กลุ่ม Hive ransomware-as-a-service (RaaS) ได้อ้างความรับผิดชอบในการโจมตีต่อ Tata Power ซึ่งเป็นบริษัทพลังงานแบบบูรณาการที่ใหญ่ที่สุดของอินเดีย เหตุการณ์ดังกล่าวเกิดขึ้นเมื่อวันที่ 3 ตุลาคม 2565 ที่ผ่านมา โดยผู้โจมตีได้ทำการขโมยข้อมูลก่อนที่จะทำการเข้ารหัสเป้าหมายตามแผนการโจมตีแบบ Double extortion ซึ่งข้อมูลเบื้องต้นที่ถูกเผยแพร่ได้แก่สัญญาลูกค้าที่ลงนาม เอกสารข้อตกลง ตลอดจนข้อมูลที่ละเอียดอ่อนอื่นๆ เช่น อีเมล ที่อยู่ หมายเลขโทรศัพท์ หมายเลขหนังสือเดินทาง ข้อมูลผู้เสียภาษี เป็นต้น นอกจากนี้ในข้อมูลที่ถูกเผยแพร่ออกมาบางส่วนยังพบว่ามีแบบแปลนทางวิศวกรรม บันทึกทางการเงิน และการธนาคาร รวมถึงข้อมูลลูกค้าด้วย

จากเหตุการณ์ครั้งนี้ TATA ได้ชี้แจงว่าบริษัทได้ดำเนินการตามขั้นตอนเพื่อกู้คืนระบบ และระบบที่สำคัญทั้งหมดสามารถกลับมาทำงานต่อได้ จึงมีแนวโน้มที่จะปฏิเสธที่จะจ่ายค่าไถ่ ทำให้ผู้โจมตีเตรียมเผยแพร่ข้อมูลบน Dark Web อย่าง HiveLeaks

จากสถิติที่เผยแพร่โดยผู้เชี่ยวชาญจาก Digital Shadows และ Intel 471 พบว่า Hive เป็นตระกูล ransomware ที่แพร่หลายมากเป็นอันดับสามที่พบในไตรมาสที่ 3 ปี 2565 รองจาก LockBit 3.0 และ Black Basta นอกจากนี้ยังมีความสามารถเหนือกว่า AvosLocker, BlackByte, BlackCat และ Vice Society อีกด้วย เนื่องจากมีการใช้กลวิธี เทคนิค และขั้นตอนที่หลากหลาย ทำให้ยากสำหรับองค์กรที่จะป้องกันการโจมตี

ที่มา : thehackernews

Damart บริษัทเสื้อผ้าสไตล์ฝรั่งเศสที่มีสาขากว่า 130 สาขาทั่วโลก ถูกเรียกค่าไถ่กว่า 2 ล้านดอลล่าร์สหรัฐหลังจากที่โดนโจมตีจาก HIVE Ransomware จนทำให้ระบบบางส่วนถูกเข้ารหัส และไม่สามารถใช้งานได้ตั้งแต่วันที่ 15 สิงหาคม ที่ผ่านมา

จากข้อมูลล่าสุดพบว่าทาง Demart ยังไม่ได้มีการเจรจากับกลุ่มแฮ็กเกอร์ แต่ได้ทำการแจ้งข้อมูลให้กับสำนักงานตำรวจแห่งชาติรับทราบเกี่ยวกับเหตุการณ์ดังกล่าว ซึ่งทำให้มีความเป็นไปได้ว่ากลุ่มแฮ็กเกอร์กลุ่มนี้จะไม่ได้รับเงินค่าไถ่

รายละเอียดการโจมตี

เมื่อวันที่ 15 สิงหาคม พบว่าทาง Damart ได้เผยแพร่ข้อความการบำรุงรักษาระบบที่ไม่อยู่ในกำหนดการไว้บนหน้าเว็บไซต์
23 สิงหาคม มีรายงานว่าเครื่อข่ายของ Damart ไม่ได้เปิดดำเนินการตามปกติ ซึ่งพบว่ามีผลกระทบต่อร้านค้าของ Damart กว่า 92 แห่ง ส่งผลให้จำนวนคำสั่งซื้อสินค้าลดลง และไม่สามารถให้บริการกับลูกค้าได้
จากนั้นทาง Damart ได้ชี้แจงว่าแฮ็กเกอร์ได้เข้าถึง Active Directory สำเร็จ และสามารถเข้ารหัสระบบภายในได้บางส่วน

ในตอนนี้ยังไม่ทราบว่ากลุ่ม Hive ได้ข้อมูลอะไรออกไปบ้างระหว่างที่ทำการโจมตี แต่ค่อนข้างชัดเจนว่ามีการขโมยข้อมูลออกไปก่อนที่จะทำการเข้ารหัส (Double-Extortion) เนื่องจากวิธีนี้มักจะช่วยให้กลุ่มแฮ็กเกอร์สามารถกดดันเหยื่อให้จ่ายค่าไถ่แลกกับข้อมูลที่ถูกขโมยออกมา

คำแนะนำ

ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
Update Patch ของระบบต่าง ๆ ให้เป็นเวอร์ชันล่าสุด
Backup ข้อมูลอยู่สม่ำเสมอ
สร้าง Awareness ให้กับพนักงาน
จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่างๆ
ติดตามข่าวสารอย่างสม่ำเสมอ

ที่มา : bleepingcomputer

หลังจากถูกโจมตีด้วย Hive ransomware ธนาคารกลางแห่งชาติแซมเบียได้ปฏิเสธอย่างชัดเจนว่าพวกเขาจะไม่ยอมจ่ายเงินค่าไถ่ให้กับแฮ็กเกอร์ ด้วยการโพสต์ภาพอวัยวะเพศชายตอบกลับไปยังแฮ็กเกอร์ โดยเมื่อสัปดาห์ที่ผ่านมา Bank of Zambia ซึ่งเป็นธนาคารกลางของประเทศ ออกมาเปิดเผยว่าเหตุที่ระบบธนาคารขัดข้องครั้งล่าสุดนั้นเป็นผลมาจากการถูกโจมตีทางไซเบอร์

ธนาคารแถลงข่าวเปิดเผยว่า “ธนาคารแห่งแซมเบียมีความประสงค์ที่จะแจ้งให้ประชาชนทราบว่าธนาคารประสบปัญหาแอปพลิเคชันหยุดชะงักบางส่วน ในวันจันทร์ที่ 9 พฤษภาคม พ.ศ. 2565"
การหยุดชะงักซึ่งส่งผลกระทบต่อบางระบบของธนาคาร เช่น ระบบ Bureau De Change Monitoring และเว็บไซต์บางส่วนของธนาคาร ซึ่งเกิดจากเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งขอยืนยันว่าระบบเหล่านี้ได้รับการกู้คืนกลับมาให้สามารถใช้งานได้ตามปกติเรียบร้อยแล้ว

ข้อความตอบกลับ

แม้ว่า Bank of Zambia จะไม่ได้เปิดเผยรายละเอียดของการโจมตีทางไซเบอร์ แต่ BleepingComputer คาดว่าการโจมตีดังกล่าวถูกดำเนินการโดยกลุ่ม Hive ransomware ซึ่งอ้างว่าได้เข้ารหัสอุปกรณ์ Network Attached Storage (NAS) ของธนาคาร อย่างไรก็ตามแทนที่จะยอมจ่ายค่าไถ่ให้กับผู้โจมตี ตัวแทนของธนาคารได้ตอบโต้การเจรจาเรียกค่าไถ่กลับไปหาแฮ็กเกอร์ที่ชื่อว่า '14m3-sk1llz' ด้วยการโพสต์ลิงก์ไปยังรูปอวัยวะเพศชายแทน

การตอบกลับในรูปแบบนี้ทำให้นักวิจัยด้านความปลอดภัย MalwareHunterTeam โพสต์โพลสอบถามความคิดเห็นของผู้คนว่าภาพดังกล่าวเป็นข้อความจากเหยื่อเองจริงๆ หรือเป็นข้อความที่ถูกส่งโดยบางคนที่ต้องการป่วนในการเจรจาต่อรองการจ่ายค่าไถ่ ผลการสำรวจความคิดเห็นจากผู้ตอบแบบสอบถามส่วนใหญ่เชื่อว่ามาจากเหยื่อเป็นคนส่งเอง

(more…)

กลุ่มแฮ็กเกอร์ในเครือของ Hive ransomware มุ่งเป้าการโจมตีไปที่เซิร์ฟเวอร์ Microsoft Exchange ที่มีช่องโหว่ของ ProxyShell เพื่อติดตั้ง Backdoors ต่างๆ รวมถึง Cobalt Strike beacon

โดยผู้โจมตีได้ทำการสอดแนมเครือข่าย ขโมยข้อมูลประจำตัวของบัญชีผู้ดูแลระบบ ข้อมูลที่สำคัญ และสุดท้ายก็มีการติดตั้งเพย์โหลดการเข้ารหัสไฟล์ ซึ่งรายละเอียดของข้อมูลมาจากบริษัทรักษาความปลอดภัย Varonis ซึ่งได้เข้าไปตรวจสอบการโจมตีของ Ransomware กับลูกค้ารายหนึ่งของบริษัท

ProxyShell เป็นชุดของช่องโหว่สามช่องโหว่ใน Microsoft Exchange Server ที่อนุญาตให้มีการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ ซึ่งช่องโหว่ดังกล่าวถูกใช้โดยผู้โจมตีหลายราย รวมถึงกลุ่ม Ransomware เช่น Conti, BlackByte, Babuk, Cuba และ LockFile

ช่องโหว่ดังกล่าวมีหมายเลขช่องโหว่เป็น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31297 และระดับความรุนแรงมีตั้งแต่ 7.2 (high) ถึง 9.8 (critical)

ช่องโหว่ดังกล่าวได้รับการแก้ไขเรียบร้อยแล้วตั้งแต่เดือนพฤษภาคม 2021 โดยรายละเอียดข้อมูลทางเทคนิคที่ครอบคลุมเกี่ยวกับช่องโหว่ดังกล่าวมีการเผยแพร่ออกมาในเดือนสิงหาคม 2021 และหลังจากนั้นไม่นาน ก็ได้เริ่มพบเห็นการโจมตีโดยการใช้ช่องโหว่ดังกล่าว

การที่กลุ่มแฮ็กเกอร์ในเครือของ Hive ประสบความสำเร็จในการใช้ประโยชน์จาก ProxyShell ในการโจมตีครั้งล่าสุด แสดงให้เห็นว่ายังมีเซิร์ฟเวอร์ที่มีช่องโหว่ให้ยังสามารถโจมตีได้อยู่

หลังจากการโจมตีด้วยช่องโหว่ ProxyShell แฮ็กเกอร์ได้มีการฝัง Web shell 4 ตัวในไดเร็กทอรีของ Exchange ที่ทำให้สามารถเข้าถึงได้ และรันโค้ด PowerShell ที่มีสิทธิ์สูงในการดาวน์โหลด Cobalt Strike stagers

Web shell ที่ใช้ในการโจมตีครั้งนี้มีที่มาจาก public Git repository และถูกเปลี่ยนชื่อเพื่อหลบเลี่ยงการตรวจจับ

(more…)

FBI ได้เปิดเผยรายงานเกี่ยวกับเทคนิค และ IOC ที่เกี่ยวข้องกับการโจมตีของ Hive Ransomware

Hive Ransomware ได้ใช้วิธี เทคนิค และขั้นตอนที่หลากหลาย ที่ทำให้องค์กรต่าง ๆ ทำการป้องกันได้ยาก โดยวิธีทีใช้เข้าถึงเครือข่ายของเป้าหมาย จะใช้การส่ง Phishing email พร้อมไฟล์แนบที่เป็นอันตราย และโจมตีผ่านช่องทาง Remote Desktop Protocol (RDP) ซึ่งเทคนิคการโจมตีก็จะคล้าย ๆ กับ Ransomware ตัวอื่น ๆ ก็คือจะมีการขโมยข้อมูลที่มีความสำคัญออกไป ก่อนที่จะทำการเข้ารหัสไฟล์ เพื่อใช้กดดันเหยื่อให้จ่ายค่าไถ่ และนอกจากนั้นผู้โจมตียังจะทำการค้นหากระบวนการเกี่ยวกับการสำรองข้อมูล การคัดลอกไฟล์ และการป้องกัน เช่น Windows Defender เพื่อทำการ Terminates กระบวนการเหล่านี้

หลังจากโจมตีสำเร็จ จะมีการทิ้ง hive.