LockBit เกิดปัญหาภายใน ทำให้ไฟล์ที่ใช้สร้าง Ransomware ถูกเผยแพร่ออกสู่สาธารณะ

ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศอัปเกรดตัวเองเป็นเวอร์ชัน 3.0 ซึ่งในครั้งนี้มีการเพิ่มฟีเจอร์ใหม่ ๆ เข้ามา เช่น ป้องกันการวิเคราะห์ และตรวจสอบจากอุปกรณ์ต่างๆ, เพิ่มรางวัลกับผู้ที่เจอบั๊กของโปรแกรม รวมไปถึงเพิ่มวิธีการใหม่ ๆ ในการโจมตี

อย่างไรก็ตาม ในวันที่ 21 กันยายนที่ผ่านมา 3xp0rt ผู้เชี่ยวชาญด้าน Cybersecurity ได้โพสบน Twitter ว่าพบบัญชีสร้างใหม่ที่มีชื่อว่า "Ali Qushji" ซึ่งอ้างว่าตน และทีมได้แฮ็กเซิฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0

หลังจากที่ 3xp0rt แชร์ทวีตไม่นาน ก็มีทีมงานผู้เชี่ยวชาญอีกกลุ่มที่ชื่อว่า VX-Underground ได้แชร์ทวีตในลักษณะเดียวกัน โดยระบุว่าตนได้รับการติดต่อจากผู้ที่อ้างว่ามีข้อมูล Builder ของ LockBit 3.0 เช่นกัน

ต่อมาตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็ก ข้อมูลที่ถูกเผยแพร่มาจากทีม Developer ที่มีปัญหากันเองภายในกลุ่ม

ลักษณะการทำงาน

จากการตรวจสอบไฟล์ Builder ที่ถูกเผยแพร่ออกมา พบว่าผู้ใช้งานสามารถสร้าง Ransomware ที่ใช้ในการโจมตีขึ้นมาได้อย่างรวดเร็ว ซึ่งในไฟล์ที่ถูกสร้างนั้นประกอบไปด้วยเครื่องมือที่ใช้ในการเข้ารหัส, เครื่องมือถอดรหัส, รวมไปถึง Tools พิเศษอื่น ๆ ที่ใช้ในการถอดรหัส
เมื่อตรวจสอบ Builder พบว่าประกอบด้วย 4 ไฟล์หลัก ๆ ได้แก่

เครื่องมือ Generate Key ที่ใช้สำหรับการเข้ารหัส
Builder ที่ใช้ในการสร้าง Execute File
Configuration Files ที่ผู้ใช้งานสามารถปรับแก้ไขให้ตรงตามที่ต้องการได้
Batch File สำหรับสร้าง File ทั้งหมดที่ผู้ใช้งานกำหนดไว้

ในไฟล์ config.

อัปเดตสถานการณ์ SolarWinds: ทำความรู้จักมัลแวร์ SUNSPOT ฝังตัวแอบแก้ซอร์สโค้ด, ความเชื่อมโยงกับรัสเซียและการประกาศขายข้อมูล

ทีม Intelligent Response ข้อสรุปสถานการณ์ที่เกี่ยวข้องกับ SolarWinds ที่เกิดขึ้นในช่วงวันที่ 11-13 มกราคม 2021 ตามรายละเอียดดังนี้

CrowdStrike เผยแพร่รายงานการตรวจสอบการบุกรุกระบบของ SolarWinds เพื่อฝังโค้ดของมัลแวร์ SUNBURST ลงไปในแพลตฟอร์ม SolarWinds Orion ผลการตรวจสอบพบการบุกรุกและการมีอยู่ของมัลแวร์ชื่อ SUNSPOT ซึ่งรับหน้าที่ในการฝังมัลแวร์ SUNBURST อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่เหตุการณ์การโจมตี SolarWinds
Kaspersky มีการเปิดเผยรายงานการวิเคราะห์ความเชื่อมโยงของโค้ดของมัลแวร์ SUNBURST กับมัลแวร์ Kazuar ซึ่งถูกใช้โดยกลุ่มแฮกเกอร์ Turla แม้จะมีส่วนของโค้ดที่มีลักษณะเหมือนหรือคล้ายคลึงกัน การตัดสินความเชื่อมโยงจากผู้เกี่ยวข้องกับ SUNBURST เข้ากับกลุ่มแฮกเกอร์ Turla ซึ่งเป็นผู้พัฒนามัลแวร์ Kazuar ก็ยังไม่สามารถสรุปได้อย่างแน่ชัด อ่านข้อมูลในส่วนนี้เพิ่มเติมได้ที่รายละเอียด Threat actor
เว็บไซต์ solarleaks[.]net ประกาศขายข้อมูลของ Microsoft, Cisco, FireEye และ SolarWinds ซึ่งทั้งหมดเป็นเหยื่อของการโจมตี Supply-chain attack จาก SolarWinds อย่างไรอ้างอิงจากการตรวจสอบโดย Joseph Cox ซึ่งเป็นผู้สื่อข่าวได้ Cybersecurity ของ Motherboard ระบุว่าเว็บไซต์ดังกล่าวมีความน่าเชื่อถือต่ำ อีกทั้งยังไม่มีหลักฐานว่าได้มีการครอบครองข้อมูลจริง
ที่มา: crowdstrike | securelist | bleepingcomputer | twitter.

ทำความรู้จัก “Have I Been Emotet” บริการตรวจเช็คอีเมลและโดเมนว่าเกี่ยวข้องกับการแพร่กระจายของมัลแวร์ Emotet หรือไม่

TG Soft บริษัท Cybersecurity สัญชาติอิตาลีเปิดตัวบริการ Have I Been Emotet เพื่อให้ผู้ใช้งานสามารถค้นความเกี่ยวข้องของอีเมลและโดเมนเนมว่าเคยถูกใช้โดยมัลแวร์ Emotet ในการแพร่กระจายหรือไม่

เมื่อกรอกโดเมนหรืออีเมลให้กับบริการ Have I Been Emotet และตรงกับผลลัพธ์ในฐานข้อมูล ผลลัพธ์จากบริการสามารถได้รับประเภท เช่น ในกรณีที่อีเมลปรากฎผลลัพธ์เป็น "Real sender" จะหมายถึงระบบที่มีการใช้อีเมลดังกล่าวถูกโจมตีและอีเมลถูกนำมาใช้เพื่อแพร่กระจาย ผลลัพธ์ "Fake sender" หมายถึงอีเมลถูกเอามาใช้ในการแพร่กระจายเฉย ๆ ไม่มีการโจมตีระบบ และ "Recipient" หมายถึงอีเมลซึ่งอาจเคยได้รับอีเมลปลอมที่มีการแนบมัลแวร์ Emotet มาด้วย

สามารถทดลองใช้บริการได้ฟรีที่ haveibeenemotet

ที่มา : bleepingcomputer

รัฐบาลอังกฤษตรวจโค้ดในเฟิร์มแวร์ของอุปกรณ์ Huawei พบโค้ดไม่ทำตาม Secure Coding Guideline เป็นจำนวนมาก

โครงการ Huawei Cyber Security Evaluation Centre (HCSEC) ซึ่งถูกจัดตั้งขึ้นโดยรัฐบาลอังกฤษเปิดเผยความคืบหน้าล่าสุดในกระบวนการตรวจสอบโค้ดของเฟิร์มแวร์ซึ่งจะถูกใช้ในเครือข่ายโทรศัพท์ของอังกฤษประจำปี 2020 อ้างอิงจากรายการ HCSEC พบปัญหารวมไปถึงช่องโหว่มากกว่าผลลัพธ์ซึ่งเกิดขึ้นจากการตรวจสอบในครั้งก่อน

จากรายงานของ HCSEC ส่วนหนึ่งของรายงานมีการระบุว่า "พบหลักฐานซึ่งบ่งชี้่ให้เห็นว่า Huawei ยังคงไม่สามารถปฏิบัติตามข้อปฏิบัติในการเขียนโค้ดให้ปลอดภัยได้" ทั้งนี้แม้จะมีการตรวจพบปัญหาที่มากขึ้น โดยปัญหาที่ตรวจพบนั้นมีตั้งแต่ช่องโหว่ stack overflow ในส่วนของโปรแกรมที่สามารถเข้าถึงได้จากสาธารณะ การทำงานของโปรโตคอลซึ่งเมื่อถูกโจมตีแล้วอาจนำไปสู่เงื่อนไขของ DoS หรือแม้กระทั่งปัญหาที่เกิดจาก default credential

รายงานของ HCSEC ไม่ได้มีการระบุถึงการตรวจพบ "ความตั้งใจในการฝังโค้ดอันตราย" เอาไว้ในอุปกรณ์ ทั้งนี้ในแวดวง Cybersecurity นั้น การตั้งใจสร้างช่องโหว่ (bugdoor) ก็ถือเป็นการกระทำอย่างหนึ่งที่ให้ผลลัพธ์ได้เทียบเท่ากับการฝังช่องทางลับ (backdoor) ไว้ในโค้ด ผู้ที่ล่วงรู้วิธีการโจมตีช่องโหว่แบบ bugdoor อยู่ก่อนแล้วสามารถใช้ช่องโหว่ดังกล่าวในการโจมตีแและหาผลประโยชน์ได้

ผลลัพธ์ของรายงานโดย HCSEC จะถูกส่งกลับไปยัง Huawei เพื่อนำไปแก้ปัญหาต่อไป

ที่มา : theregister