AnyDesk ออกมารายงานการถูกโจมตีทางไซเบอร์ ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบการผลิตของบริษัทได้ในวันที่ 2 กุมภาพันธ์ 2024 โดยทาง AnyDesk ระบุว่าการโจมตีดังกล่าวส่งผลกระทบกับระบบของ AnyDesk แค่บางส่วน หลังจากที่บริษัทได้ทำการตรวจสอบด้านความปลอดภัย และพบหลักฐานของระบบที่ถูกโจมตี โดย AnyDesk ได้แนะนำให้ผู้ใช้งานทำการเปลี่ยนรหัสผ่านหากใช้ข้อมูลเดียวกันกับที่ใช้กับที่อื่น (more…)

หน่วยงานตุลาการของรัฐแคนซัสเผยแพร่แถลงการณ์อัปเดตเกี่ยวกับเหตุการณ์การโจมตีทางไซเบอร์ที่เกิดขึ้นเมื่อเดือนที่แล้ว โดยยืนยันว่าแฮ็กเกอร์สามารถขโมยไฟล์ที่มีความสำคัญที่เป็นความลับขององค์กรออกไป

ในช่วงกลางเดือนตุลาคม 2023 หน่วยงานของศาลแคนซัสได้เปิดเผยเหตุการณ์ด้านความปลอดภัยที่ส่งผลกระทบต่อความพร้อมใช้งานของระบบต่าง ๆ รวมถึงระบบ e-Filing ของทนายความในการยื่นเอกสาร ระบบการชำระเงินทางอิเล็กทรอนิกส์ และระบบการจัดการคดีที่ศาลแขวง และศาลอุทธรณ์ใช้

หลังจากนั้นประมาณหนึ่งเดือน สถานะของระบบก็ยังไม่มีการเปลี่ยนแปลง โดยบริการเหล่านี้ยังคงขึ้นสถานะเป็นออฟไลน์

DraftKings บริษัทรับพนันทางด้านกีฬาเปิดเผยเมื่อสัปดาห์ที่ผ่านมาว่าข้อมูลลูกค้ามากกว่า 67,000 รายรั่วไหลออกมาในเหตุการณ์การโจมตีด้วยวิธีการ credential stuffing ในช่วงเดือนพฤศจิกายน

ในการโจมตีดังกล่าวมีการใช้เครื่องมือที่ช่วยในการพยายามทดลองเข้าใช้บัญชีผู้ใช้งานโดยอัตโนมัติ ด้วยการใช้ credentials (user/password) ที่ขโมยมาจากแพลตฟอร์มออนไลน์อื่น ๆ

โดยผู้โจมตีมีเป้าหมายที่จะเข้าถึงบัญชีผู้ใช้งานให้ได้มากที่สุดเพื่อขโมยข้อมูลส่วตัว และข้อมูลทางการเงิน แล้วนำไปขายต่อบน dark web

โดยบัญชีผู้ใช้งานที่ถูกเข้าถึงได้ ผู้โจมตีจะสามารถดูชื่อ, ที่อยู่, หมายเลขโทรศัพท์, ที่อยู่อีเมล, ข้อมูลเลขบัตรเครดิตสี่หลักท้าย, รูปโปรไฟล์ ข้อมูลเกี่ยวกับธุรกรรมก่อนหน้า, ยอดเงินคงเหลือในบัญชี และวันล่าสุดที่มีการเปลี่ยนรหัสผ่าน

แม้ว่าผู้โจมดีอาจเข้าถึงข้อมูลเลขบัตรเครดิตสี่หลักท้ายได้ แต่หมายเลขบัตรทั้งหมด วันหมดอายุ และหมายเลข CVV ไม่ได้ถูกจัดเก็บไว้บนระบบ โดยหลังจากตรวจพบการโจมตี DraftKings ได้ทำการรีเซ็ตรหัสผ่านของบัญชีที่ได้รับผลกระทบทั้งหมด

นอกจากนี้ บริษัทยังได้คืนเงินที่ถูกถอนออกจากการโจมตี โดยคืนเงินสูงสุดถึง 300,000 ดอลลาร์สำหรับบัญชีที่ถูกถอนเงินออกไปในเหตุการณ์ดังกล่าว

DraftKings ไม่ได้เปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับวิธีการที่ผู้โจมตีขโมยเงินออกไปจากบัญชีของผู้ใช้งาน แต่ BleepingComputer พบว่าการถูกถอนเงินออกไปนั้นถูกดำเนินการจากการที่ผู้โจมตีได้นำบัญชีที่ขโมยมาไปขายต่อในราคา $10 ถึง $35

โดยการขายบัญชีต่อยังมีคำแนะนำเกี่ยวกับวิธีที่ผู้ที่ซื้อบัญชีต่อไปสามารถถอนเงินทั้งหมดออกจากบัญชีผู้ใช้งานของ DraftKings ออกไปได้

หลังจากที่ DraftKings ประกาศการถูกโจมตีจาก credential stuffing หลังจากนั้นจึงได้ดำเนินการปิดบัญชีที่ถูกเข้าถึงไปเรียบร้อยแล้ว

คำแนะนำ

1. ไม่ควรใช้รหัสผ่านเดียวกันในหลาย ๆ แพลตฟอร์ม
2. เปิดใช้งาน 2FA ในบัญชีต่าง ๆ และยกเลิกการเชื่อมกับบัญชีธนาคาร

ที่มา : bleepingcomputer

พบการประกาศขายข้อมูลของผู้ใช้งาน WhatsApp เกือบ 500 ล้านราย ในฟอรั่มของ Dark Web ชื่อดัง โดยในฟอรั่มได้อ้างว่าเป็นฐานข้อมูลของผู้ใช้งาน WhatsApp ในปี 2022 จำนวนกว่า 487 ล้านหมายเลข

โดย WhatsApp ถือว่าเป็นหนึ่งในแอพพลิเคชัน Instant messaging และ VoIP ยอดนิยม ที่มีผู้ใช้งานมากกว่า 2,000 ล้านคนต่อเดือนทั่วโลก

โดยในรายละเอียดของข้อมูลที่ถูกประกาศขาย ประกอบไปด้วยชุดข้อมูลของผู้ใช้ WhatsApp จากกว่า 84 ประเทศ เช่น

ผู้ใช้ในประเทศสหรัฐอเมริกา จำนวน 32 ล้านรายชื่อ
ผู้ใช้ในประเทศอียิปต์ จำนวน 45 ล้านรายชื่อ
ผู้ใช้ในประเทศอิตาลี จำนวน 35 ล้านรายชื่อ
ผู้ใช้ในประเทศซาอุดีอาระเบีย จำนวน 29 ล้านรายชื่อ
ผู้ใช้ในประเทศฝรั่งเศส จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศตุรกี จำนวน 20 ล้านรายชื่อ
ผู้ใช้ในประเทศรัสเซีย จำนวน 10 ล้านรายชื่อ
ผู้ใช้ในประเทศอังกฤษ จำนวน 11 ล้านรายชื่อ

โดย Hacker ได้เสนอขายชุดข้อมูลเหล่านี้ แยกเป็นรายประเทศ เช่น ข้อมูลผู้ใช้ในประเทศสหรัฐอเมริกา ขายในราคา 7,000 ดอลลาร์, ข้อมูลผู้ใช้ในประเทศอังกฤษ ขายในราคา 2,500 ดอลลาร์ และข้อมูลผู้ใช้ในประเทศเยอรมนี ขายในราคา 2,000 ดอลลาร์ รวมไปถึง Hacker ยังได้ปล่อยตัวอย่างชุดข้อมูลที่มีข้อมูลผู้ใช้งานของประเทศอังกฤษ 1,097 ราย และประเทศสหรัฐอเมริกา 817 ราย เพื่อพิสูจน์ว่าข้อมูลเหล่านี้เป็นของจริง และนำไปใช้งานได้

จากการตรวจสอบของ Cybernews พบว่าชุดข้อมูลตัวอย่างที่ได้มานั้นเป็นข้อมูลของผู้ใช้งานจริง และสามารถติดต่อไปยังผู้ใช้งานได้ โดย Hacker ที่ขายข้อมูลไม่ได้บอกว่าได้ชุดข้อมูลเหล่านี้มาด้วยวิธีการใด โดยระบุเพียงว่าพวกเขามีวิธีการที่สามารถเข้าถึงฐานข้อมูล เพื่อให้ได้ข้อมูลดังกล่าวมา รวมทั้งยังยืนยันกับ Cybernews ว่าข้อมูลดังกล่าวทั้งหมดสามารถนำไปใช้ได้จริง

ปัจจุบัน Cybernews ได้ติดต่อไปยังบริษัท Meta ซึ่งเป็นบริษัทแม่ของ WhatsApp เพื่อสอบถามถึงเหตุการณ์ที่เกิดขึ้น แต่ยังไม่ได้รับการตอบกลับ โดยเมื่อไม่กี่วันก่อนหน้านี้ก็จะพบว่ามีการรั่วไหลของข้อมูลภายในของ LinkedIn และ Facebook Business accounts ซึ่งอยู่ภายใต้บริษัท Meta ที่ถูกนำมาขายในฟอรั่มของ Dark Web ชื่อดังเช่นเดียวกัน

ผลกระทบ

โดยชุดข้อมูลที่รั่วไหลเหล่านี้ อาจถูกเหล่า Hackers นำไปใช้ประโยชน์ในการโจมตีในรูปแบบ Social Engineering ได้ ไม่ว่าจะเป็นการหลอกลวงผ่านข้อความ หรือการโทร (Smishing and Vishing Attacks), การโจมตีผ่าน Email (Phishing Attack) รวมไปถึงการโจมตีในรูปแบบ Business Email Compromise

การป้องกัน

ระมัดระวังการเปิดข้อความ SMS อีเมลล์ หรือไฟล์แนบที่ถูกส่งมา ถึงแม้ผู้ส่งจะเป็นบุคคลใกล้ชิด เพื่อนร่วมงาน หรือบุคคลที่มีชื่อเสียงก็ตาม

ที่มา : cybernews

Cisco ยืนยันเมื่อวันที่ 10 สิงหาคม 2565 ว่าถูกกลุ่มแรนซัมแวร์ Yanluowang โจมตีเครือข่ายขององค์กรเมื่อปลายเดือนพฤษภาคม และผู้โจมตีมีการข่มขู่ว่าจะเผยแพร่ไฟล์ที่ถูกขโมยออกไปจากโฟลเดอร์ Box ที่เชื่อมต่อกับบัญชีของพนักงานที่ถูกโจมตี และในวันเดียวกันนี้ ผู้โจมตีได้เผยแพร่ตัวอย่างรายการไฟล์ที่ได้ขโมยออกมาจาก Cisco บน Dark Web

ข้อมูลประจำตัวของพนักงานที่ถูกขโมย และถูกใช้ในการโจมตีเครือข่ายของ Cisco

กลุ่ม Yanluowang เข้าถึงเครือข่ายของ Cisco โดยการใช้ข้อมูลประจำตัวที่ถูกขโมยมาจากพนักงาน หลังจากสามารถเข้าถึงบัญชี Google ส่วนตัวของพนักงาน และมีข้อมูลข้อมูลประจำตัวบางอย่างถูกเก็บไว้บนเบราว์เซอร์

จากนั้นผู้โจมตีพยายามใช้วิธี voice phishing โดยการแอบอ้างเป็นองค์กรที่น่าเชื่อถือ เพื่อให้พนักงานของ Cisco กดลิงค์ยืนยัน MFA ทำให้ผู้โจมตีจึงสามารถเข้าถึงบัญชี VPN ของพนักงานคนดังกล่าวได้

เมื่อเข้าถึงเครือข่ายของ Cisco ได้แล้ว กลุ่ม Yanluowang จึงเชื่อมต่อเข้าไปยังเซิร์ฟเวอร์ Citrix และ domain controllers เพื่อให้ได้รับสิทธิ์ในการเข้าควบคุมระบบ

หลังจากได้รับสิทธิ์ผู้ดูแลระบบบนโดเมนแล้ว ผู้โจมตีมีการใช้เครื่องมือต่างๆ เช่น ntdsutil, adfind และ secretsdump เพื่อเก็บรวบรวมข้อมูลเพิ่มเติม และพยายามติดตั้งเพย์โหลดของมัลแวร์ไปยังระบบที่ถูกโจมตี รวมถึงแบ็คดอร์ด้วย

สุดท้าย Cisco สามารถตรวจพบ และจัดการผู้โจมตีออกจากระบบได้ แต่ยังมีการพยายามในการกลับมาโจมตีอีกครั้งในสัปดาห์ถัดไป แต่ยังไม่สำเร็จ

(more…)

ผู้เชี่ยวชาญตรวจพบแคมเปญที่เป็นอันตราย โดยพบการส่งมัลแวร์ 'Matanbuchus' ผ่าน Phishing Email เพื่อติดตั้ง Cobalt Strike บนเครื่องที่ถูกบุกรุก ซึ่ง Cobalt Strike เป็นซอร์ฟแวร์ที่ใช้สำหรับการทดสอบการเจาะระบบ แต่ปัจจุบันมักถูกใช้ในการโจมตีเพื่อหาช่องทางการปล่อย Payloads อื่นๆที่เป็นอันตรายได้

รายละเอียดเบื้องต้น

Matanbuchus เป็นโครงการ Malware-as-a-Service (MaaS) ที่ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2564 มีการโฆษณาบน Dark Web โดยโปรโมตว่าสามารถรันไฟล์ exe ได้โดยตรงบน System ของเครื่อง

จากนั้นผู้เชี่ยวชาญจาก Palo Alto Networks ได้ทำวิเคราะห์มัลแวร์เมื่อเดือนมิถุนายน พ.ศ. 2564 และทำการรวบรวมข้อมูลเพื่อทำการ Mapping Network Path และ Infrastructure ของมัลแวร์ รวมไปถึงคำสั่งบน PowerShell ที่ใช้ในการติดตั้ง Payloads

ลักษณะการโจมตี

ปัจจุบัน ผู้เชี่ยวชาญชื่อ Brad Duncan ได้นำตัวอย่างมัลแวร์มาตรวจสอบการทำงาน สรุปได้ดังนี้

1. หัวข้อของ Subject จะขึ้นต้นด้วยคำว่า RE: เพื่อหลอกให้ผู้ใช้งานว่าเป็นอีเมลตอบกลับการสนทนาที่เกิดขึ้นก่อนหน้า
2. ในอีเมลจะมีไฟล์ ZIP ที่ข้างในมีไฟล์ HTML อยู่ มันจะทำหน้าที่สร้างไฟล์ ZIP ใหม่อีกอัน ซึ่งข้างในเป็นไฟล์ MSI ที่มีลายเซ็นแบบดิจิทัลด้วยใบรับรองที่ออกโดย DigiCert ให้กับ "Westeast Tech Consulting, Corp"

3. หากผู้ใช้งานคลิกติดตั้งไฟล์ .MSI จะมีหน้า Install ขึ้นมา ซึ่งลักษณะ Fonts จะเป็น Adobe Acrobat catalog update จากนั้นจะมีรายงานว่ามีการติดตั้งผิดพลาด เพื่อเบี่ยงเบนความสนใจของเป้าหมายจากสิ่งที่เกิดขึ้นเบื้องหลัง
4. สิ่งที่เกิดขึ้นเบื้องหลังการติดตั้งไฟล์ MSI ปลอมคือ Payloads Matanbuchus สองรายการ ("main.

 

 

 

 

 

 

 

 

แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

จากเหตุการณ์เมื่อวันที่ 5 กันยายน ที่ผ่านมาเกี่ยวกับพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ในประเทศไทย ถูกประกาศขายอยู่บน Darkweb ขนาด 3.75 GBจากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้อัพเดทล่าสุดเมื่อเช้าวันนี้ 7 กันยายน ทาง รมว.สธ ได้ออกมายอมรับแล้วว่าข้อมูลที่หลุดออกมานั้นเป็นข้อมูลจริง โดยจากข้อมูลที่ประกาศออกมาระบุว่า ต้นเหตุเกิดขึ้นที่โรงพยาบาลของรัฐแห่งหนึ่งในจังหวัดเพชรบูรณ์ และได้ประสานงานกับ หน่วยงานที่เกี่ยวข้อง เร่งตรวจสอบเหตุการณ์ดังกล่าว

 

ที่มา: thaipbs

เมื่อวันอาทิตย์ที่ 5 กันยายน ที่ผ่านมาพบข้อมูลที่อ้างว่าเป็นข้อมูลของหน่วยงานทางการแพทย์ใน ประเทศไทย ถูกประกาศขายอยู่บน Dark Web ขนาด 3.75 GB

โดยข้อมูลที่ถูกขายประกอบด้วย ข้อมูลผู้ป่วย ที่อยู่ เบอร์โทรศัพท์ เลขบัตรประชาชน วันเกิด ชื่อบิดา โรงพยาบาล ข้อมูลของหมอทั้งหมด รวมถึงพาสเวิร์ดทั่วไปของระบบในโรงพยาบาล

จากข้อมูล และประกาศที่กล่าวอ้าง ยังไม่มีการประกาศอย่างเป็นทางการหรือออกมายอมรับจากหน่วยงานว่าเป็นข้อมูลจริง นอกจากนี้ยังไม่ทราบแหล่งที่มาว่าเป็นแฮกเกอร์กลุ่มใดหรือโจมตีด้วยวิธีใด สำหรับเหตุการณ์นี้

Reference :  Raidforums

บริษัท WildWorks ผู้พัฒนาและจัดจำหน่ายเกม Animal Jam ได้ออกแถลงการณ์ถึงการถูกละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่มีบัญชีผู้ใช้จำนวน 46 ล้านคนหลุดออกไปและถูกนำไปขาย Dark Web

ตามคำแถลงการณ์ระบุว่าแฮกเกอร์ได้ทำการละเมิดเซิร์ฟเวอร์ฐานข้อมูลของบริษัทที่ถูกดูแลด้วยบริษัท third-party โดยการบุกรุกอยู่ในช่วงระหว่างวันที่ 10 ถึง 12 ตุลาคมที่ผ่านมา ซึ่งในขณะนั้นไม่ปรากฏว่ามีการเข้าถึงฐานข้อมูลของชื่อบัญชีอันเป็นผลมาจากการบุกรุกและระบบที่เกี่ยวข้องทั้งหมด อย่างไรก็ดี WildWorks ได้ทราบข่าวการขโมยฐานข้อมูล ในวันที่ 11 พฤศจิกายน 2020 เมื่อนักวิจัยด้านความปลอดภัยที่ตรวจสอบฟอรัมแฮกเกอร์ได้เห็นข้อมูลบัญชีผู้ใช้จำนวนจำนวน 7 ล้านรายการในฟอรัมของ Dark Web และทำการแจ้งเตือน WildWorks

WildWorks กล่าวว่าผู้ประสงค์ร้ายสามารถขโมย Email addresses ของบัญชีผู้ปกครองได้เป็นจำนวน 7 ล้านรายการและชื่อผู้ใช้ 32 ล้านชื่อที่เชื่อมโยงกับบัญชีผู้ปกครอง ซึ่งมีรหัสผ่านที่เข้ารหัสไว้, วันเกิด, เพศของผู้เล่นและข้อมูลอื่น ๆ ทั้งนี้ไม่มีชื่อจริงของเด็กๆ ที่เป็นส่วนหนึ่งของการละเมิดครั้งนี้

ทั้งนี้ Boris Cipot วิศวกรฝ่ายขายอาวุโสของ Synopsys ได้ออกเเจ้งเตือนผู้ใช้ให้อัปเดตรหัสผ่านทันที เพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากบัญชีที่ถูกละเมิดทำการหาประโยชน์จากผู้ใช้

ที่มา: threatpost