แฮกเกอร์ปล่อยข้อมูลของบริษัท Ubisoft และ Crytek ที่ถูกบุกรุกลงบนเว็บพอร์ทัลใน dark web

กลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” ได้ปล่อยข้อมูลที่อ้างว่าได้รับจากเครือข่ายภายในของบริษัท Ubisoft และ Crytek ลงบนเว็บพอร์ทัลของกลุ่มตนเองใน dark web

โดยรายละเอียดของข้อมูลที่ปล่อยลงในเว็บพอร์ทัลนั้นเป็นข้อมูลที่มีการอ้างว่าเป็นข้อมูลของบริษัท Ubisoft และ Crytek ซึ่งข้อมูลที่ถูกปล่อยของบริษัท Ubisoft นั้นคือซอร์สโค้ดจากเกม Watch Dogs ภาค Legion ที่มีกำหนดจะออกวางจำหน่ายภายในปลายเดือนนี้ จำนวน20 MB ส่วนข้อมูลที่ถูกปล่อยของบริษัท Crytek นั้นปรากฏเป็นเอกสารที่ถูกขโมยจากแผนกพัฒนาเกมจำนวน 300 MB โดยภายในเอกสารมีแหล่งข้อมูลและข้อมูลเกี่ยวกับกระบวนการพัฒนาเกมเช่น Arena of Fate และ Warface อีกทั้งยังมีข้อมูลที่เกี่ยวกับเกม Gface อีกด้วย

ทั้งนี้บริษัท Ubisoft และ Crytek ยังไม่มีการเเสดงความคิดเห็นใดๆ เกี่ยวกับการปล่อยข้อมูลชุดนี้ สำหรับกลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” นั้นเป็นกลุ่มที่มักจะทำการบุกรุกเพื่อทำการละเมิดข้อมูลของบริษัทต่างๆ เพื่อทำการขโมยข้อมูล, เข้ารหัสไฟล์และเรียกค่าไถ่เพื่อถอดรหัสข้อมูลที่ถูกล็อก

ที่มา: zdnet

นักวิจัยด้านความปลอดภัยทางไซเบอร์จากบริษัท Cyble ได้พบการแชร์ข้อมูลซึ่งคาดว่าอาจเกิดจากการรั่วไหลของบริษัท Airlink International UAE ภายในฟอรั่มบน dark web

ข้อสันนิฐานจากนักวิจัยซึ่งคาดว่าข้อมูลถูกรั่วไหลนี้เป็นผลมาจากการคอนฟิกของเซิร์ฟเวอร์ที่ถูกกำหนดค่าไม่ถูกต้อง ซึ่งภายในเซิร์ฟเวอร์นั้นมี 60 ไดเรกทอรีที่มีไฟล์ประมาณ 5,000 ไฟล์ โดยการรั่วไหลของข้อมูลชุดนี้ถูกรายงานวันที่ 30 พฤษภาคม 2020 โดยทีม KelvinSecTeam

จากข้อมูลของ Cyble ข้อมูลที่รั่วไหลนั้นประกอบไปด้วยภาพสแกนหนังสือเดินทาง, การจองเที่ยวบิน, การจองโรงแรม, ข้อมูลการสื่อสารทางอีเมลระหว่างพนักงานและลูกค้าของ Airlink International Group และกรมธรรม์สำหรับการเดินทางระหว่างประเทศ

Cyble ได้ออกคำเเนะนำเพื่อการป้องกันเซิร์ฟเวอร์ โดยผู้ดูแลระบบควรทำการตรวจสอบดังนี้

ทำการกำหนดค่าเซิร์ฟเวอร์และทดสอบให้เเน่ใจว่าผู้ที่ไม่มีสิทธ์ในรายการไดเรกทอรีไม่สามารถเข้าถึงโดยไม่ได้รับอนุญาต
ตรวจสอบข้อมูลการ backup และไฟล์ที่ไม่ได้ถูกอ้างอิงสำหรับข้อมูลที่ละเอียดอ่อน
ทดสอบสิทธิ์การเข้าถึงของไฟล์
ทำลิสต์รายการโครงสร้างพื้นฐานและแอปพลิเคชันอินเตอร์เฟสของผู้ดูแลระบบ
ลองใช้การสแกนและทำการตรวจสอบเป็นระยะๆ เพื่อช่วยในการตรวจหาการกำหนดค่าที่ผิดพลาดในอนาคตหรือแพตช์ที่หายไป

ที่มา : securityaffairs

กลุ่ม APT อิหร่าน "Pioneer Kitten" เร่ขายข้อมูลการเเฮกเครือข่ายให้กับแฮกเกอร์รายอื่นใน Dark Web

Crowdstrike ได้ออกรายงานถึงกลุ่ม APT อิหร่านที่ชื่อว่า Pioneer Kitten หรือที่รู้จักกันในชื่อ Fox Kitten และ Parisite ได้กำลังพยายามขายข้อมูลการเข้าถึงเครือข่ายขององค์กรต่างๆ ที่ทางกลุ่มได้ทำการบุกรุกแล้วให้กับแฮกเกอร์รายอื่นใน Dark Web

ตามรายงานที่เผยแพร่โดย Crowdstrike ระบุว่ากลุ่มแฮกเกอร์ชาวอิหร่านได้ทำการโจมตี VPN ขององค์กรต่างๆ ในช่วงหลายเดือนที่ผ่านมา โดยทำการกำหนดเป้าหมายการโจมตีและหาประโยชน์จากช่องโหว่ต่างๆ ที่เกี่ยวข้องกับ VPN เช่น CVE-2018-13379 Fortinet VPN servers, CVE-2019-1579 (Palo Alto Network), CVE-2019-11510 (Pulse Secure), CVE-2019-19781 (Citrix) และ CVE-2020-5902 (F5 Networks) เมื่อสามารถบุกรุกเครือข่ายที่เป็นเป้าหมายได้แล้วกลุ่มแฮกเกอร์จะใช้ประโยชน์จาก SSH tunneling ผ่านเครื่องมือโอเพ่นซอร์สเช่น Ngrok และ SSHMinion เพื่อใช้ในการเชื่อมต่อกับมัลแวร์ที่ติดตั้งในเครือข่ายเป้าหมาย

Crowdstrike ที่ได้ติดตามกิจกรรมของกลุ่ม Pioneer Kitten พบว่าในขณะนี้กลุ่มเเฮกเกอร์ได้เริ่มทำการโฆษณาที่ทำการขายข้อมูลใน Dark Web

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบอัปเดตเเพตซ์ของซอฟต์แวร์บนอุปกรณ์ VPN ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายทำการใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา : securityaffairs

ZDNet ได้ทำการเปิดเผยถึงการค้นพบข้อมูลที่มีรายละเอียดของลูกค้าของโรงแรม MGM จำนวนกว่า 142,479,937 ล้านคนบน Dark web ซึ่งถูกขายในราคาเพียง $2,900 หรือประมาณ 91,886 บาท

แฮกเกอร์อ้างว่าข้อมูลของโรงแรม MGM ที่ถูกวางขายนั้นได้รับข้อมูลมาหลังจากที่พวกเขาทำการโจมตีบริการ Data Viper ซึ่งเป็นบริการตรวจสอบการรั่วไหลของข้อมูลที่ให้บริการโดย Night Lion Security ซึ่ง Vinny Troia ผู้ก่อตั้ง Night Lion Security บอกกับทาง ZDNet ว่าบริษัทของเขาไม่เคยเป็นเจ้าของฐานข้อมูลโรงแรม MGM และแฮกเกอร์พยายามทำลายชื่อเสียงของบริษัทของเขา

อย่างไรก็ดีในปี 2019 ข้อมูลของโรงแรม MGM ได้มีการรั่วไหลจากการโจมตีจริง โดยแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์คลาวด์ของโรงแรมและขโมยข้อมูลเกี่ยวกับแขกของโรงแรมในที่เคยมาใช้บริการ โดยข้อมูลที่ถูกขโมยไปนั้นคือข้อมูลการติดต่อซึ่งประกอบไปด้วย ชื่อ, ที่อยู่ทางไปรษณีย์และอีเมล เเค่นั้นยังไม่พอแฮกเกอร์ยังสามารถทำการขโมยข้อมูลทางการเงินซึ่งประกอบไปด้วย หมายเลขประจำตัวประชาชนหรือหมายเลขประกันสังคมและรายละเอียดการจองห้องพัก ทั้งนี้ข้อมูลที่ถูกขโมยไปนี้มีจำนวน 10.6 ล้านคน

Irina Nesterovsky หัวหน้าฝ่ายวิจัยของ KELA ได้กล่าวว่าข้อมูลของโรงแรม MGM นั้นถูกเผยแพร่และถูกขายใน Dark web อย่างน้อยตั้งแต่กรกฎาคม 2562 โดยถูกขายบนฟอรัมแฮกของแฮกเกอร์รัสเซียและคาดว่าข้อมูลของ MGM เป็นข้อมูลที่เกี่ยวข้องกับแขกที่มาใช้บริการของโรงเเรมมากว่า 200 ล้านคน

ที่มา: zdnet

บัญชี Zoom มากกว่า 500,000 บัญชีถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web
บริษัท Cyble ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้พบมีบัญชี Zoom มากกว่า 500,000 รายการถูกวางขายในแฮกเกอร์ฟอรัมบน Dark Web ในราคา $0.0020 หรือ 0.065 บาท บัญชีที่ถูกขายประกอบไปด้วยรายชื่อ, ที่อยู่, อีเมลและรหัสผ่านที่เกี่ยวข้อง

Cyble ได้ระบุว่าบัญชีที่พบเหล่านี้เป็นบัญชีที่ใช้ที่อยู่, อีเมลและรหัสผ่านรวมกันผ่านเว็บไซต์ โดยข้อมูลที่พบไม่ได้ถูกขโมยจาก Zoom แต่มาจากการโจมตีด้วยเทคนิค Credential Stuffing Attacks ที่ใช้ Botnets ในการโจมตีและรวมรวมข้อมูล

Cyble ได้ทำการซื้อบัญชีมากกว่า 530,000 ที่อ้างว่าเป็นบัญชีแอคเคาท์ของ Zoom ในแฮกเกอร์ฟอรัมบน Dark Web และทำการตรวจสอบข้อมูลพบที่อยู่, อีเมล, รหัสผ่าน, Personal Meeting URL และ HostKey โดยพบว่าบัญชีเหล่านี้เป็นบัญชีของวิทยาลัยหลายแห่ง นอกจากนี้บัญชีเหล่านี้ยังมีบัญชีของบริษัททางด้านการเงิน Chase และ Citibank จากการตรวจสอบข้อมูลทางบริษัทยังสามารถยืนยันได้ว่าบัญชีเหล่านี้เป็นข้อมูลบัญชีที่ถูกต้อง

เมื่อเร็ว ๆ นี้นักวิจัยจาก IntSights ก็ได้ค้นพบฐานข้อมูลแอคเคาท์ของ Zoom ที่มี Meeting IDs, ชื่อผู้ใช้งานและ Host Key ถูกวางขายอยู่ในฟอรัมใน Dark Web เช่นกันและมีข้อมูลมากกว่า 2,300 รายการ

ผู้เชี่ยวชาญแนะนำให้ผู้ใช้ Zoom เปลี่ยนรหัสผ่านและเปลี่ยนรหัสผ่านในเว็บไซต์อื่นที่ใช้ข้อมูล ID เดียวกันกับ Zoom ผู้เชี่ยวชาญยังได้เเนะนำให้แยกข้อมูล ID ทางการใช้งานออนไลน์และการใช้รหัสผ่านที่ไม่ซ้ำกันในทุกๆ เว็บไซต์เพื่อป้องกันการละเมิดข้อมูลจากเว็บไซต์หนึ่งจะที่ส่งผลกระทบต่อคุณในเว็บไซต์อื่นๆ

ที่มา: bleepingcomputer

เว็บไซต์ Hackread.comได้รับรายงานเกี่ยวกับการขายรายละเอียดส่วนบุคคลของชาวอิหร่าน 45,000 บน Dark Web ใน hacking forum โดยมีชื่อผู้ใช้และหมายเลขโทรศัพท์

จากข้อมูลตัวอย่างที่ Hackread.

ผู้ให้บริการอีเมลของอิตาลีกล่าวยืนยันว่าข้อมูลของผู้ใช้บริการ Email.it มากกว่า 600,000 รายกำลังถูกขายบน Dark Web ทั้งนี้ข้อมูลที่ถูกขโมยไปไม่มีข้อมูลทางการเงินถูกเก็บไว้ในเซิร์ฟเวอร์ที่ถูกแฮ็ก

กลุ่มแฮกเกอร์ชื่อ NN (No Name) Hacking Group อ้างว่าพวกเขาทำการบุกรุกและขโมยข้อมูลในเดือนมกราคม 2561 เมื่อ 2 ปีก่อนและได้ทำการเเจ้งกับ Email.

เจ้าหน้าที่จากสหรัฐอเมริกา และหน่วยงานบังคับใช้กฎหมายในยุโรป และ เอเชีย ประกาศว่าได้สั่งปิดเว็บตลาดมืด AlphaBay ซึ่งขายของผิดกฎหมายรายใหญ่ลงได้ AlphaBay ขายสินค้าประเภท Malware เครื่องมือใช้ในการ hack ตลอดจนเอกสารปลอม อาวุธ สินค้าปลอม และพวกสารเคมี โครงสร้างของ AlphaBay เป็นที่รู้จักกันดีว่าเป็นตลาดมืดรายใหญ่ที่ซื้อขายสิ่งผิดกฎหมาย ซึ่งต่อมาถูกยึดทรัพย์สินต่างๆ โดยเจ้าหน้าที่กฎหมาย เหตุการณ์ที่นำมาซึ่งการสั่งปิดดังกล่าวเริ่มมาจาก ชาวแคนนาดา ชื่อว่า Kingpin Alexandre Cazes คือผู้ที่อยู่เบื้องหลังกระบวนการของ AlphaBay ถูกจับกุมได้ในประเทศไทย ซึ่งต่อมาได้ทำการฆ่าตัวตาย และในเวลาต่อมาทรัพย์สินของเขาและภรรยาถูกยึดโดยเจ้าหน้าที่กฎหมาย
การปฏิบัติงานครั้งนี้ถือเป็นความร่วมมือที่ประสบความสำเร็จอย่างมากในการต่อกรกับ Cybercrime ในช่วงไม่กี่ปีที่ผ่านมา และยังเป็นการส่งข้อความออกไปอีกว่า Dark Web ไม่ใช่ที่ที่ปลอดภัยสำหรับอาชญากรไซเบอร์ สำหรับการซื้อขายกันผ่าน AlphaBay นั้น ผู้ซื้อ และผู้ขายจะใช้ Bitcoin, Monero, Ethereum และ Cryptocurrencies อื่นๆ ในการซื้อขายกัน เหตุการณ์สั่งปิด AlphaBay ครั้งนี้เกิดขึ้นไม่นานหลังการสั่งปิด Hansa เมื่อช่วงเดือนมิถุนายน 2017 ที่ผ่านมา ซึ่งเป็น Dark Web และเป็นแหล่งซื้อขายที่ผิดกฎหมายเช่นเดียวกันกับ AlphaBay

ที่มา : threatpost