FujiFilm กำลังตรวจสอบการถูกโจมตีด้วยแรนซัมแวร์ และได้ดำเนินการปิดเครือข่ายบางส่วนเพื่อป้องกันการแพร่กระจาย

FujiFilm หรือที่รู้จักในชื่อ Fuji เป็นกลุ่มบริษัทข้ามชาติของญี่ปุ่นที่มีสำนักงานใหญ่อยู่ในกรุงโตเกียว ประเทศญี่ปุ่น เมื่อเริ่มต้นบริษัท Fuji เป็นผู้จัดจำหน่ายฟิล์ม และกล้อง ภายหลังจากที่บริษัทเติบโตขึ้นก็มีการทำธุรกิจทางด้านยา อุปกรณ์จัดเก็บข้อมูล เครื่องถ่ายเอกสาร และเครื่องพิมพ์ รวมไปถึงกล้องดิจิตอลในปัจจุบันด้วย โดย Fuji เป็นบริษัทที่ทำรายได้ถึง 20.1 พันล้านดอลลาร์ในปี 2020 และมีพนักงานมากถึง 37,151 คนทั่วโลก

วันที่ 2/6/21 FUJIFILM ประกาศว่าสำนักงานใหญ่ในโตเกียวถูกโจมตีด้วยแรนซัมแวร์ ในวันอังคารที่ 1/6/21 และกำลังดำเนินการตรวจสอบการเข้าถึงเซิร์ฟเวอร์โดยไม่ได้รับอนุญาตจากภายนอกบริษัท มีการปิดเครือข่ายบางส่วน และตัดการเชื่อมต่อจากภายนอก โดยมีการประสานงานไปยังสาขาต่าง ๆ ทั่วโลก

นอกจากนี้ทาง FUJIFILM USA ได้ประกาศบนเว็บไซต์ โดยระบุว่าเนื่องจากระบบเครือข่ายบางส่วนกำลังประสบปัญหา ทำให้ส่งผลกระทบต่อระบบอีเมลและโทรศัพท์

FUJIFILM ยังไม่ได้มีการระบุถึงกลุ่มแรนซัมแวร์ที่ทำการโจมตี แต่ทาง Vitali Kremez ซีอีโอของ Advanced Intel ได้บอกกับแหล่งข่าว BleepingComputer ว่า FUJIFILM พบการติดโทรจัน Qbot เมื่อเดือนพฤษภาคมที่ผ่านมา ซึ่งอาจส่งผลกระทบถึงการโจมตีในครั้งนี้และปัจจุบันกลุ่มมัลแวร์ Qbot มีการทำงานร่วมกับกลุ่มแรนซัมแวร์ REvil และในอดีตเคยร่วมมือกับกลุ่มแรนซัมแวร์ ProLock และ Egregor อีกด้วย

แม้ว่าแรนซัมแวร์จะถูกใช้งานมาตั้งแต่ปี 2555 แล้ว แต่เมื่อเร็วๆ นี้ การโจมตีบริษัท Colonial Pipeline ท่อส่งเชื้อเพลิงที่ใหญ่ที่สุดของสหรัฐ และบริษัท JBS ผู้ผลิตเนื้อวัวรายใหญ่ที่สุดของโลก ทำให้การโจมตีนี้กลับได้รับความสนใจจากทั่วโลก โดยรัฐบาลสหรัฐฯ ได้มีการจัดตั้งคณะทำงานขึ้นเพื่อแนะนำนโยบายและแนวทางในการต่อสู้กับภัยคุกคามที่เพิ่มมากขึ้น

ที่มา : bleepingcomputer

แฮกเกอร์รัสเซียถูกระบุว่าเกี่ยวข้องกับการโจมตีระบบจัดเก็บเอกสารของรัฐบาลยูเครน

หน่วยงานความมั่นคงของยูเครน National Security and Defense Council of Ukraine (NSDC) เปิดเผยความเชื่อมโยงของแฮกเกอร์รัสเซียเข้ากับความพยายามในการโจมตีระบบจัดการเอกสารของรัฐบาลยูเครนพร้อมเผยแพร่ Indicator of compromise ที่ได้จากการโจมตี ทั้งนี้ NSDC ยังไม่มีการระบุอย่างแน่ชัดว่าเป็นกลุ่มแฮกเกอร์ใด

ระบบที่ถูกแฮกนั้นเป็นระบบที่มีชื่อว่า System of Electronic Interaction of Executive Bodies (SEI EB) ซึ่งเป็นระบบที่รัฐบาลยูเครนจะใช้ในการแบ่งปันและเผยแพร่เอกสารในหน่วยงานรัฐของยูเครน โดยจากการตรวจสอบนั้น NSDC ตรวจพบการพยายามอัปโหลดไฟล์เอกสารที่มีโค้ดที่เป็นอันตรายไปยังระบบ SEI EB ซึ่งคาดว่ามีเป้าหมายในการหลอกให้มีการดาวน์โหลดและติดตั้งมัลแวร์

ยูเครนตกเป็นเป้าการโจมตีจากรัสเซียอยู่บ่อยครั้ง โดยเมื่อช่วงสัปดาห์ที่ผ่านมา ทาง NSDC ก็มีการเปิดเผยว่ารัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีในลักษณะ DDoS ต่อระบบและเว็บไซต์ของรัฐบาล อีกทั้งยังมีกรณีที่ของมัลแวร์เรียกค่าไถ่ Egregor ที่คาดว่ามีการแพร่กระจายอย่างเฉพาะเจาะจงและมีรัฐบาลรัสเซียอยู่เบื้องหลังอีกด้วย

ที่มา: bleepingcomputer

ตำรวจฝรั่งเศสประกาศจับกุมหนึ่งในสมาชิกของกลุ่ม Egregor ransomware ได้ที่ยูเครน

สถานีวิทยุ France Inter ของฝรั่งเศสได้รายงานถึงการจับกุมหนึ่งในสมาชิกของกลุ่ม Egregor ransomware ในยูเครนเมื่อสัปดาห์ที่ผ่านมา โดยการจับกุมซึ่งยังไม่ได้รับการประกาศอย่างเป็นทางการเป็นผลมาจากการสืบสวนร่วมกันระหว่างตำรวจฝรั่งเศสและยูเครน

ตามรายงานของ France Inter ระบุว่าผู้ต้องสงสัยที่ถูกจับกุมได้เชื่อว่าเป็นบริษัทในเครือ (หรือหุ้นส่วน) ของกลุ่ม Egregor ransomware ซึ่งในขณะนี้ยังไม่มีการเปิดเผยรายชื่อผู้ต้องสงสัย

Egregor ransomware ได้เริ่มปฏิบัติการโจมตีด้วยแรนซัมแวร์ในเดือนกันยายนปี 2020 โดยใช้โมเดล Ransomware-as-a-Service (RaaS) ซึ่งกลุ่ม Egregor ได้ทำการเช่าแรนซัมแวร์สายพันธุ์หนึ่ง จากนั้นอาศัยอาชญากรรมทางไซเบอร์กลุ่มอื่นๆ ในการบุกรุกเข้าสู่เครือข่ายขององค์กรและใช้แรนซัมแวร์ที่เข้ารหัสไฟล์กับเครือข่ายขององค์กรที่ถูกบุกรุก โดยผู้ที่ตกเป็นเหยื่อและไม่ยอมจ่ายค่าไถ่จะถูกปล่อยไฟล์ที่ถูกบุกรุกลงเว็บไซต์ของกลุ่มเพื่อกดดันให้ทำการจ่ายเงินค่าไถ่ นอกจากนี้กลุ่ม Egregor จะทำการฟอกเงินค่าไถ่เหล่านี้ผ่านระบบของ Bitcoin เพื่อหลีกเลี่ยงการตรวจสอบ

เจ้าหน้าตำรวจของฝรั่งเศสได้ระบุว่าการสอบสวนเริ่มขึ้นเมื่อปีที่แล้วหลังจากที่กลุ่ม Egregor ได้มีส่วนเกี่ยวกับการโจมตีบริษัทของฝรั่งเศสหลายบริษัท เช่น Ubisoft และ Gefco ซึ่งตำรวจฝรั่งเศสพร้อมกับหน่วยงาน European counterpart ได้สามารถติดตามจับกุมสมาชิกของกลุ่ม Egregor พร้อมกับเซิฟเวอร์ที่เป็นโครงสร้างพื้นฐานได้ที่ยูเครน

ทั้งนี้ Egregor ransomware เป็นแรนซัมแวร์สายพันธุ์ที่มีส่วนแบ่งทางการตลาดถึง 14.9% ตามรายงานของ Coveware ที่ได้ทำการตีพิมพ์ในเดือนที่ผ่านมา ซึ่งแรนซัมแวร์ได้รับการประเมินว่าเป็นแรนซัมแวร์หนึ่งในสองสายพันธุ์ที่ถูกใช้งานมากที่สุดในไตรมาส 4 ปี 2020 ซึ่งมีรายได้ค่าไถ่อยู่ที่ระหว่าง 40 ล้านถึง 50 ล้านดอลลาร์

ที่มา: zdnet.

มัลแวร์เรียกค่าไถ่ Egregor ใช้วิธีการปริ้นท์ Ransom Note ออกมาทางใบเสร็จเพื่อชี้แจงการเข้ารหัส

Bleeping Computer รายงานถึงแหล่งข้อมูลซึ่งระบุว่ามัลแวร์เรียกค่าไถ่มีการสั่งพิมพ์ Ransom note หรือโน้ตข้อความที่ทิ้งไว้เพื่อเรียกค่าไถ่เหยื่อออกมาในลักษณะใบเสร็จ โดยยืนยันว่าพฤติกรรมดังกล่าวอาจมาจากการใช้สคริปต์ในการสั่งพิมพ์ออกมา ไม่ใช่ฟีเจอร์ของมัลแวร์เรียกค่าไถ่ Egregor เอง

Ransom note หรือโน้ตข้อความเรียกค่าไถ่เป็นลักษณะข้อความที่ผู้โจมตีใช้ในการชี้แจ้งเหยื่อถึงเหตุการณ์ที่เกิดขึ้น ขั้นตอนที่เหยื่อจะต้องปฏิบัติตามเพื่อเข้าสู่กระบวนการจ่ายค่าไถ่ ในบางครั้งแฮกเกอร์จะมีการแนบคำขู่เพิ่มหรือการจับเวลาเพื่อกดดันให้เหยื่อรีบจ่ายค่าไถ่ด้วย ทั้งนี้ยังไม่มีการพบตัวอย่างของสคริปต์ที่สั่งพิมพ์ Ransom note ออกมาทางใบเสร็จในขณะนี้

Bleeping Computer มีการรายงานเพิ่มเติมถึงพฤติกรรมการแพร่กระจายมัลแวร์เรียกค่าไถ่ Egregor ผ่านทางมัลแวร์กลุ่มโทรจันและบ็อตเน็ต QBot ซึ่งใช้ลักษณะเดียวกับ Trickbot/Ryuk, และ DoppelPaymer/BitPaymer ซึ่งแพร่กระจายผ่านทาง Dridex ด้วย

ที่มา: bleepingcomputer | bleepingcomputer

Maze ransomware is shutting down its cybercrime operation

[ข่าวลือ] กลุ่มมัลแวร์เรียกค่าไถ่ Maze ประกาศยุติปฏิบัติการ

Bleeping Computer เผยแพร่ข้อมูลจากการยืนยันข่าวลือกับหนึ่งในผู้เกี่ยวข้องกับกลุ่มมัลแวร์เรียกค่าไถ่ Maze หลังจากมีกระแสออกมาว่าทางกลุ่มจะยุติปฏิบัติการอาชญากรรมของตน

อ้างอิงจากการพูดคุย ผู้เกี่ยวข้องดังกล่าวได้ให้ข้อมูลเกี่ยวกับอนาคตของกลุ่ม Maze ว่ากลุ่มไม่ได้มีปฏิบัติการใหม่มาตั้งแต่เดือนกันยายนที่ผ่านมาแล้ว และในปัจจุบันกลุ่มฯ อยู่ในกระบวนการของการยุติปฏิบัติการ ทั้งนี้เหยื่อซึ่งได้รับผลกระทบจากการโจมตีจะยังคงต้องจ่ายค่าไถ่ต่อไป เพียงแต่จะไม่มีเหยื่อเพิ่ม ผู้ให้ข่าวยังคงมีการระบุว่าขอให้มีการติดตามประกาศอย่างเป็นทางการจากหน้า Press release ของทางกลุ่มอีกครั้ง

Bleeping Computer ยังให้ข้อมูลเพิ่มเติมว่าอาจมีความเป็นไปได้ที่ผู้เกี่ยวข้องกับปฏิบัติการของ Maze จะย้ายไปสนับสนุนกลุ่มมัลแวร์เรียกค่าไถ่ Egregor ด้วยความเหมือนของโปรแกรมที่ใช้ในการเข้ารหัสไฟล์ ข่าวในส่วนนี้ยังไม่ได้รับการยืนยันอย่างชัดเจน เป็นเพียงแค่ข้อสันนิษฐานเท่านั้น

จากเหยื่อทั้งหมด 4 รายในประเทศของมัลแวร์ในกลุ่ม Leaker กลุ่ม Maze รับผิดชอบต่อการโจมตี 2 องค์กรใหญ่ในไทยได้แก่การไฟฟ้าส่วนภูมิภาคและบริษัทใหญ่ที่ไอ-ซีเคียวเคยมีการพาดหัวข่าวไป

ที่มา: bleepingcomputer

กลุ่มมัลแวร์เรียกค่าไถ่ Maze ประกาศยุติปฏิบัติการอย่างเป็นทางการ

อ้างอิงจากข่าวกล่าวซึ่งไอ-ซีเคียวได้เคยรายงานไป ล่าสุดกลุ่มมัลแวร์เรียกค่าไถ่ชื่อดัง Maze ได้มีการประกาศยุติปฏิบัติการบนเว็บไซต์ของกลุ่มแล้ว ผลของการประกาศยุติปฏิบัติการจะส่งผลให้ไม่มีเหยื่อรายใหม่ที่จะถูกโจมตีโดยกลุ่ม Maze อีก

ไอ-ซีเคียวขอสรุปใจความสำคัญจากประกาศของกลุ่ม Maze ออกเป็นประเด็นดังนี้

กลุ่ม Maze ไม่มีพาร์ทเนอร์และกลุ่มอื่นซึ่งจะสานต่อปฏิบัติการ คนของ Maze จะไม่มีการเข้าร่วมกับกลุ่มอื่น
หากมีความเคลื่อนไหวจากกลุ่มอื่นๆ ซึ่งอ้างชื่อของ Maze ขอให้ทุกคนรับทราบว่านั่นเป็นการแอบอ้างตัวตนของกลุ่ม Maze และไม่ใช่ Maze จริงที่มีการเคลื่อนไหว
เหยื่อสามารถร้องขอให้ Maze ลบข้อมูลของตนบนหน้าเว็บโดยติดต่อผ่าน Maze Support Chat ได้
แม้จะมีปฏิเสธถึงความร่วมมือและพาร์ทเนอร์ ข้อมูลในอดีตก็บ่งชี้หลักฐานถึงความร่วมมือระหว่างกลุ่ม Ransomware กลุ่มอื่นและ Maze โดยความร่วมมือโดยส่วนใหญ่อยู่ในลักษณะของการช่วยประกาศชื่อเหยื่อจากมัลแวร์กลุ่มอื่นในเว็บไซต์ของกลุ่ม Maze ในขณะเดียวกันฝั่งของข้อมูล threat intelligence ก็มีการระบุเอาไว้ว่าคนของ Maze อาจเปลี่ยนกลุ่มไปอยู่กับกลุ่มมัลแวร์เรียกค่าไถ่ Egregor ได้ด้วยลักษณะที่เหมือนกันของซอฟต์แวร์ที่มีการใช้ในปฏิบัติการ

Bleeping Computer ได้มีการสอบถามถึงความเป็นไปได้ที่ Maze จะปล่อยโปรแกรมถอดรหัสหลักออกมาเพื่อถอดรหัสให้กับเหยื่อที่เหลือ กลุ่ม Maze ยังไม่มีการตอบคำถามมาในประเด็นนี้

ดูข่าวเก่าได้ที่: https://www.

Ubisoft, Crytek data posted on ransomware gang’s site

แฮกเกอร์ปล่อยข้อมูลของบริษัท Ubisoft และ Crytek ที่ถูกบุกรุกลงบนเว็บพอร์ทัลใน dark web

กลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” ได้ปล่อยข้อมูลที่อ้างว่าได้รับจากเครือข่ายภายในของบริษัท Ubisoft และ Crytek ลงบนเว็บพอร์ทัลของกลุ่มตนเองใน dark web

โดยรายละเอียดของข้อมูลที่ปล่อยลงในเว็บพอร์ทัลนั้นเป็นข้อมูลที่มีการอ้างว่าเป็นข้อมูลของบริษัท Ubisoft และ Crytek ซึ่งข้อมูลที่ถูกปล่อยของบริษัท Ubisoft นั้นคือซอร์สโค้ดจากเกม Watch Dogs ภาค Legion ที่มีกำหนดจะออกวางจำหน่ายภายในปลายเดือนนี้ จำนวน20 MB ส่วนข้อมูลที่ถูกปล่อยของบริษัท Crytek นั้นปรากฏเป็นเอกสารที่ถูกขโมยจากแผนกพัฒนาเกมจำนวน 300 MB โดยภายในเอกสารมีแหล่งข้อมูลและข้อมูลเกี่ยวกับกระบวนการพัฒนาเกมเช่น Arena of Fate และ Warface อีกทั้งยังมีข้อมูลที่เกี่ยวกับเกม Gface อีกด้วย

ทั้งนี้บริษัท Ubisoft และ Crytek ยังไม่มีการเเสดงความคิดเห็นใดๆ เกี่ยวกับการปล่อยข้อมูลชุดนี้ สำหรับกลุ่มปฏิบัติการแรนซัมแวร์ “Egregor” นั้นเป็นกลุ่มที่มักจะทำการบุกรุกเพื่อทำการละเมิดข้อมูลของบริษัทต่างๆ เพื่อทำการขโมยข้อมูล, เข้ารหัสไฟล์และเรียกค่าไถ่เพื่อถอดรหัสข้อมูลที่ถูกล็อก

ที่มา: zdnet

ทำความรู้จักกับ Egregor มัลแวร์เรียกค่าไถ่ตัวใหม่ มีเหยื่อแล้วเป็นบริษัทด้านโลจิสติกส์ระดับโลก

นักวิจัยด้านความปลอดภัย Michael Gillespie ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ใหม่ "Egregor" ซึ่งใช้วิธีการขู่เรียกค่าไถ่ด้วยข่มขู่ที่จะปล่อยข้อมูลที่ได้จากการโจมตี มีการค้นพบเหยื่อจาก Egregor แล้วคือบริษัทโลจิสติกส์ระดับโลก GEFCO

ผลการวิเคราะห์ตัวอย่างของมัลแวร์เรียกค่าไถ่เบื้องต้นบ่งชี้ความเหมือนของโค้ดระหว่าง Egregor และมัลแวร์เรียกค่าไถ่ Sekhmet ซึ่งเคยมีการแพร่กระจายในช่วงเดือนมิถุนายนที่ผ่านมา ส่วนของโค้ดของมัลแวร์ Egregor เองประกอบไปด้วยวิธีการ anti-analysis หลายรูปแบบ รวมไปถึงมีการทำ code obfuscation, packing และมีความยืดหยุ่นในการกำหนดฟังก์ชันการใช้งานด้วย ส่งผลให้คะแนนด้านความอันตรายของ Egregor มีสูงเทียบเท่ากับมัลแวร์เรียกค่าไถ่สายพันธุ์อื่น

IOC ของ Egregor ถูกเผยแพร่แล้วที่ AlienVault OTX (https://otx.