มัลแวร์เรียกค่าไถ่ Egregor ใช้วิธีการปริ้นท์ Ransom Note ออกมาทางใบเสร็จเพื่อชี้แจงการเข้ารหัส

Bleeping Computer รายงานถึงแหล่งข้อมูลซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มีการสั่งพิมพ์ Ransom note หรือโน้ตข้อความที่ทิ้งไว้เพื่อเรียกค่าไถ่เหยื่อออกมาในลักษณะใบเสร็จ โดยยืนยันว่าพฤติกรรมดังกล่าวอาจมาจากการใช้สคริปต์ในการสั่งพิมพ์ออกมา ไม่ใช่ฟีเจอร์ของมัลแวร์เรียกค่าไถ่ Egregor เอง

Ransom note หรือโน้ตข้อความเรียกค่าไถ่เป็นลักษณะข้อความที่ผู้โจมตีใช้ในการชี้แจ้งเหยื่อถึงเหตุการณ์ที่เกิดขึ้น ขั้นตอนที่เหยื่อจะต้องปฏิบัติตามเพื่อเข้าสู่กระบวนการจ่ายค่าไถ่ ในบางครั้งแฮกเกอร์จะมีการแนบคำขู่เพิ่มหรือการจับเวลาเพื่อกดดันให้เหยื่อรีบจ่ายค่าไถ่ด้วย ทั้งนี้ยังไม่มีการพบตัวอย่างของสคริปต์ที่สั่งพิมพ์ Ransom note ออกมาทางใบเสร็จในขณะนี้

Bleeping Computer มีการรายงานเพิ่มเติมถึงพฤติกรรมการแพร่กระจายมัลแวร์เรียกค่าไถ่ Egregor ผ่านทางมัลแวร์กลุ่มโทรจันและบ็อตเน็ต QBot ซึ่งใช้ลักษณะเดียวกับ Trickbot/Ryuk, และ DoppelPaymer/BitPaymer ซึ่งแพร่กระจายผ่านทาง Dridex ด้วย

ที่มา: bleepingcomputer | bleepingcomputer

Capcom ยืนยันการโจมตีทางไซเบอร์แล้ว มีข้อมูลลูกค้าหลุดออกไปด้วย

Capcom ออกมายืนยันการโจมตีทางไซเบอร์เมื่อวันจันทร์ที่ผ่านมาหลังจากมีการตรวจพบพฤติกรรมการใช้งานที่ผิดปกติ ความคืบหน้าล่าสุดของเหตุการณ์นี้ได้รับการยืนยันว่าลักษณะของการโจมตีนั้นเกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ โดยอาจมีผลกระทบต่อข้อมูลของลูกค้าและพนักงานด้วย

กระแสข่าวการโจมตีระบบ Capcom เริ่มต้นมาตั้งแต่วันที่ 2 พฤศจิกายนหลังจากที่ Capcom ประกาศปัญหาการให้บริการซึ่งมีที่มาจากการตรวจพบพฤติกรรมการใช้งานที่ผิดปกติ โดยทาง Capcom มีการอัปเดตในวันที่ 4 พฤศจิกายนว่าในช่วงเวลาดังกล่าวนั้น ยังไม่มีการตรวจพบข้อบ่งชี้หรือหลักฐานว่าข้อมูลของลูกค้าได้รับผลกระทบ อย่างไรก็ตามจากนั้นไม่นาน กลุ่มมัลแวร์เรียกค่าไถ่ Ragnar Locker ได้มีการออกมาอ้างตัวว่าเป็นผู้โจมตี Capcom พร้อมทั้งมีการแสดงตัวอย่างของข้อมูลบางส่วนที่ได้จากการโจมตีเพื่อยืนยันด้วย

อ้างอิงจากประกาศล่าสุด Capcom ออกมายอมรับว่านอกเหนือจากข้อมูลที่เป็นความลับของบริษัทซึ่งอาจได้รับผลกระทบแล้ว ข้อมูลของลูกค้าและข้อมูลของพนักงานซึ่งล้วนแล้วแต่เป็นข้อมูลส่วนตัวก็ได้รับผลกระทบด้วย อย่างไรก็ตาม Capcom ยังไม่ได้ระบุถึงผลกระทบที่มาต่อข้อมูลทางด้านการเงิน เนื่องจากข้อมูลทางด้านการเงินจะถูกประมวลผลโดยเซอร์วิสอื่น

Bleeping Computer ได้มีการให้คำแนะนำสำหรับผู้ใช้งานที่ได้รับผลกระทบให้ระวังการแอบอ้างโดยใช้ข้อมูลส่วนบุคคลได้ที่ได้มาจากการโจมตี แม้จะยังไม่มีการยืนยันถึงการเข้าถึงข้อมูลของลูกค้าจริง การเปลี่ยนพาสเวิร์ดของ Capcom รวมไปถึงระบบอื่นที่ใช้พาสเวิร์ดเดียวกันก็อาจช่วยลดความเสี่ยงของการใช้ข้อมูลโดยผู้ไม่ประสงค์ดีได้

ที่มา: bleepingcomputer

Microsoft November 2020 Patch Tuesday fixes 112 vulnerabilities

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

Maze ransomware is shutting down its cybercrime operation

[ข่าวลือ] กลุ่มมัลแวร์เรียกค่าไถ่ Maze ประกาศยุติปฏิบัติการ

Bleeping Computer เผยแพร่ข้อมูลจากการยืนยันข่าวลือกับหนึ่งในผู้เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ Maze หลังจากมีกระแสออกมาว่าทางกลุ่มจะยุติปฏิบัติการอาชญากรรมของตน

อ้างอิงจากการพูดคุย ผู้เกี่ยวข้องดังกล่าวได้ให้ข้อมูลเกี่ยวกับอนาคตของกลุ่ม Maze ว่ากลุ่มไม่ได้มีปฏิบัติการใหม่มาตั้งแต่เดือนกันยายนที่ผ่านมาแล้ว และในปัจจุบันกลุ่มฯ อยู่ในกระบวนการของการยุติปฏิบัติการ ทั้งนี้เหยื่อซึ่งได้รับผลกระทบจากการโจมตีจะยังคงต้องจ่ายค่าไถ่ต่อไป เพียงแต่จะไม่มีเหยื่อเพิ่ม ผู้ให้ข่าวยังคงมีการระบุว่าขอให้มีการติดตามประกาศอย่างเป็นทางการจากหน้า Press release ของทางกลุ่มอีกครั้ง

Bleeping Computer ยังให้ข้อมูลเพิ่มเติมว่าอาจมีความเป็นไปได้ที่ผู้เกี่ยวข้องกับปฏิบัติการของ Maze จะย้ายไปสนับสนุนกลุ่มมัลแวร์เรียกค่าไถ่ Egregor ด้วยความเหมือนของโปรแกรมที่ใช้ในการเข้ารหัสไฟล์ ข่าวในส่วนนี้ยังไม่ได้รับการยืนยันอย่างชัดเจน เป็นเพียงแค่ข้อสันนิษฐานเท่านั้น

จากเหยื่อทั้งหมด 4 รายในประเทศของมัลแวร์ในกลุ่ม Leaker กลุ่ม Maze รับผิดชอบต่อการโจมตี 2 องค์กรใหญ่ในไทยได้แก่การไฟฟ้าส่วนภูมิภาคและบริษัทใหญ่ที่ไอ-ซีเคียวเคยมีการพาดหัวข่าวไป

ที่มา: bleepingcomputer

Hacker is selling 34 million user records stolen from 17 companies

อัปเดตกรณีการรั่วไหลข้อมูลจาก wongnai.com เกี่ยวข้องกับ RedMart Lazada กระทบบริการ Eatigo ด้วย

จากข่าวเกี่ยวกับ Wongnai security incident ที่ไอ-ซีเคียวมีการรายงานไปก่อนหน้า (https://www.

กลุ่มเรียกค่าไถ่ SunCrypt ปรับแผน ส่งพระรอง “DDoS attack” มาช่วยกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

เทคนิคตั้งแต่รุ่นพ่อ แฮกเกอร์แทรกตัวอักษรแปลกใน URL อันตรายให้ยังเปิดได้โดยไม่ถูกตรวจจับโดยโซลูชันความปลอดภัย

หนึ่งในปัญหาสุดคลาสสิคของอุปกรณ์หรือโซลูชันด้านความปลอดภัยซึ่งนำมาสู่การ bypass การตรวจจับนั้นส่วนใหญ่มาจากการที่อุปกรณ์หรือโซลูชันไม่ยอมทำตาม RFC อย่างเหมาะสมจนส่งผลให้แฮกเกอร์สามารถข้ามผ่านการตรวจจับได้โดยอ้างรูปแบบตาม RFC

Bleeping Computer รายงานการค้นพบอีเมลฟิชชิงแนบไฟล์ Powerpoint อันตรายสำหรับแพร่กระจายมัลแวร์ Lokibot ซึ่งมีการใช้วิธีการสอดแทรกข้อมูลลงไปใน URL ซึ่งส่งผลให้อุปกรณ์ตรวจจับอีเมลอันตรายนั้นไม่สามารถตรวจจับได้ ทั้งนี้การสอดแทรกข้อมูลลงไปใน URL นั้นแท้จริงยังเป็นไปตาม RFC ซึ่งกำหนดรูปแบบของ URL เอาไว้ ทำให้เหยื่อยังสามารถคลิกลิงค์อันตรายได้ตามปกติ

หนึ่งในเทคนิคซึ่งแฮกเกอร์มักใช้งานนั้นคือการแทรกส่วนของ "userinfo" เข้าไปใน URL เช่น "https://malicious.

AutoHotKey Malware Is Now a Thing

นักวิจัยด้านความปลอดภัยพบข้อบกพร่องของแอปพลิเคชั่น Django ซึ่งทำให้เสี่ยงต่อการถูกขโมยข้อมูลสำคัญ เช่น API key, รหัสผ่านเครื่องเซิร์ฟเวอร์, AWS Access Token

Fábio Castro นักวิจัยด้านความปลอดภัยชาวบราซิลบอกว่าสาเหตุหลักของเรื่องนี้คือผู้พัฒนาแอปลืมที่จะปิดฟังก์ชัน debug mode ของตัวแอป ตัวแอป Django เป็น Python framework ที่มีประสิทธิภาพสูง และสามารถปรับแต่งได้ ซึ่งส่วนใหญ่จะใช้ในการสร้าง Web Application และเป็น App Backend ซึ่ง Castro บอกกับทาง Bleeping Computer ว่าพบแอป Django กว่า 28,165 แอปที่มีการลืมปิดฟังก์ชัน Debug ทำให้แฮคเกอร์สามารถเข้าถึงข้อมูลที่สำคัญของตัวแอป และในบางกรณี รหัสผ่านเข้าฐานข้อมูล และ AWS access token อาจทำให้เข้าถึงข้อมูลสำคัญในส่วนอื่นๆ ของแอพพลิเคชั่น

Castro บอกกับทาง Bleeping Computer เพิ่มเติมว่านี่ไม่ใช่ความผิดพลาดของตัว Django เพียงแต่เป็นการลืมปิด debug mode เท่านั้น ซึ่งก็ได้ให้คำแนะนำไว้ว่าให้ปิดโหมดดังกล่าวทุกครั้งก่อนนำขึ้นใช้งานจริง แต่จากรายงานของนักวิจัยซึ่งเป็นประธานของ GDI Foundation ชื่อว่า Victor Gevers ระบุว่ามีเซิร์ฟเวอร์บางตัวที่ถูกแฮ็คแล้ว Gevers ได้ทำการเตือนไปยังเจ้าของเซิร์ฟเวอร์เกี่ยวกับการรั่วไหลของข้อมูลดังกล่าว ซึ่งในตอนนี้มีรายงานยืนยันออกมาแล้วว่าเซิร์ฟเวอร์ที่ได้รับการแก้ไขแล้วหรือนำออกจากการใช้งาน 143 เครื่องจาก 1,822 เครื่องที่ได้รับผลกระทบ

ที่มา : Bleepingcomputer