Cisco ออกคำแนะนำสำหรับลูกค้าเพื่อลดความเสี่ยงจากการโจมตีโดยวิธีการ password-spraying ที่กำลังมุ่งเป้าหมายไปที่บริการ Remote Access VPN (RAVPN) บนอุปกรณ์ไฟร์วอลล์ Cisco Secure (more…)

Marina Bay Sands (MBS) รีสอร์ท และคาสิโนหรูในสิงคโปร์ได้เปิดเผยการละเมิดข้อมูล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้า 665,000 คน

ตามแถลงการณ์ เหตุการณ์การโจมตีเกิดขึ้นในวันที่ 20 ตุลาคม และผู้ไม่หวังดีสามารถเข้าถึงข้อมูลของสมาชิก MBS loyalty ได้

โดยแถลงการณ์ระบุว่า “Marina Bay Sands ได้รับทราบเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูลในวันที่ 20 ตุลาคม 2023 โดยพบว่าผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสมาชิกโปรแกรมสะสมแต้มของลูกค้าบางส่วนประมาณ 665,000 คนในวันที่ 19 และ 20 ตุลาคม 2023”

ประเภทของข้อมูลที่เปิดเผยในการละเมิดข้อมูลมีดังต่อไปนี้:

ชื่อ
ที่อยู่อีเมล
หมายเลขโทรศัพท์มือถือ
หมายเลขโทรศัพท์
ประเทศที่อยู่อาศัย
หมายเลขสมาชิก และระดับ
ข้อมูลดังกล่าวอาจช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายลูกค้า MBS ในการหลอกลวงประเภทต่าง ๆ เช่น การฟิชชิง และการโจมตีแบบ social engineering
โดยบริษัทระบุว่าจากหลักฐานในปัจจุบันคาดว่าสมาชิกคาสิโน (Sands Rewards Club) ไม่ได้รับผลกระทบจากเหตุการณ์นี้ โดยลูกค้า MBS ที่ข้อมูลส่วนบุคคลของตนรั่วไหลจะได้รับแจ้งเกี่ยวกับการละเมิด และผลกระทบเป็นรายบุคคล

โดยหลังจากการพบเหตุการณ์นี้ MBS ได้รายงานต่อเจ้าหน้าที่ในสิงคโปร์ และประเทศอื่น ๆ ที่เกี่ยวข้อง

แม้ว่าขอบเขตของการโจมตีจะไม่ได้รับการชี้แจงต่อสาธารณะ แต่การโจมตีอาจเกี่ยวข้องกับการโจมตีด้วย ransomware ซึ่งผู้ไม่หวังดีมักขโมยข้อมูลจากเครือข่ายของบริษัทจากนั้นจึงพยายามขู่กรรโชกทรัพย์จากเหยื่อ

อย่างไรก็ตาม ยังไม่มีกลุ่ม ransomware รายใดที่ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี Marina Bay Sands

BleepingComputer ได้ติดต่อ MBS เพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ทาง MBS ปฏิเสธที่จะให้ความเห็นเพิ่มเติมจากรายละเอียดในแถลงการณ์อย่างเป็นทางการ

ที่มา: bleepingcomputer

การโจมตีด้วยแรนซัมแวร์ ESXiArgs ตัวใหม่กำลังปฏิบัติการเข้ารหัสข้อมูลจำนวนมาก และยังทำให้การกู้คืนเครื่อง VMware ESXi ที่ถูกเข้ารหัสทำได้ยากขึ้นมาก

เมื่อวันศุกร์ที่ผ่านมา พบการโจมตีด้วยแรนซัมแวร์ที่เข้ารหัสเซิร์ฟเวอร์ VMware ที่เข้าถึงได้จากอินเทอร์เน็ตมากกว่า 3,000 เครื่อง โดยการใช้แรนซัมแวร์ ESXiArgs ตัวใหม่

ในรายงานเบื้องต้นระบุว่าอุปกรณ์ถูกโจมตีผ่านทางช่องโหว่เก่าของ VMware SLP อย่างไรก็ตามเหยื่อบางรายระบุว่าถึงแม้มีการปิดการใช้งาน SLP บนอุปกรณ์ไปแล้ว ก็ยังคงถูกโจมตี และเข้ารหัสได้อยู่ดี

เมื่อโจมตีสำเร็จ สคริปต์ encrypt.

Entrust บริษัทยักษ์ใหญ่ด้านความมั่นคงปลอดภัยดิจิทัล ยืนยันว่าได้รับความเสียหายจากการโจมตีทางไซเบอร์ โดยผู้โจมตีได้เจาะเครือข่าย และขโมยข้อมูลจากระบบภายในออกไป Entrust เป็นบริษัทรักษาความปลอดภัยทางด้าน identity management, บริการเข้ารหัสสำหรับการสื่อสาร, ความปลอดภัยทางด้าน digital payments และ ID issuance solutions การโจมตีครั้งนี้อาจส่งผลกระทบต่อองค์กรต่างๆจำนวนมากที่ใช้งาน Entrust สำหรับการจัดการข้อมูลประจำตัว และการตรวจสอบสิทธิ์ ซึ่งขึ้นอยู่กับว่ามีข้อมูลประเภทใดบ้างที่ถูกขโมยออกไป รวมไปถึงหน่วยงานต่างๆของรัฐบาลสหรัฐฯ เช่น กระทรวงพลังงาน กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลัง กระทรวงสาธารณสุขและบริการมนุษย์ กรมกิจการทหารผ่านศึก กรมวิชาการเกษตร และองค์กรอื่นๆ อีกมากมาย แฮ็กเกอร์เจาะเครือข่ายของ Entrust ได้ในเดือนมิถุนายน เมื่อประมาณสองสัปดาห์ก่อน BleepingComputer ได้รับข้อมูลว่า Entrust ถูกโจมตีเมื่อวันที่ 18 มิถุนายน และแฮ็กเกอร์ขโมยข้อมูลของบริษัทออกไปด้วยระหว่างการโจมตี อย่างไรก็ตาม จนกระทั่งเมื่อวานนี้ (21 กรกฎาคม 2565 ) การโจมตีดังกล่าวถึงได้รับการยืนยันว่าเกิดขึ้นจริง เมื่อนักวิจัยด้านความปลอดภัย Dominic Alvieri ได้ทวีตรูปการแจ้งเตือนถึงการถูกโจมตีที่ส่งไปยังลูกค้าของ Entrust เมื่อวันที่ 6 กรกฎาคมจาก Entrust CEO Todd Wilkinson ข้อความระบุว่า “เมื่อวันที่ 18 มิถุนายน บริษัทได้พบว่ามีบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงระบบบางระบบของเราที่ใช้สำหรับการดำเนินงานภายใน เราพยายามทำงานอย่างหนักเพื่อแก้ไขสถานการณ์นี้มาโดยตลอด”
“ปัจจุบันบริษัทกำลังทำการตรวจสอบอย่างต่อเนื่อง มีเอกสารบางอย่างถูกนำออกไปจากระบบของเรา บริษัทจะติดต่อกับลูกค้าโดยตรงหากมีข้อมูลที่เชื่อได้ว่าจะส่งผลต่อความปลอดภัยของผลิตภัณฑ์ และบริการที่ให้กับองค์กรของลูกค้า"
Entrust ให้ข้อมูลกับ BleepingComputer ว่าพวกเขากำลังทำงานร่วมกับ บริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำ และหน่วยงานบังคับใช้กฎหมายเพื่อตรวจสอบการโจมตี
"แม้ว่าการสืบสวนจะยังคงดำเนินอยู่ แต่จนถึงขณะนี้ยังไม่พบหลักฐานว่ามีปัญหาที่จะส่งผลกระทบต่อผลิตภัณฑ์ และการรักษาความปลอดภัยของเรา ผลิตภัณฑ์ และบริการเหล่านี้จะทำงานอยู่แยกจากระบบภายในของบริษัท ซึ่งยังสามารถให้บริการได้ตามปกติ” Entrust ให้ข้อมูลกับ BleepingComputer

กลุ่ม Ransomware
แม้ว่าประกาศ และคำกล่าวของ Entrust กับ BleepingComputer ไม่ได้บอกรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว แต่ BleepingComputer คาดว่ากลุ่มผู้โจมตีน่าจะเป็นกลุ่มแรนซัมแวร์ที่รู้จักกันดี เป็นผู้อยู่เบื้องหลังการโจมตีครั้งนี้

ที่มา : bleepingcomputer

 

 

 

 

กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป

ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน

แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม

ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”

(more…)

เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)

ในช่วงวันอาทิตย์ที่ผ่านมา กลุ่ม Lapsus$ ได้โพสต์ภาพแคปเจอร์หน้าจอบนช่องทาง Telegram ของพวกเค้า โดยระบุว่าสามารถแฮ็กเซิร์ฟเวอร์ Azure DevOps ของ Microsoft ได้และอ้างว่ามีซอร์สโค้ดของ Bing, Cortana และ Project ภายในอื่นๆ อีกหลายอย่าง

ต่อมาในช่วงวันจันทร์ กลุ่มแฮ็คเกอร์ได้โพสต์ข้อมูล torrent ไฟล์ ที่เป็นไฟล์ 7zip ขนาด 9 GB ที่มีซอร์สโค้ดมากกว่า 250 projects ที่อ้างว่าเป็นของ Microsoft โดยกลุ่ม Lapsus$ อ้างว่าข้อมูล 90% เป็นซอร์สโค้ดของ Bing และประมาณ 45% เป็นซอร์สโค้ดของ Bing Maps และ Cortana

(more…)

FujiFilm หรือที่รู้จักในชื่อ Fuji เป็นกลุ่มบริษัทข้ามชาติของญี่ปุ่นที่มีสำนักงานใหญ่อยู่ในกรุงโตเกียว ประเทศญี่ปุ่น เมื่อเริ่มต้นบริษัท Fuji เป็นผู้จัดจำหน่ายฟิล์ม และกล้อง ภายหลังจากที่บริษัทเติบโตขึ้นก็มีการทำธุรกิจทางด้านยา อุปกรณ์จัดเก็บข้อมูล เครื่องถ่ายเอกสาร และเครื่องพิมพ์ รวมไปถึงกล้องดิจิตอลในปัจจุบันด้วย โดย Fuji เป็นบริษัทที่ทำรายได้ถึง 20.1 พันล้านดอลลาร์ในปี 2020 และมีพนักงานมากถึง 37,151 คนทั่วโลก

วันที่ 2/6/21 FUJIFILM ประกาศว่าสำนักงานใหญ่ในโตเกียวถูกโจมตีด้วยแรนซัมแวร์ ในวันอังคารที่ 1/6/21 และกำลังดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตจากภายนอกบริษัท มีการปิดเครือข่ายบางส่วน และตัดการเชื่อมต่อจากภายนอก โดยมีการประสานงานไปยังสาขาต่าง ๆ ทั่วโลก

นอกจากนี้ทาง FUJIFILM USA ได้ประกาศบนเว็บไซต์ โดยระบุว่าเนื่องจากระบบเครือข่ายบางส่วนกำลังประสบปัญหา ทำให้ส่งผลกระทบต่อระบบอีเมลและโทรศัพท์

FUJIFILM ยังไม่ได้มีการระบุถึงกลุ่มแรนซัมแวร์ที่ทำการโจมตี แต่ทาง Vitali Kremez ซีอีโอของ Advanced Intel ได้บอกกับแหล่งข่าว BleepingComputer ว่า FUJIFILM พบการติดโทรจัน Qbot เมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอาจส่งผลกระทบถึงการโจมตีในครั้งนี้และปัจจุบันกลุ่มมัลแวร์ Qbot มีการทำงานร่วมกับกลุ่มแรนซัมแวร์ REvil และในอดีตเคยร่วมมือกับกลุ่มแรนซัมแวร์ ProLock และ Egregor อีกด้วย

แม้ว่าแรนซัมแวร์จะถูกใช้งานมาตั้งแต่ปี 2555 แล้ว แต่เมื่อเร็วๆ นี้ การโจมตีบริษัท Colonial Pipeline ท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดของสหรัฐ และบริษัท JBS ผู้ผลิตเนื้อวัวรายใหญ่ที่สุดของโลก ทำให้การโจมตีนี้กลับได้รับความสนใจจากทั่วโลก โดยรัฐบาลสหรัฐฯ ได้มีการจัดตั้งคณะทำงานขึ้นเพื่อแนะนำนโยบายและแนวทางในการต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

Nitro PDF เป็นแอปพลิเคชันที่ช่วยช่วยในการแก้ไขเอกสาร PDF และทำการลงนามในเอกสารดิจิทัล ซึ่งเป็นแอปพลิเคชันที่มีลูกค้าประเภทธุรกิจมากกว่า 10,000 รายและผู้ใช้ที่ได้รับใบอนุญาตประมาณ 1.8 ล้านคน ทั้งนี้ฐานข้อมูลที่ถูกปล่อยรั่วไหลขนาดนี้มีขนาด 14GB ซึ่งมีข้อมูล 77,159,696 รายการ ซึ่งประกอบไปด้วยอีเมลของผู้ใช้, ชื่อเต็ม, รหัสผ่านที่แฮชด้วย bcrypt, ชื่อบริษัท, IP Addresses และข้อมูลอื่นๆ ที่เกี่ยวข้องกับระบบ

การถูกละเมิดระบบ Nitro PDF ถูกรายงานครั้งแรกเมื่อปีที่แล้ว โดยการบุกรุกส่งผลกระทบต่อองค์กรที่มีชื่อเสียงหลายแห่งเช่น Google, Apple, Microsoft, Chase และ Citibank ซึ่งทาง Nitro PDF ได้แถลงเมื่อตุลาคม 2020 ว่าไม่มีข้อมูลลูกค้าได้รับผลกระทบ อย่างไรก็ตามในเวลาต่อมา BleepingComputer ได้พบฐานข้อมูลที่ถูกกล่าวหาว่ามีความเกี่ยวกับผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ ถูกประมูลพร้อมกับเอกสาร 1TB ในราคาเริ่มต้นที่ 80,000 ดอลลาร์

ปัจจุบันแฮกเกอร์ที่อ้างว่าอยู่เบื้องหลังกลุ่ม ShinyHunters ได้ปล่อยฐานข้อมูลดังกล่าวในฟอรัมแฮกเกอร์ โดยกำหนดราคาไว้ที่ 3 ดอลลาร์ (ประมาณ 90บาท) สำหรับการเข้าถึงลิงก์ดาวน์โหลดข้อมูลทั้งหมดของผู้ใช้ Nitro PDF จำนวน 70 ล้านรายการ

ทั้งนี้ผู้ใช้งาน Nitro PDF สามารถเช็คว่าข้อมูลของตนเองถูกรั่วไหลได้ที่บริการ Have I Been Pwned: haveibeenpwned และควรทำการเปลี่ยนรหัสผ่านที่ใช้ซ้ำกับบริการ Nitro PDF

ที่มา: bleepingcomputer

Paradise Ransomware แพร่กระจายด้วยไฟล์แนบอีเมลแบบใหม่

ผู้โจมตีได้เริ่มส่งไฟล์แนบ Excel Web Query (ไฟล์นามสกุล IQY) ในแคมเปญ Phishing เพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware บนเหยื่อที่ไม่ระวัง ทั้งนี้ Paradise Ransomware ค่อนข้างเก่าแก่ เกิดขึ้นตั้งเเต่ช่วงเดือนกันยายน 2017 มีการรายงานครั้งแรกโดยเหยื่อในเว็บบอร์ด BleepingComputer ตั้งแต่นั้นมาก็มีผู้ตกเป็นเหยื่ออย่างต่อเนื่องจาก ransomware ตัวนี้ในแคมเปญสแปมใหม่ที่ตรวจพบโดย บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ต LastLine ผู้โจมตีที่ใช้ Paradise Ransomware ถูกพบว่ากำลังส่งอีเมลที่อ้างว่าเป็น offers orders หรือ keys โดยไฟล์แนบคือไฟล์ IQY ที่เมื่อเปิดการเชื่อมต่อกับ URL ที่มีคำสั่ง PowerShell ที่จะถูกดำเนินการเพื่อดาวน์โหลดและติดตั้ง Paradise Ransomware

ไฟล์แนบ IQY มันเป็นเพียงไฟล์ข้อความที่สั่งให้ Excel เรียกใช้คำสั่ง และแสดงผลลัพธ์ใน Excel spreadsheet ปัญหาคือไฟล์เหล่านี้ยังสามารถนำเข้าข้อมูลจาก URLs ที่มีสูตร Excel ที่สามารถเปิดใช้งาน local applications เช่น คำสั่ง PowerShell บนคอมพิวเตอร์ของเหยื่อ
ไฟล์แนบ IQY แบบนี้มีประสิทธิภาพมาก เนื่องจากสิ่งที่แนบมาเป็นเพียงไฟล์ข้อความที่ไม่มีรหัสที่เป็นอันตราย ซึ่งอาจทำให้ตรวจจับได้ยากขึ้นโดยซอฟต์แวร์ความปลอดภัย

เนื่องจาก IQY เหล่านี้ไม่มี Payload (เป็นแค่ URL) พวกมันเป็นสิ่งท้าทายให้องค์กรตรวจจับ องค์กรอาจต้องพึ่งพาบริการด้าน URL ของ 3rd party ที่มีชื่อเสียง หากพวกเขาไม่มีเครื่องมือในการวิเคราะห์และตรวจสอบ URL เหล่านี้ LastLine อธิบายไว้ในรายงานของพวกเขา นอกจากว่าคุณใช้ไฟล์ IQY โดยเฉพาะในองค์กรของคุณหรือที่บ้าน ขอแนะนำให้คุณบล็อคไฟล์เหล่านั้นด้วยซอฟต์แวร์ความปลอดภัย หรือลบอีเมลที่ใช้มันเป็นไฟล์แนบ ไฟล์แนบ IQY ที่ส่งทางอีเมลจากคนที่ไม่รู้จักมักจะเป็นอันตรายและควรถูกลบทิ้ง

ที่มา : bleepingcomputer