พบ Hacker มุ่งเป้าไปที่ MongoDB instance ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ต ด้วยการโจมตีจาก Ransomware แบบอัตโนมัติ โดยเรียกร้องค่าไถ่จำนวนเล็กน้อยจากเจ้าของเพื่อกู้คืนข้อมูล

Hacker มุ่งเน้นไปที่เป้าหมายที่เข้าถึงได้ง่าย นั่นคือฐานข้อมูลที่ตั้งค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้เข้าถึงได้โดยไม่มีข้อจำกัด เซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ตประมาณ 1,400 เครื่องถูกโจมตี พร้อมข้อความเรียกค่าไถ่ที่เรียกร้องค่าไถ่ประมาณ 500 ดอลลาร์สหรัฐในสกุลเงิน Bitcoin

พบว่าตั้นแต่ปี 2021 มีการโจมตีเกิดขึ้นมากมาย มีการลบฐานข้อมูลหลายพันรายการ และเรียกค่าไถ่เพื่อกู้คืนข้อมูล โดยบางครั้ง Hacker ก็ลบฐานข้อมูลโดยไม่เรียกร้องเงิน

การทดสอบเจาะระบบจากนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Flare เปิดเผยว่าการโจมตีเหล่านี้ยังคงมีอยู่ เพียงแต่พบการโจมตีในขนาดที่เล็กลง

นักวิจัยค้นพบ MongoDB instance ที่เปิดเผยสู่สาธารณะมากกว่า 208,500 เครื่อง ซึ่งในจำนวนนั้น 100,000 เครื่อง เปิดเผยข้อมูลการดำเนินงาน และ 3,100 เครื่อง สามารถเข้าถึงได้โดยไม่ต้องมีการยืนยันตัวตน

ทั้งนี้เกือบครึ่งหนึ่ง (45.6%) ของเครื่อง MongoDB instance ที่เข้าถึงได้โดยไม่มีข้อจำกัดนั้นถูกโจมตีไปแล้ว เมื่อ Flare ทำการตรวจสอบ พบว่าฐานข้อมูลถูกลบไปหมดแล้ว และมีการทิ้งข้อความเรียกค่าไถ่ไว้ให้ชำระเงิน 0.005 BTC ภายใน 48 ชั่วโมง

รายงานของ Flare ระบุว่า Hacker เรียกร้องให้ชำระเงินเป็น Bitcoin (มักจะประมาณ 0.005 BTC ซึ่งเทียบเท่ากับ 500-600 ดอลลาร์สหรัฐในปัจจุบัน) ไปยังที่อยู่กระเป๋า Bitcoin ที่ระบุไว้ โดยสัญญาว่าจะกู้คืนข้อมูลให้ แต่ไม่มีหลักประกันว่า Hacker จะมีข้อมูล หรือจะให้รหัสถอดรหัสที่ใช้งานได้จริงหากได้รับเงิน

รวมถึงพบว่ามีที่อยู่กระเป๋า Bitcoin ที่แตกต่างกันเพียงห้าแห่ง ในข้อความเรียกค่าไถ่ที่ถูกทิ้งไว้ และหนึ่งในนั้นพบได้บ่อยในประมาณ 98% ของการโจมตี ซึ่งแสดงให้เห็นว่ามี Hacker เพียงรายเดียวที่มุ่งเป้าไปที่การโจมตีเหล่านี้

Flare ยังแสดงความคิดเห็นเกี่ยวกับ MongoDB instance ที่เหลืออยู่ซึ่งดูเหมือนจะไม่ได้รับผลกระทบ แม้ว่า MongoDB instance เหล่านั้นจะเข้าถึงได้จากอินเตอร์เน็ต และมีการรักษาความปลอดภัยที่ไม่ดี โดยตั้งสมมติฐานว่าเป้าหมายอาจจ่ายค่าไถ่ให้กับ Hacker ไปแล้ว

นอกเหนือจากมาตรการการยืนยันตัวตนที่ไม่ดีแล้ว นักวิจัยยังพบว่าเกือบครึ่งหนึ่ง (95,000) ของ MongoDB instance ที่เข้าถึงได้จากอินเตอร์เน็ตทั้งหมด ใช้เวอร์ชันเก่าที่มีช่องโหว่ n-day อย่างไรก็ตาม ศักยภาพของช่องโหว่ส่วนใหญ่จำกัดอยู่เพียงการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service) ไม่ใช่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

Flare แนะนำว่า ผู้ดูแลระบบ MongoDB ควรหลีกเลี่ยงการเปิดเผยอินสแตนซ์ต่อสาธารณะเว้นแต่จำเป็น ใช้วิธีการยืนยันตัวตนที่เข้มงวด ตั้งค่า Firewall Rules และ Kubernetes Network Policy ที่อนุญาตเฉพาะการเชื่อมต่อที่เชื่อถือได้ และหลีกเลี่ยงการคัดลอก configurations จากคู่มือการใช้งาน

รวมถึงควรมีการอัปเดต MongoDB ให้เป็นเวอร์ชันล่าสุด และตรวจสอบการเปิดให้เข้าถึงจากอินเตอร์เน็ตอย่างต่อเนื่อง ในกรณีที่มีการเปิดให้เข้าถึงจากอินเตอร์เน็ต ข้อมูล credentials จะต้องได้รับการ rotated และตรวจสอบ Log เพื่อหาพฤติกรรมที่น่าสงสัย

ที่มา : bleepingcomputer

GitLab ออกอัปเดตด้านความปลอดภัยอย่างเร่งด่วน เพื่อแก้ไขช่องโหว่หลายรายการที่มีระดับความรุนแรงสูงในแพลตฟอร์ม ซึ่งสามารถทำให้ผู้ไม่หวังดีสามารถ Bypass กลไกด้านความปลอดภัย, เรียกใช้สคริปต์ที่เป็นอันตราย และเข้าถึงข้อมูลที่มีความสำคัญ (more…)

Microsoft ได้ลบ extensions ของ Visual Studio Code (VS Code) ที่มีการใช้งานอย่างแพร่หลาย 2 รายการ ได้แก่ “Material Theme Free” และ “Material Theme Icons Free” ออกจาก Marketplace หลังจากนักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่ามีโค้ดอันตรายฝังอยู่ภายใน (more…)

CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่ด้านความปลอดภัย 2 รายการที่ส่งผลกระทบต่อ Adobe ColdFusion และ Oracle Agile Product Lifecycle Management (PLM) เข้าสู่รายการช่องโหว่ที่กำลังถูกนำไปใช้ในการโจมตีจริง (KEV) โดยอ้างอิงจากหลักฐานการถูกโจมตีจริง (more…)

บริการแจ้งเตือนข้อมูลรั่วไหล Have I Been Pwned ได้เพิ่มข้อมูลบัญชีที่ถูกขโมยจากมัลแวร์ infostealer และถูกพบใน Telegram กว่า 284 ล้านรายการ (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์บน Android เวอร์ชันใหม่ที่ชื่อ TgToxic (หรือที่รู้จักในชื่อของ ToxicPanda) ซึ่งบ่งชี้ว่ากลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังมัลแวร์ดังกล่าว ยังคงมีการพัฒนามัลแวร์อย่างต่อเนื่องเพื่อตอบสนองต่อการรายงานการโจมตีที่เกิดขึ้น (more…)

Microsoft ระบุว่าได้ค้นพบเวอร์ชันใหม่ของมัลแวร์บน macOS ที่รู้จักกันในชื่อ XCSSET ซึ่งยังไม่พบว่าถูกนำไปใช้โจมตีในวงกว้าง (more…)

พบช่องโหว่ Remote Code Execution (RCE) ระดับ Critical ใน MITRE Caldera ซึ่งเป็นเฟรมเวิร์กสำหรับการจำลองการโจมตีที่มีการใช้งานอย่างแพร่หลาย (more…)

Health Net Federal Services (HNFS) และบริษัทแม่ Centene Corporation ได้ตกลงจ่ายค่าชดเชยจำนวน 11,253,400 ดอลลาร์ เพื่อยุติข้อกล่าวหาที่ HNFS รับรองการปฏิบัติตามข้อกำหนดด้านความปลอดภัยทางไซเบอร์อย่างไม่ถูกต้อง ภายใต้สัญญา TRICARE ของ หน่วยงาน (more…)

Microsoft แจ้งเตือนผู้ดูแลระบบว่า Exchange 2016 และ Exchange 2019 จะสิ้นสุดการสนับสนุนที่มีการขยายเวลาออกมาในเดือนตุลาคม 2025 นี้ และแบ่งปันคำแนะนำสำหรับผู้ที่ต้องการเลิกใช้ Exchange Servers (more…)