Ransom Demands Return: New DDoS Extortion Threats From Old Actors Targeting Finance and Retail

Akamai security ออกเเจ้งเตือนถึงการขู่การโจมตี DDoS Attack ที่กำหมดเป้าหมายไปยังธุรกิจธนาคาร, การเงินและการค้าปลีก

ทีมวิจัย Security Intelligence Research Team (SIRT) จาก Akamai security intelligence & threat research ได้ออกมาเเจ้งเตือนถึงภัยคุกคามจากกลุ่มที่อ้างตัวว่าเป็นกลุ่ม Fancy Bear และ Armada Collective ซึ่งได้ทำการข่มขู่และตั้งเป้าหมายทำปฏิบัติการโจมตี DDoS Attack ในภาคธุรกิจธนาคาร, กลุ่มการเงินและธุรกิจการค้าปลีก

ทีม SIRT กล่าวว่าการข่มขู่นั้นเริ่มต้นจากอีเมลโดยมีข้อความระบุว่าถึงการเตือนการโจมตี DDoS Attack ที่กำลังจะเกิดขึ้นกับบริษัทเว้นแต่จะมีการจ่ายเงินค่าไถ่เป็น Bitcoin ซึ่งในบางกรณีอีเมลยังเตือนว่าหากมีการเปิดเผยข้อเรียกร้องเกี่ยวกับการโจมตีสู่สาธารณะเมื่อใดการโจมตีจะเริ่มต้นขึ้นทันที ข้อความลักษณะนี้นั้นมีความคล้ายคลึงกับแคมเปญขู่กรรโชกทรัพย์ด้วยการโจมตี DDoS Attack ล่าสุดที่ถูกบันทึกไว้ในเดือนพฤศจิกายน 2019

ในข้อเรียกร้องและการจ่ายเงินนั้นจะเห็นว่ากลุ่ม Armada Collective ต้องการค่าไถ่เริ่มต้นที่ 5 BTC และเพิ่มเป็น 10 BTC ถ้าหากเลยกำหนดเวลาจ่ายและจะเพิ่มขึ้น 5 BTC ในแต่ละวันหลังจากนั้น ส่วนกลุ่ม Fancy Bear นั้นจะเริ่มต้นที่ 20 BTC และจะเพิ่มเป็น 30 BTC หากเลยกำหนดเวลาจ่ายพร้อมกับเพิ่มอีก 10 BTC ในแต่ละวัน

ทั้งนี้ในอีเมล์ยังระบุว่าจะมีการทดสอบโจมตี DDoS Attack กับเป้าหมายเพื่อพิสูจน์ความร้ายเเรงของการโจมตีซึ้งผู้โจมตีอ้างว่าพวกเขาสามารถทำการโจมตี DDoS Attack ได้ถึง 2Tbps

Akamai SIRT ได้ออกข้อเเนะนำให้องค์กรหรือบริษัทที่ตกเป็นเป้าหมายไม่ให้ทำการจ่ายเงินค่าไถ่จากการข่มขู่เพราะไม่มีการรับประกันว่าผู้โจมตีที่ทำการข่มขู่นั้นจะหยุดการโจมตีและอาจเป็นการสนับสนุนให้ผู้โจมตีทำการโจมตีต่อองค์กรอื่นๆ ต่อไป ทั้งนี้องค์กรหรือบริษัทที่ตกเป็นเป้าหมายควรทำการวางเเผนที่เตรียมพร้อมสู่สถานะการถ้าหากเกิดการโจมตีว่าจะต้องมีขึ้นตอนการรับมือยังไง เจ้าหน้าที่ที่รับผิดชอบส่วนต่างๆ มีความพร้อมไหมรวมถึงถ้าหากเจ้าหน้าที่ที่รับผิดชอบเกิดการลาหรือเจ็บป่วยก็ควรต้องวางเเผนหาคนรับผิดชอบหน้าที่เเทน เพื่อเป็นการป้องกันและเตรียมพร้อมสู่สถานการณ์จริง

ที่มา : blogs.

World’s biggest DDoS attack record broken after just five days

หลังจากที่ GitHub ถูกโจมตีด้วย DRDoS โดยใช้หลักการความแตกต่างระหว่าง request/response ที่ถูกส่งไปยังเซิร์ฟเวอร์ Memcached พร้อมกับการทำ IP spoofing ด้วยปริมาณข้อมูลถึง 1.3 Tbps ซึ่งเป็นสถิติของการโจมตี DDoS ที่ใหญ่ที่สุดของโลก เมื่อวันจันทร์ที่ผ่านมาสถิติกลับถูกทุบด้วยการโจมตีที่มีปริมาณใหญ่กว่าถึง 1.7 Tbps

สำหรับการโจมตีในครั้งนี้นั้นยังคงมีการใช้เซิร์ฟเวอร์ Memcached เพื่อทำการโจมตีแบบ DRDoS เช่นเดิม โดยเป้าหมายในครั้งเป็นผู้ให้บริการรายหนึ่ง อย่างไรก็ตามผลลัพธ์การโจมตีกลับไม่ได้ทำให้ระบบไม่สามารถให้บริการได้อันเนื่องมาจากการป้องกันและตอบสนองที่ดีพอ อ้างอิงจากรายงานของ Arbor Networks

เมื่อวันพุธที่ผ่านมา HackerNews มีการรายงานหลังจากที่ตรวจพบการเผยแพร่โปรแกรมสำหรับโจมตี DRDoS ใส่ระบบอื่นโดยการใช้เซิร์ฟเวอร์ Memcached อีกทั้งตัวโปรแกรมสำหรับโจมตีนั้นยังมีการแนบรายการของเซิร์ฟเวอร์ Memcached ที่สามารถใช้ในการโจมตีได้มาด้วยกว่า 17,000 รายการ

สคริปต์ที่มีการค้นพบนั้นมีอยู่ 2 เวอร์ชันคือเวอร์ชันที่ถูกพัฒนาด้วยภาษา C และอีกเวอร์ชันที่ถูกพัฒนามาจากภาษา Python โดยสำหรับสคริปต์โจมตีที่ถูกพัฒนาในภาษา Python มีการใช้บริการของ Shodan ในการหาเซิร์ฟเวอร์ Memcached ที่สามารถใช้โจมตีได้มาใช้งานด้วย

กลุ่มนักวิจัยจาก Corero Network Security ประกาศการค้นพบเทคนิคใหม่ที่ทำให้เหยื่อที่ถูกโจมตี DRDoS จากเซิร์ฟเวอร์ Memcached นั้นสามารถหยุดการโจมตีได้ทันที

Kill Switch ในรอบนี้นั้นคือการส่งคำสั่งเพื่อ flush ข้อมูลออกจากแคชของ Memcached เซิร์ฟเวอร์ด้วยการส่งคำสั่ง "shutdown\r\n" หรือ "flush_all\r\n" กลับไปที่เซิร์ฟเวอร์โดยตรงซึ่งอาจทำได้ผ่านโปรแกรม nc/netcat โดยใช้คำสั่ง nc x.x.x.x 11211 < "flush_all"

ที่มา : Theregister

Cisco ปล่อยแพตช์ด้านความปลอดภัยกัน DoS Attack ให้ Cisco IOS และในรุ่น XE

Cisco ได้มีการปล่อยอัพเดทเพื่ออุดช่องโหว่ที่ส่งผลกระทบแก่ Cisco IOS และ Cisco IOS XE ซึ่งผู้โจมตีสามารถใช้ช่องโหว่ดังกล่าวทำการโจมตี โดยจะทำให้บริการเกิดการขัดข้องหรือใช้งานไม่ได้ (DoS Attack) ช่องโหว่ทั้งสองช่องโหว่สามารถทำการโจมตีได้ง่ายและมีผลลัพธ์ที่สร้างความเสียหายได้ค่อนข้างสูง แนะนำให้ดำเนินการแพตช์โดยด่วนพร้อมทั้งติดตามประกาศด้านความปลอดภัยได้จาก Cisco Security Advisories and Alert (https://tools.

Latest DoS Attacks Used Old Protocol for Amplification

Akamai หนึ่งในผู้ให้บริการ Cloud Services และ Content Delivery Network ขนาดใหญ่ที่สุดของโลก ได้ออกมาเตือนภัยของการโจมตี DDoS รูปแบบใหม่ที่ใช้เราท์เตอร์ตามบ้านหรือธุรกิจขนาดเล็ก (SOHO Router) เป็นตัวเร่งปริมาณทราฟฟิค เพื่อโจมตีเป้าหมาย หรือที่เรียกว่า Amplification Attack โดยใช้โปรโตคอลแลกเปลี่ยนข้อมูลเส้นทางเก่าแก่อย่าง RIPv1 ในการเร่งปริมาณทราฟฟิคถึง 130 เท่า

แทนที่จะใช้โปรโตคอล DNS หรือ NTP ทาง Akamai ตรวจพบ DDoS ทราฟฟิคที่ใช้โปรโตคอล RIPv1 ซึ่งคาดว่าแฮกเกอร์ได้ทำการส่ง Request ไปยังกลุ่มเราท์เตอร์ที่ใช้ RIPv1 เพื่อให้เราท์เตอร์เหล่านั้นส่ง Response ซึ่งมีขนาดใหญ่กว่าหลายเท่าไปยังเป้าหมายที่ต้องการโจมตี จากการตรวจสอบ พบว่า Request ทั่วไปจะมีขนาด 24 Bytes แต่ Response จะมีขนาดใหญ่เป็นจำนวนเท่าของ 504 Bytes ซึ่งบางครั้งอาจใหญ่ถึง 10 เท่า (5,040 Bytes) ซึ่งทราฟฟิค DDoS ที่ตรวจจับได้มีค่าเฉลี่ยในการเร่งขนาดถึง 13,000 เปอร์เซ็น จากต้นทุน Request ขนาด 24 Bytes

Akamai ระบุว่า จากการตรวจสอบการโจมตี DDoS ที่ใช้โปรโตคอล RIPv1 นี้ พบว่ามีขนาดใหญ่สุดที่ 12.8 Gbps โดยใช้เราท์เตอร์ประมาณ 500 เครื่องในการรุมโจมตีเป้าหมาย นอกจากนี้ Akamai ยังได้ทำการตรวจสอบอุปกรณ์ที่คาดว่ามีความเสี่ยงที่จะถูกใช้ในการโจมตีรูปแบบดังกล่าว มีปริมาณมากถึง 53,693 เครื่อง ซึ่งส่วนใหญ่เป็นเราท์เตอร์ที่ใช้งานตามบ้านหรือธุรกิจขนาดเล็ก
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของการโจมตีแบบ RIPv1-based DDoS Attack แนะนำว่าผู้ใช้งานควรจำกัดการเข้าถึงพอร์ท UDP 520 ซึ่งเป็นพอร์ทของโปรโตคอล RIP และสำหรับผู้ที่ใช้เราท์เตอร์ที่ใช้งาน RIPv1 อยู่ แนะนำว่าให้เปลี่ยนไปใช้ RIPv2 แทน

ที่มา : eWEEK

A Test server of HealthCare.gov infected with malware

แฮกเกอร์พยายามเข้าถึงเซิร์ฟเวอร์เว็บไซต์ HealthCare.gov และทำการอัพโหลดซอฟต์แวร์ที่เป็นอันตราย ซึ่งเป็นเซิร์ฟเวอร์ทดสอบที่อาจไม่ได้เชื่อมต่อกับอินเตอร์เน็ตและไม่มีข้อมูลส่วนตัวของลูกค้าอยู่

Next generation anti-DDoS appliances from Huawei

ในงานประชุม RSA Conference 2014 บริษัท Huawei ได้ประกาศอุปกรณ์ป้องกันการโจมตี DDoS โดยมีชื่อซี่รี่ย์ว่า Huawei's AntiDDoS8000 Series โดยอุปกรณ์ตัวนี้จะมีความสามารถในการป้องกันการโจมตีแบบ DDoS ในระดับ Application layer, สามารถรองรับการเชื่อมต่อได้สูงสุด 1 Tbps, มี false positive = 0 สำหรับ mobile traffic เมื่อใช้ป้องกันบริการ mobile Internet , อัพเดทข้อมูล IP ของบอทเน็ตจากฐานข้อมูลกลางที่มีข้อมูล IP ของบอทเน็ตที่ยังมีการใช้งานอยู่มากกว่า 5 ล้าน IP และมีความสามารถอื่นๆ อย่างเช่น signature learning (การเรียนรู้จาก Signature), behavior analysis (การวิเคราะห์พฤติกรรม), reputation mechanism and Big Data analytics (การวิเคราะห์ข้อมูลขนาดใหญ่)

ที่มา : net-security

Free Online Game website offers $13,000 Reward to expose details on DDoS attack

ปัจจุบันมีคนกว่าล้านคนทั่วโลกนิยมเล่นเกมส์คอมพิวเตอร์ และเกมส์ออนไลน์อย่างน้อยหนึ่งชั่วโมงต่อวัน แต่เซิร์ฟเวอร์ของเกมส์ส่วนใหญ่มักจะมีข้อบกพร่องด้านความปลอดภัย ซึ่งเมื่อวันที่ 18 กุมภาพันธ์ 2557 เซิร์ฟเวอร์เกมส์ออนไลน์ที่ได้รับความนิยมอย่าง "Wurm" เกิดเหตุการณ์เซิร์ฟเวอร์ล่มจากการโจมตี Distributed Denial of Service (DDoS) หลังจากเกิดเหตุไม่นานก็ได้มีการการอัพเดตระบบ

บริษัทเกมส์ออนไลน์ประกาศให้เงินรางวัลจำนวน €10,000 สำหรับผู้ที่ให้ข้อมูลเกี่ยวกับการโจมตี DDoS ที่เกิดขึ้น ซึ่งเป็นสาเหตุที่ทำให้เซิร์ฟเวอร์ล่ม ทำให้บริษัทเสียชื่อเสียงและรายได้จำนวนมาก

ที่มา : thehackernews