ในปัจจุบันการก่ออาชญากรรมทางไซเบอร์ดูเหมือนจะเป็นความท้าทายอย่างหนึ่งของเหล่าแฮคเกอร์ที่ต้องการก้าวข้ามความสำเร็จที่เคยทำได้ในอดีต DDoS คืออาวุธหลักที่มักถูกหยิบมาใช้โจมตีอยู่บ่อยครั้ง และเป้าหมายหลักก็มีหลายประเทศ อาทิ ประเทศจีน เกาหลีใต้ อิตาลี อังกฤษ เป็นต้น การโจมตี DDoS ครั้งล่าสุดถือเป็นประวัติการณ์และเป็นการทำลายสถิติ เพราะกินระยะเวลายาวนานถึง 11 วัน หรือ 227 ชั่วโมงโดยประมาณ รายงานของนักวิจัยจาก Kaspersky Lab ระบุว่าการโจมตีเกิดขึ้นในไตรมาสที่สองของปี 2017

การโจมตีในลักษณะของ DDoS ยังมีการพัฒนาไปเป็น Ransom DDoS โดยที่เหยื่อจำเป็นต้องจ่ายเงินเพื่อแลกกับการหยุดโจมตี โดยในช่วงสิ้นเดือนมิถุนายนที่ผ่านมากลุ่มแฮคเกอร์ Armada Collective ได้เรียกร้องเงินจำนวนกว่า 315,000 ดอลลาร์สหรัฐฯ ต่อสถาบันการเงินสัญชาติเกาหลีเพื่อแลกกับการหยุดโจมตีหรือไม่ถูกโจมตีแบบ DDoS

การโจมตีไม่ใช่ฝีมือของแฮคเกอร์ที่เก่งเสมอไป แต่บ่อยครั้งที่มาจากฝีมือของแฮคเกอร์ทั่วไปที่ไม่ได้มีความชำนาญในเรื่องของ DDoS แต่เพราะเพียงแค่ต้องการหาวิธีทำเงินแบบง่ายๆ เท่านั้นเอง

ที่มา: hackread

Kaspersky ได้ออกมาประกาศว่าจะมีการปล่อยเวอร์ชันฟรีของผลิตภัณฑ์แอนติไวรัสให้กับผู้ใช้งาน โดยในเวอร์ชันฟรีตัวนี้จะประกอบด้วยฟังก์ชันทั่วไป อาทิ การตรวจสอบมัลแวร์ในไฟล์ อีเมลและเว็บ รวมไปถึงฟังก์ชันในการกักกันไฟล์ที่เป็นอันตราย อย่างไรก็ตามฟังก์ชัน อาทิ ฟังก์ชันควบคุมการใช้งานหรือฟังก์ชัน VPN จะคงจำกัดอยู่ในกลุ่มของผลิตภัณฑ์เวอร์ชันเต็มที่จะต้องจ่ายเงินซื้อ

แอนติไวรัสของ Kaspersky ในรุ่นฟรีน่าจะมีการเปิดให้ผู้ใช้งานในไทยสามารถเข้าไปดาวโหลดในช่องเดือนพฤศจิกายน 2017 นี้

ที่มา : zdnet

รัฐบาลสหรัฐสั่งไม่ให้ซื้อซอฟแวร์จากบริษัท Kaspersky Lab เนื่องจากมีข่าวว่าบริษัทมีความเชื่อมโยงกับรัฐบาลรัสเซีย
หน่วยงาน General Services Administration (GSA) หน่วยงานที่ดูแลระเบียบการจัดซื้อของรัฐบาลสหรัฐ
กล่าวว่า Kaspersky Lab ซึ่งเป็นผู้ให้บริการซอฟต์แวร์ cybersecurity รายใหญ่ระดับโลกได้ถูกนำออกจากรายชื่อบริษัทซอฟต์แวร์ที่อนุญาต เนื่องจาก GSA มีหน้าที่ประเมินความเสี่ยงของผลิตภัณฑ์และบริการเพื่อความมั่นคงของระบบเครือข่ายของรัฐบาลสหรัฐ การดำเนินการนี้เกิดขึ้นหลังจากหน่วยงานข่าวกรองสหรัฐเปิดเผยถึงความกังวลเกี่ยวกับการใช้ซอฟต์แวร์ Kaspersky ว่ารัสเซียอาจใช้ผลิตภัณฑ์ดังกล่าวโจมตีเครือข่ายคอมพิวเตอร์ของสหรัฐ

สำนักข่าว Bloomberg ระบุในรายงานข่าวสัปดาห์นี้ว่าได้รับอีเมลภายในบริษัท Kaspersky ที่ชี้ชัดว่าบริษัทมีความสัมพันธ์ใกล้ชิดในการทำงานกับหน่วยงานข่าวกรองของรัสเซีย (FSB) ทาง Kaspersky ได้ออกแถลงการณ์โต้แย้งสำนักข่าว Bloomberg ว่าการสื่อสารถูกตีความผิด บริษัทได้ปฏิเสธการทำงานร่วมกับหน่วยงานรัฐบาลหลายครั้งและผู้ก่อตั้งบริษัท Eugene Kaspersky พยายามที่จะโต้ตอบข้อกล่าวหาดังกล่าว

ที่มา : securityweek

แฝงตัวในเงา มัลแวร์เรียกค่าไถ่ FakeCry โจมตีระบบในยูเครนในช่วงเวลาเดียวกับ ExPetr/Petya

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยผลการวิเคราะห์มัลแวร์เรียกค่าไถ่ FakeCry ซึ่งใช้โอกาสในการแพร่กระจายของ ExPetr/Petya แพร่กระจายโจมตีระบบในยูเครน
แต่เดิมนั้น ExPetr/Petya ใช้วิธีการแพร่กระจายในหลายช่องทางซึ่งมีทั้งการแพร่กระจายด้วยลักษณะของการโจมตีแบบ watering hole และการแฝงตัวเข้าไปในอัพเดตของโปรแกรม MeDoc ทีมของ Kaspersky ตรวจพบว่าตามช่องทางการอัพเดตของโปรแกรม MeDoc นั้น ซอฟต์แวร์ของ Kaspersky ยังตรวจพบมัลแวร์อีกประเภทหนึ่งนอกจาก ExPetr/Petya

มัลแวร์อีกชนิดหนึ่งที่ถูกตรวจพบนั้นยังคงเป็นมัลแวร์เรียกค่าไถ่ทีมีลักษณะใกล้เคียงกับ WannaCry แต่ถูกพัฒนาโดยใช้ .NET ทีมจาก Kaspersky ยังคงหาความสัมพันธ์อื่นระหว่างมัลแวร์ตัวนี้ซึ่งภายหลังถูกเรียกว่า FakeCry กับ ExPetr/Petya ไม่ได้ว่ามีความเกี่ยวข้องกันอย่างไร หลักฐานเพียงอย่างเดียวคือการแพร่กระจายในช่วงเวลาที่ใกล้เคียงกันและในช่องทางเดียวกัน

ที่มา: securelist

Kaspersky ประกาศสิ่งที่น่าสนใจในเรื่องของ WannaCry ขึ้นมาว่า การทำงานบางส่วนของ WannaCry อาจทำงานไม่สมบูรณ์และทำให้มีความเป็นไปได้ที่จะกู้ไฟล์กลับมาได้โดยไม่ต้องจ่ายเงินแต่อย่างใด
Kaspersky พบว่าเมื่อ WannaCry เริ่มทำการเข้ารหัสมันจะทำการอ่านไฟล์ต้นฉบับ แล้วเริ่มทำการเข้ารหัสเนื้อหาของไฟล์และ save เป็นไฟล์นามสกุล ".WNCRYT" หลังจากทำการเข้ารหัสจะเปลี่ยนจาก ".WNCRYT" ไปเป็น ".WNCRY" และลบไฟล์ต้นฉบับทิ้ง ซึ่งการกระทำนี้ขึ้นอยู่กับตำแหน่งและคุณสมบัติไฟล์ของเหยื่อด้วย

ถ้าโปรแกรมมองว่า folder ที่จะทำการเข้ารหัสเป็น folder "ที่สำคัญ" เช่น Desktop และ Documents เป็นต้น จากนั้นไฟล์หลักจะถูกเขียนทับด้วยข้อมูลแบบ random ก่อนจะลบทิ้ง ซึ่งหากเป็นแบบนั้น จะไม่สามารถกู้ไฟล์ใดๆได้เลย แต่ถ้าไม่ใช่ตำแหน่งที่โปรแกรมที่คิดว่าสำคัญ โปรแกรมต้นฉบับจะถูกย้ายไปที่ %TEMP%\%d.WNCRYT โดย %d จะเป็นตัวเลข ไฟล์เหล่านี้จะมีข้อมูลต้นฉบับอยู่และไฟล์ดังกล่าวก็ไม่ได้ถูกเขียนทับด้วย ตัว WannaCry จะทำการลบไฟล์ไปเฉยๆ นั่นหมายความว่าเราสามารถมีโอกาสที่จะกู้ไฟล์เหล่านี้ขึ้นมาได้ด้วยโปรแกรม recovery ต่างๆ
อีกทั้งหากไฟล์ไม่ได้อยู่ใน drive file-system เช่น D:\ เป็นต้น, WannaCry จะทำการสร้าง folder $RECYCLE folder แล้ว set hidden+system (ทำตัวเป็น folder system และซ่อนไว้) หลังจากไฟล์ถูกเข้ารหัส WannaCry จะโยนไฟล์ต้นฉบับเข้าไปใน folder ดังกล่าว

แต่อย่างไรก็ตามด้วยการทำงานผิดพลาดไม่ว่าจะด้วยเหตุผลใดๆก็ตาม ไฟล์เหล่านั้นจะไม่ได้ถูกโยนเข้า $RECYCLE ทำให้ไฟล์ต้นฉบับจะถูกลบทิ้งในรูปแบบที่ไม่ปลอดภัย ทำให้สามารถ restore ไฟล์ต้นฉบับเหล่านั้นด้วย software การกู้ไฟล์เช่นกัน และ Kaspersky ยังพบอีกว่าหากมีไฟล์ที่เป็น read-only file (อ่านได้อย่างเดียว) อยู่ในเครื่อง ตัวโปรแกรมจะไม่เข้ารหัสไฟล์เหล่านั้น จะแค่ทำการเข้ารหัสไฟล์ที่ copy มาจากไฟล์เหล่านั้นอีกทีแทน ส่วนไฟล์ที่เป็น read-only ก็จะกลายเป็นถูกซ่อน(เปลี่ยนสถานะของไฟล์เป็น hidden)แทนที่จะลบทิ้ง ซึ่งทำให้ง่ายที่จะได้ไฟล์เหล่านั้นคืนมา

ที่มา: securelist

Kaspersky ออกแพทช์แก้ไขช่องโหว่ของฟีเจอร์ Network Attack Blocker บนผลิตภัณฑ์ Kaspersky Internet Security และผลิตภัณฑ์อื่นๆ ที่ใช้งานฟีเจอร์นี้ ซึ่งถูกค้นพบโดย Tavis Ormandy วิศวกรด้านความปลอดภัยจาก Google

Network Attack Blocker เป็นฟีเจอร์ที่ช่วยป้องกันการโจมตีของเครือข่ายที่เป็นอันตรายเช่น Port scanning, Denial of Service และ Buffer overrun เป็นต้น ซึ่งฟีเจอร์นี้จะถูกเปิดโดยค่าพื้นฐานหรือ default configuration

Tavis Ormandy รายงานว่า ฟีเจอร์ดังกล่าวใช้ระบบการกรองแพ็กเก็ตและการเปรียบเทียบแพ็กเก็ตกับซิกเนเจอร์ ซึ่งออกแบบมาเพื่อการทำ Blacklist IP ช่องโหว่ที่ถูกค้นพบ ซึ่งอาจส่งผลกระทบให้ผู้ใช้ Kaspersky ถูก Blacklist จากการอัพเดทของ Kaspersky หรือการอัพเดทของ Windows หลังจากที่ได้รายงานช่องโหว่ดังกล่าว ทาง Kaspersky ได้มีการออกแพทช์เพื่อแก้ไขช่องโหว่บนฟีเจอร์ Network Attack Blocker ผ่านทางการอัพเดทแบบอัตโนมัติให้กับผู้ใช้ Kaspersky แล้ว

ที่มา : securityweek

Kaspersky ประกาศออกแพทช์แก้ไขช่องโหว่ร้ายแรงบนผลิตภัณฑ์ Kaspersky Anti-Virus ที่ถูกค้นพบและเปิดเผยโดยวิศวกรด้านความปลอดภัยของ Google เมื่อสัปดาห์ที่ผ่านมา

Tavis Ormandy วิศวกรจาก Google ได้รายงานว่าพบช่องโหว่บน Kaspersky Anti-Virus เวอร์ชั่น 2015, 2016 พร้อมทั้งโพสรูปบนทวิตเตอร์ส่วนตัวว่าสามารถโจมตี Kaspersky Anti-Virus ได้สำเร็จ แต่ยังไม่ได้รับการยืนยันว่า Kaspersky Internet Security และผลิตภัณฑ์อื่นๆ จะมีช่องโหว่ดังกล่าวนี้ด้วยหรือไม่

อย่างไรก็ตาม Tavis Ormandy ไม่ได้บอกรายละเอียดเกี่ยวกับช่องโหว่นี้ บอกแต่ว่าเป็นช่องโหว่ Buffer Overflow บนโปรแกรมที่ตั้งค่าแบบพื้นฐานหรือ default configuration หลังจากที่ได้รายงานช่องโหว่ดังกล่าว ทาง Kaspersky ได้มีการออกแพทช์เพื่อแก้ไขช่องโหว่นี้ ผ่านทางการอัพเดทแบบอัตโนมัติให้กับผู้ใช้ Kaspersky Anti-Virus แล้วภายใน 24 ชั่วโมง

ที่มา : securityweek

TeslaCrypt มัลแวร์เรียกค่าไถ่ที่ระบาดหนักอีกตัวหนึ่ง เริ่มมีรุ่นใหม่ออกมาเป็นรุ่น 2.0 ซึ่งทาง Kaspersky รายงานว่ามีความเปลี่ยนแปลงที่เห็นได้ชัดหลายอย่าง

ประเด็นแรกที่เปลี่ยนคือหน้าจอแจ้งผู้ใช้ว่าตกเป็นเหยื่อของการเรียกค่าไถ่ จากเดิมเป็น GUI ของวินโดวส์ธรรมดา รุ่นใหม่นี้จะเป็นไฟล์ HTML แล้วเรียกเบราว์เซอร์ขึ้นมาแจ้งผู้ใช้ ที่น่าแปลกใจคือหน้าเว็บนี้เอามาจาก มัลแวร์อีกตัวคือ CryptoWall 3.0 ทั้งหมด ยกเว้น URL จ่ายเงินที่เป็นของ TeslaCrypt เอง นอกจากหน้าเว็บแล้ว กระบวนการเข้ารหัสภายในยังเปลี่ยนแปลงไป โดยใช้กระบวนการ secp256k1 และ ECDH แต่เครื่องของเหยื่อจะมีกุญแจหลัก master_btc_priv สำหรับถอดรหัสทุกไฟล์ และผู้ควบคุมมัลแวร์ใส่กุญแจสาธารณะ malware_pub ไว้ในตัวมัลแวร์ หากมีกุญแจลับ malware_priv ก็จะถอดรหัสของเหยื่อทุกคนได้ นอกจากนี้ master_btc_priv ยังเป็นกุญแจสำหรับถอนเงินออกจากบัญชี Bitcoin ที่เหยื่อจ่ายอีกด้วย ซึ่งจุดสำคัญคือ ในรุ่น 2.0 นี้ไม่มีไฟล์ key.

บริษัท Kaspersky ออกมาแถลงข่าวการถูกแฮกเกอร์เข้าโจมตีระบบ โดยบริษัทได้ตรวจจับการบุกรุกได้ตั้งแต่ต้นปี

ข้อมูลจากทีมสอบสวนเปิดเผยว่าแฮกเกอร์ใช้เทคนิคที่ซับซ้อนในการล้วงข้อมูลเทคโนโลยีบางอย่างของบริษัท อีกทั้งแฮกเกอร์ยังออกแบบให้มัลแวร์ทำงานโดยไม่ต้องเขียนไฟล์บนฮาร์ดดิสก์ แต่ทำงานบนหน่วยความจำแทน เพื่อหลีกเลี่ยงการตรวจจับชุดคำสั่งมัลแวร์ ซึ่งมีความเข้ากันได้กับโทรจันชื่อ “Duqu” ที่เคยถูกใช้โจมตีอิหร่าน, อินเดีย, ฝรั่งเศส และยูเครน ที่ถูกค้นพบเมื่อปี 2011

Costin Raiu หัวหน้าฝ่ายวิเคราะห์และวิจัยแห่ง Kaspersky Lab เปิดเผยว่าบริษัทถูกโจมตีผ่านช่องโหว่ของ Microsoft Software Installer files ซึ่งถูกใช้งานในกลุ่ม IT support ในการติดตั้งไฟล์บนคอมพิวเตอร์จากระยะไกลอย่างแพร่หลาย มัลแวร์ประกอบด้วยช่องโหว่ระบบที่ถูกขายในตลาดมืด (Zero Day) ถึง 3 ช่องโหว่ นั่นหมายถึงผู้โจมตีต้องลงทุนอย่างมหาศาลสำหรับการโจมตีในครั้งนี้

บริษัทได้แจ้งเตือนไปยังหน่วยงานทั่วโลกถึงการแพร่ระบาดของโทรจัน Daqu 2.0 ที่มุ่งเป้าไปยังหน่วยงานที่มีความอ่อนไหวสูง โดยเฉพาะโครงการนิวเคลียร์ของอิหร่านที่อยู่ระหว่างการเจรจา และ Kaspersky ยังให้ความมั่นใจว่าการโจมตีครั้งนี้ไม่มีผลกระทบใดๆ ต่อบริษัทคู่ค้าและผู้ใช้งานผลิตภัณฑ์ของ Kaspersky อย่างแน่นอน

ที่มา : bbc