กลุ่ม LockBit ransomware ออกมาอ้างความรับผิดชอบว่าตนอยู่เบื้องหลังการโจมตี Royal Mail หนึ่งในผู้ให้บริการไปรษณีย์ และจัดส่งของรายใหญ่ของสหราชอาณาจักร ส่งผลให้บริการทั้งหมดต้องหยุดชะงัก ซึ่งก่อนหน้านี้ LockBit เคยให้ข้อมูลกับทีมงาน BleepingComputer ว่าทางกลุ่มไม่ได้โจมตี Royal Mail แต่เหตุการณ์ทั้งหมดเกิดจากมีผู้ไม่หวังดีนำ LockBit 3.0 builder ที่เคยถูกเผยแพร่ในเดือนกันยายน 2565 ไปใช้งาน แต่กลับไม่สามารถอธิบายได้ว่าทำไมบันทึกค่าไถ่ของ Royal Mail มีลิงก์ไปยังเว็บไซต์เจรจาค่าไถ่บน Tor ของ LockBit แทนที่จะเป็นเว็บไซต์ของผู้โจมตีรายอื่น

ต่อมา LockBitSupp จึงออกมายอมรับว่ากลุ่ม LockBit อยู่เบื้องหลังการโจมตีดังกล่าวจริง โดยจะให้ตัวถอดรหัส และลบข้อมูลที่ขโมยออกมาหาก Royal Mail ยอมจ่ายค่าไถ่ พร้อมกับระบุว่าข้อมูลที่ถูกขโมยออกมาจะถูกเผยแพร่ทางออนไลน์ในวันพฤหัสบดีที่ 9 กุมภาพันธ์ เวลา 03:42 น. ตามเวลา UTC หากไม่มีการจ่ายค่าไถ่

เหตุการณ์การโจมตี

หลังจากตรวจพบเหตุการณ์การโจมตี ทาง Royal Mail ได้ออกมาชี้แจงว่าการขนส่งในประเทศไม่ได้รับผลกระทบ แต่พบปัญหากับบริการระหว่างประเทศ ทำให้ไม่สามารถส่งสินค้าไปยังจุดหมายปลายทางในต่างประเทศได้ชั่วคราว มีการกำชับไม่ให้ผู้ใช้งานโพสต์รายการส่งออกใด ๆ ในขณะที่กำลังดำเนินการแก้ไขปัญหานี้ พร้อมกับขออภัยในความไม่สะดวกที่เกิดขึ้น
ต่อมา บริษัทยังได้รายงานเหตุการณ์ดังกล่าวไปยังหน่วยงานรักษาความปลอดภัยของสหราชอาณาจักร และกำลังดำเนินการตรวจสอบเหตุการณ์นี้ควบคู่ไปกับสำนักงานอาชญากรรมแห่งชาติ และศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของสหราชอาณาจักร (NCSC)
จากนั้น Royal Mail ได้ระบุเหตุการณ์ในครั้งนี้เป็น cyber incident และกล่าวว่าได้กู้คืนบริการบางส่วนที่ได้รับผลกระทบจากการโจมตีแล้ว
ล่าสุด Royal Mail ได้กลับมาให้บริการ International Standard & International Economy อีกครั้งสำหรับลูกค้าที่ใช้บริการไปรษณีย์ออนไลน์ พร้อมกับเปิดระบบบางส่วนให้กับลูกค้าที่เป็น business account ให้ใช้งาน

ที่มา : bleepingcomputer

เมื่อวันที่ 17 พฤษภาคม พ.ศ. 2565 มีผู้ไม่หวังดีได้อัปโหลดไฟล์อันตรายชื่อ 'pymafka' ไปยัง PyPI ที่เป็นคลังโปรแกรม และไลบรารีเสริมของ Python โดยไฟล์อันตรายนี้ได้มีชื่อคล้ายกับ PyKafka ซึ่งเป็น Client ของ Apache Kafka ที่ใช้กันอย่างแพร่หลาย โดยต่างกันเพียงเปลี่ยนจาก 'K' เป็น 'M'

Sonatype ซึ่งเป็นผู้ค้นพบ pymafka ได้รายงานไปยัง PyPI ทำให้ไฟล์ดังกล่าวถูกลบออกไปจากระบบเรียบร้อย นอกจากนี้ยังมีการแจ้งไปยังนักพัฒนาที่ดาวน์โหลดไฟล์มาให้ทำการลบไฟล์ทิ้ง และตรวจสอบระบบของพวกเขาทั้งหมดที่อาจถูกฝัง Cobalt Strike Beacon และ Linux Backdoors ไว้ อย่างไรก็ตามพบว่ามีผู้ดาวโหลดไฟล์นี้กว่า 325 ครั้ง ทำให้อาจจะยังมีผู้ได้รับผลกระทบ เนื่องจากไฟล์ดังกล่าวมีการขออนุญาตเข้าถึงข้อมูลภายในของผู้พัฒนาระบบจำนวนมาก

(more…)

เว็บบอร์ดอาชญากรไซเบอร์สัญชาติรัสเซีย Maza ถูกโจมตี ข้อมูลสมาชิกรั่วไหล

เว็บบอร์ดอาชญากรไซเบอร์สัญชาติรัสเซีย Maza หรือที่รู้จักในชื่อก่อนหน้าว่า Mazafaku ถูกโจมตี โดยผู้โจมตีมีการเข้าถึงฐานข้อมูลทั้งหมดของเว็บบอร์ดจากนั้นมีการนำข้อมูลทั้งหมดมาเผยแพร่บนเว็บไซต์ในเครือข่าย Tor

Maza เป็นที่รู้จักกันว่าเป็นหนึ่งใน Community ของอาชญากรไซเบอร์ที่เก่าแก่ที่สุดแห่งหนึ่งของรัสเซีย การจะเข้าถึงเว็บบอร์ดนั้นจะต้องมีการสร้างผลงานให้สมาชิกปัจจุบันได้รับทราบก่อน จากนั้นสมาชิกปัจจุบันจึงจะร่วมกันพิจาณาว่าจะรับบุคคลดังกล่าวเป็นสมาชิกใหม่หรือไม่

การโจมตีและการรั่วไหลของข้อมูลจาก Maza ถูกตรวจสอบโดย Bleeping Computer และพบรายละเอียดว่า ผู้โจมตีมีการเผยแพร่ข้อมูลของบัญชีผู้ใช้งานกว่า 3,000 รายลงในเว็บไซต์ในเครือข่าย Tor ข้อมูลโดยส่วนใหญ่ไม่ปรากฎข้อมูลส่วนบุคคลที่อาจนำทางไปให้ไปพบตัวตนของผู้ใช้งานจริงๆ ได้ อย่างไรก็ตามการปรากฎของข้อมูลในลักษณะก็อาจสามารถช่วยในการติดตามอาชญากรไซเบอร์ได้อย่างมีประสิทธิภาพขึ้นเช่นเดียวกัน

นอกเหนือจาก Maza แล้ว Bleeping Computer ยังได้รับข้อมูลเพิ่มเติมว่า Community อื่น อาทิ Verified, Dread และ Club2Crd ก็ถูกโจมตีและมีการรั่วไหลของข้อมูลเช่นเดียวกัน ในขณะนี้ยังไม่มีข้อมูลอย่างชัดเจนถึงจุดประสงค์หรือจุดมุ่งหมายของผู้โจมตี

ที่มา: bleepingcomputer

บริษัทผลิตชิ้นส่วนอิเล็กทรอนิกส์ชื่อดัง Foxconn ตกเป็นเหยื่อรายล่าสุดของกลุ่มมัลแวร์เรียกค่าไถ่ DoppelPaymer หลังจากกลุ่มมัลแวร์เรียกค่าไถ่ประสบความสำเร็จในการโจมตีโรงงานในเม็กซิโกและสามารถขโมยข้อมูลรวมไปถึงเข้ารหัสไฟล์ข้อมูลได้

การโจมตีเกิดขึ้นในช่วงวันหยุด Thanksgiving โดยการโจมตีถูกค้นพบจากประกาศของกลุ่ม DoppelPaymer บนหน้าเว็บไซต์ของทางกลุ่ม อ้างอิงจากประกาศดังกล่าว กลุ่ม DoppelPaymer อ้างว่าทางกลุ่มประสบความสำเร็จในการขโมยข้อมูลทั่วไปของบริษัทและรายงาน หลังจากการโจมตี เว็บไซต์หลักของโรงงานถูกปิดและแสดงข้อความผิดพลาดทันทีแก่ผู้เยี่ยมชมเว็บไซต์

อ้างอิงจากแหล่งข่าวของ Bleeping Computer มีการระบุว่า DoppelPaymer เรียกค่าไถ่ Foxconn เป็นจำนวน 34 ล้านเหรียญสหรัฐฯ หรือกว่า 1,022,601,000 ล้านบาท ทาง Bleeping Computer ยังได้มีการสัมภาษณ์กลุ่ม DoppelPaymer และได้ข้อมูลเพิ่มเติมมาด้วยว่า การโจมตีดังกล่าวกระทบเฉพาะส่วนของบริษัทในอเมริกาเหนือ ซึ่งเซิร์ฟเวอร์ที่ได้รับผลกระทบอยู่ 1,200 ถึง 1,400 ระบบ โดยทางกลุ่มฯ ยังทำการทำลายไฟล์สำรองข้อมูลไปกว่า 20-30 เทระไบต์จากทั้งหมด 75 เทระไบต์ด้วย

ที่มา: bleepingcomputer | securityweek

Bleeping Computer รายงานถึงแหล่งข้อมูลซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มีการสั่งพิมพ์ Ransom note หรือโน้ตข้อความที่ทิ้งไว้เพื่อเรียกค่าไถ่เหยื่อออกมาในลักษณะใบเสร็จ โดยยืนยันว่าพฤติกรรมดังกล่าวอาจมาจากการใช้สคริปต์ในการสั่งพิมพ์ออกมา ไม่ใช่ฟีเจอร์ของมัลแวร์เรียกค่าไถ่ Egregor เอง

Ransom note หรือโน้ตข้อความเรียกค่าไถ่เป็นลักษณะข้อความที่ผู้โจมตีใช้ในการชี้แจ้งเหยื่อถึงเหตุการณ์ที่เกิดขึ้น ขั้นตอนที่เหยื่อจะต้องปฏิบัติตามเพื่อเข้าสู่กระบวนการจ่ายค่าไถ่ ในบางครั้งแฮกเกอร์จะมีการแนบคำขู่เพิ่มหรือการจับเวลาเพื่อกดดันให้เหยื่อรีบจ่ายค่าไถ่ด้วย ทั้งนี้ยังไม่มีการพบตัวอย่างของสคริปต์ที่สั่งพิมพ์ Ransom note ออกมาทางใบเสร็จในขณะนี้

Bleeping Computer มีการรายงานเพิ่มเติมถึงพฤติกรรมการแพร่กระจายมัลแวร์เรียกค่าไถ่ Egregor ผ่านทางมัลแวร์กลุ่มโทรจันและบ็อตเน็ต QBot ซึ่งใช้ลักษณะเดียวกับ Trickbot/Ryuk, และ DoppelPaymer/BitPaymer ซึ่งแพร่กระจายผ่านทาง Dridex ด้วย

ที่มา: bleepingcomputer | bleepingcomputer

Capcom ออกมายืนยันการโจมตีทางไซเบอร์เมื่อวันจันทร์ที่ผ่านมาหลังจากมีการตรวจพบพฤติกรรมการใช้งานที่ผิดปกติ ความคืบหน้าล่าสุดของเหตุการณ์นี้ได้รับการยืนยันว่าลักษณะของการโจมตีนั้นเกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ โดยอาจมีผลกระทบต่อข้อมูลของลูกค้าและพนักงานด้วย

กระแสข่าวการโจมตีระบบ Capcom เริ่มต้นมาตั้งแต่วันที่ 2 พฤศจิกายนหลังจากที่ Capcom ประกาศปัญหาการให้บริการซึ่งมีที่มาจากการตรวจพบพฤติกรรมการใช้งานที่ผิดปกติ โดยทาง Capcom มีการอัปเดตในวันที่ 4 พฤศจิกายนว่าในช่วงเวลาดังกล่าวนั้น ยังไม่มีการตรวจพบข้อบ่งชี้หรือหลักฐานว่าข้อมูลของลูกค้าได้รับผลกระทบ อย่างไรก็ตามจากนั้นไม่นาน กลุ่มมัลแวร์เรียกค่าไถ่ Ragnar Locker ได้มีการออกมาอ้างตัวว่าเป็นผู้โจมตี Capcom พร้อมทั้งมีการแสดงตัวอย่างของข้อมูลบางส่วนที่ได้จากการโจมตีเพื่อยืนยันด้วย

อ้างอิงจากประกาศล่าสุด Capcom ออกมายอมรับว่านอกเหนือจากข้อมูลที่เป็นความลับของบริษัทซึ่งอาจได้รับผลกระทบแล้ว ข้อมูลของลูกค้าและข้อมูลของพนักงานซึ่งล้วนแล้วแต่เป็นข้อมูลส่วนตัวก็ได้รับผลกระทบด้วย อย่างไรก็ตาม Capcom ยังไม่ได้ระบุถึงผลกระทบที่มาต่อข้อมูลทางด้านการเงิน เนื่องจากข้อมูลทางด้านการเงินจะถูกประมวลผลโดยเซอร์วิสอื่น

Bleeping Computer ได้มีการให้คำแนะนำสำหรับผู้ใช้งานที่ได้รับผลกระทบให้ระวังการแอบอ้างโดยใช้ข้อมูลส่วนบุคคลได้ที่ได้มาจากการโจมตี แม้จะยังไม่มีการยืนยันถึงการเข้าถึงข้อมูลของลูกค้าจริง การเปลี่ยนพาสเวิร์ดของ Capcom รวมไปถึงระบบอื่นที่ใช้พาสเวิร์ดเดียวกันก็อาจช่วยลดความเสี่ยงของการใช้ข้อมูลโดยผู้ไม่ประสงค์ดีได้

ที่มา: bleepingcomputer

Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 มาแล้ว

ไมโครซอฟต์ประกาศ Microsoft Patch Tuesday ประจำเดือนพฤศจิกายน 2020 แล้ววันนี้ โดยในรอบเดือนนี้นั้นมีช่องโหว่ทั้งหมด 112 รายการที่ถูกแพตช์ จาก 112 รายการที่ถูกแพตช์มี 17 ช่องโหว่ที่ถูกระบุว่าเป็นช่องโหว่ระดับวิกฤติ รวมไปถึงมีการแพตช์ Zero-day ที่ถูกแจ้งโดย Google Project Zero

เมื่อช่วงปลายเดือนที่ผ่านมา Google Project Zero มีการแจ้งเตือนไปยังไมโครซอฟต์หลังจาก Google Threat Analysis Group ตรวจพบการใช้ช่องโหว่ Zero-day ในการโจมตีจริง โดยช่องโหว่ดังกล่าวถูกระบุด้วยรหัส CVE-2020-17087 เป็นช่องโหว่ยกระดับสิทธิ์ในส่วน Windows Kernel Cryptography Driver

อ้างอิงจากข้อมูลสรุปโดย Bleeping Computer ช่องโหว่ 10 จาก 17 รายการที่ถูกระบุอยู่ในระดับวิกฤติอยู่ในส่วน Microsoft Windows Codecs Library, ส่วนของ Windows Kernel อีก 2 ช่องโหว่, ส่วน Microsoft Scripting Engine 3 ช่องโหว่ และ Microsoft Browsers และ Azure Sphere อย่างละหนึ่งช่องโหว่

ที่มา: bleepingcomputer | bleepingcomputer | threatpost | zdnet | theregister | securityweek

[ข่าวลือ] กลุ่มมัลแวร์เรียกค่าไถ่ Maze ประกาศยุติปฏิบัติการ

Bleeping Computer เผยแพร่ข้อมูลจากการยืนยันข่าวลือกับหนึ่งในผู้เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ Maze หลังจากมีกระแสออกมาว่าทางกลุ่มจะยุติปฏิบัติการอาชญากรรมของตน

อ้างอิงจากการพูดคุย ผู้เกี่ยวข้องดังกล่าวได้ให้ข้อมูลเกี่ยวกับอนาคตของกลุ่ม Maze ว่ากลุ่มไม่ได้มีปฏิบัติการใหม่มาตั้งแต่เดือนกันยายนที่ผ่านมาแล้ว และในปัจจุบันกลุ่มฯ อยู่ในกระบวนการของการยุติปฏิบัติการ ทั้งนี้เหยื่อซึ่งได้รับผลกระทบจากการโจมตีจะยังคงต้องจ่ายค่าไถ่ต่อไป เพียงแต่จะไม่มีเหยื่อเพิ่ม ผู้ให้ข่าวยังคงมีการระบุว่าขอให้มีการติดตามประกาศอย่างเป็นทางการจากหน้า Press release ของทางกลุ่มอีกครั้ง

Bleeping Computer ยังให้ข้อมูลเพิ่มเติมว่าอาจมีความเป็นไปได้ที่ผู้เกี่ยวข้องกับปฏิบัติการของ Maze จะย้ายไปสนับสนุนกลุ่มมัลแวร์เรียกค่าไถ่ Egregor ด้วยความเหมือนของโปรแกรมที่ใช้ในการเข้ารหัสไฟล์ ข่าวในส่วนนี้ยังไม่ได้รับการยืนยันอย่างชัดเจน เป็นเพียงแค่ข้อสันนิษฐานเท่านั้น

จากเหยื่อทั้งหมด 4 รายในประเทศของมัลแวร์ในกลุ่ม Leaker กลุ่ม Maze รับผิดชอบต่อการโจมตี 2 องค์กรใหญ่ในไทยได้แก่การไฟฟ้าส่วนภูมิภาคและบริษัทใหญ่ที่ไอ-ซีเคียวเคยมีการพาดหัวข่าวไป

ที่มา: bleepingcomputer

อัปเดตกรณีการรั่วไหลข้อมูลจาก wongnai.com เกี่ยวข้องกับ RedMart Lazada กระทบบริการ Eatigo ด้วย

จากข่าวเกี่ยวกับ Wongnai security incident ที่ไอ-ซีเคียวมีการรายงานไปก่อนหน้า (https://www.

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer