Ryuk ransomware is the top threat for the healthcare sector

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

ช่องโหว่ในไลบรารียอดนิยม Play Core ทำให้ผู้ใช้ Android มีความเสี่ยงจากการถูกขโมยข้อมูลที่มีความสำคัญ

นักวิจัยด้านความปลอดภัยจาก Check Point ได้เปิดเผยถึงช่องโหว่ในไลบรารี Play Core ซึ่งเป็นไลบรารีของ Android ยอดนิยมที่ช่วยให้นักพัฒนาสามารถจัดการโมดูลและฟีเจอร์ใหม่ได้อย่างมีประสิทธิภาพ โมดูลนี้ถูกใช้ในแอปพลิเคชันยอดนิยมมากมายรวมถึง Grindr, Bumble, OkCupid, Cisco Teams, Moovit, Yango Pro, Microsoft Edge, Xrecorder และ PowerDirector ด้วยช่องโหว่จากไลบรารีนี้จะทำให้ผู้ใช้ Android ตกอยู่ในความเสี่ยงต่อการถูกขโมยข้อมูลที่ละเอียดอ่อน เช่น อีเมล และรหัสผ่านที่ใช้ทางการเงิน เป็นต้น

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-8913 (CVSSv3: 8.8/10) จะส่งผลกระทบกับ Android ไลบรารี Play Core เวอร์ชันก่อน 1.7.2. โดยผู้ประสงค์ร้ายสามารถใช้ประโยชน์จากช่องโหว่เพื่อโหลดและรันโค้ดที่เป็นอันตราย (เช่นไฟล์ APK) ไปยังแอปที่เป็นเป้าหมาย และส่งผลให้ผู้โจมตีสามารถขโมยรายละเอียดการเข้าสู่ระบบ, รหัสผ่าน, SMS ยืนยันที่มีโค้ด 2FA, รายละเอียดทางการเงินและข้อมูลที่ละเอียดอ่อนอื่น ๆ ของผู้ใช้

นักวิจัยยังกล่าวอีกว่าในปัจจุบันพบว่าแอปพลิเคชันบน Google Play จำนวน 13% ที่มีความเสี่ยงและจากข้อมูลการวิเคราะห์ในเดือนกันยายน 2020 ที่ผ่านมาพบว่า 8% ของแอปเหล่านั้นมีเวอร์ชันของไลบรารีที่มีช่องโหว่

หลังจากเปิดเผยรายงานผู้พัฒนาแอปพลิเคชันบางรายได้เริ่มทยอยการอัปเดตแอปพลิเคชันแล้ว ทั้งนี้ผู้ใช้ Android ควรทำการอัปเดตแอปพลิเคชันที่ใช้งานให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อจากผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: thehackernews | bankinfosecurity

This Asia-Pacific Cyber Espionage Campaign Went Undetected for 5 Years

แคมเปญจารกรรม “Aria-body” ทำการจารกรรมลับ ๆ ในประเทศเอเชียแปซิฟิกเป็นเวลา 5 ปีโดยไม่ถูกตรวจพบ

จากรายงานการสอบสวนของนักวิจัยจาก Check Point ได้ได้รายงานว่ากลุ่ม Naikon APT ซึ่งเป็นกลุ่มแฮกเกอร์จีนนั้นอยู่เบื้องหลังแคมเปญจารกรรมไซเบอร์โดยมีเป้าหมายทำการจารกรรมข้อมูลหน่วยงานของรัฐบาลในประเทศออสเตรเลีย, อินโดนีเซีย, ฟิลิปปินส์, เวียดนาม, ไทย, พม่าและบรูไน จากการยืนยัน Check Point พบว่าการทำการจารกรรมนี้ได้ทำการอย่างลับ ๆ และไม่ถูกตรวจพบเป็นเวลาอย่างน้อย 5 ปี

Check Point ได้กล่าวอีกว่าช่วง 5 ปีที่ผ่านมานั้นกลุ่ม Naikon APT ได้ใช้แบ็คดอร์ที่ชื่อว่า "Aria-body" ทำการจารกรรมข้อมูลและใช้ควบคุมเครือข่ายภายในขององค์กรที่ตกเป็นเป้าหมาย

Check Point ระบุว่า “Aria-body” เป็นแบ็คดอร์ที่มีความซับซ้อนซึ่งตัวมันมีสามารถค้นหาและรวบรวมเอกสารเฉพาะจากระบบของเครือข่ายที่ถูกบุกรุก ในระยะแรกมัลแวร์จะแสกนไฟล์บนเครื่องเพื่อรวบรวมข้อมูลของคอมพิวเตอร์ที่ติดไวรัสเครือข่าย จากนั้นมัลแวร์จะทำการขโมยข้อมูลเช่นถ่ายรูป, screenshots, ข้อมูลต่าง และทำการ keylogger เป้าหมายจากนั้นทำการส่งกลับไปหาเซิพเวอร์ C2 ของกลุ่ม Naikon APT

ทั้งนี้ผู้ใช้งานทั่วไปหรือผู้ดูแลระบบควรทำการระมัดระวังในการใช้งานอินเตอร์เน็ต ไม่โหลดไฟล์หรือเข้าเว็บไซต์ที่ไม่รู้จักเพื่อลดความเสี่ยงจากการติดมัลแวร์ ในส่วนของข้อมูล IOC ที่เกี่ยวข้องกับปฏิบัติการสามารถดูเพิ่มเติมได้จากแหล่งที่มาข่าว

ที่มา: thehackernews

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.

New adware attack bombard phones & prevent users from disabling ads

นักวิจัยจาก Check Point พบ Adware ตัวใหม่ที่เรียกว่า LightsOut ในแอพพลิเคชั่นอย่างน้อย 22 รายการ บน Google Play Store ขณะนี้แอพพลิเคชั่นเหล่านี้ถูกนำออกไปเรียบร้อยแล้ว แต่พบว่ามีการดาวน์โหลดไปแล้วอย่างน้อย 1.5 ล้านครั้ง

แอพพลิเคชั่นเหล่านี้จะมีการฝังสคริปท์ที่เป็นอันตราย เมื่อมีความพยายามที่จะกำหนดค่าเพื่อให้หยุดการแสดงโฆษณาดังกล่าว จะทำให้สคริปท์ที่ฝังไว้ทำงาน และไอคอนของแอพพลิเคชั่นจะถูกซ่อนไว้เพื่อป้องกันการถูกลบจากอุปกรณ์ นักวิจัยของ Check Point ได้มีวิดีโอเพื่อแสดงให้เห็นถึงวิธีการต่างๆที่ทำให้มัลแวร์ตัวนี้เปิดโฆษณาขึ้นมาบนมือถือ เช่น หลังจากวางสาย, การปลดล็อกหน้าจอ, การชาร์จ หรือการเปิดใช้งาน Wi-Fi

Check Point ได้มีการเปิดเผยมัลแวร์ตัวนี้ผ่านบล็อกของตัวเองเมื่อวันที่ 5 มกราคม และแนะนำให้เลือกดาวน์โหลดแอพพลิเคชันที่น่าเชื่อถือเท่านั้น รวมถึงแนะนำให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนมือถือ

ที่มา : hackread

พบช่องโหว่ Quadrooter ในชิป Qualcomm Snapdragon มือถือ Android

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานช่องโหว่ในชิปของ Qualcomm ซึ่งเป็นผู้ผลิตชิปสำหรับโทรศัพท์มือถือ/แท็บเล็ตที่ได้รับความนิยม โดยช่องโหว่ที่พบนี้ ส่งผลให้อุปกรณ์ Android ที่ใช้งานชิปของ Qualcomm (ซีพียู Snapdragon) สามารถถูก root เครื่องได้หากติดตั้งแอปพลิเคชันอันตราย

ปัญหาของช่องโหว่ที่พบนี้คือแอปพลิเคชันใน Android สามารถเจาะผ่านช่องโหว่ของชิปได้โดยไม่จำเป็นต้องขอสิทธิ์ (Permission) จากระบบปฏิบัติการ นั่นทำให้การตรวจสอบสิทธิ์ก่อนติดตั้งแอปพลิเคชันนั้นไม่สามารถช่วยแยกแยะได้ว่าเป็นแอปพลิเคชันอันตรายหรือไม่

ช่องโหว่ที่นักวิจัยค้นพบมีทั้งหมด 4 จุด ทาง Qualcomm แจ้งว่าได้ประสานงานกับทาง Google เพื่อออกแพตช์แก้ไขช่องโหว่ไปกับแพตช์ของระบบปฏิบัติการ Android แล้ว โดยใน Android ที่อัปเดตแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2559 จะได้รับการแก้ไขช่องโหว่ไปแล้ว 3 จุด ส่วนช่องโหว่อีก 1 จุดที่เหลือจะถูกแก้ไขในอัปเดตประจำเดือนกันยายน 2559 รายการของบางส่วนของอุปกรณ์ได้รับผลกระทบ Samsung Galaxy S7 and Samsung S7 Edge, Sony Xperia Z Ultra, OnePlus One, OnePlus 2 and OnePlus 3, Google Nexus 5X, Nexus 6 and Nexus 6P, Blackphone 1 and Blackphone 2, HTC One, HTC M9 and HTC 10, LG G4, LG G5, and LG V10, New Moto X by Motorola, BlackBerry Priv

ที่มา: thehackernews

Critical Vulnerability Found in Magento eCommerce Platform

Magento มีช่องโหว่ Remote Code Execution (RCE) ซึ่งเป็นช่องโหว่ที่สำคัญ และมีผลกระทบต่อร้านค้าออนไลน์จำนวนมาก ถ้ามีการใช้ประโยชน์จากช่องโหว่นี้อาจทำให้แฮกเกอร์สามารถโจมตีร้านค้าออนไลน์ที่ใช้ Magento ได้ รวมถึงสามารถเข้าถึงข้อมูลบัตรเครดิต และข้อมูลการเงินอื่นๆ ของลูกค้า