Ramsomware Group REvil จากรัสเซียกลับมาออนไลน์อีกครั้งหลังจากหายไป 2 เดือน

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

อัปเดตล่าสุด !! จากข่าวหน่วยงานทางการแพทย์ถูกประกาศขายข้อมูลบน Darkweb

จากเหตุการณ์เมื่อวันที่ 5 กันยายน ที่ผ่านมาเกี่ยวกับพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ในประเทศไทย ถูกประกาศขายอยู่บน Darkweb ขนาด 3.75 GBจากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้อัพเดทล่าสุดเมื่อเช้าวันนี้ 7 กันยายน ทาง รมว.สธ ได้ออกมายอมรับแล้วว่าข้อมูลที่หลุดออกมานั้นเป็นข้อมูลจริง โดยจากข้อมูลที่ประกาศออกมาระบุว่า ต้นเหตุเกิดขึ้นที่โรงพยาบาลของรัฐแห่งหนึ่งในจังหวัดเพชรบูรณ์ และได้ประสานงานกับ หน่วยงานที่เกี่ยวข้อง เร่งตรวจสอบเหตุการณ์ดังกล่าว

 

ที่มา: thaipbs

พบข้อมูลหน่วยงานทางการแพทย์ในประเทศไทยถูกประกาศขายบน Dark Web

เมื่อวันอาทิตย์ที่ 5 กันยายน ที่ผ่านมาพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ใน ประเทศไทย ถูกประกาศขายอยู่บน Dark Web ขนาด 3.75 GB

โดยข้อมูลที่ถูกขายประกอบด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน วันเกิด ชื่อบิดา โรงพยาบาล ข้อมูลของหมอทั้งหมด รวมถึงพาสเวิร์ดทั่วไปของระบบในโรงพยาบาล

จากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับจากหน่วยงานว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้

Reference :  Raidforums

บัญชีผู้ใช้ Animal Jam จำนวน 46 ล้านคนถูกละเมิดและถูกแฮกเกอร์นำไปขาย Dark Web

บริษัท WildWorks ผู้พัฒนาและจัดจำหน่ายเกม Animal Jam ได้ออกแถลงการณ์ถึงการถูกละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่มีบัญชีผู้ใช้จำนวน 46 ล้านคนหลุดออกไปและถูกนำไปขาย Dark Web

ตามคำแถลงการณ์ระบุว่าแฮกเกอร์ได้ทำการละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่ถูกดูแลด้วยบริษัท third-party โดยการบุกรุกอยู่ในช่วงระหว่างวันที่ 10 ถึง 12 ตุลาคมที่ผ่านมา ซึ่งในขณะนั้นไม่ปรากฏว่ามีการเข้าถึงฐานข้อมูลของชื่อบัญชีอันเป็นผลมาจากการบุกรุกและระบบที่เกี่ยวข้องทั้งหมด อย่างไรก็ดี WildWorks ได้ทราบข่าวการขโมยฐานข้อมูล ในวันที่ 11 พฤศจิกายน 2020 เมื่อนักวิจัยด้านความปลอดภัยที่ตรวจสอบฟอรัมแฮกเกอร์ได้เห็นข้อมูลบัญชีผู้ใช้จำนวนจำนวน 7 ล้านรายการในฟอรัมของ Dark Web และทำการแจ้งเตือน WildWorks

WildWorks กล่าวว่าผู้ประสงค์ร้ายสามารถขโมย Email addresses ของบัญชีผู้ปกครองได้เป็นจำนวน 7 ล้านรายการและชื่อผู้ใช้ 32 ล้านชื่อที่เชื่อมโยงกับบัญชีผู้ปกครอง ซึ่งมีรหัสผ่านที่เข้ารหัสไว้, วันเกิด, เพศของผู้เล่นและข้อมูลอื่น ๆ ทั้งนี้ไม่มีชื่อจริงของเด็กๆ ที่เป็นส่วนหนึ่งของการละเมิดครั้งนี้

ทั้งนี้ Boris Cipot วิศวกรฝ่ายขายอาวุโสของ Synopsys ได้ออกเเจ้งเตือนผู้ใช้ให้อัปเดตรหัสผ่านทันที เพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากบัญชีที่ถูกละเมิดทำการหาประโยชน์จากผู้ใช้

ที่มา: threatpost

Ubisoft, Crytek data posted on ransomware gang’s site

แฮกเกอร์ปล่อยข้อมูลของบริษัท Ubisoft และ Crytek ที่ถูกบุกรุกลงบนเว็บพอร์ทัลใน dark web

กลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” ได้ปล่อยข้อมูลที่อ้างว่าได้รับจากเครือข่ายภายในของบริษัท Ubisoft และ Crytek ลงบนเว็บพอร์ทัลของกลุ่มตนเองใน dark web

โดยรายละเอียดของข้อมูลที่ปล่อยลงในเว็บพอร์ทัลนั้นเป็นข้อมูลที่มีการอ้างว่าเป็นข้อมูลของบริษัท Ubisoft และ Crytek ซึ่งข้อมูลที่ถูกปล่อยของบริษัท Ubisoft นั้นคือซอร์สโค้ดจากเกม Watch Dogs ภาค Legion ที่มีกำหนดจะออกวางจำหน่ายภายในปลายเดือนนี้ จำนวน20 MB ส่วนข้อมูลที่ถูกปล่อยของบริษัท Crytek นั้นปรากฏเป็นเอกสารที่ถูกขโมยจากแผนกพัฒนาเกมจำนวน 300 MB โดยภายในเอกสารมีแหล่งข้อมูลและข้อมูลเกี่ยวกับกระบวนการพัฒนาเกมเช่น Arena of Fate และ Warface อีกทั้งยังมีข้อมูลที่เกี่ยวกับเกม Gface อีกด้วย

ทั้งนี้บริษัท Ubisoft และ Crytek ยังไม่มีการเเสดงความคิดเห็นใดๆ เกี่ยวกับการปล่อยข้อมูลชุดนี้ สำหรับกลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” นั้นเป็นกลุ่มที่มักจะทำการบุกรุกเพื่อทำการละเมิดข้อมูลของบริษัทต่างๆ เพื่อทำการขโมยข้อมูล, เข้ารหัสไฟล์และเรียกค่าไถ่เพื่อถอดรหัสข้อมูลที่ถูกล็อก

ที่มา: zdnet

นักวิจัยพบข้อมูลของ Airlink International UAE ถูกปล่อยลง Dark Web

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท Cyble ได้พบการแชร์ข้อมูลซึ่งคาดว่าอาจเกิดจากการรั่วไหลของบริษัท Airlink International UAE ภายในฟอรั่มบน dark web

ข้อสันนิฐานจากนักวิจัยซึ่งคาดว่าข้อมูลถูกรั่วไหลนี้เป็นผลมาจากการคอนฟิกของเซิร์ฟเวอร์ที่ถูกกำหนดค่าไม่ถูกต้อง ซึ่งภายในเซิร์ฟเวอร์นั้นมี 60 ไดเรกทอรีที่มีไฟล์ประมาณ 5,000 ไฟล์ โดยการรั่วไหลของข้อมูลชุดนี้ถูกรายงานวันที่ 30 พฤษภาคม 2020 โดยทีม KelvinSecTeam

จากข้อมูลของ Cyble ข้อมูลที่รั่วไหลนั้นประกอบไปด้วยภาพสแกนหนังสือเดินทาง, การจองเที่ยวบิน, การจองโรงแรม, ข้อมูลการสื่อสารทางอีเมลระหว่างพนักงานและลูกค้าของ Airlink International Group และกรมธรรม์สำหรับการเดินทางระหว่างประเทศ

Cyble ได้ออกคำเเนะนำเพื่อการป้องกันเซิร์ฟเวอร์ โดยผู้ดูแลระบบควรทำการตรวจสอบดังนี้

ทำการกำหนดค่าเซิร์ฟเวอร์และทดสอบให้เเน่ใจว่าผู้ที่ไม่มีสิทธ์ในรายการไดเรกทอรีไม่สามารถเข้าถึงโดยไม่ได้รับอนุญาต
ตรวจสอบข้อมูลการ backup และไฟล์ที่ไม่ได้ถูกอ้างอิงสำหรับข้อมูลที่ละเอียดอ่อน
ทดสอบสิทธิ์การเข้าถึงของไฟล์
ทำลิสต์รายการโครงสร้างพื้นฐานและแอปพลิเคชันอินเตอร์เฟสของผู้ดูแลระบบ
ลองใช้การสแกนและทำการตรวจสอบเป็นระยะๆ เพื่อช่วยในการตรวจหาการกำหนดค่าที่ผิดพลาดในอนาคตหรือแพตช์ที่หายไป

ที่มา : securityaffairs

Iran-linked APT group Pioneer Kitten sells access to hacked networks

กลุ่ม APT อิหร่าน "Pioneer Kitten" เร่ขายข้อมูลการเเฮกเครือข่ายให้กับแฮกเกอร์รายอื่นใน Dark Web

Crowdstrike ได้ออกรายงานถึงกลุ่ม APT อิหร่านที่ชื่อว่า Pioneer Kitten หรือที่รู้จักกันในชื่อ Fox Kitten และ Parisite ได้กำลังพยายามขายข้อมูลการเข้าถึงเครือข่ายขององค์กรต่างๆ ที่ทางกลุ่มได้ทำการบุกรุกแล้วให้กับแฮกเกอร์รายอื่นใน Dark Web

ตามรายงานที่เผยแพร่โดย Crowdstrike ระบุว่ากลุ่มแฮกเกอร์ชาวอิหร่านได้ทำการโจมตี VPN ขององค์กรต่างๆ ในช่วงหลายเดือนที่ผ่านมา โดยทำการกำหนดเป้าหมายการโจมตีและหาประโยชน์จากช่องโหว่ต่างๆ ที่เกี่ยวข้องกับ VPN เช่น CVE-2018-13379 Fortinet VPN servers, CVE-2019-1579 (Palo Alto Network), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix) และ CVE-2020-5902 (F5 Networks) เมื่อสามารถบุกรุกเครือข่ายที่เป็นเป้าหมายได้แล้วกลุ่มแฮกเกอร์จะใช้ประโยชน์จาก SSH tunneling ผ่านเครื่องมือโอเพ่นซอร์สเช่น Ngrok และ SSHMinion เพื่อใช้ในการเชื่อมต่อกับมัลแวร์ที่ติดตั้งในเครือข่ายเป้าหมาย

Crowdstrike ที่ได้ติดตามกิจกรรมของกลุ่ม Pioneer Kitten พบว่าในขณะนี้กลุ่มเเฮกเกอร์ได้เริ่มทำการโฆษณาที่ทำการขายข้อมูลใน Dark Web

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบอัปเดตเเพตซ์ของซอฟต์แวร์บนอุปกรณ์ VPN ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs

แฮกเกอร์วางขายข้อมูลลูกค้าของโรงแรม MGM เป็นจำนวนกว่า 142 ล้านคนบน Dark web

ZDNet ได้ทำการเปิดเผยถึงการค้นพบข้อมูลที่มีรายละเอียดของลูกค้าของโรงแรม MGM จำนวนกว่า 142,479,937 ล้านคนบน Dark web ซึ่งถูกขายในราคาเพียง $2,900 หรือประมาณ 91,886 บาท

แฮกเกอร์อ้างว่าข้อมูลของโรงแรม MGM ที่ถูกวางขายนั้นได้รับข้อมูลมาหลังจากที่พวกเขาทำการโจมตีบริการ Data Viper ซึ่งเป็นบริการตรวจสอบการรั่วไหลของข้อมูลที่ให้บริการโดย Night Lion Security ซึ่ง Vinny Troia ผู้ก่อตั้ง Night Lion Security บอกกับทาง ZDNet ว่าบริษัทของเขาไม่เคยเป็นเจ้าของฐานข้อมูลโรงแรม MGM และแฮกเกอร์พยายามทำลายชื่อเสียงของบริษัทของเขา

อย่างไรก็ดีในปี 2019 ข้อมูลของโรงแรม MGM ได้มีการรั่วไหลจากการโจมตีจริง โดยแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์คลาวด์ของโรงแรมและขโมยข้อมูลเกี่ยวกับแขกของโรงแรมในที่เคยมาใช้บริการ โดยข้อมูลที่ถูกขโมยไปนั้นคือข้อมูลการติดต่อซึ่งประกอบไปด้วย ชื่อ, ที่อยู่ทางไปรษณีย์และอีเมล เเค่นั้นยังไม่พอแฮกเกอร์ยังสามารถทำการขโมยข้อมูลทางการเงินซึ่งประกอบไปด้วย หมายเลขประจำตัวประชาชนหรือหมายเลขประกันสังคมและรายละเอียดการจองห้องพัก ทั้งนี้ข้อมูลที่ถูกขโมยไปนี้มีจำนวน 10.6 ล้านคน

Irina Nesterovsky หัวหน้าฝ่ายวิจัยของ KELA ได้กล่าวว่าข้อมูลของโรงแรม MGM นั้นถูกเผยแพร่และถูกขายใน Dark web อย่างน้อยตั้งแต่กรกฎาคม 2562 โดยถูกขายบนฟอรัมแฮกของแฮกเกอร์รัสเซียและคาดว่าข้อมูลของ MGM เป็นข้อมูลที่เกี่ยวข้องกับแขกที่มาใช้บริการของโรงเเรมมากว่า 200 ล้านคน

ที่มา: zdnet

บัญชี Zoom มากกว่า 500,000 บัญชีถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web

บัญชี Zoom มากกว่า 500,000 บัญชีถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้พบมีบัญชี Zoom มากกว่า 500,000 รายการถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web ในราคา $0.0020 หรือ 0.065 บาท บัญชีที่ถูกขายประกอบไปด้วยรายชื่อ, ที่อยู่, อีเมลและรหัสผ่านที่เกี่ยวข้อง

Cyble ได้ระบุว่าบัญชีที่พบเหล่านี้เป็นบัญชีที่ใช้ที่อยู่, อีเมลและรหัสผ่านรวมกันผ่านเว็บไซต์ โดยข้อมูลที่พบไม่ได้ถูกขโมยจาก Zoom แต่มาจากการโจมตีด้วยเทคนิค Credential Stuffing Attacks ที่ใช้ Botnets ในการโจมตีและรวมรวมข้อมูล

Cyble ได้ทำการซื้อบัญชีมากกว่า 530,000 ที่อ้างว่าเป็นบัญชีแอคเคาท์ของ Zoom ในแฮกเกอร์ฟอรัมบน Dark Web และทำการตรวจสอบข้อมูลพบที่อยู่, อีเมล, รหัสผ่าน, Personal Meeting URL และ HostKey โดยพบว่าบัญชีเหล่านี้เป็นบัญชีของวิทยาลัยหลายแห่ง นอกจากนี้บัญชีเหล่านี้ยังมีบัญชีของบริษัททางด้านการเงิน Chase และ Citibank จากการตรวจสอบข้อมูลทางบริษัทยังสามารถยืนยันได้ว่าบัญชีเหล่านี้เป็นข้อมูลบัญชีที่ถูกต้อง

เมื่อเร็ว ๆ นี้นักวิจัยจาก IntSights ก็ได้ค้นพบฐานข้อมูลแอคเคาท์ของ Zoom ที่มี Meeting IDs, ชื่อผู้ใช้งานและ Host Key ถูกวางขายอยู่ในฟอรัมใน Dark Web เช่นกันและมีข้อมูลมากกว่า 2,300 รายการ

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ Zoom เปลี่ยนรหัสผ่านและเปลี่ยนรหัสผ่านในเว็บไซต์อื่นที่ใช้ข้อมูล ID เดียวกันกับ Zoom ผู้เชี่ยวชาญยังได้เเนะนำให้แยกข้อมูล ID ทางการใช้งานออนไลน์และการใช้รหัสผ่านที่ไม่ซ้ำกันในทุกๆ เว็บไซต์เพื่อป้องกันการละเมิดข้อมูลจากเว็บไซต์หนึ่งจะที่ส่งผลกระทบต่อคุณในเว็บไซต์อื่นๆ

ที่มา: bleepingcomputer

บัตรประจำตัวประชาชนอิหร่าน 52,000 คนพร้อมรูปเซลฟี่ถูกขายบน Dark Web

เว็บไซต์ Hackread.comได้รับรายงานเกี่ยวกับการขายรายละเอียดส่วนบุคคลของชาวอิหร่าน 45,000 บน Dark Web ใน hacking forum โดยมีชื่อผู้ใช้และหมายเลขโทรศัพท์

จากข้อมูลตัวอย่างที่ Hackread.