Exploit สำหรับโจมตีช่องโหว่การตรวจสอบสิทธิ์ของ GoAnywhere MFT ถูกปล่อยออกมาแล้ว
ล่าสุด Exploit code สำหรับโจมตีช่องโหว่ authentication bypass ระดับ Critical ในซอฟต์แวร์ GoAnywhere MFT (Managed File Transfer) ของ Fortra ซึ่งจะทำให้ผู้โจมตีสามารถสร้างชื่อผู้ใช้ที่เป็นผู้ดูแลระบบบนอินสแตนซ์ที่มีช่องโหว่ผ่านทางพอร์ทัลของผู้ดูแลระบบได้ (more…)
กลุ่ม Clop ransomware กำลังเลียนแบบวิธีการของกลุ่ม ALPHV ransomware โดยการสร้างเว็บไซต์สำหรับเผยแพร่ข้อมูลที่ถูกขโมยมาของเหยื่อ ที่สามารถเข้าถึงได้บนอินเทอร์เน็ตสาธารณะ ทำให้ข้อมูลที่ถูกขโมยมาถูกเข้าถึงได้ง่ายขึ้น และสร้างความกดดันกับเหยื่อให้ยอมจ่ายค่าไถ่มากขึ้น
เมื่อกลุ่ม ransomware โจมตีเป้าหมาย ขั้นแรกมันจะขโมยข้อมูลจากเครือข่ายของเหยื่อ แล้วจึงเข้ารหัสไฟล์ โดยข้อมูลที่ถูกขโมยมานี้จะถูกใช้เป็นช่องทางในการข่มขู่เหยื่อว่าข้อมูลจะถูกเผยแพร่ออกสู่สาธาณะ ถ้าหากไม่ยอมจ่ายค่าไถ่ (more…)
หลังจากการหยุดปฏิบัติการไปหลายเดือนตั้งแต่ช่วงเดือนพฤศจิกายนจนถึงกุมภาพันธ์ ตอนนี้ Clop ransomware กลับมาแล้ว จากรายงานของนักจัยจาก NCC Group
"CL0P กลับมาอยู่ในระดับแนวหน้าของภัยคุกคามจากแรนซัมแวร์ โดยเพิ่มขึ้นจากการที่มีความเคลื่อนไหวน้อยที่สุดในเดือนมีนาคม มาเป็นมีความเคลื่อนไหวมากที่สุดลำดับที่สี่ในเดือนเมษายน"
ปฏิบัติการที่เพิ่มขึ้นนี้ถูกพบหลังจากกลุ่ม CL0P เพิ่มรายการเหยื่อรายใหม่กว่า 21 รายภายในเดือนเมษายนเพียงเดือนเดียว บนไซต์ที่ใช้รายงานข้อมูลรั่วไหลของเหยื่อของพวกเขา
"มีความเปลี่ยนแปลงที่น่าสนใจในการรายงานในเดือนเมษายน ในขณะที่ Lockbit 2.0 มีเหยื่อ 103 ราย และ Conti มีเหยื่อ 45 ราย ซึ่งยังคงเป็นกลุ่มผู้โจมตีที่มากที่สุด กลุ่มเป้าหมายที่ตกเป็นเหยื่อจากการโจมตีของ CL0P กลับเพิ่มขึ้นอย่างมากจาก 1 รายเป็น 21 ราย" กลุ่ม NCC กล่าว
โดยเป้าหมายมากที่สุดของกลุ่ม CL0P คือภาคอุตสาหกรรม โดยคิดเป็น 45% จากการโจมตี และอีก 27% คือกลุ่มเป้าหมายบริษัทเทคโนโลยี ด้วยเหตุนี้ NCC Group จึงแจ้งเตือนองค์กรต่างๆ ที่อยู่ในกลุ่มเป้าหมายของกลุ่ม ransomware ให้เฝ้าระวัง และเตรียมความพร้อม
อย่างไรก็ตาม กลุ่ม CL0P ransomware กลับดูเหมือนจะไม่มีการเคลื่อนไหวมากนักหลังจากที่ปล่อยรายชื่อเหยื่อรวดเดียวกว่า 21 รายดังกล่าว
ในขณะที่เหยื่อรายล่าสุดได้รับการยืนยันว่าเป็นการโจมตีครั้งใหม่ แต่ในอีกทฤษฎีหนึ่งก็คือกลุ่ม CL0P อาจยุติปฏิบัติการแล้วจริงๆหลังจากที่หยุดปฏิบัติการไปหลายเดือน โดยการเผยแพร่ข้อมูลของเหยื่อล่าสุด คือเหยื่อที่ยังไม่ได้ถูกปล่อยข้อมูลออกมาก่อนหน้านี้ ซึ่งก็คล้ายกันกับกลุ่ม Conti ที่กำลังทำอยู่ซึ่งเป็นส่วนหนึ่งของการยุติปฏิบัติการ
ในขณะที่มุ่งเป้าโจมตีไปที่เหยื่อทั่วโลกตั้งแต่ปี 2019 (เหยื่อบางราย ได้แก่ Maastricht University, Software AG IT, ExecuPharm และ Indiabulls) กลุ่ม CL0P ก็ยังถูกเชื่อมโยงเข้ากับการโจมตี Accellion ในการโจมตี Accellion กลุ่ม CL0P ได้ทำการขโมยข้อมูลจำนวนมากจากหลายบริษัทที่มีชื่อเสียงโดยใช้ File Transfer Appliance (FTA) ของ Accellion
ต่อมา CL0P ใช้ข้อมูลที่ขโมยมาเพื่อเรียกค่าไถ่กับบริษัท โดยบีบให้ต้องจ่ายค่าไถ่จำนวนมากเพื่อไม่ให้ข้อมูลถูกเผยแพร่ รายชื่อบริษัทที่ถูกขโมยข้อมูลจาก Accellion FTA ได้แก่ บริษัทพลังงานยักษ์ใหญ่อย่าง Shell, บริษัทรักษาความปลอดภัยทางไซเบอร์ Qualys, ซูเปอร์มาร์เก็ตยักษ์ใหญ่ Kroger และมหาวิทยาลัยหลายแห่งทั่วโลก( University of Colorado, University of Miami, Stanford Medicine, University of Maryland บัลติมอร์ (UMB) และมหาวิทยาลัยแคลิฟอร์เนีย)
ที่มา : bleepingcomputer