Prudential Financial ยืนยันเหตุการณ์ข้อมูลรั่วไหล 2.5 ล้านรายการ

บริษัท Prudential Financial ออกมายืนยันว่าข้อมูลส่วนบุคคลกว่า 2.5 ล้านรายถูกเข้าถึงจากการถูกโจมตีทางไซเบอร์ในเดือนกุมภาพันธ์ที่ผ่านมา

อ้างอิงจากแบบฟอร์ม 8-K ที่ได้ยื่นกับสำนักงานคณะกรรมการกำกับหลักทรัพย์ และตลาดหลักทรัพย์ของสหรัฐอเมริการะบุว่า ทางบริษัทได้ตรวจพบเหตุการณ์ดังกล่าวในวันที่ 5 เดือนกุมภาพันธ์ ซึ่งเป็น 1 วันภายหลังจากที่ผู้โจมตี สามารถควบคุมระบบระบบ และเข้าถึงข้อมูลในส่วนของผู้ดูแลระบบ/ผู้ใช้งาน และพนักงานบริษัท/ผู้รับเหมาได้แล้ว

ในเดือนมีนาคม Prudential Financial ซึ่งเป็นบริษัทที่ถูกจัดอยู่ในกลุ่มของ Fortune 500 ได้ยื่นเอกสารกับทางสำนักงานอัยการสูงสุดแห่งรัฐเมน (Maine Attorney General’s Office) ว่าได้มีการแจ้งเตือนไปยังผู้เสียหายไปกว่า 36,000 รายแล้ว ถึงเรื่องของข้อมูลส่วนบุคคล (ซึ่งรวมไปถึง ชื่อ, หมายเลขใบอนุญาตขับขี่ และ Non-driver identification card - NDID) ที่รั่วไหลออกไปในระหว่างการถูกโจมตี

โดย Prudential ระบุว่า “ระหว่างการตรวจสอบ บริษัทได้พบว่ามีการเข้าถึงระบบเครือข่ายภายในจากบุคคลภายนอกที่ไม่ได้รับอนุญาตในวันที่ 4 กุมภาพันธ์ 2024 และทำการลบข้อมูลส่วนบุคคลบางส่วนออกจากระบบของบริษัท”

“ในส่วนของการตอบสนองต่อเหตุการณ์ดังกล่าว บริษัทได้มีการร่วมมือกับผู้เชียวชาญด้านความปลอดภัยทางไซเบอร์ เพื่อให้สามารถยืนยันได้ว่ากลุ่มผู้ไม่หวังดีไม่สามารถเข้าถึงข้อมูลในระบบของเราได้อีกต่อไป”

อย่างไรก็ตามในสัปดาห์ที่ผ่านมา ทางบริษัทได้มีการอัปเดตถึงข้อมูลที่ได้ยื่นให้กับทางสำนักงานอัยการสูงสุดแห่งรัฐเมน ในส่วนของเหตุการณ์การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และได้ระบุถึงความเสียหายจากเหตุการณ์ดังกล่าวที่ส่งผลกระทบต่อผู้เสียหายกว่า 2,556,210 ราย

ALPHV ออกมาอ้างว่าเป็นผู้ทำการโจมตี

ในขณะที่ บริษัท Prudential Financial ยังไม่ได้เปิดเผยข้อมูลเพิ่มเติมที่เกี่ยวข้องกับกลุ่มแฮ็กเกอร์ที่อยู่เบื้องหลังของการโจมตีในเดือนกุมภาพันธ์ 2024 ที่ผ่านมา แต่ทาง ALPHV/Blackcat ransomware ซึ่งเป็นกลุ่มแรนซัมแวร์ได้ออกมาอ้างความรับผิดชอบต่อเหตุการณ์ดังกล่าวว่าเป็นฝีมือของพวกเขาเองเมื่อวันที่ 13 กุมภาพันธ์ 2024

ALPHV ได้ปิดระบบการดำเนินการต่าง ๆ และหายตัวไปหลังสามารถหลอกขโมยเงินกว่า $22 ล้านเหรียญได้จากกลุ่ม Notchy ซึ่งเป็นกลุ่มที่เกี่ยวข้องกับเหตุการณ์ข้อมูลรั่วไหลของ Change Healthcare

FBI ได้ระบุความเชื่อมโยงของกลุ่มแรนซัมแวร์นี้กับเหตุการณ์การโจมตี และข้อมูลรั่วไหลกว่า 60 ครั้งในช่วง 4 เดือนแรกของการปฏิบัติการ และระบุเพิ่มเติมว่า ALPHV ทำเงินไปได้แล้วอย่างน้อย $300 ล้านเหรียญจากเหยื่อกว่า 1,000 รายจนถึงเดือนกันยายน 2023

Prudential คือบริษัทประกันชีวิตที่ใหญ่เป็นอันดับสองในประเทศสหรัฐฯ โดยมีพนักงานกว่า 40,000 รายทั่วโลก และมีการยืนยันรายได้กว่า $50 พันล้านเหรียญในปี 2023

ในเดือนมิถุนายน 2023 ข้อมูลส่วนบุคคลจากลูกค้าของบริษัท Prudential เคยรั่วไหลกว่า 320,000 ราย ซึ่งประกอบไปด้วย ชื่อ, ที่อยู่, วันเดือนปีเกิด, หมายเลขโทรศัพท์ และหมายเลขประกันสังคม หลังจากการโจมตีทางไซเบอร์ของกลุ่ม Clop ที่เกิดขึ้นกับแพลตฟอร์ม MOVEit Transfer ของ Pension Benefit Information (PBI) ซึ่งเป็น third-party ที่ดูแลข้อมูลของบริษัท

ที่มา : bleepingcomputer

Cobalt threat group serves up SpicyOmelette in fresh bank attacks

Secureworks Counter Threat Unit (CTU) พบว่าแฮกเกอร์กลุ่ม Cobalt หรือที่รู้จักกันในอีกชื่อว่า "Gold Kingswood" ที่มีเป้าหมายโจมตีสถาบันการเงินทั่วโลก กำลังดำเนินการแพร่กระจายมัลแวร์ "SpicyOmelette"

SpicyOmelette เป็น javascript ที่มีความซับซ้อน มีความสามารถถูกใช้ในการ remote ทำให้แฮกเกอร์สามารถโจมตีระบบได้จากระยะไกล มัลแวร์ตัวนี้ถูกแพร่กระจายผ่านช่องทาง Phishing e-mail โดยมุ่งเป้าไปที่พนักงานในบริษัท ใน e-mail จะมีไฟล์ PDF แนบมาด้วย เมื่อเปิดไฟล์จะถูก redirect ไปยัง URL ที่ถูกชี้ไปยัง AWS ที่แฮกเกอร์เป็นคนควบคุม เมื่อเข้าหน้าเว็บที่ถูก redirect ไปนี้จะถูกทำการติดตั้ง SpicyOmelette ซึ่งหน้าเว็บดังกล่าวจะมีการ sign ด้วย trusted certificate เมื่อ SpicyOmelette ติดตั้งลงบนเครื่องของเป้าหมาย จะทำการรวบรวมข้อมูล IP, ชื่อระบบ และทำการติดตั้งไฟล์อันตรายอื่นเพิ่มเติม รวมทั้งสามารถสแกนหา antivirus ที่ติดตั้งอยู่ภายในเครื่องได้ มัลแวร์ยังสามารถเพิ่มสิทธิ์ตัวเอง (privilege escalation) ด้วยการขโมย credential อื่นๆ บนเครื่อง สามารถทำการเก็บข้อมูลเพื่อใช้ในการระบุว่าเป็นระบบที่มีความสำคัญหรือไม่ เช่น Payment Gateway หรือรูปแบบโครงสร้างของเครื่อง ATM

ก่อนหน้านี้เชื่อว่ากลุ่ม Cobalt มีส่วนเกี่ยวข้องในการขโมยเงินหลายล้านดอลลาร์จากสถาบันการเงินทั่วโลก แม้จะมีการจับกุมผู้ต้องสงสัยได้แต่ทาง CTU คาดว่ากลุ่มแฮกเกอร์ดังกล่าวจะไม่มีการหยุดกระทำการใดๆ และยังคงมีการพัฒนาการโจรกรรมต่อไปเรื่อยๆ และองค์กรการเงินยังคงอยู่ในความเสี่ยงต่อภัยคุกคามจากกลุ่มนี้อยู่

ที่มา : ZDNet

White-Hats Go Rogue, Attack Financial Institutions

Group-IB เปิดโปงกลุ่มแฮกเกอร์กลุ่มใหม่ มุ่งโจมตีสถาบันทางการเงิน

นักวิจัยจาก Group-IB ออกรายงานชื่อ Silence: Moving into the darkside เปิดเผยกลุ่มแฮกเกอร์กลุ่มใหม่ชื่อ Silence เชื่อมโยงกับการขโมยเงินจากธนาคารในรัสเซีย, ธนาคารในยุโรปตะวันออก และสถาบันทางการเงิน

Group-IB ค้นพบการเคลื่อนไหวของกลุ่ม Silence ตั้งแต่เดือนกรกฏาคมปี 2016 โดยกลุ่ม Silence พยายามทำการถอนเงินผ่านระบบกลางที่เชื่อมระหว่างแต่ละธนาคารในรัสเซีย (AWS CBR: Automated Work Station Client of the Russian Central Bank) แต่ไม่ประสบความสำเร็จ จากนั้นกลุ่ม Silence มีการพัฒนาเทคนิคการโจมตีและทดลองอีกหลายครั้งจนกระทั่งทำการโจมตีสำเร็จในเดือนตุลาคมปี 2017 และทำการโจมตีต่อมาอีกหลายครั้งในปี 2018 รวมเป็นเงินกว่า 800,000 ดอลลาร์สหรัฐฯ

Group-IB คาดว่ากลุ่ม Silence ประกอบด้วยบุคคลเพียงสองคน ทำให้ดำเนินการได้ช้ากว่ากลุ่มอื่นๆ อย่าง Cobalt หรือ MoneyTraper ที่สามารถขโมยเงินได้หลายล้านดอลลาร์สหรัฐ การโจมตีของกลุ่ม Silence จะเริ่มต้นจากการใช้ spear-phishing อีเมลที่โจมตีผ่านช่องโหว่ของ Windows และ Office อย่าง CVE-2017-0199, CVE-2017-11882+CVE-2018-0802, CVE-2017-0262, CVE-2017-0263 และ CVE-2018-8174 ตามด้วยการโจมตีด้วยมัลแวร์ โดย Group-IB ตั้งสมมติฐานว่ากลุ่ม Silence น่าจะมีสมาชิกเป็นอดีตพนักงานหรือพนักงานปัจจุบันที่ทำงานในบริษัทด้านการรักษาความปลอดภัยทางไซเบอร์เนื่องจากมีความสามารถในการดัดแปลงมัลแวร์อื่นๆ ที่ไม่ได้เขียนขึ้นเอง เช่น Kikothac backdoor, the Smoke downloader และ the Undernet DDoS bot มาใช้งาน

ในปัจจุบันกลุ่ม Silence ประสบความสำเร็จในการโจมตีจำกัดแค่ประเทศรัสเซียและประเทศในแถบยุโรปตะวันออก แต่ได้มีการพยายามส่ง spear-phishing อีเมลไปกว่า 25 ประเทศซึ่งรวมไปถึงเยอรมัน สหราชอาณาจักร มาเลเซีย และอิสราเอล โดยผู้ที่สนใจสามารถอ่านรายละเอียดในรายงานดังกล่าวได้จาก https://www.

Market Research Firm Forrester Says Hackers Stole Sensitive Reports

Forrester หนึ่งในบริษัทผู้นำด้านการตลาดและที่ปรึกษาด้านการลงทุนที่สำคัญของโลก ออกมายอมรับเมื่อวันศุกร์ที่ผ่านมาถึงเรื่องการละเมิดความปลอดภัยที่เกิดขึ้นในช่วงสัปดาห์ที่ผ่านมา บริษัทระบุว่าถูกแฮกเกอร์โจมตี website "Forrester.

New Phishing attack targets Ltlian Postal and Financial service again

ผู้เชี่ยวชาญของ Sophos ได้พบการโจมตีในรูปแบบ phishing สำหรับบริการไปรษณีย์ออนไลน์ของประเทศอิตาลี โดยมีวัตถุประสงค์เพื่อหลอกหลวงให้เหยื่อเข้าสู่ระบบไปยังเว็บไซต์ที่แฮกเกอร์ได้สร้างขึ้นมา

ล่าสุดแฮกเกอร์ได้ส่งอีเมล์ปลอมพร้อมกับแนบไฟล์เอกสาร HTML เมื่อเหยื่อต้องการที่จะทำธุระกรรมทางการเงิน พร้อมทั้งดาวน์โหลดไฟล์เอกสาร จะต้องทำตามขั้นตอนของแฮกเกอร์ คือ ให้ผู้ใช้ใส่รหัสผ่านในกล่องข้อความที่แฮกเกอร์ได้สร้างขึ้นมา หลังจากนั้นเว็บไซต์ปลอมดังกล่าวจะแสดงขึ้นมา เพื่อให้เหยื่อเข้าสู่ระบบเพื่อทำธุรกรรมทางการเงิน

จากรายงาน รหัสผ่านที่แฮกเกอร์สร้างขึ้นมานั้น เป็นคีย์ในการถอดรหัสที่ถูกฝังอยู่ในโค้ด JavaScript จะทำให้หน้าเว็บไซต์ปลอมนั้นถูกโหลดกลับมาใช้งาน โดยมีการใช้ URL: bit.