กลุ่ม Black Basta ransomware จากรัสเซีย กวาดรายได้จากการเรียกค่าไถ่ไปแล้วอย่างน้อย 100 ล้านดอลลาร์ จากเหยื่อมากกว่า 90 รายที่ยอมจ่ายค่าไถ่ นับตั้งแต่เปิดตัวครั้งแรกในเดือนเมษายน 2022 (more…)

การโจมตีจะเริ่มต้นด้วยฟิชชิ่งอีเมล หรือแคมเปญสเปียร์ฟิชชิ่งที่มีเอกสาร Microsoft Word ที่เป็นอันตราย (.doc) พร้อมด้วยรูปภาพหลอกลวงที่ระบุว่าเป็น Windows 11 Alpha

เมื่อเหยื่อเปิดใช้งานฟังก์ชันการแก้ไขเนื้อหา (Enable Editing and Content) ก็จะเข้าสู่กระบวนการติดตั้ง โดยไฟล์ที่ฝังอยู่กับรูปภาพนั้นคือ VBA macro เมื่อเหยื่อเปิดใช้งานเนื้อหา VBA macro ก็จะทำงานทันที

VBA macro ประกอบไปด้วยข้อมูลขยะมากมาย เป็นกลยุทธ์ทั่วไปที่แฮกเกอร์ใช้เพื่อขัดขวางการวิเคราะห์ข้อมูล เมื่อดึงข้อมูลขยะออกแล้วจะเหลือเพียง VBA macro เมื่อวิเคราะห์ JavaScript เพิ่มเติมนักวิจัยได้พบว่ามี Strings ที่ซับซ้อนควบคู่ไปกับฟังก์ชันการถอดรหัสที่ซับซ้อน

นักวิจัยพบว่าแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้ สั่งให้การโจมตีนี้ไม่ทำงานสำหรับบางประเทศ ได้แก่ รัสเซีย ยูเครน ซอร์เบีย สโลวีเนีย เอสโตเนีย ซึ่งหากตรวจพบภาษาเหล่านี้ จะเรียกใช้ฟังก์ชัน me2XKr เพื่อหยุดการทำงาน

กลุ่ม FIN7 จะมุ่งเป้าการโจมตีไปที่ ภาคโทรคมนาคม การศึกษา การค้าปลีก การเงิน และการบริการในสหรัฐฯ ผ่านการโจมตีที่สร้างขึ้นอย่างตั้งใจ

นอกจากนี้ FIN7 ยังหาวิธีการหลีกเลี่ยงการตรวจจับ และบังคับใช้กฎหมายเพื่อเอาผิดพวกเขา โดยการใช้เทคนิคขั้นสูง และแปลกใหม่เพื่อขัดขวางการตรวจจับอยู่ตลอดเวลา

ในบางครั้งพบว่ากลุ่มนี้เป็นที่รู้จักกันในอีกชื่อว่า Carbanak และมีการเพิ่มกลยุทธ์การสร้างรายได้ที่หลากหลายมากขึ้น ซึ่งทำให้กลุ่มของ FIN7 สามารถขยายผลกระทบของการโจมตีได้ ส่งผลให้แฮกเกอร์กลุ่มนี้มีความได้เปรียบในการแข่งขันกับกลุ่มอื่น ๆ และยังสามารถกำหนดเป้าหมายไปยังอุตสาหกรรมที่หลากหลายได้

แม้ว่า FIN7 จะมีเทคนิคที่โดดเด่นในการขโมยข้อมูลบัตรเครดิตจำนวนมาก แต่ความทะเยอทะยานของพวกเขาไม่ได้จำกัดอยู่เพียงการขโมยข้อมูลบัตรเครดิต เพราะในขณะที่ปัจจุบันมีการเข้ารหัสแบบ end-to-end encryption (E2EE) เพื่อป้องกันไม่ให้ผู้โจมตี หรือแฮกเกอร์ได้ข้อมูลบัตรเครดิตไปได้โดยง่าย พวกเขาจึงหันไปโจมตีแผนกการเงินขององค์กรเป้าหมายแทน

จากการวิเคราะห์ของ Anomali Threat Research ที่ลงไว้เมื่อ 2 กันยายน พ.ศ. 2564 กล่าวว่า "การกำหนดเป้าหมายเฉพาะของโดเมน Clearmind ดูจะเป็นวิธีการทำงานที่ FIN7 ต้องการ" "เป้าหมายของกลุ่มคือการใช้แบ็คดอร์ในรูปแบบ JavaScript ที่คาดว่า FIN7 น่าจะใช้มาตั้งแต่ปี 2561

ที่มา : ehackingnews

สหรัฐออกกฎหมายฉุกเฉินหลัง Colonial Pipeline บริษัทผู้ดูแลท่อส่งน้ำมันฝั่งตะวันออกรายใหญ่ของสหรัฐฯ ออกประกาศว่าถูกโจมตีระบบเครือข่ายด้วย DarkSide Ransomware ส่งผลกระทบต่อการจัดหา น้ำมันเบนซิน, ดีเซล, น้ำมันเครื่องบินและผลิตภัณฑ์ปิโตรเลียมกลั่นอื่น ๆ และต้องทำการปิดท่อส่งเชื้อเพลิง 5,500 ไมล์จากเมืองฮุสตันของเท็กซัสไปยังท่าเรือนิวยอร์ก

Colonial Pipeline เป็นบริษัทที่ทำการขนส่งน้ำมันเชื้อเพลิงปริมาณ 2.5 ล้านบาร์เรลต่อวันหรือคิดเป็น 45% ของปริมาณการใช้น้ำมันดีเซล น้ำมันเบนซินและเชื้อเพลิงอากาศยานในฝั่งตะวันออกของสหรัฐฯ การโจมตีทำให้กลุ่มแฮกเกอร์ได้ข้อมูลภายในของบริษัทเกือบ 100 กิกะไบต์ และทำการเข้ารหัสคอมพิวเตอร์และเซิร์ฟเวอร์บางส่วนเพื่อเรียกค่าไถ่ ซึ่งหากบริษัทไม่ยอมจ่ายเงิน ก็จะทำการปล่อยข้อมูลดังกล่าวสู่สาธารณะ

จากรายงานของ Crowdstrike คาดว่า DarkSide เป็นฝีมือแฮกเกอร์ที่เรียกว่า Carbon Spider (aka Anunak, Carbanak หรือ FIN7) ซึ่งผู้จัดการระดับสูงและผู้ดูแลระบบเพิ่งถูกตัดสินจำคุกในสหรัฐฯเป็นเวลา 10 ปี และจากการตรวจสอบบนเว็บไซต์ของกลุ่มแฮกเกอร์ ที่ชื่อว่า DarkSide's data leak ยังพบการเผยแพร่ข้อมูลของธุรกิจน้ำมันและก๊าซอื่นๆ เช่น Forbes Energy Services และ Gyrodata
ปัจจุบันบริษัทและหน่วยงานที่เกี่ยวข้องกำลังเร่งกู้คืนระบบ และพยายามทำให้ระบบบางส่วนกลับมาให้บริการได้อย่างเต็มรูปแบบอีกครั้ง

ที่มา : thehackernews

นักวิจัยด้านความปลอดภัยจาก Netskope Threat Research Labs ตรวจพบมัลแวร์เอทีเอ็มตัวใหม่ชื่อว่า ATMJackpot (ตั้งชื่อตามเทคนิคที่เรียกว่า ATM Jackpotting) จากการตรวจสอบเบื้องต้นพบว่ามัลแวร์ดังกล่าวแพร่กระจายมาจากประเทศฮ่องกง

ATMJackpot อยู่ในช่วงพัฒนาเนื่องจากเมื่อเปรียบเทียบกับมัลแวร์ตัวอื่นๆ แล้ว ATMJackpot ยังมีคุณสมบัติบางอย่างที่จำกัดอยู่ เช่น UI ที่ใช้เป็นขั้นพื้นฐาน แสดงเฉพาะชื่อโฮสต์และข้อมูลเกี่ยวกับผู้ให้บริการ (เช่น PIN pad, card reader และผู้ให้บริการเครื่องรับฝากเช็ค) ซึ่งเป็นข้อมูลที่ค่อนข้างจำกัดเมื่อมัลแวร์สามารถอยู่ในระบบเอทีเอ็มได้

ATMJackpot ถูกพัฒนามาเพื่อการขโมยเงินจากตู้เอทีเอ็ม โดยใช้การโจมตีแบบ Logical Attack คือ ใช้มัลแวร์เพื่อควบคุมการจ่ายเงินสดจากเครื่องเอทีเอ็มซึ่งปกติแล้วมัลแวร์จะถูกส่งไปยังเครื่องเอทีเอ็มจากระยะไกลหรือผ่านทางพอร์ต USB หลังจากมีการโจมตีระบบเครือข่ายของเครื่องเอทีเอ็มสำเร็จ แต่สำหรับมัลแวร์ดังกล่าวยังไม่สามารถระบุได้ว่าเกิดจากการติดตั้งด้วยตนเองผ่าน USB บนเครื่องเอทีเอ็มหรือถูกดาวโหลดจากเครือข่ายที่ติดไวรัส

มัลแวร์ดังกล่าวถูกสังเกตเห็นครั้งแรกที่ยุโรปในปี 2014 และพบว่าผู้โจมตีใช้เทคนิค Jackpot เพิ่มขึ้นอย่างมากในปี 2017 ต่อมาในเดือนมกราคมปี 2018 กลุ่มแฮกเกอร์ชื่อ Carbanak ใช้มัลแวร์ดังกล่าวเป็นครั้งแรกในการโจมตีเครื่องเอทีเอ็มของสหรัฐอเมริกาโดยสามารถขโมยเงินได้ 1.24 ล้านเหรียญ

ที่มา : Hackread