที่มุ่งเป้าโจมตีไปที่ Virtual Machine กันมากขึ้น

BlackMatter มุ่งเป้าไปที่ VMware ESXi
เมื่อวันที่ 4 สิงหาคมที่ผ่านมา นักวิจัยด้านความปลอดภัย MalwareHunterTeam พบตัวเข้ารหัส Linux ELF64 [VirusTotal] ของกลุ่มแรนซัมแวร์ BlackMatter ที่กำหนดเป้าหมายเซิร์ฟเวอร์ไปยัง VMware ESXi โดยเฉพาะ โดยดูจากฟังก์ชันของการทำงาน

BlackMatter เป็นปฏิบัติการแรนซัมแวร์ที่ค่อนข้างใหม่ ซึ่งเริ่มต้นเมื่อเดือนที่แล้ว และเชื่อว่าเป็นการรีแบรนด์ของ DarkSide หลังจากที่นักวิจัยพบตัวอย่าง ก็พบว่าการทำงานเข้ารหัสที่ใช้โดย Ransomware นั้นเป็นแบบเดียวกับที่ใช้ใน DarkSide

DarkSide ปิดตัวลงหลังจากโจมตี และปิดระบบท่อส่งน้ำมันโคโลเนียล จึงทำให้ถูกกดดัน และไล่ล่าอย่างหนักจากการบังคับใช้กฎหมายระหว่างประเทศ และรัฐบาลสหรัฐฯ

จากตัวอย่างตัวเข้ารหัส Linux ของ BlackMatter ที่ BleepingComputer ได้รับมา เป็นที่ชัดเจนว่าได้รับการออกแบบมาโดยเฉพาะเพื่อกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ VMWare ESXi

Vitali Kremez ผู้เชี่ยวชาญของบริษัท Intel ซึ่งได้ลองทดสอบด้วยการ Reverse Engineering ได้ให้ข้อมูลกับทาง BleepingComputer ว่าผู้โจมตีได้สร้างไลบรารี 'esxi_utils' ที่ใช้ในการดำเนินการต่างๆ บนเซิร์ฟเวอร์ VMware ESXiรูปที่ 1.1 ตัวอย่าง แต่ละฟังก์ชัน

รูปที่ 1.2 ตัวอย่าง ฟังก์ชัน stop_firewall()

ในขณะที่ฟังก์ชัน stop_vm() จะดำเนินการคำสั่ง esxcli ต่อไปนี้ รูปที่ 1.3 ตัวอย่าง ฟังก์ชัน stop_vm()

Ransomware ทั้งหมดที่กำหนดเป้าหมายไปยังเซิร์ฟเวอร์ ESXi พยายามปิดเครื่องเสมือนก่อนที่จะเข้ารหัสไดรฟ์ เพื่อป้องกันข้อมูลเสียหายขณะเข้ารหัส

เมื่อ VM ทั้งหมดถูกปิด มันจะเข้ารหัสไฟล์ที่ตรงกับนามสกุลไฟล์เฉพาะตามการกำหนดค่าที่มาพร้อมกับ Ransomware

การกำหนดเป้าหมายเซิร์ฟเวอร์ ESXi นั้นมีประสิทธิภาพมากเมื่อทำการโจมตีโดยใช้ Ransomware เนื่องจากช่วยให้ผู้คุกคามสามารถเข้ารหัสเซิร์ฟเวอร์จำนวนมากพร้อมกันด้วยคำสั่งเดียว

เมื่อมีธุรกิจจำนวนมากที่ย้ายไปยังแพลตฟอร์มประเภทนี้สำหรับเซิร์ฟเวอร์ เราจะยังคงเห็นนักพัฒนาแรนซัมแวร์มุ่งเน้นไปที่เครื่อง Windows เป็นหลัก แต่ยังสร้างตัวเข้ารหัสเวอร์ชัน Linux โดยเฉพาะซึ่งมุ่งเป้าไปยัง ESXi

Emsisoft CTO Fabian Wosar บอกกับ BleepingComputer ว่าปฏิบัติการ Ransomware อื่นๆ เช่น REvil, HelloKitty, Babuk, RansomExx/Defray, Mespinoza, GoGoogle ได้สร้างตัวเข้ารหัสเวอร์ชัน Linux เพื่อจุดประสงค์นี้เช่นกัน

ที่มา : Bleepingcomputer