มัลแวร์ Botnet เวอร์ชันอัปเดต ชื่อ "Prometei" ได้แพร่กระจายไปมากกว่า 10,000 ระบบทั่วโลกตั้งแต่เดือนพฤศจิกายน 2022

การแพร่กระจายที่เกิดขึ้น มีรายงานว่าเหยื่อส่วนใหญ่อยู่ในประเทศบราซิล, อินโดนีเซีย และตุรกี

Prometei ถูกพบครั้งแรกในปี 2016 โดยเป็น Botnet ที่มีส่วนประกอบจำนวนมาก และมีหลากหลายวิธีในการการแพร่กระจาย เช่น การใช้ช่องโหว่ ProxyLogon ของ Microsoft Exchange Server

มีข้อสันนิษฐานเกี่ยวกับผู้โจมตีที่อยู่เบื้องหลังว่าอาจมีความเชื่อมโยงกับประเทศรัสเซีย เนื่องจาก Prometei หลีกเลี่ยงที่จะโจมตีเหยื่อที่อยู่ในประเทศรัสเซีย (more…)

Coinbase แพลตฟอร์มการแลกเปลี่ยน cryptocurrency ชื่อดัง ออกมายอมรับว่าถูกแฮ็กเกอร์ขโมยข้อมูลการเข้าสู่ระบบของพนักงาน เพื่อพยายามเข้าถึงระบบของบริษัทจากภายนอก

ผลจากการโจมตีทำให้แฮ็กเกอร์ได้ข้อมูลติดต่อของพนักงาน Coinbase จำนวนหนึ่ง โดยข้อมูลทางการเงิน และข้อมูลของลูกค้ายังไม่ได้รับผลกระทบ

รายละเอียดการโจมตี

แฮ็กเกอร์มุ่งเป้าไปที่ engineer ของ Coinbase จำนวนมาก ในวันอาทิตย์ที่ 5 กุมภาพันธ์ โดยมีการส่งข้อความแจ้งเตือนทาง SMS เพื่อให้ล็อกอินเข้าสู่บัญชีของบริษัทเพื่ออ่านข้อความสำคัญ โดยที่พนักงานส่วนใหญ่ไม่ได้สนใจข้อความ แต่มีพนักงานคนหนึ่งคลิกลิงก์ไปยังหน้าฟิชชิ่ง และมีการป้อนข้อมูล credentials

ขั้นตอนต่อไป แฮ็กเกอร์พยายามเข้าสู่ระบบภายในของ Coinbase โดยใช้ข้อมูล credentials ที่ถูกขโมยไป แต่ล้มเหลวเนื่องจากการเข้าถึงได้รับการป้องกันด้วย multi-factor authentication (MFA) และ 20 นาทีต่อมา แฮ็กเกอร์ก็เปลี่ยนไปใช้กลยุทธ์อื่น โดยโทรหาพนักงาน และอ้างว่าติดต่อมาจากทีม IT ของ Coinbase และสั่งให้เหยื่อลงชื่อเข้าใช้งานระบบ และทำตามคำแนะนำ

CSIRT ของ Coinbase ตรวจพบพฤติกรรมที่ผิดปกติภายใน 10 นาทีนับตั้งแต่เริ่มการโจมตี และติดต่อเหยื่อเพื่อสอบถามเกี่ยวกับพฤติกรรมล่าสุดที่ผิดปกติจากบัญชี หลังจากนั้นพนักงานก็ตระหนักว่ามีบางอย่างผิดปกติ และหยุดการสื่อสารกับผู้โจมตี

การป้องกัน

Coinbase ได้แชร์ TTPs ที่สามารถใช้เพื่อระบุการโจมตีที่คล้ายกัน และเพื่อป้องกันการโจมตีดังกล่าว:

การเข้าใช้งาน web traffic ไปยังที่อยู่ : sso-[.]com, sso[.]com, login.

นักวิจัยด้านความปลอดภัย พบว่าแฮกเกอร์สามารถทำให้เจ้าของบัญชี OpenSea ไม่มียอดคงเหลือใน Wallets ได้โดยการล่อให้เหยื่อคลิก NFT art ที่เป็นอันตราย

OpenSea เป็นตลาดซื้อขาย, ประมูล non-fungible tokens (NFTs) และสินทรัพย์ดิจิทัลอื่นๆ ที่ใหญ่ที่สุดในโลก ด้วยมูลค่าธุรกรรมถึง 3.4 พันล้านดอลลาร์

ปัญหาเกิดจากที่แพลตฟอร์ม OpenSea สามารถทำให้แฮกเกอร์โจมตีบัญชีผู้ใช้ และขโมยกระเป๋าเงินดิจิตอล (Wallets) ด้วยวิธีการง่ายๆ คือการสร้าง NFT ที่มี payload ที่เป็นอันตราย และรอให้เหยื่อคลิกดู โดยพบผู้ใช้หลายราย แจ้งว่า กระเป๋าเงินดิจิทัล (Wallets) ว่างเปล่า หลังจากได้รับโฆษณาจาก OpenSea ซึ่งเป็นกลยุทธ์ทางการตลาดที่เรียกว่า "airdropping" ที่ใช้เพื่อโปรโมท Asset ใหม่ๆ

นักวิจัยจาก Check Point ได้ตัดสินใจตรวจสอบวิธีการทำงานของแพลตฟอร์มอย่างละเอียด และตรวจหาช่องโหว่ ซึ่งมีสรุปการโจมตีดังนี้:

แฮ็กเกอร์ทำการสร้าง และส่ง NFT ที่เป็นอันตรายให้แก่เหยื่อ
เมื่อเหยื่อเปิดดู NFT ที่เป็นอันตราย จะเรียกป๊อปอัปจากโดเมนการจัดเก็บของ OpenSea และขอเชื่อมต่อกับกระเป๋าเงิน Cryptocurrency ของเหยื่อ
เหยื่อคลิกเพื่อเชื่อมต่อกระเป๋าเงินของตัวเอง และดำเนินการกับ NFT ที่ส่งให้ ซึ่งทำให้แฮ็กเกอร์สามารถเข้าถึงกระเป๋าเงินของเหยื่อได้
แฮ็กเกอร์สามารถรับเงินในกระเป๋าเงินได้โดยเปิดป๊อปอัปเพิ่มเติม ซึ่งส่งมาจากโดเมนการจัดเก็บของ OpenSea โดยเหยื่อมีแนวโน้มที่จะคลิกป๊อปอัปโดยไม่อ่านข้อความที่อธิบายธุรกรรมที่เกิดขึ้น

รายละเอียดการตรวจสอบข้อผิดพลาด

บัญชี OpenSea ต้องมีการเชื่อมต่อกระเป๋าเงิน cryptocurrency ของ third-party นักวิจัยจึงเลือกใช้ MetaMask ที่ได้รับความนิยมมากที่สุด โดยการเชื่อมต่อกับ wallet จะเกิดขึ้นเมื่อมีการดำเนินการใดๆ กับบัญชี รวมถึงการกดถูกใจงานศิลปะ (NFT art) ในระบบ ซึ่งจะทำให้เกิดคำขอลงชื่อเข้าใช้ Wallet

แพลตฟอร์ม OpenSea เปิดให้ทุกคนสามารถขายงานศิลปะดิจิทัล เป็นไฟล์ขนาดใหญ่ได้ถึง 40MB โดยมีนามสกุลดังต่อไปนี้: JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF ทีมนักวิจัย Check Point จึงได้อัปโหลดภาพ SVG ที่มีโค้ด JavaScript ที่เป็นอันตรายไปยังระบบ OpenSea เมื่อคลิกเพื่อเปิดในแท็บใหม่ จะสังเกตเห็นว่าไฟล์ทำงานภายใต้โดเมนย่อย 'storage.

มีการเปิดเผยหลักฐานใหม่ ที่เกี่ยวข้องกับการโจมตีการแลกเปลี่ยนสกุลเงินดิจิทัลในช่วง 3 ปีที่ผ่านมา โดยคาดกันว่าแฮกเกอร์ได้รับการสนับสนุนจากประเทศเกาหลีเหนือ ซึ่งการโจมตีดังกล่าวมีความเป็นไปได้ที่จะเกี่ยวข้องกับกลุ่ม Lazarus (aka APT38 or Hidden Cobra)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ของอิสราเอล ClearSky กล่าวว่าแคมเปญนี้มีชื่อว่า "CryptoCore" ซึ่งกำหนดเป้าหมายการโจมตีเป็นการแลกเปลี่ยนคริปโตในอิสราเอล, ญี่ปุ่น, ยุโรปและสหรัฐอเมริกา ส่งผลให้มีการขโมยสกุลเงิน มูลค่าหลายล้านดอลลาร์ การค้นพบนี้เป็นผลมาจากการปะติดปะต่อจากรายงานที่คล้ายคลึงกันซึ่งมีรายละเอียดจากทาง F-Secure, CERT JPCERT / CC และ NTT Security ในช่วงไม่กี่เดือนที่ผ่านมา

นับตั้งแต่ปี 2552 กลุ่ม Hidden Cobra ได้ดำเนินการจารกรรมสกุลเงินดิจิทัล โดยมีการกำหนดเป้าหมายให้สอดคล้องกับผลประโยชน์ทางเศรษฐกิจและภูมิรัฐศาสตร์ของเกาหลีเหนือ ซึ่งส่วนใหญ่เน้นไปทางการเงินเพื่อหลีกเลี่ยงการคว่ำบาตรระหว่างประเทศ ซึ่งไม่กี่ปีที่ผ่านมาได้ขยายการโจมตีเพิ่มเติมไปที่อุตสาหกรรมการป้องกันและการบินและอวกาศ

CyptoCore หรือ CryptoMimic, Dangerous Password, CageyChameleon, และ Leery Turtle, ไม่ได้มีความแตกต่างกันมาก โดยกลุ่ม Lazarus ซึ่งมุ่งเน้นไปที่การขโมยสกุลเงินดิจิทัลเป็นหลักเช่นกัน ในปี 2018 มีการใช้ประโยชน์จาก spear-phishing เพื่อเป็นการขโมยรหัสผ่านและบัญชีของเหยื่อเพื่อทำการโอนเงินไปยังบัญชีของผู้โจมตี

ปัจจุบันกลุ่ม Lazarus มีการขโมยเงินไปแล้วประมาณ 200 ล้านดอลลาร์ตามรายงานของ ClearSky ที่เผยแพร่ในเดือนมิถุนายน 2020 ซึ่งเชื่อมโยง CryptoCore กับเหยื่อ 5 รายที่อยู่ในสหรัฐอเมริกา ญี่ปุ่น เมื่อรวมกับงานวิจัยล่าสุดแสดงให้เห็นว่าการดำเนินการดังกล่าวส่งผลกระทบเป็นวงกว้างมากกว่าที่บันทึกไว้ก่อนหน้านี้ รวมถึงมีการพัฒนาการโจมตีหลายส่วนไปพร้อม ๆ กันอีกด้วยในปัจจุบัน

ที่มา : thehackernews

Kaspersky ออกรายงานเกี่ยวกับความเคลื่อนไหวล่าสุดของกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ Lazarus Group ซึ่งพุ่งเป้าโจมตีธุรกิจในกลุ่มผู้ผลิตอาวุธและเทคโนโลยีป้องกันประเทศในช่วงปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลลับ ด้วยมัลแวร์ตัวใหม่ที่ถูกเรียกว่า ThreatNeedle

ในการโจมตีนั้น ผู้โจมตีจะทำการเข้าถึงระบบของเป้าหมายโดยอีเมลฟิชชิ่งที่มีลักษณะของเนื้อหาแอบอ้างสถานการณ์ COVID-19 จากนั้นจะมีการติดตั้งมัลแวร์ ThreatNeedle ซึ่งเคยมีประวัติในการถูกใช้เพื่อโจมตีธุรกิจในกลุ่ม Cryptocurrency ในปี 2018

มัลแแวร์ ThreatNeedle มีฟังก์ชันที่ครบเครื่อง ตัวมัลแวร์สามารถทำการยกระดับสิทธิ์ในระบบได้ด้วยตัวเอง มีการแยกส่วนของตัว Launcher และโค้ดของมัลแวร์ออกจากกันโดยส่วน Launcher จะเป็นตัวถอดรหัสและโหลดโค้ดของมัลแวร์จริง ๆ ไปทำงานในหน่วยความจำ

Kaspersky ยังค้นพบด้วยว่าผู้โจมตีมีการเข้าถึงระบบภายในผ่าน ThreatNeedle เพื่อเข้ามาแก้ไขการตั้งค่าของ Router ภายใน ในกรณีที่มีการทำ Network segmentation โดยแฮกเกอร์จะสร้าง Tunnel ด้วยโปรโตคอล SSH เพื่อส่งข้อมูลที่ขโมยมา กลับไปยังเซิร์ฟเวอร์ที่ถูกแฮกในเกาหลีใต้

ผู้ที่สนใจข้อมูลเพิ่มเติมสามารถดู Security advisory ได้จากรายงานของ Kaspersky ที่ ics-cert

ที่มา: .bleepingcomputer

กลุ่มเเฮกเกอร์ Lazarus กำหนดเป้าหมายการโจมตีในบริษัท Cryptocurrency โดยทำการโจมตีผ่านข้อความ LinkedIn

นักวิจัยด้านความปลอดภัยจาก F-Secure Labs ได้เปิดเผยถึงแคมเปญใหม่จากกลุ่มแฮกเกอร์เกาหลีเหนือ “Lazarus” หรือที่รู้จักในชื่อ HIDDEN COBRA ทำการใช้ LinkedIn ในทำแคมเปญการโจมตีด้วย Spear phishing โดยเป้าหมายของแคมเปญครั้งนี้คือกลุ่มบริษัทที่ทำธุรกรรมประเภท Cryptocurrency และสกุลเงินดิจิทัลที่อยู่ในประเทศสหรัฐอเมริกา, สหราชอาณาจักร, เยอรมนี, สิงคโปร์, เนเธอร์แลนด์, ญี่ปุ่นและประเทศอื่น ๆ

นักวิจัยด้านความปลอดภัยกล่าวว่าแคมเปญการโจมตีของกลุ่ม Lazarus นั้นได้พุ่งเป้าโจมตีบริษัท Cryptocurrency โดยการแนบ Microsoft Word ที่ฝังโค้ดมาโครไว้ จากนั้นส่งผ่านบริการ LinkedIn ไปยังเป้าหมาย เมื่อเป้าหมายเปิดเอกสาร ลิงค์ของ bit[.]ly ที่ฝังอยุ่จะทำงานและทำการดาวน์โหลดมัลแวร์และทำการติดต่อ C&C เพื่อใช้ในการควมคุมเหยื่อ ซึ่งเมื่อสามารถเข้าควบคุมเครื่องของเหยื่อได้แล้ว กลุ่มเเฮกเกอร์จะทำการปิด Credential Guard จากนั้นจะใช้ Mimikatz เพื่อรวบรวม Credential ของผู้ใช้และทำการใช้ข้อมูลดังกล่าวเพื่อเข้าสู่ระบบและหาประโยชน์ต่อไป

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบไฟล์ที่เเนบมากับลิงค์หรืออีเมลทุกครั้งที่ทำการเปิดเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย ซึ่งอาจจะทำให้เกิดความเสียหายต่อระบบและอาจต้องสูญเสียทรัพย์สิน

ที่มา:

bleepingcomputer.

นักวิเคราะห์ของ Cybersecurity and Infrastructure Security Agency (CISA) ได้ทำการรบรวม Signature ที่ทำการตรวจพบและได้รับความนิยมสุงสุดในเดือนพฤษภาคมที่ผ่านมา โดยข้อมูลที่ทำการรวบรวมนั้นทำการรวบรวามผ่านระบบตรวจจับการบุกรุกแห่งชาติ หรือ National Intrusion Detection System (IDS) ซึ่งเป็นที่รู้จักกันในชื่อ “EINSTEIN” โดยรายละเอียดและ Signature ที่ถูกพบมากที่สุดมีดังนี้

NetSupport Manager Remote Access Tool (RAT) เป็นเครื่องมือการเข้าถึงจากระยะไกลที่ถูกกฏหมาย โดยซอฟต์แวร์ซึ่งเมื่อทำการติดตั้งบนเครื่องของเหยื่อแล้วจะอนุญาตให้ทำการควบคุมได้จากระยะไกลและสามารถทำการขโมยข้อมูลได้
Kovter เป็นโทรจันที่มีหลายสายพันธุ์ มีลักษณะคล้ายแรนซัมแวร์และมักถูกพบการใช้โดยผู้ประสงค์ร้ายที่ต้องการดำเนินการหลอกลวงผู้ใช้งานที่เป็นเป้าหมายให้ทำการติดเชื้อจากนั้นจะทำการขโมยข้อมูลจากเครื่องเป้าหมายไปยังเซิร์ฟเวอร์ C2 ของผู้ดำเนินการ
XMRig เป็นประเภทของ miner cryptocurrency ที่ใช้ทรัพยากรของเครื่องที่ติดเชื้อทำการขุด Monero ซึ่งอาจทำให้คอมพิวเตอร์ที่เป็นเหยื่อมีความร้อนสูงเกินไปและทำให้ไม่สามารถใช้ทรัพยากรระบบได้ดีหรือบางครั้งก็ไม่สามารถใช้งานได้
CISA ได้ออกคำเเนะนำและเเนวทางปฏิบัติสำหรับองค์กรเพื่อหลีกเลี่ยงจากภัยคุกความข้างต้น

ทำการปรับปรุงและอัพเดต signature ของซอฟต์แวร์ป้องกันไวรัสอยู่เสมอ
ทำการตรวจสอบให้เเน่ใจว่าระบบมีการอัพเดตแพตซ์เป็นเวอร์ชั่นล่าสุด
จำกัดสิทธ์และบังคับใช้นโยบายการติดตั้งและการเรียกใช้งานซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
บังคับใช้นโยบายการใช้รหัสผ่านที่คาดเดาได้ยาก
ใช้ความระมัดระวังเมื่อเปิดสิ่งที่แนบมากับอีเมล แม้ว่าสิ่งที่แนบมาและดูเหมือนว่าจะผู้ส่งจะเป็นที่รู้จัก
เปิดใช้งานไฟร์วอลล์
ตรวจสอบพฤติกรรมการการใช้เข้าเว็บไซต์ของผู้ใช้ รวมถึงการเข้าถึงเว็บไซต์ที่มีเนื้อหาไม่เอื้ออำนวย
ใช้ความระมัดระวังเมื่อใช้ USB
สแกนซอฟต์แวร์ทั้งหมดที่ดาวน์โหลดจากอินเทอร์เน็ตก่อนดำเนินการเปิดหรือติดตั้ง
ทั้งนี้ผู้ที่สนใจ Snort Signature ที่กล่าวมาข้างต้นสามารถเข้าไปดูได้จากแหล่งที่มา

ที่มา: us-cert

กลุ่มเเฮกเกอร์ CryptoCore ทำการขโมยเงิน $200M จากระบบเเลกเปลื่ยนเงิน Cryptocurrency ออนไลน์

ผู้เชี่ยวชาญจาก ClearSky ระบุว่ากลุ่มแฮกเกอร์ CryptoCore ทำการขโมยเงินจำนวน 200 ล้านดอลลาร์จากการโจมตีระบบการแลกเปลี่ยน cryptocurrency ออนไลน์

ผู้เชี่ยวชาญจาก ClearSky กล่าวว่ากลุ่ม CryptoCore หรือที่รู้จักกันในนาม ”Crypto-gang“, “Dangerous Password” และ “Leery Turtle” นั้นเป็นกลุ่มที่มีเป้าหมายในการโจมตีกลุ่มบริษัทที่รับทำการแลกเปลี่ยน cryptocurrency หลังจากทำการโจมตีกลุ่ม CryptoCore จะทำการเพื่อให้เข้าถึง wallet และทำการขโมยเงินออกไป โดยคาดว่ามียอดเงินจากการทำการโจมตีและขโมยเป็นจำนวนเงินมากกว่า 200 ล้านดอลลาร์

ผู้เชี่ยวชาญยังกล่าวอีกว่ากลุ่ม CryptoCore นั้นใช้มักใช้ช่องทางฟิชชิ่งในการโจมตี โดยทำการปลอมตัวเป็นพนักงานที่มีตำเเหน่งสูงหรือผู้บริหารองค์กรที่มีการเชื่อมต่อกับพนักงานเป้าหมาย จากนั้นทำการส่งอีเมลฟิชชิ่งโดยการพยายามหลอกล่อเหยื่อให้ติดตั้งมัลแวร์บนคอมพิวเตอร์ของตน ซึ่งจะสามารถทำให้ผู้โจมตีทำการขโมยหรือเข้าถึงบัญชีและรหัสผ่านของเหยื่อ จากนั้นโจมตีจะใช้รหัสผ่านที่ถูกขโมยเพื่อเข้าถึงบัญชี wallet ของเหยื่อทำการปิดการตรวจสอบหลายปัจจัยและเริ่มโอนเงินออกจาก wallet

ข้อเเนะนำ
ผู้ใช้งานควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการเปิดอ่านหรือทำการดาวน์โหลดไฟล์ที่เเนบมากับอีเมล เพื่อป้องกันผู้ไม่ประสงค์ดีทำการขโมยบัญชีและรหัสผ่านของผู้ใช้

ที่มา: securityaffairs

แฮกเกอร์ข่มขู่จะโจมตีธนาคารในออสเตรเลียด้วย DDOS หากไม่จ่ายค่าไถ่
แฮกเกอร์ได้ทำการส่งอีเมลไปยังธนาคารในออสเตรเลียเพื่อเรียกค่าไถ่จำนวนมากใน Monero เเละจะทำการโจมตีด้วย DDoS หากไม่ได้ในสิ่งที่พวกเขาต้องการ ธนาคารและองค์กรอื่นๆ จากภาคการเงินของออสเตรเลียตกเป็นเป้าหมายของการขู่กรรโชกมากมายในช่วงสัปดาห์ที่ผ่านมา กลุ่มผู้คุกคามได้ส่งอีเมลถึงผู้ที่ตกเป็นเหยื่อของภัยคุกคามว่าจะโจมตีแบบ distributed denial of service (DDoS) จนกว่าองค์กรจะจ่ายค่าไถ่จำนวนมากใน cryptocurrency สกุล Monero (XMR)
ภัยคุกคามที่องค์กรออสเตรเลียได้รับในช่วงสัปดาห์ที่ผ่านมา เป็นส่วนหนึ่งของแคมเปญเรียกค่าไถ่ransom denial of service (RDoS) ซึ่งเริ่มขึ้นในเดือนตุลาคม 2562 ณ เวลานั้นความพยายามกรรโชกในครั้งแรกๆ มีธนาคารเป็นเป้าหมาย และบริษัทอื่นๆในภาคการเงิน ภัยคุกคามเหล่านี้มีความหลากหลาย และแฮกเกอร์ก็ตั้งเป้าไปที่กลุ่มอุตสาหกรรมอื่นๆด้วย
จากความต้องการเรียกค่าไถ่กับธนาคารในสิงคโปร์และแอฟริกาใต้, ภายหลังภัยคุกคามนี้ก็ได้ทำเเบบเดียวกัน กับบริษัทโทรคมนาคมในตุรกี,ผู้ให้บริการอินเทอร์เน็ตในแอฟริกาใต้ และการพนันออนไลน์ และพอร์ทัลการพนันออนไลน์ทั่วเอเชียตะวันออกเฉียงใต้ ,นี่เป็นเพียงรายชื่อเป้าหมายที่ถูกโจมตีไม่กี่ชื่อ การขู่กรรโชกยังคงดำเนินต่อไปในเดือนต่อๆ มา และแฮ็กเกอร์ขยายการดำเนินงานอย่างเป็นระบบ เพื่อกำหนดเป้าหมายหลายสิบประเทศจากทุกทวีปทั่วโลก
กลุ่มผู้อยู่เบื้องหลังการโจมตีนี้ มีการเปลี่ยนชื่อตามที่พวกเขาได้ลงนามไว้ ในอีเมลการขู่กรรโชกอย่างสม่ำเสมอ ตอนแรกพวกเขาใช้ชื่อ Fancy Bear หลังจากนั้นพวกเขาก็เปลี่ยนไปใช้ Cozy Bear, ชื่ออื่นที่ใช้ ได้แก่ Anonymous, Carbanak และ Emotet ทั้งหมดนี้เป็นชื่อของการแฮ็คและการปฏิบัติการอาชญากรรมไซเบอร์ที่เป็นที่รู้จัก ผู้คุกคามที่อยู่เบื้องหลังการโจมตีนี้ หวังว่าผู้ที่ตกเป็นเหยื่อจะค้นหาชื่อเหล่านี้ทางออนไลน์ หลังจากที่ได้รับภัยคุกคามทางอีเมลจากพวกเขา Google เเสดงผลลัพธ์การค้นหาหลายพันรายการสำหรับคำเหล่านี้ และแฮกเกอร์ก็หวังว่าสิ่งนี้จะช่วยสร้างความน่าเชื่อถือให้กับการคุกคามของพวกเขา และโน้มน้าวให้ผู้ที่ตกเป็นเหยื่อจ่ายค่าไถ่
ในการเเจ้งเตือนภัยคุกคามเมื่อปีที่แล้ว Radware ผู้ให้บริการบรรเทาสาธารณภัย DDoS แนะนำผู้ที่ตกเป็นเหยื่อที่ได้รับอีเมลการขู่กรรโชก DDoS ประเภทนี้ว่าไม่ต้องจ่าย แต่ให้ติดต่อบริษัทรักษาความปลอดภัยไซเบอร์แทน
Australian Signals Directorate's Australian Cyber Security Centre (ASCS) แนะนำให้องค์กรเตรียมพร้อมสำหรับการโจมตีล่วงหน้าก่อนที่จะเกิดขึ้น เพราะเหตุการณ์เช่นนี้อาจตอบสนองได้ยากเมื่อการโจมตีเริ่มต้นขึ้น องค์กรที่เตรียมตัวดีควรจะสามารถทำงานได้อย่างมีประสิทธิภาพแม้จะมีภัยคุกคามเหล่านี้ และ DoS ใดๆก็ตาม ที่อาจเกิดขึ้น ASCS กล่าว

ที่มา : zdnet

นักวิจัยพบการโจมตีเพื่อติดตั้ง Cryptocurrency mining โดยอาศัยช่องโหว่ BlueKeep

BlueKeep (CVE-2019-0708) คือช่องโหว่ wormable เพื่อมันสามารถแพร่กระจายโดยตัวมันเองจากเครื่องหนึ่งสู่อีกเครื่องโดยที่เหยื่อไม่ต้องมีการโต้ตอบใดๆ การพบในครั้งนี้เกิดจากการที่ EternalPot RDP honeypot ของ Kevin Beaumont เกิดหยุดทำงานและทำการรีบูตตัวเอง จากการตรวจสอบจึงทำให้พบการโจมตีเพื่อแพร่กระจาย Cryptocurrency mining ดังกล่าว การค้นพบในครั้งนี้นับว่าเป็นการประยุกต์ใช้ช่องโหว่ BlueKeep เพื่อใช้ในการโจมตีอย่างจริงจังเป็นครั้งแรก

อย่างไรก็ตาม Microsoft ได้ปล่อยแพทช์สำหรับช่องโหว่ออกมาก่อนหน้านี้แล้ว หากยังสามารถทำการอัพเดตแพทช์ได้ สามารถทำตามข้อแนะนำดังต่อไปนี้:

ปิดการใช้งาน RDP services ถ้าไม่จำเป็น
บล็อก port 3389 ที่ใช้ firewall หรือสร้างการเชื่อมต่อให้ผ่านเฉพาะ private VPN
เปิดการใช้งาน Network Level Authentication (NLA) เป็นการป้องกันบางส่วนสำหรับการโจมตีที่ไม่ได้รับอนุญาต

ที่มา : thehackernews