FireEye แจ้งเตือนการโจมตี SolarWinds Orion เชื่อว่าเป็นสาเหตุของการรั่วไหลของข้อมูลจาก FireEye

FireEye ประกาศการค้นพบแคมเปญการโจมตีทั่้วโลกโดยกลุ่มแฮกเกอร์ซึ่งถูกติดตามในชื่อ UNC2452 ผ่านการฝังแบ็คดอร์ไว้ในไฟล์อัปเดตของซอฟต์แวร์ SolarWinds Orion เพื่อใช้ในการแพร่กระจายมัลแวร์ชื่อ SUNBRUST การตรวจสอบพบว่าพฤติกรรมและเทคนิคการโจมตีดังกล่าวจะเกี่ยวข้องกับสถานการณ์การรั่วไหลข้อมูลและเครื่องมือทำ Red team assessement ของทาง FireEye เอง

ในขณะนี้องค์กรซึ่งถูกยืนยันว่าถูกโจมตีแล้ว ได้แก่กระทรวงการคลังสหรัฐฯ, National Telecommunications and Information Administration หรือ NTIA ซึ่งเป็นหน่วยงานภายใต้กระทรวงพาณิชย์สหรัฐฯ และ FireEye ด้วย ทั้งนี้ FireEye เชื่อว่าเหยื่อในการโจมตีอาจมีมากกว่าที่ตรวจพบและอาจมีอยู่ทั่วโลก ทุกลักษณะธุรกิจและองค์กร

แหล่งข่าวมีการให้ข้อมูลกับ Washington Post ว่าการโจมตีดังกล่าวมีลักษณะเชื่อมโยงไปยังกลุ่ม APT29 ซึ่งเป็นกลุ่ม APT ที่เกี่ยวกับกับรัฐบาลรัสเซีย ทั้งนี้ FireEye ไม่ได้มีการยืนยันข้อเท็จจริงในส่วนนี้

ทีม Intelligent Response ขอสรุปรายละเอียด เทคนิคและพฤติกรรมการโจมตีตามรายการดังต่อไปนี้

รูปแบบการโจมตีที่ FireEye ตรวจพบนั้นเป็นลักษณะที่ถูกเรียกว่า Supply-chain คือการที่ผู้โจมตีโจมตีซอฟต์แวร์ ฮาร์ดแวร์หรือทรัพยากรที่จำเป็นที่องค์กรต้องใช้ในการดำเนินงาน จากนั้นใช้ประโยชน์จากการโจมตีนั้นในการบุกรุกและติดตั้งมัลแวร์
ซอฟต์แวร์ซึ่งถูกโจมตีในครั้งนี้คือ SolarWinds Orion ซึ่งใช้ในการตรวจสอบและเฝ้าระวังอุปกรณ์ไอทีในองค์กร โดย SolarWinds ได้ออกมายืนยันการโจมตีและเผยแพร่ Security advisory แล้ว
อ้างอิงจากรายละเอียดของ SolarWinds ซอฟต์แวร์ Orion ตั้งแต่เวอร์ชัน 2019.4 จนถึง 2020.21 ซึ่งถูกเผยแพร่ตั้งแต่เดือนมีนาคม 2020 จนถึงมิถุนายน 2020 ได้ถูกแก้ไขและติดตั้งแบ็คดอร์
แบ็คดอร์ซึ่งถูกติดตั้งถูกระบุชื่อโดย FireEye ว่า SUNBURST และถูกตรวจจับโดยไมโครซอฟต์ในชื่อ Solorigate
ในขณะนี้ FireEye ได้มีการเผยแพร่รายงานการวิเคราะห์มัลแวร์และแนวทางในการตรวจจับและเฝ้าระวังแล้ว
SolarWinds มีแผนจะปล่อยอัปเดต 2020.2.1 HF 2 ในวันที่ 15 ธันวาคมนี้ โดยอัปเดตจะนำส่วนของซอฟต์แวร์ที่มีแบ็คดอร์ออก และเพิ่มความปลอดภัยระบบ

ที่มา:

https://www.

คำแนะนำในการรับมือกรณีการโจมตี FireEye และการรั่วไหลของเครื่องมือสำหรับการประเมินความปลอดภัยระบบ

เมื่อวันที่ 8 ธันวาคม 2020 ที่ผ่านมาตามเวลาในสหรัฐอเมริกา บริษัทด้านความปลอดภัยไซเบอร์ FireEye มีการประกาศถึงการโจมตีระบบและเครือข่ายของ FireEye ซึ่งส่งผลให้เกิดการรั่วไหลของเครื่องมือสำหรับการทำ Red Team Assessment หรือการประเมินความปลอดภัยระบบ ในเบื้องต้นทาง FireEye ระบุว่าการโจมตีดังกล่าวมีหลักฐานอย่างชัดเจนว่ามีกลุ่มแฮกเกอร์ในลักษณะ APT ที่มีศักยภาพสูงและอาจมีรัฐบาลประเทศใดประเทศหนึ่งหนุนหลัง

 

ทีมตอบสนองการโจมตีและภัยคุกคาม (Intelligence Response) จากบริษัท ไอ-ซีเคียว จำกัด ได้ทำการประเมินผลกระทบเบื้องต้นจากการโจมตีและการรั่วไหลของข้อมูล โดยจะขอสรุปรายละเอียดสถานการณ์และคำแนะนำที่จำเป็นต่อการรับมือและตอบสนองภัยคุกคามตามรายละเอียดที่จะปรากฎในส่วนต่อไป
Incident Overview
จากประกาศซึ่งระบุรายละเอียดของเหตุการณ์ ทีม Intelligence Response ขอสรุปประเด็นสำคัญเกี่ยวกับสถานการณ์ที่เกิดขึ้นตามรายละเอียดดังต่อไปนี้

FireEye ตรวจพบการโจมตีซึ่งจากการตรวจสอบในเบื้องต้นนั้น พบว่าผู้โจมตีมีพฤติกรรมและเทคนิคการโจมตีที่ซับซ้อน ด้วยพฤติกรรมและหลักฐานในเบื้องต้น FireEye เชื่อว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
หลังจากตรวจพบการโจมตี FireEye ได้มีการประสานงานกับ FBI, Microsoft และพาร์ทเนอร์ของบริษัท จากการตรวจสอบสถานการณ์โดยบริษัทด้านความปลอดภัยไซเบอร์ภายนอกและหน่วยงานที่เกี่ยวข้อง ข้อสรุปยืนยันสมมติฐานของทาง FireEye ว่าผู้อยู่เบื้องหลังการโจมตีคือกลุ่ม APT ที่มีรัฐบาลของชาติใดชาติหนึ่งหนุนหลัง
จากการวิเคราะห์การโจมตี FireEye พบว่าผู้โจมตีมีการเข้าถึงเครื่องมือสำหรับให้บริการ Red Team Assessment หรือบริการด้านการประเมินความปลอดภัยระบบ ด้วยลักษณะของการเข้าถึงซึ่งอาจเป็นไปได้ว่ามีการนำออกไปด้วย ทีม FireEye ยังไม่สามารถระบุจากหลักฐานได้ว่าผู้โจมตีมีเจตนาจะใช้เครื่องมือดังกล่าวในการโจมตีอื่น ๆ ต่อหรือตั้งใจจะเปิดเผยเครื่องมือดังกล่าวสู่สาธารณะ
อย่างไรก็ตามจากการเฝ้าระวัง FireEye ยังไม่พบการใช้เครื่องมือที่ถูกละเมิดและรั่วไหลในการโจมตีจริงใด ๆ
พฤติกรรมของผู้โจมตีพุ่งเป้าไปที่การระบุหาข้อมูลของลูกค้าซึ่งเป็นหน่วยงานของรัฐบาลที่ใช้บริการ FireEye โดยทาง FireEye มีการระบุเพิ่มเติมว่า แม้จะมีหลักฐานจากการโจมตีซึ่งระบุให้เห็นผู้โจมตีเข้าถึงระบบภายในของ FireEye ไปแล้ว แต่ข้อมูลล่าสุดจากการตรวจสอบสถานการณ์ก็ยังไม่พบการนำข้อมูลของลูกค้าของ FireEye ออก โดย FireEye จะประสานงานกับลูกค้าโดยตรงหากพบข้อมูลเพิ่มเติมใด ๆ
FireEye ได้มีการเผยแพร่ signature ของเครื่องมือสำหรับทำ Red Team Assessment เพื่อให้สามารถถูกใช้ในการตรวจจับการนำเครื่องมือที่ถูกละเมิดและรั่วไหลออกไปใช้ซ้ำได้

Brief Analysis
ทีม Intelligent Response ได้ทำการตรวจสอบ signature ซึ่ง FireEye ทำการเผยแพร่ออกมาเพื่อประเมินสถานการณ์และวิธีรับมือเพิ่มเติม รายละเอียดด้านล่างคือผลการวิเคราะห์เบื้องต้นจากข้อมูลดังกล่าว

จำนวนของเครื่องมือสำหรับการ Red Team Assessment ที่ได้รับผลกระทบจากการถูกโจมตีมีทั้งหมด 311 รายการ โดยแยกออกได้ตามชื่อและประเภทของเครื่องมือทั้งหมด 60 ประเภท

จากเครื่องมือทั้งหมด 60 ประเภท ทีม Intelligent Response สามารถระบุที่มา และศักยภาพที่จะเกิดจากการใช้เครื่องมือและรายละเอียดเพิ่มเติมตาม MITRE ATT&CK ได้ดังรายการด้านล่าง

กลุ่ม ADPASSHUNT เป็นกลุ่มเครื่องมือสำหรับเทคนิค Credential access ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม ALLTHETHINGS คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม BEACON เป็นโปรไฟล์ของเครื่องมือ Cobalt Strike สำหรับการทำ Command & Control โปรไฟล์ส่วนใหญ่เป็นการพัฒนาขึ้นเองตามสถานการณ์ บางส่วนของเครื่องมือในกลุ่มนี้สามารถใช้ในเทคนิค Initial access และ Execution ได้โดยอาศัยการใช้เทคนิค Living off the Land, เทคนิค DLL sideloading และอื่นๆ
กลุ่ม BELTALOWDA เป็นเครื่องมือในเทคนิค Reconnaissance และ Discovery คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Seatbelt
กลุ่ม COREHOUND คาดว่าเป็นกลุ่มเครื่องมือสำหรับการทำ Discovery และ Lateral movement และอาจได้รับอิทธิพลมาจากเครื่องมือ BloodHound
กลุ่ม DSHELL คาดว่าเป็นเครื่องมือในกลุ่ม Execution และ Persistence โดยอาจเป็นแบ็คดอร์ที่ถูกพัฒนาขึ้นมาโดยใช้ภาษา D เพื่อหลีกเลี่ยงการตรวจจับ
กลุ่ม DTRIM ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม DUEDLLIGENCE คาดว่าเป็นเครื่องมือสำหรับเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EWSRT คาดว่าเป็นลักษณะของเพย์โหลดแบบ HTML และ PS1 ซึ่งสามารถใช้ในเทคนิค Initial access ได้ ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม EXCAVATOR คาดว่าเป็นเครื่องมือในเทคนิค Credential access สำหรับการเข้าถึงข้อมูลสำหรับยืนยันตัวตนในหน่วยความจำ
กลุ่ม FLUFFY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery และ Lateral movement คาดว่ามีที่มาจากโครงการโอเพนซอร์ส GhostPack/Rubeus
กลุ่ม G2JS คาดว่าเป็นลักษณะของเพย์โหลดในเทคนิค Initial access และ Execution โดยมีพื้นฐานของเทคนิคการโจมตีมาจากการใช้เทคนิค tyranid/DotNetToJScript และ med0x2e/GadgetToJScript
กลุ่ม GETDOMAINPASSWORDPOLICY คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม GPOHUNT คาดว่าเป็นเครื่องมือสำหรับการทำ Discovery ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPGENERATOR คาดว่าเป็นลักษณะของเครื่องมือสำหรับสร้างเพย์โหลดจากภาษา C# ในเทคนิค Initial access และ Execution ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม SHARPSECTIONINJECTION คาดว่าเป็นลักษณะของเครื่องมือการช่วยรันโค้ดด้วยเทคนิค Process injection โดยใช้ภาษา C# ในเทคนิค Execution และ Defense evasion ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม IMPACKETOBF, IMPACKETOBF (Smbexec) และIMPACKETOBF (Wmiexec) คาดว่าเป็นลักษณะของเครื่องมือสำหรับ Discovery และ Lateral movement ซึ่งแตกต่างกันไปตามการอิมพลีเมนต์โปรโตคอลที่มีการใช้งาน เครื่องมือเหล่านี้อาจมีการพัฒนาโดยใช้โค้ดจากโครงการ SecureAuthCorp/impacket
กลุ่ม INVEIGHZERO ไม่มีข้อมูลสำหรับการวิเคราะห์
กลุ่ม WMIRUNNER คาดว่าเป็นเครื่องมือสำหรับการทำ Lateral movement ไม่ปรากฎว่ามีที่มาเป็นโครงการโอเพนซอร์ส
กลุ่ม JUSTASK คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม KEEFARCE มีชื่อสอดคล้องกับโครงการ denandz/KeeFarce ซึ่งอยู่ในกลุ่ม Credential access โดยสามารถถูกใช้ในการดึงข้อมูลที่อยู่ในโปรแกรม KeePass ออกมาจากหน่วยความจำได้
กลุ่ม KEEPERSIST คาดว่าเป็นเครื่องมือสำหรับเทคนิค Persistence ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LNKSMASHER คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python และอาจเกี่ยวข้องกับการใช้เทคนิคการโจมตีผ่านไฟล์ประเภท LNK ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม LUALOADER คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรมที่พัฒนาขึ้นในภาษา Lua ที่มีคุณสมบัติที่จะถูกตรวจจับต่ำ ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MATRYOSHKA คาดว่าเป็นเครื่องมือสำหรับ Execution และ Persistence โดยเป็นเฟรมเวิร์คสำหรับการพัฒนาแบ็คดอร์ในภาษา Python  ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MEMCOMP คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม ไม่ปรากฎที่มาว่าเป็นโครงการโอนเพนซอร์ส
กลุ่ม MOFCOMP คาดว่าเป็นเทมเพลตของไฟล์ประเภท Windows Management Instrumentation (WMI) Managed Object Format (MOF) ซึ่งสามารถใช้เพื่อทำ Lateral movement ได้
กลุ่ม MSBUILDME คาดว่าเป็นเครื่องมือสำหรับการทำ Execution และ Defense evasion เพื่อรันโค้ดที่เป็นอันตรายจากโปรแกรม MSBuild.

รายงาน Verizon Data Breach Investigations Report 2020 เผย DoS มีอัตราการโจมตีที่สูงมากขึ้น

Verizon ได้ออกรายงาน DBIR ประจำปี 2020 โดยใจความสำคัญของรายงานนั้นชี้ว่าภัยคุกคามอันดับต้น ๆ หรือ Threat Action Varieties นั้นจะพบโจมตีการปฏิเสธการให้บริการ (DoS), Phishing, Ransomware และการละเมิดข้อมูลทางการเงินเป็นกลุ่มเหตุการณ์ที่ถูกพบมากที่สุดในรายงาน Verizon DBIR ของปีนี้

Verizon DBIR มีการนำรายละเอียดมาจากการวิเคราะห์เหตุการณ์ด้านความปลอดภัยจำนวน 32,002 รายการ โดยพบว่ามีการละเมิดข้อมูล 3,950 รายการในกลุ่มอุตสาหกรรม 16 กลุ่ม ส่วนการโจมตี DoS นั้นเป็นรูปแบบที่ใช้ในการใช้โจมตีมากที่สุดและมีจำนวนเพิ่มขึ้นซึงมีเหตุการณ์ 13,000 เหตุการณ์และถูกมองว่าเป็นเครื่องมือการโจมตีของอาชญากรไซเบอร์ที่มากที่สุด โดยคิดเป็น 40% ของเหตุการณ์ความปลอดภัยที่รายงาน

ในรายงาน Verizon DBIR ยังพบว่าในปี 2019 ที่ผ่านมานั้นการโจมตีและการจารกรรมทางไซเบอร์มีเปอร์เซ็นต์ที่ลดลงเหลือเพียงแค่ 3.2 เปอร์เซ็นต์จาก 13.5 เปอร์เซ็นต์ในปี 2018 แต่พบแคมเปญที่ทำการกำหนดเป้าหมายเพื่อทำการจารกรรมและการโจมตีมากขึ้น เช่นแคมเปญโจมตีองค์การอนามัยโลก (WHO), การจารกรรมข้อมูลในของหน่วยงานหรือรัฐบาลในภูมิภาคเอเชียแปซิฟิก เป็นต้น

ทั้งนี้ผู้ที่สนใจรายงานสามารถอ่านเพิ่มเติมได้ทีนี้:https://enterprise.

Air Canada Mobile App Users Affected By Data Breach

Air Canada แจ้งผู้ใช้แอปพลิเคชันมือถือ 20,000 ราย ว่าข้อมูลที่อยู่ในโปรไฟล์ของผู้ใช้อาจถูกเข้าถึงได้โดยไม่ได้รับอนุญาต

ระหว่างวันที่ 22-24 สิงหาคม บริษัทสังเกตพบการเข้าสู่ระบบที่ผิดปกติและทำการปิดกั้นการพยายามดังกล่าวเพื่อป้องกันข้อมูลของลูกค้า โดยทาง Air Canada ได้ทำการล็อกบัญชีแอปบนอุปกรณ์ไว้ทั้งหมด 1.7 ล้านบัญชี ผู้ที่ต้องการเปิดใช้งานบัญชีของตนอีกครั้งให้ปฏิบัติตามคำแนะนำในแอปครั้งต่อไปที่ลงชื่อเข้าใช้

ผู้บุกรุกที่เข้าถึงโปรไฟล์ของผู้ใช้แอป Air Canada สามารถเข้าถึงข้อมูลชื่อ ที่อยู่ อีเมลและหมายเลขโทรศัพท์ได้ และข้อมูลเพิ่มเติมที่ผู้ใช้อาจเพิ่มลงในโปรไฟล์ของพวกเขา เช่น หมายเลข Passport หมายเลข NEXUS วันเดือนปีเกิด สัญชาติ วันหมดอายุ และหนังสือเดินทาง เป็นต้น

Air Canada กล่าวว่าข้อมูลบัตรเครดิต และบัญชี aircanada.

ธนาคารแห่งประเทศไทย(ธปท.) ชี้แจงพบว่ามีข้อมูลจากธนาคารสองแห่งหลุดออกสู่สาธารณะ

วันนี้ธนาคารแห่งประเทศไทย(ธปท.)ได้มีการออกข่าวประชาสัมพันธ์ให้สถาบันการเงินในประเทศยกระดับมาตรการป้องกันภัยทางไซเบอร์

สืบเนื่องจาก นายรณดล นุ่มนนท์ ผู้ช่วยผู้ว่าการ สายกำกับสถาบันการเงิน ธนาคารแห่งประเทศไทย ได้มีการเปิดเผยว่า มีข้อมูลบางส่วนซึ่งไม่เกี่ยวข้องกับธุรกรรมการเงินจากธนาคาร 2 แห่ง ได้แก่ ธนาคารกสิกรไทย จำกัด (มหาชน) และธนาคารกรุงไทย จำกัด (มหาชน) หลุดออกไป โดยจากรายงานข้อมูลที่หลุดออกไปของธนาคารกสิกรไทยเป็นข้อมูลลูกค้านิติบุคคลที่เป็นข้อมูลสาธารณะ ส่วนของธนาคารกรุงไทย เป็นข้อมูลคำขอสินเชื่อของลูกค้ารายย่อยและนิติบุคคลบางส่วน หลังจากธนาคารทั้ง 2 แห่งทราบปัญหาดังกล่าวได้มีการตรวจสอบทันที และพบว่ายังไม่มีลูกค้าที่ได้ผลกระทบจากกรณีข้อมูลรั่วไหลดังกล่าวนี้ พร้อมทั้งได้ดำเนินการปิดช่องโหว่ดังกล่าวโดยทันที ทั้งนี้ ธปท. ได้สั่งการ และกำชับให้ธนาคารทั้ง 2 แห่งยกระดับมาตราป้องกันภัยทางไซเบอร์อย่างเข้มงวดโดยทันที

ล่าสุดนี้ทางธนาคารทั้ง 2 แห่ง ได้แก่ธนาคารกรุงไทย จำกัด (มหาชน) และธนาคารกสิกรไทย จำกัด (มหาชน) ได้มีการชี้แจงกรณีดังกล่าวออกมาแล้ว นายผยง ศรีวณิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงไทย เปิดเผยว่าจากการตรวจสอบระบบพบว่า ในช่วงก่อนวันหยุดยาวที่ผ่านมาข้อมูลเบื้องต้นที่ส่วนใหญ่เป็นข้อมูลคำขอสินเชื่อพื้นฐานของลูกค้ารายย่อยที่สมัครสินเชื่อทางออนไลน์ทั้งสิ้น 1.2 แสนราย แบ่งเป็นนิติบุคคล 3 พันรายได้ถูกแฮกด้วยเทคนิคชั้นสูงจากระบบของธนาคาร และธนาคารยืนยันว่ายังไม่พบว่าความเสียหายเกิดขึ้นกับบัญชีของกลุ่มลูกค้าที่ได้รับผลกระทบดังกล่าว

ทั้งนี้ธนาคารได้มีการติดต่อกับกลุ่มลูกค้าดังกล่าว เพื่อแจ้งให้ทราบถึงเหตุการณ์ และให้คำแนะนำเพื่อป้องกันความเสี่ยงแล้ว ในส่วนของธนาคารกสิกรไทย นายพิพิธ เอนกนิธิ กรรมการผู้จัดการ ธนาคารกสิกรไทย เปิดเผยว่า เมื่อวันที่ 25 กรกฎาคมที่ผ่านมา ธนาคารตรวจพบว่าอาจมีข้อมูลรายชื่อลูกค้าองค์กรของธนาคารประมาณ 3 พันรายที่ใช้เว็บให้บริการหนังสือค้ำประกันหลุดออกไปสู่สาธารณะ ซึ่งข้อมูลที่หลุดออกไปไม่เกี่ยวข้องกับข้อมูลสำคัญด้านธุรกรรมการเงินของลูกค้า และยังไม่พบว่ามีลูกค้าที่ได้รับผลกระทบดังกล่าวได้รับความเสียหายใดๆ โดยคาดว่าเกิดจากการแฮกเช่นเดียวกัน ทั้งนี้ธนาคารได้มีแผนที่จะแจ้งให้ทางลูกค้าที่ได้รับผลกระทบทราบเป็นรายองค์กรแล้ว

อย่างไรก็ตามขณะนี้กลุ่มผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จากสถาบันการเงินต่างๆในประเทศ ได้ร่วมมือกับทาง TB-CERT และผู้เชี่ยวชาญท่านอื่นๆ ช่วยกันสืบสวนหาสาเหตุที่แท้จริงอยู่ คาดว่าหากมีความคืบหน้าเพิ่มเติมน่าจะมีการแจ้งให้ทราบต่อไป

ที่มา : การเงินธนาคาร , ธปท.

สรุปรายงานเหตุการณ์ข้อมูลรั่วไหล (Data Breach) ที่เกิดขึ้นในสัปดาห์ที่ผ่านมา

Welcome GDPR !!!  หากใครได้มีการติดตามข่าวสารด้านความปลอดภัยจะพบว่าช่วงสัปดาห์ที่ผ่านมา มีรายงานกรณีข้อมูลของผู้ใช้งานรั่วไหลออกมาจากบริษัทต่างๆหลายแห่ง ซึ่งมีทั้งบริษัทที่อยู่ในยุโรป และในเอเชีย ทีมตอบสนองการโจมตีและภัยคุกคามจึงได้ทำการสรุปเหตุการณ์ต่างๆจากรายงานที่พบมา ดังนี้

(https://www.

Hackers Demand $770,000 Ransom From Canadian Banks

หลังจากที่ธนาคาร Bank of Montreal และ Simplii Financial ได้ประกาศการรั่วไหลของข้อมูลเมื่ออาทิตย์ที่ผ่านมา แฮกเกอร์ผู้ซึ่งอ้างว่าเป็นผู้โจมตีในครั้งนี้นั้นได้ออกมาขู่เรียกค่าไถ่กว่าเกือบ 1 ล้านเหรียญสหรัฐฯ ในสกุลเงิน Ripple เพื่อแลกกับการไม่เปิดเผยข้อมูลที่รั่วไหลออกมาของลูกค้ากว่า 100,000 คน

อีเมลที่ถูกส่งเพื่อเรียกค่าไถ่จากกลุ่มแฮกเกอร์ยังมีการเปิดเผยถึงวิธีการในเบื้องต้นที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลของบัญชีลูกค้าได้โดยอ้างว่า พวกเขาใช้อัลกอริธึมทางคณิตศาสตร์ทั่วไปในการสร้างเลขของบัญชีธนาคารที่เป็นเลขบัญชีจริง จากนั้นจึงใช้ข้อมูลดังกล่าวในการร้องขอให้ระบบล้างและตั้งค่ารหัสผ่านใหม่ได้

สำนักข่าว CBC News ออกมายืนยันการโจมตีนี้และยืนยันเพิ่มเติมว่าข้อมูลที่ผู้โจมตีใช้ในการกล่าวอ้างนั้นเป็นข้อมูลของลูกค้าซึ่งมีตัวตนจริง โดยทางธนาคารยังคงยืนยันที่จะไม่จ่ายค่าไถ่ให้กับแฮกเกอร์ โดยจะโฟกัสไปที่การปกป้องข้อมูลของผู้ใช้งานที่รั่วไหลออกต่อไป

ที่มา : BANK INFO SECURITY

Hacker Might Have Stolen the Healthcare Data for Half of Norway’s Population

กลุ่มแฮกเกอร์สามารถเข้าถึงเว็บไซต์และขโมยข้อมูลขององค์กรด้านการดูแลสุขภาพ (Health South-East RHF) ซึ่งอาจส่งผลกระทบต่อประชากรมากกว่าครึ่งหนึ่งของประเทศเนื่องจาก Health South-East RHF ทำหน้าที่ในการจัดการหน่วยงานด้านสุขภาพทั้งหมด 9 มณฑล 18 จังหวัดของประเทศนอร์เวย์ ซึ่งประกอบไปด้วย Akershus (รวมถึงเมืองหลวงของนอร์เวย์ Oslo), Aust-Agder, Buskerud, Hedmark, Oppland, Østfold, Telemark, Vest-Agder และ Vestfold ซึ่งเป็นพื้นที่ใหญ่ที่สุดในนอร์เวย์ 4 แห่ง

จากรายงานกลุ่มแฮกเกอร์สามารถเข้าถึงระบบของ Health South-East Regional Health Authority (RHF) โดยสามารถขโมยข้อมูลส่วนบุคคลและข้อมูลด้านสุขภาพของชาวนอร์เวย์จำนวน 2.9 ล้านคนจากจำนวนประชากรทั้งหมด 5.2 ล้านคน

ปัจจุบันกลุ่มแฮกเกอร์จะมีเป้าหมายมุ่งเน้นมาที่องค์กรด้านสาธารณะสุข , องค์กรด้านสาธารณูปโภค และการคมนาคม ต่างๆ เนื่องจากองค์กรเหล่านี้เป็นส่วนหนึ่งของโครงสร้างพื้นฐานที่สำคัญระดับชาติ

ที่มา : BLEEPINGCOMPUTER

Malaysian Police Identifies Suspects Behind Massive 46.2 Million Data Breach

ทางการมาเลเซียประกาศว่ามีการละเมิดข้อมูลจำนวนมากเมื่อเดือนปลายเดือนตุลาคมที่ผ่านมา ทำให้ข้อมูลส่วนบุคคลของชาวมาเลเซีย 46.2 ล้านรายถูกนำไปขายในตลาดมืด และหลังจากที่มีการเผยแพร่เรื่องนี้ออกไป ข้อมูลเหล่านี้ต่างเป็นที่ต้องการของแฮกเกอร์อย่างมากและถูกแพร่กระจายไปอย่างรวดเร็วในฟอรั่มใต้ดิน
ข้อมูลที่ถูกขโมยไปคือข้อมูลของผู้ใช้งานโทรศัพท์จากผู้ให้บริการโทรศัพท์เกือบทั้งหมดของมาเลเซียรวมแล้ว 46.2 ล้านเลขหมาย ได้แก่ Altel, Celcom, DiGi, Enabling Asia, Friendimobile, Maxis, MerchantTradeAsia, PLDT, RedTone, TuneTalk, Umobile และ XOX โดยข้อมูลที่รั่วไหลออกไปประกอบด้วย หมายเลขโทรศัพท์ และชื่อผู้ใช้งาน, หมายเลขบัตรประชาชน, ที่อยู่, IMSI, IMEI, และหมายเลข SIM ข้อมูลที่รั่วไหลออกมายังรวมถึงข้อมูลส่วนบุคคลกว่า 80,000 ราย จากสภาการแพทย์ของมาเลเซีย, สมาคมแพทย์แห่งมาเลเซีย และสมาคมทันตกรรมแห่งมาเลเซีย ซึ่งน่าจะเป็นข้อมูลตั้งแต่เดือนกรกฎาคม 2014
ทั้งนี้ตำรวจเชื่อว่าพนักงานของบริษัทน่าจะมีส่วนเกี่ยวข้องกับการขโมยข้อมูล อย่างไรก็ตามกรมคุ้มครองข้อมูลส่วนบุคคล (JPDP) ได้เข้าแทรกแซงและบล็อกเว็บไซต์ที่ถูกจัดตั้งโดยนักวิจัยด้านความปลอดภัยของมาเลเซีย(Keith Rozaria) ซึ่งได้เปิดให้เหยื่อตรวจสอบข้อมูลที่รั่วไหลของตนเอง (SayaKenaHack.