ในละตินอเมริกาพบการโจมตีของมัลแวร์เฉลี่ย 3.7 ล้านรายต่อวัน รวมแล้วประมาณ 1 พันล้านครั้งต่อปีตามรายงานของ Kaspersky Lab ตัวเลขดังกล่าวบ่งชี้ว่ามีการโจมตีของมัลแวร์เพิ่มขึ้นร้อยละ 14.5 ในภูมิภาคตั้งแต่เดือนพฤศจิกายน 2017จนถึงเดือนพฤศจิกายน 2018

ประเทศแถบละตินที่เป็นเป้าหมายของการโจมตีมากที่สุดคืออาร์เจนตินาซึ่งมีการโจมตีของมัลแวร์เพิ่มขึ้นราว 62% ตามด้วยเปรู 39% และเม็กซิโก 35% ซึ่งเพิ่มจำนวนการโจมตีมากขึ้น บริษัทรักษาความปลอดภัยทางไซเบอร์ตรวจสอบพบการโจมตี 192,000 ครั้งต่อวันมีจำนวนเพิ่มขึ้นประมาณ 115% เมื่อเทียบกับช่วงเดือนพฤศจิกายนในปี 2016 กับพฤศจิกายนในปี 2017

ประเทศในแถบละตินอเมริกาที่พบการโจมตีแบบฟิชชิ่ง (Phishing) มากที่สุดคือประเทศเม็กซิโกครองอันดับหนึ่ง ซึ่งพบการโจมตีฟิชชิ่งเพิ่มขึ้นประมาณ 120% ตามมาด้วยโคลัมเบียประมาณ 118% และบราซิล 110 %

สัปดาห์ที่ผ่านมาปรากฏว่ามีผู้ใช้บริการธนาคารผ่านระบบมือถือกว่า 2,000 รายในบราซิลที่ดาวน์โหลดมัลแวร์ผ่านทางระบบแอนดรอยด์โดยไม่รู้ตัว ซึ่งทำให้อุปกรณ์ถูกควบคุมรวมถึงขโมยข้อมูลส่วนบุคคลอีกด้วย เช่นเดียวกับธนาคาร Bradesco สถาบันทางการเงินที่ใหญ่เป็นอันดับสองของประเทศบราซิลพบว่าถูกโจมตีด้วยการทำฟิชชิ่งผ่านการใช้มัลแวร์บนระบบปฏิบัติการแอนดรอยด์ นอกจากนี้มัลแวร์ยังมีการหลอกขโมยข้อมูลจากแอพพลิเคชั่นอื่นๆ เพิ่มเติมด้วย เช่น Uber, Netflix และ Twitter

ที่มา : zdnet

กลุ่มอาชญากรไซเบอร์มีการขโมยเงินหลายสิบล้านดอลลาร์จากธนาคารอย่างน้อย 8 แห่งในยุโรปตะวันออก โดยใช้กลยุทธ์ที่มักเห็นในภาพยนตร์ฮอลลีวู้ดเท่านั้น ด้วยการบุกเข้ามาในธนาคารเพื่อนำอุปกรณ์ที่เป็นอันตรายเชื่อมต่อเข้ากับเครือข่ายของธนาคาร

Kaspersky Lab ของรัสเซียกำลังค้นคว้าข้อมูลเกี่ยวกับภารกิจการปล้นทางไซเบอร์ (cyber-heists) เหล่านี้ จากการตรวจสอบพบอุปกรณ์ 3 ประเภทที่สำนักงานกลางหรือสำนักงานระดับภูมิภาคของธนาคาร 8 แห่ง ซึ่งได้แก่ แล็ปท็อปราคาถูก, Raspberry Pi boards หรือ Bash Bunnies USB thumb drives ที่เป็นอันตราย โดย แฮ็กเกอร์นำอุปกรณ์เหล่านี้เชื่อมต่อกับเครือข่ายธนาคารหรือคอมพิวเตอร์ แล้วเชื่อมต่อกับอุปกรณ์จากระยะไกลโดยใช้โมเด็ม GPRS, 3G หรือ LTE

จากนั้นแฮ็กเกอร์จะเข้าถึงระบบเครือข่าย และทำการแสกนระบบเพื่อหาโฟลเดอร์ที่แชร์แบบสาธารณะ รวมถึงเว็บเซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่นที่เปิดการเข้าถึง และท้ายที่สุดแฮ็กเกอร์ได้ทิ้งมัลแวร์ไว้ในเครือข่ายของธนาคารเพื่อใช้ควบคุมในระหว่างที่พวกเขาขโมยเงินจากบัญชีของธนาคาร

Kaspersky กล่าวถึงแฮ็กเกอร์เหล่านี้ภายใต้ชื่อว่า "DarkVishnya" และระบุว่าเหตุการณ์เกิดขึ้นตั้งแต่ 2017 จนถึง 2018 แต่ปฏิเสธที่จะบอกชื่อธนาคารที่ได้รับความเสียหายโดยมีสาเหตุมาจากเรื่องความเป็นส่วนตัวที่ระบุในสัญญา

ที่มา: zdnet

นักวิจัยค้นพบ Calisto มัลแวร์ใน macOS ซึ่งเป็นมัลแวร์ตั้งต้นของมัลแวร์ชื่อดัง Proton

นักวิจัยด้านมัลแวร์จาก Kaspersky Labเปิดเผยมัลแวร์ Calisto ซึ่งเน้นโจมตี macOS โดยเชื่อว่าน่าจะเป็นมัลแวร์ตั้งต้นของมัลแวร์ Proton ที่แพร่ระบาดในปี 2017
Proton เป็นมัลแวร์ที่โจมตีเครื่องคอมพิวเตอร์ที่ใช้ macOS เป็น remote access trojan (RAT) เมื่อคอมพิวเตอร์ดังกล่าวติดเชื้อแล้วจะทำให้ผู้โจมตีสามารถควบคุมคอมพิวเตอร์ที่ติดเชื้อได้เต็มรูปแบบ ชื่อของ Proton เริ่มเป็นที่รู้จักครั้งแรกในเดือนมีนาคม ปี 2017 เมื่อนักวิจัยจาก Sixgill เจอการซื้อขาย Proton ในเว็บบอร์ดแฮกเกอร์ใต้ดินด้วยราคาตั้งแต่ 1200 ดอลลาร์สหรัฐ (ประมาณ 40,000 บาท) ไปจนถึง 820,000 ดอลลาร์สหรัฐ (ประมาณ27ล้านบาท) หลังจากนั้นไม่นานในเดือนพฤษภาคม ปี 2017 มีการแฮกเว็บไซต์ HandBrake (โปรแกรมแปลงไฟล์แบบโอเพ่นซอร์ส) และเปลี่ยนโปรแกรม HandBrake สำหรับ macOS เป็นไฟล์ที่ฝัง Proton ไว้ด้านในโปรแกรมตัวจริง และในเดือนตุลาคม ปี 2017 Proton แพร่ระบาดอีกครั้งด้วยการแฮกเว็บไซต์ Eltima Player แล้วฝังProton ไว้ด้านในโปรแกรมเช่นกัน

ในวันที่ 20 กรกฏาคม 2018 นักวิจัยด้านมัลแวร์จาก Kaspersky Lab ได้เปิดเผยการค้นพบมัลแวร์ชื่อ Calisto ซึ่งน่าจะเป้นมัลแวร์ตั้งต้นในการพัฒนามัลแวร์ Proton มัลแวร์ Calisto ถูกพัฒนาตั้งแต่ปี 2016 และถูกอัพโหลดขึ้นเว็บไซต์ VirusTotal (เว็บไซต์ให้บริการตรวจสอบไฟล์และ URL ที่อาจเป็นอันตราย) ตั้งแต่ปี 2016 ทั้งนี้ไฟล์ที่มี Calisto ไม่ถูกแจ้งว่าเป็นไฟล์อันตรายมาตลอดจนกระทั้งเมื่อนักวิจัยไปเจอในเดือนพฤษภาคม ปี 2018
ในผลวิเคราะห์ Calisto จากนักวิจัยด้านมัลแวร์จาก Kaspersky Lab กล่าวว่า Calisto เป็น remote access trojan (RAT) เช่นกัน โดยมีความสามารถหลายอย่าง เช่น ทำให้ผู้โจมตีล็อกอินเข้าเครื่อง macOS ที่ติดเชื้อได้จากระยะไกล เปิดระบบ screen sharing สร้าง root account ลับให้มัลแวร์ใช้ ขโมยไฟล์แล้วส่งไปยังเซิร์ฟเวอร์ที่ควบคุม

ทั้งนี้ Calisto ยังอยู่ระหว่างการพัฒนาและไม่มีอันตรายเท่ากับ Proton นอกจากนี้ Calisto และถูกพัฒนาออกมาก่อนที่ Apple ออก SIP (System Integrity Protection) ซึ่ง SIP ออกแบบมาให้มัลแวร์ไม่สามารถเปลี่ยนแปลงไฟล์และการตั้งค่าของระบบที่สำคัญได้ ถึงแม้ว่าจะเข้าถึงระบบในระดับ root ก็ตาม ผู้ใช้ macOS ที่เปิดการใช้จึง SIP จะปลอดภัยจาก Calisto
ทั้งนี้เพื่อความปลอดภัยจาก Calisto Proton และมัลแวร์ในกลุ่มเดียวกัน

ผู้ใช้ macOS ควรจะ อัปเดต OS ให้เป็นปัจจุบันอยู่เสมอ ไม่ปิดการใช้งาน SIP ใช้ software จากแหล่งน่าเชื่อถือเท่านั้น เช่น จาก App Store ติดตั้ง antivirus software ที่มีการอัปเดตเป็นปัจจุบัน

ที่มา securityaffairs

Kaspersky มีแผนที่จะทำการย้ายข้อมูลผู้ใช้ และสายการผลิตซอฟแวร์จากรัสเซียไปยังสวิตเซอร์แลนด์ เพื่อยืนยันถึงความโปร่งใส และตรวจสอบได้ขององค์กร

ทาง Kaspersky กล่าวว่าการเปลี่ยนแปลงนี้จะสะท้อนให้เห็นถึงความมุ่งมั่น และตั้งใจในการรักษาความน่าเชื่อถือของบริษัทจากข่าวด้านลบที่ออกมาก่อนหน้านี้อย่างต่อเนื่อง ศูนย์ข้อมูลใน Zurich นี้จะรวบรวมข้อมูลของผู้ใช้งานในยุโรป, อเมริกาเหนือ, สิงคโปร์, ออสเตรเลีย, ญี่ปุ่น และเกาหลีใต้ รวมทั้ง Source Code ของผลิตภัณฑ์ทุกเวอร์ชั่น, ฐานข้อมูล detection rule และข้อมูลเกี่ยวกับสายการผลิตทั้งหมด โดยคาดการณ์ว่าน่าจะเสร็จสิ้นทั้งหมดก่อนสิ้นปี 2019

ทั้งนี้ Kaspersky ได้ถูกรัฐบาลสหรัฐกล่าวหาว่าทำการสอดแนมข้อมูลให้กับทางรัสเซีย และถูกแบนทั้งในประเทศสหรัฐอเมริกา, อังกฤษ และล่าสุดในประเทศเนเธอร์แลนด์ นอกจากนี้ Kaspersky ยังมีแผนที่จะเปิดศูนย์ดังกล่าวในเอเชีย และอเมริกาเหนื่อในปี 2020 ด้วย

ที่มา: bleepingcomputer

ในปัจจุบันการก่ออาชญากรรมทางไซเบอร์ดูเหมือนจะเป็นความท้าทายอย่างหนึ่งของเหล่าแฮคเกอร์ที่ต้องการก้าวข้ามความสำเร็จที่เคยทำได้ในอดีต DDoS คืออาวุธหลักที่มักถูกหยิบมาใช้โจมตีอยู่บ่อยครั้ง และเป้าหมายหลักก็มีหลายประเทศ อาทิ ประเทศจีน เกาหลีใต้ อิตาลี อังกฤษ เป็นต้น การโจมตี DDoS ครั้งล่าสุดถือเป็นประวัติการณ์และเป็นการทำลายสถิติ เพราะกินระยะเวลายาวนานถึง 11 วัน หรือ 227 ชั่วโมงโดยประมาณ รายงานของนักวิจัยจาก Kaspersky Lab ระบุว่าการโจมตีเกิดขึ้นในไตรมาสที่สองของปี 2017

การโจมตีในลักษณะของ DDoS ยังมีการพัฒนาไปเป็น Ransom DDoS โดยที่เหยื่อจำเป็นต้องจ่ายเงินเพื่อแลกกับการหยุดโจมตี โดยในช่วงสิ้นเดือนมิถุนายนที่ผ่านมากลุ่มแฮคเกอร์ Armada Collective ได้เรียกร้องเงินจำนวนกว่า 315,000 ดอลลาร์สหรัฐฯ ต่อสถาบันการเงินสัญชาติเกาหลีเพื่อแลกกับการหยุดโจมตีหรือไม่ถูกโจมตีแบบ DDoS

การโจมตีไม่ใช่ฝีมือของแฮคเกอร์ที่เก่งเสมอไป แต่บ่อยครั้งที่มาจากฝีมือของแฮคเกอร์ทั่วไปที่ไม่ได้มีความชำนาญในเรื่องของ DDoS แต่เพราะเพียงแค่ต้องการหาวิธีทำเงินแบบง่ายๆ เท่านั้นเอง

ที่มา: hackread

Kaspersky ได้ออกมาประกาศว่าจะมีการปล่อยเวอร์ชันฟรีของผลิตภัณฑ์แอนติไวรัสให้กับผู้ใช้งาน โดยในเวอร์ชันฟรีตัวนี้จะประกอบด้วยฟังก์ชันทั่วไป อาทิ การตรวจสอบมัลแวร์ในไฟล์ อีเมลและเว็บ รวมไปถึงฟังก์ชันในการกักกันไฟล์ที่เป็นอันตราย อย่างไรก็ตามฟังก์ชัน อาทิ ฟังก์ชันควบคุมการใช้งานหรือฟังก์ชัน VPN จะคงจำกัดอยู่ในกลุ่มของผลิตภัณฑ์เวอร์ชันเต็มที่จะต้องจ่ายเงินซื้อ

แอนติไวรัสของ Kaspersky ในรุ่นฟรีน่าจะมีการเปิดให้ผู้ใช้งานในไทยสามารถเข้าไปดาวโหลดในช่องเดือนพฤศจิกายน 2017 นี้

ที่มา : zdnet

รัฐบาลสหรัฐสั่งไม่ให้ซื้อซอฟแวร์จากบริษัท Kaspersky Lab เนื่องจากมีข่าวว่าบริษัทมีความเชื่อมโยงกับรัฐบาลรัสเซีย
หน่วยงาน General Services Administration (GSA) หน่วยงานที่ดูแลระเบียบการจัดซื้อของรัฐบาลสหรัฐ
กล่าวว่า Kaspersky Lab ซึ่งเป็นผู้ให้บริการซอฟต์แวร์ cybersecurity รายใหญ่ระดับโลกได้ถูกนำออกจากรายชื่อบริษัทซอฟต์แวร์ที่อนุญาต เนื่องจาก GSA มีหน้าที่ประเมินความเสี่ยงของผลิตภัณฑ์และบริการเพื่อความมั่นคงของระบบเครือข่ายของรัฐบาลสหรัฐ การดำเนินการนี้เกิดขึ้นหลังจากหน่วยงานข่าวกรองสหรัฐเปิดเผยถึงความกังวลเกี่ยวกับการใช้ซอฟต์แวร์ Kaspersky ว่ารัสเซียอาจใช้ผลิตภัณฑ์ดังกล่าวโจมตีเครือข่ายคอมพิวเตอร์ของสหรัฐ

สำนักข่าว Bloomberg ระบุในรายงานข่าวสัปดาห์นี้ว่าได้รับอีเมลภายในบริษัท Kaspersky ที่ชี้ชัดว่าบริษัทมีความสัมพันธ์ใกล้ชิดในการทำงานกับหน่วยงานข่าวกรองของรัสเซีย (FSB) ทาง Kaspersky ได้ออกแถลงการณ์โต้แย้งสำนักข่าว Bloomberg ว่าการสื่อสารถูกตีความผิด บริษัทได้ปฏิเสธการทำงานร่วมกับหน่วยงานรัฐบาลหลายครั้งและผู้ก่อตั้งบริษัท Eugene Kaspersky พยายามที่จะโต้ตอบข้อกล่าวหาดังกล่าว

ที่มา : securityweek

แฝงตัวในเงา มัลแวร์เรียกค่าไถ่ FakeCry โจมตีระบบในยูเครนในช่วงเวลาเดียวกับ ExPetr/Petya

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยผลการวิเคราะห์มัลแวร์เรียกค่าไถ่ FakeCry ซึ่งใช้โอกาสในการแพร่กระจายของ ExPetr/Petya แพร่กระจายโจมตีระบบในยูเครน
แต่เดิมนั้น ExPetr/Petya ใช้วิธีการแพร่กระจายในหลายช่องทางซึ่งมีทั้งการแพร่กระจายด้วยลักษณะของการโจมตีแบบ watering hole และการแฝงตัวเข้าไปในอัพเดตของโปรแกรม MeDoc ทีมของ Kaspersky ตรวจพบว่าตามช่องทางการอัพเดตของโปรแกรม MeDoc นั้น ซอฟต์แวร์ของ Kaspersky ยังตรวจพบมัลแวร์อีกประเภทหนึ่งนอกจาก ExPetr/Petya

มัลแวร์อีกชนิดหนึ่งที่ถูกตรวจพบนั้นยังคงเป็นมัลแวร์เรียกค่าไถ่ทีมีลักษณะใกล้เคียงกับ WannaCry แต่ถูกพัฒนาโดยใช้ .NET ทีมจาก Kaspersky ยังคงหาความสัมพันธ์อื่นระหว่างมัลแวร์ตัวนี้ซึ่งภายหลังถูกเรียกว่า FakeCry กับ ExPetr/Petya ไม่ได้ว่ามีความเกี่ยวข้องกันอย่างไร หลักฐานเพียงอย่างเดียวคือการแพร่กระจายในช่วงเวลาที่ใกล้เคียงกันและในช่องทางเดียวกัน

ที่มา: securelist

Kaspersky ประกาศสิ่งที่น่าสนใจในเรื่องของ WannaCry ขึ้นมาว่า การทำงานบางส่วนของ WannaCry อาจทำงานไม่สมบูรณ์และทำให้มีความเป็นไปได้ที่จะกู้ไฟล์กลับมาได้โดยไม่ต้องจ่ายเงินแต่อย่างใด
Kaspersky พบว่าเมื่อ WannaCry เริ่มทำการเข้ารหัสมันจะทำการอ่านไฟล์ต้นฉบับ แล้วเริ่มทำการเข้ารหัสเนื้อหาของไฟล์และ save เป็นไฟล์นามสกุล ".WNCRYT" หลังจากทำการเข้ารหัสจะเปลี่ยนจาก ".WNCRYT" ไปเป็น ".WNCRY" และลบไฟล์ต้นฉบับทิ้ง ซึ่งการกระทำนี้ขึ้นอยู่กับตำแหน่งและคุณสมบัติไฟล์ของเหยื่อด้วย

ถ้าโปรแกรมมองว่า folder ที่จะทำการเข้ารหัสเป็น folder "ที่สำคัญ" เช่น Desktop และ Documents เป็นต้น จากนั้นไฟล์หลักจะถูกเขียนทับด้วยข้อมูลแบบ random ก่อนจะลบทิ้ง ซึ่งหากเป็นแบบนั้น จะไม่สามารถกู้ไฟล์ใดๆได้เลย แต่ถ้าไม่ใช่ตำแหน่งที่โปรแกรมที่คิดว่าสำคัญ โปรแกรมต้นฉบับจะถูกย้ายไปที่ %TEMP%\%d.WNCRYT โดย %d จะเป็นตัวเลข ไฟล์เหล่านี้จะมีข้อมูลต้นฉบับอยู่และไฟล์ดังกล่าวก็ไม่ได้ถูกเขียนทับด้วย ตัว WannaCry จะทำการลบไฟล์ไปเฉยๆ นั่นหมายความว่าเราสามารถมีโอกาสที่จะกู้ไฟล์เหล่านี้ขึ้นมาได้ด้วยโปรแกรม recovery ต่างๆ
อีกทั้งหากไฟล์ไม่ได้อยู่ใน drive file-system เช่น D:\ เป็นต้น, WannaCry จะทำการสร้าง folder $RECYCLE folder แล้ว set hidden+system (ทำตัวเป็น folder system และซ่อนไว้) หลังจากไฟล์ถูกเข้ารหัส WannaCry จะโยนไฟล์ต้นฉบับเข้าไปใน folder ดังกล่าว

แต่อย่างไรก็ตามด้วยการทำงานผิดพลาดไม่ว่าจะด้วยเหตุผลใดๆก็ตาม ไฟล์เหล่านั้นจะไม่ได้ถูกโยนเข้า $RECYCLE ทำให้ไฟล์ต้นฉบับจะถูกลบทิ้งในรูปแบบที่ไม่ปลอดภัย ทำให้สามารถ restore ไฟล์ต้นฉบับเหล่านั้นด้วย software การกู้ไฟล์เช่นกัน และ Kaspersky ยังพบอีกว่าหากมีไฟล์ที่เป็น read-only file (อ่านได้อย่างเดียว) อยู่ในเครื่อง ตัวโปรแกรมจะไม่เข้ารหัสไฟล์เหล่านั้น จะแค่ทำการเข้ารหัสไฟล์ที่ copy มาจากไฟล์เหล่านั้นอีกทีแทน ส่วนไฟล์ที่เป็น read-only ก็จะกลายเป็นถูกซ่อน(เปลี่ยนสถานะของไฟล์เป็น hidden)แทนที่จะลบทิ้ง ซึ่งทำให้ง่ายที่จะได้ไฟล์เหล่านั้นคืนมา

ที่มา: securelist

Kaspersky ออกแพทช์แก้ไขช่องโหว่ของฟีเจอร์ Network Attack Blocker บนผลิตภัณฑ์ Kaspersky Internet Security และผลิตภัณฑ์อื่นๆ ที่ใช้งานฟีเจอร์นี้ ซึ่งถูกค้นพบโดย Tavis Ormandy วิศวกรด้านความปลอดภัยจาก Google

Network Attack Blocker เป็นฟีเจอร์ที่ช่วยป้องกันการโจมตีของเครือข่ายที่เป็นอันตรายเช่น Port scanning, Denial of Service และ Buffer overrun เป็นต้น ซึ่งฟีเจอร์นี้จะถูกเปิดโดยค่าพื้นฐานหรือ default configuration

Tavis Ormandy รายงานว่า ฟีเจอร์ดังกล่าวใช้ระบบการกรองแพ็กเก็ตและการเปรียบเทียบแพ็กเก็ตกับซิกเนเจอร์ ซึ่งออกแบบมาเพื่อการทำ Blacklist IP ช่องโหว่ที่ถูกค้นพบ ซึ่งอาจส่งผลกระทบให้ผู้ใช้ Kaspersky ถูก Blacklist จากการอัพเดทของ Kaspersky หรือการอัพเดทของ Windows หลังจากที่ได้รายงานช่องโหว่ดังกล่าว ทาง Kaspersky ได้มีการออกแพทช์เพื่อแก้ไขช่องโหว่บนฟีเจอร์ Network Attack Blocker ผ่านทางการอัพเดทแบบอัตโนมัติให้กับผู้ใช้ Kaspersky แล้ว

ที่มา : securityweek