FBI เตือนว่า อาชญากรได้มีการแก้ไขรูปภาพที่ถูกแชร์บนโซเชียลมีเดีย และใช้เป็นรูปภาพปลอมเพื่อหลอกลวงการเรียกค่าไถ่

(more…)

หน่วยงานด้านความมั่นคงไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ร่วมกับ FBI ศูนย์อาชญากรรมไซเบอร์ของกระทรวงกลาโหม และหน่วยงานความมั่นคงแห่งชาติ (NSA) ได้ออกคำเตือนเร่งด่วนเกี่ยวกับความเป็นไปได้ของการโจมตีทางไซเบอร์โดยกลุ่มที่เชื่อมโยงกับรัฐบาลอิหร่าน ซึ่งมีเป้าหมายคือโครงสร้างพื้นฐานสำคัญของสหรัฐฯ (more…)

หน่วยงานด้านความปลอดภัยทางไซเบอร์ของ FBI, NSA และ Five Eyes ได้เผยแพร่รายชื่อช่องโหว่ที่ถูกใช้ในการโจมตีอยู่อย่างต่อเนื่อง 15 อันดับแรกตลอดทั้งปีที่ผ่านมา ซึ่งส่วนใหญ่ถูกโจมตีครั้งแรกในลักษณะ zero-day (more…)

FBI ได้เข้ายึดเว็บไซต์ BreachForums ที่กำลังโด่งดังจากการซื้อขายข้อมูลรั่วไหล และข้อมูลองค์กรที่ถูกขโมยมาให้กับอาชญากรไซเบอร์รายอื่น

การเข้ายึดดังกล่าวเกิดขึ้นในเช้าวันพุธที่ผ่านมา (15 มีนาคม 2024) ไม่นานหลังจากที่เว็บไซต์ดังกล่าวถูกใช้เพื่อประกาศขายข้อมูลที่ถูกขโมยจากพอร์ทัลของหน่วยงานบังคับใช้กฎหมายของยุโรปเมื่อสัปดาห์ที่แล้ว

โดยปัจจุบันเว็บไซต์แสดงข้อความที่ระบุว่า FBI ได้เข้าควบคุมข้อมูล และระบบเบื้องหลัง ซึ่งแสดงให้เห็นว่าหน่วยงานบังคับใช้กฎหมายได้ยึดทั้งเซิร์ฟเวอร์ และโดเมนของเว็บไซต์

โดยข้อความระบุว่า “เว็บไซต์นี้ถูกปิดโดย FBI และ DOJ ด้วยความช่วยเหลือจากพันธมิตรระหว่างประเทศ”

“เรากำลังตรวจสอบข้อมูลระบบเบื้องหลังของเว็บไซต์นี้ หากใครมีข้อมูลที่จะรายงานเกี่ยวกับพฤติกรรมที่เข้าข่ายความผิดทางไซเบอร์บน BreachForums โปรดแจ้งให้เราทราบ”

ข้อความบนเว็บไซต์ยังแสดงรูปโปรไฟล์สองรูปของผู้ดูแลเว็บไซต์คือ Baphomet และ ShinyHunters ที่อยู่ด้านหลังลูกกรง

หากหน่วยงานบังคับใช้กฎหมายสามารถเข้าถึงข้อมูลระบบเบื้องหลังของ BreachForums ได้จริง พวกเขาจะมีที่อยู่อีเมล, ที่อยู่ IP และข้อความส่วนตัวที่อาจเปิดเผยข้อมูลสมาชิก และใช้ในการสืบสวนของหน่วยงานบังคับใช้กฎหมาย

นอกจากนี้ FBI ยังได้ยึดช่องทาง Telegram ของเว็บไซต์ และช่องทางอื่น ๆ ที่เป็นของ Baphomet โดยหน่วยงานบังคับใช้กฎหมายได้ส่งข้อความที่ระบุว่าช่องทางดังกล่าวอยู่ภายใต้การควบคุมของพวกเขา

ข้อความบางส่วนที่โพสต์ไปยังช่องทาง Telegram ที่ถูกยึดโดยหน่วยงานบังคับใช้กฎหมายนั้นมาจากบัญชีของ Baphomet โดยตรง ซึ่งมีแนวโน้มว่าผู้ดูแลเว็บไซต์ถูกจับกุม และอุปกรณ์ของเขาตอนนี้อยู่ในมือของหน่วยงานบังคับใช้กฎหมายเรียบร้อยแล้ว

FBI กำลังขอให้เหยื่อ และบุคคลต่าง ๆ ติดต่อพวกเขาพร้อมข้อมูลเกี่ยวกับ BreachForums และสมาชิกเพื่อช่วยในการสืบสวน

ข้อความการเข้ายึดเว็บไซต์ รวมถึงวิธีการติดต่อ FBI เกี่ยวกับการยึดเว็บไซต์ดังกล่าว รวมถึงอีเมล, บัญชี Telegram, บัญชี TOX ตั้งอยู่ในโดเมนย่อยของศูนย์ร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (IC3) ของ FBI โดยมีข้อความระบุว่า “สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กำลังสืบสวนฟอรัมการซื้อขายข้อมูลที่ผิดกฏหมายที่ชื่อว่า BreachForums และ Raidforums”

โดยตั้งแต่เดือนมิถุนายน 2023 ถึงเดือนพฤษภาคม 2024 BreachForums (โฮสต์ที่ breachforums.

FBI ขัดขวางการโจมตีของ Chinese Botnet ด้วยการจัดการ Router ที่ติด malware

FBI ได้ขัดขวางการโจมตีของ KV Botnet ที่ถูกใช้โดย Volt Typhoon ซึ่งเป็นกลุ่มที่ได้รับการสนันสนุนจากรัฐบาลจีน เพื่อหลบเลี่ยงการตรวจจับระหว่างการโจมตี โดยมีเป้าหมายการโจมตีไปยังโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ

(more…)

Atlassian แจ้งเตือนช่องโหว่ระดับ Critical ที่อาจนำไปสู่เหตุการณ์ข้อมูลเสียหายได้

Atlassian บริษัทซอฟต์แวร์จากออสเตรเลีย ออกมาแจ้งเตือนผู้ดูแลระบบให้อัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ใน Confluence instances ที่เข้าถึงได้จากอินเทอร์เน็ตทันที เพื่อป้องกันการถูกโจมตีจากช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งอาจนำไปสู่เหตุการณ์ข้อมูลเสียหายหากถูกโจมตีได้สำเร็จ
(more…)

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) แจ้งเตือนถึงแนวโน้มใหม่ของการโจมตีด้วย Dual Ransomware ที่กำหนดเป้าหมายไปที่เหยื่อรายเดียวกัน ในช่วงตั้งแต่เดือนกรกฎาคม 2023

“ในระหว่างการโจมตีเหล่านี้ ผู้โจมตีทางไซเบอร์ได้ใช้แรนซัมแวร์ที่แตกต่างกันสองรูปแบบกับเหยื่อจาก Ransomware ดังต่อไปนี้ AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum และ Royal” FBI ระบุในการแจ้งเตือน

ยังไม่มีรายละเอียดเกี่ยวกับขนาดของแคมเปญการโจมตีดังกล่าว แม้ว่าจะเชื่อกันว่าการโจมตีดังกล่าวเกิดขึ้นในช่วงระยะเวลาใกล้เคียงกัน ตั้งแต่ระหว่าง 48 ชั่วโมง ไปจนถึงภายใน 10 วัน

การเปลี่ยนแปลงที่โดดเด่นอีกประการหนึ่งที่พบในการโจมตีด้วยแรนซัมแวร์ครั้งนี้คือ วิธีการในการโจรกรรมข้อมูล, wiper tools และมัลแวร์ประเภทต่าง ๆ ที่เพิ่มขึ้นเพื่อกดดันให้เหยื่อต้องยอมจ่ายเงิน

“การใช้ Dual Ransomware ลักษณะนี้ ส่งผลให้เกิดการผสมผสานในการเข้ารหัสข้อมูล การขโมยข้อมูล และความสูญเสียทางการเงินจากการจ่ายค่าไถ่ อีกทั้งการโจมตีแบบ Dual Ransomware สร้างผลกระทบกับระบบของเหยื่อเป็นอย่างมาก” เป็นที่น่าสังเกตว่าการโจมตีด้วย Dual Ransomware นั้นไม่ใช่เทคนิคใหม่ โดยมีการตรวจพบการโจมตีลักษณะนี้มาตั้งแต่ต้นเดือนพฤษภาคม 2021

เมื่อปีที่ผ่านมา Sophos รายงานว่าซัพพลายเออร์ด้านยานยนต์ที่ไม่เปิดเผยชื่อ ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ 3 ตัวซึ่งประกอบด้วย Lockbit, Hive และ BlackCat ในช่วงสองสัปดาห์ระหว่างเดือนเมษายนถึงพฤษภาคม 2022 จากนั้น เมื่อต้นเดือนที่ผ่านมา Symantec ให้รายละเอียดเกี่ยวกับการโจมตีด้วยแรนซัมแวร์ที่ชื่อ 3AM โดยกำหนดเป้าหมายไปที่เหยื่อที่ไม่เปิดเผยชื่อ ภายหลังจากการพยายามโจมตีด้วย LockBit ในเครือข่ายเป้าหมายไม่สำเร็จ

คำแนะนำสำหรับองค์กรต่าง ๆ ในการเพิ่มการป้องกันระบบ ดังนี้

ควรป้องกัน และรักษาข้อมูลด้วยการสำรองข้อมูลแบบออฟไลน์
ตรวจสอบการเชื่อมต่อระยะไกลจากภายนอก และการใช้โปรโตคอลรีโมทเดสก์ท็อปจากระยะไกล (RDP)
การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อป้องกันการถูกโจมตีแบบฟิชชิ่
ตรวจสอบบัญชีผู้ใช้ และการแบ่งเครือข่ายเพื่อป้องกันการแพร่กระจายของแรนซัมแวร์

ที่มา : thehackernews

NSA และ FBI แจ้งเตือนการพบ Kimsuky (a.k.a APT43) กลุ่ม Hacker ชาวเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ได้ปลอมตัวเป็นนักข่าว และนักวิชาการ แล้วใช้การโจมตีแบบ spear-phishing เพื่อรวบรวมข้อมูลข่าวกรองจากองค์กรด้านนวัตกรรม ศูนย์วิจัย สถาบันการศึกษา และองค์กรสื่อต่าง ๆ

โดยการแจ้งเตือนดังกล่าวมาจากการที่หน่วยงานรัฐบาลหลายแห่งในสหรัฐอเมริกา และเกาหลีใต้ ซึ่งกำลังติดตามปฏิบัติการของ Hacker กลุ่มดังกล่าว รวมถึงวิเคราะห์รูปแบบการโจมตีของกลุ่ม ทั้งนี้หน่วยงานต่าง ๆ ที่ออกมาแจ้งเตือนประกอบไปด้วย ที่ปรึกษาร่วมจากสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) กระทรวงการต่างประเทศสหรัฐฯ สำนักงานความมั่นคงแห่งชาติ (NSA) ร่วมกับหน่วยข่าวกรองแห่งชาติของเกาหลีใต้ (NIS) สำนักงานตำรวจแห่งชาติ (NPA) และกระทรวงการต่างประเทศ (MOFA)

Kimsuky นอกจากมีชื่อ APT43 แล้ว ยังเป็นที่รู้จักในชื่อ Thallium และ Velvet Chollima ได้ดำเนินแคมเปญจารกรรมขนาดใหญ่ ที่ได้รับการสนับสนุนจากหน่วยงานข่าวกรอง และสำนักงานลาดตระเวนทั่วไป (RGB) ของเกาหลีเหนือมาตั้งแต่ปี 2012 เป็นอย่างน้อย

การโจมตีด้วย Spear-phishing ที่ปลอมตัวเป็นนักข่าว

Kimsuky ได้เริ่มต้นการโจมตีด้วย spear-phishing โดยใช้ที่อยู่อีเมลที่ใกล้เคียงกับบุคคลจริง และสร้างเนื้อหาที่น่าเชื่อถือ และสมจริงสำหรับการสื่อสารกับเป้าหมาย ในหัวข้อต่าง ๆ ที่สังเกตได้ ได้แก่ การสอบถาม, การเชิญสัมภาษณ์, การสำรวจที่กำลังดำเนินอยู่ และการขอรายงาน หรือการตรวจสอบเอกสาร ซึ่งใน phishing Email จะเริ่มต้นโดยไม่มีมัลแวร์ หรือไฟล์แนบใด ๆ เนื่องจากต้องการได้รับความไว้วางใจจากเป้าหมาย หากเป้าหมายไม่ตอบกลับอีเมลเหล่านี้ Kimsuky จะกลับมาพร้อมข้อความติดตามหลังจากผ่านไปสองสามวัน

ทาง FBI พบว่าในอีเมลภาษาอังกฤษก็มีโครงสร้างประโยค และอาจมีข้อความที่ตัดตอนมาจากการสื่อสารครั้งก่อนของเหยื่อกับผู้ติดต่อที่ถูกต้องซึ่งถูกขโมยไป รวมถึงเมื่อเป้าหมายเป็นชาวเกาหลีใต้ ข้อความฟิชชิ่งอาจมีภาษาถิ่นของเกาหลีเหนือที่แตกต่างกัน นอกจากนี้ยังพบว่าที่อยู่ที่ใช้ในการส่งอีเมลฟิชชิ่งจะปลอมแปลงเป็นของบุคคล หรือหน่วยงานที่ถูกต้องตามกฎหมาย แต่มักจะมีการสะกดผิดเล็กน้อย

การป้องกัน Kimsuky

ทั้งนี้หน่วยงานต่างๆ ที่ออกมาแจ้งเตือน ได้ให้คำแนะนำในการป้องกันการโจมตีจาก Kimsuky ไว้ว่า

ควรมีชุดมาตรการลดผลกระทบ ซึ่งรวมถึงการใช้รหัสผ่านที่รัดกุมเพื่อป้องกันบัญชี และเปิดใช้งาน multi-factor authentication (MFA)
ผู้ใช้ไม่ควรเปิดใช้งาน Macro ในเอกสารในอีเมลที่ส่งโดยบุคคลที่ไม่รู้จัก
ตรวจสอบเอกสารที่ส่งจากบริการ cloud hosting services ที่รู้จักเท่านั้น
เมื่อมีข้อสงสัยเกี่ยวกับข้อความที่อ้างว่ามาจากกลุ่มสื่อหรือนักข่าว โปรดไปที่เว็บไซต์อย่างเป็นทางการขององค์กรนั้น และยืนยันความถูกต้องของข้อมูลติดต่อ

 

ที่มา : bleepingcomputer

หน่วยงานปราบปรามอาชญากรรมแห่งชาติของสหราชอาณาจักร (NCA) เปิดเผยว่าได้ทำการสร้างเครือข่ายของเว็บไซต์ DDoS-for-hire ปลอม เพื่อแฝงตัวเข้าไปสู่กลุ่มอาชญากรรมในโลกออนไลน์

หน่วยงานบังคับใช้กฎหมายระบุว่า "เว็บไซต์ที่ถูกดำเนินการโดย NCA ซึ่งมีผู้เข้าถึงเว็บไซต์กว่าพันคน ถูกสร้างขึ้นให้ดูเหมือนว่ามีเครื่องมือ และบริการที่ช่วยให้อาชญากรทางไซเบอร์สามารถนำไปดำเนินการโจมตีเป้าหมายได้"

โดยหลังจากที่ผู้ใช้งานลงทะเบียนเข้าใช้งานเว็บไซต์ แทนที่จะได้รับสิทธิ์ในการเข้าถึงเครื่องมือสำหรับการโจมตี แต่ข้อมูลของพวกเขากลับถูกรวบรวมโดยเจ้าหน้าที่จาก NCA แทน

(more…)

การหายตัวไปของกลุ่มมัลแวร์เรียกค่าไถ่ REvil ในต้นสัปดาห์นี้ เป็นผลจากการร่วมมือกันของผู้บังคับใช้กฎหมายสหรัฐ และหน่วยงานจากหลายประเทศ

กลุ่มมัลแวร์เรียกค่าไถ่ REvil หรือที่รู้จักในอีกชื่อ Sodinokibi เป็นกลุ่มที่อยู่เบื้องหลังการโจมตี May cyberattack ที่ได้ทำการโจมตีบริษัท Colonial Pipeline ผู้ให้บริการเครือข่ายท่อส่งน้ำมันรายใหญ่ของสหรัฐ ซึ่งส่งผลให้เกิดการขาดแคลนน้ำมันเป็นวงกว้างในบริเวณชายฝั่งทางตะวันออกของสหรัฐอเมริกา

ทางการสหรัฐกล่าวว่าการโจมตีบริษัท Colonial Pipeline นั้นใช้ซอฟต์แวร์เข้ารหัสที่ชื่อว่า DarkSide ซึ่งถูกสร้างโดยผู้ที่เกี่ยวข้องกับ REvil

กลุ่มมัลแวร์เรียกค่าไถ่ REvil ปิดเซิร์ฟเวอร์ไปครั้งแรก เมื่อเดือนกรกฎาคม ซึ่งเป็นช่วงเดียวกันกับที่มีการกดดันให้รัสเซียดำเนินการจัดการกับกลุ่มมัลแวร์เรียกค่าไถ่ ภายในประเทศ และเซิร์ฟเวอร์ของกลุ่มได้กลับมาออนไลน์อีกครั้งในเดือนกันยายนจนถึงปัจจุบัน ก่อนจะถูกปิดไปอีกครั้งโดยหน่วยงานของสหรัฐฯ

ผู้ที่ถูกกล่าวหาว่าเป็นตัวแทนของกลุ่ม REvil กล่าวว่ามีบุคคลที่ไม่ทราบตัวตน ได้เข้าถึงระบบภายในของเว็บไซต์บางส่วนของกลุ่ม REvil ได้แก่ Landing page และ Blog ทำให้เขาคาดว่า ข้อมูลสำรอง (Backups) ของเว็บไซต์ และ Key สำหรับจัดการกับ Onion service นั้นถูกบุคคลที่สามเข้าถึงได้แล้ว

แหล่งข่าวไม่เปิดเผยตัวรายหนึ่งบอกกับสำนักข่าว Reuters ว่าบุคคลที่ไม่ทราบตัวตน และเป็นคนลงมือแฮ็กเซิร์ฟเวอร์ของ REvil นั้นเป็นชาวต่างชาติที่ร่วมมือกับสำนักงานสอบสวนกลางแห่งสหรัฐอเมริกา (FBI) กองบัญชาการไซเบอร์ (U.S. Cyber Command) หน่วยสืบราชการลับ (Secret Service) และรัฐบาลของอีกหลายประเทศที่ไม่ได้เปิดเผยชื่อ “เอฟบีไอ ร่วมมือกับ กองบัญชาการไซเบอร์ หน่วยสืบราชการลับ และประเทศอื่น ๆ ที่มีความตั้งใจแบบเดียวกัน ได้มีส่วนร่วมสำคัญในการช่วยกันจัดการกับกลุ่มแฮ็กเกอร์ลักษณะนี้ โดย REvil นั้นอยู่ในอันดับต้น ๆ ของลิสต์เลย” กล่าวโดย Kellermann ที่ปรึกษาของหน่วยสืบราชการลับ

รายงานยังกล่าวว่า ทางสหรัฐฯ ได้ทำการแฮ็กเข้าไปยังระบบ Network infrastructure ของกลุ่ม REvil ได้สำเร็จ และสามารถเข้าควบคุมเครื่องเซิร์ฟเวอร์บางส่วนได้ตั้งแต่เดือนกรกฎาคม ช่วงเดียวกับที่ทางกลุ่ม REvil ประกาศยุติการดำเนินการ และเมื่อช่วงเดือนกันยายน ทางกลุ่ม REvil ได้ทำการ Restore เซิร์ฟเวอร์เว็บไซต์ให้กลับมาใช้งานได้ด้วยข้อมูลสำรอง (Backups) ซึ่งทางกลุ่มไม่รู้เลยว่าได้ไป Restart ระบบภายในบางอย่างซึ่งอยู่บน Server ที่ถูกเข้าควบคุมโดยแฮ็กเกอร์ที่ร่วมมือกับสหรัฐแล้ว ทำให้ทางการตรวจพบและได้สั่งปิด Service ของกลุ่ม REvil ไปในต้นสัปดาห์นี้ ทางการยังกล่าวอีกว่าขณะนี้ก็ยังทำการเจาะระบบของ REvil อยู่อย่างต่อเนื่อง

ทาง FBI และรัฐบาลสหรัฐฯ ปฏิเสธที่จะให้ความเห็นเกี่ยวกับเรื่องนี้ เพี่ยงแต่ระบุว่าตั้งใจจะจัดการกับปัญหามัลแวร์เรียกค่าไถ่กลุ่มนี้ และมัลแวร์เรียกค่าไถ่อื่น ๆ ที่โจมตีระบบโครงสร้างพื้นฐานสำคัญของประเทศ โดยจัดอยู่ลำดับเดียวกันกับภัยความมั่นคงแห่งชาติ เช่นเดียวกับการก่อการร้าย

 

ที่มา: siliconangle.