กลุ่ม LockBit ransomware ได้กลับมาเริ่มโจมตีอีกครั้ง พร้อมตัวเข้ารหัสที่ได้รับการอัปเดต และ server ตัวใหม่ หลังจากที่ทาง NCA, FBI และ Europol ได้ทำการประสานงานเพื่อปิดบริการการดำเนินการของ LockBit ransomware ในชื่อ “Operation Cronos”

ในการดำเนินการครั้งนี้ หน่วยงานบังคับใช้กฎหมายได้เข้ายึดระบบโครงสร้างพื้นฐาน, ตัวเข้ารหัส รวมถึงได้แก้ไขหน้าเว็บไซต์ของ data leak ให้กลายหน้าเว็บไซต์ของ FBI แทน

ต่อมากลุ่ม LockBit ransomware ได้ทำการแก้ไขหน้าเว็บไซต์ของ data leak คืน พร้อมทั้งฝากข้อความไปยัง FBI โดยอ้างว่าทาง FBI ได้ทำการโจมตี server โดยใช้ช่องโหว่ของ PHP ทั้งนี้กลุ่ม LockBit ransomware ได้ประกาศว่าจะกลับมาพร้อมกับโครงสร้างพื้นฐานที่ได้รับการอัปเดตความปลอดภัยใหม่ เพื่อป้องกันไม่ให้หน่วยงานรัฐสามารถทำการโจมตีระบบปฏิบัติการ และเข้าถึงตัวถอดรหัสได้อีกครั้ง

การอัปเดต LockBit encryptor ที่ใช้ในการโจมตี

ต่อมาได้พบว่ากลุ่ม LockBit ransomware ได้กลับมาเริ่มโจมตีอีกครั้งด้วยการเข้ารหัสใหม่ รวมถึงการตั้งค่าโครงสร้างพื้นฐานสำหรับเว็บไซต์ data leak และเว็บไซต์การเจรจาต่อรองในรูปแบบใหม่

Zscaler รายงานว่ากลุ่ม LockBit ได้อัปเดตบันทึกค่าไถ่ของตัวเข้ารหัสด้วย URL ของ Tor สำหรับโครงสร้างพื้นฐานใหม่ของกลุ่ม ต่อมา BleepingComputer พบตัวอย่างของตัวเข้ารหัสตัวใหม่ที่ถูกอัปโหลดไปยัง VirusTotal โดย MalwareHunterTeam

รวมถึง BleepingComputer ได้ยืนยันว่า server ที่ใช้ในการเจรจาต่อรองค่าไถ่กลับมาใช้งานได้อีกครั้ง แต่ใช้งานได้เฉพาะกับเหยื่อของการโจมตีครั้งใหม่เท่านั้น

โดยกลุ่ม LockBit ransomware มีพันธมิตรในเครือข่ายประมาณ 180 ราย ที่ทำงานร่วมกันเพื่อทำการโจมตีเป้าหมายต่าง ๆ รวมถึงยังมีการรับสมัคร Pentester ที่มีประสบการณ์เพื่อเข้าร่วมปฏิบัติการโจมตี ซึ่งอาจนำไปสู่การโจมตีที่เพิ่มขึ้นในอนาคต

ดังนั้นการติดตามความเคลื่อนไหวของกลุ่ม LockBit ransomware ยังคงมีต่อไปเนื่องจากเป็นกลุ่ม Hacker ที่มีความสามารถ และมีเครือข่ายที่ขว้างขวาง ที่สามารถสร้างผลกระทบเป็นวงกว้างได้

ที่มา : bleepingcomputer

 

กลุ่ม LockBit กำลังกลับมาดำเนินการโจมตีด้วยแรนซัมแวร์อีกครั้ง ภายในระยะเวลาไม่ถึง 1 อาทิตย์ หลังจากที่เจ้าหน้าที่สามารถเจาะเข้าไปยังเซิร์ฟเวอร์ของพวกเขา โดยกลุ่มนี้ได้ย้ายไปยังระบบใหม่ และยังคงข่มขู่ว่าจะมุ่งเน้นโจมตีหน่วยงานรัฐบาลมากขึ้น (more…)

บริษัท Kyocera AVX Components Corporation (KAVX) ประกาศยืนยันเกี่ยวกับการละเมิดข้อมูลที่ส่งผลต่อข้อมูลส่วนบุคคลจำนวน 39,111 ราย หลังจากการถูกโจมตีด้วยแรนซัมแวร์

KAVX เป็นบริษัทชั้นนำของสหรัฐอเมริกาที่ผลิตชิ้นส่วนอิเล็กทรอนิกส์ขั้นสูง และเป็นบริษัทลูกของ Kyocera ยักษ์ใหญ่ด้าน semiconductor ของญี่ปุ่น โดยบริษัทมีพนักงานมากกว่าหมื่นคน และมีรายได้ต่อปี 1.3 พันล้านเหรียญสหรัฐฯ

ในการประกาศการละเมิดข้อมูลสำหรับบุคคลที่ได้รับผลกระทบ KAVX รายงานว่า บริษัทพบเหตุการณ์การโจมตีในวันที่ 10 ตุลาคม 2023 โดยพบว่าแฮ็กเกอร์ได้เข้าถึงระบบในระหว่างวันที่ 16 กุมภาพันธ์ ถึง 30 มีนาคม 2023

ตามประกาศระบุว่า เมื่อวันที่ 30 มีนาคม 2023 KAVX ได้ประสบเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ซึ่งส่งผลกระทบต่อเซิร์ฟเวอร์ที่ตั้งอยู่ใน Greenville และ Myrtle Beach รัฐเซาท์แคโรไลนาสหรัฐอเมริกา ซึ่งส่งผลให้ระบบจำนวนหนึ่งถูกเข้ารหัส และหยุดชะงักชั่วคราวในบางบริการ

KAVX ค้นพบในภายหลังว่าข้อมูลที่มีอยู่ในเซิร์ฟเวอร์ที่ได้รับผลกระทบมีข้อมูลส่วนบุคคลของบุคคลจากทั่วโลก

หลังจากการตรวจสอบภายในเพื่อระบุว่าข้อมูลใดบ้างที่ถูกละเมิด KAVX ยืนยันว่าอย่างน้อยที่สุดข้อมูลดังกล่าวประกอบไปด้วยชื่อ-นามสกุล และหมายเลขประกันสังคม (SSNs) โดยเป็นไปได้ว่าอาจมีการเปิดเผยรายละเอียดเพิ่มเติมในภายหลัง แต่ส่วนที่เกี่ยวข้องในตัวอย่างประกาศได้ถูกเซ็นเซอร์เอาไว้

(more…)

University of Waterloo มหาวิทยาลัยในแคนาดา ออกมายืนยันในสัปดาห์ที่ผ่านมาว่ากำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่เกิดขึ้นกับระบบอีเมลของมหาวิทยาลัย

เมื่อวันพุธที่ผ่านมา รองประธานมหาวิทยาลัย 'Jacinda Reitsma' ระบุว่า มหาวิทยาลัยได้หยุดการโจมตีจากแรนซัมแวร์ที่พยายามเข้าสู่ระบบในวันที่ 30 พฤษภาคม และกำลังดำเนินการเพื่อจำกัดผลกระทบจากการละเมิดข้อมูล โดยมหาวิทยาลัยดังกล่าวตั้งอยู่ในเวตเตอร์ลู รัฐออนแทริโอ มีนักศึกษากว่า 40,000 คน

Reitsma ระบุว่า บริการอีเมล Microsoft Exchange ในวิทยาเขตของโรงเรียนได้รับผลกระทบจากการโจมตีจากแรนซัมแวร์ โดยผู้ใช้บริการอีเมลที่ใช้บนระบบคลาวด์จะไม่ได้รับผลกระทบจากการโจมตีครั้งนี้

แต่เนื่องจากการโจมตีดังกล่าว ทางมหาวิทยาลัยต้องปิดการใช้งานระบบอีเมลชั่วคราว ส่งผลให้นักศึกษาไม่สามารถเข้าสู่ระบบ หรือสร้างบัญชีใหม่ได้ นักศึกษายังไม่สามารถเข้าสู่แพลตฟอร์มการศึกษาอื่น ๆ ด้วยข้อมูลประจำตัวทางอีเมลได้ เช่น Workday, Waterloo LEARN และอื่น ๆ

Reitsma ระบุเพิ่มเติมว่า "มหาวิทยาลัยทราบถึงการละเมิดความปลอดภัยที่เกี่ยวข้องกับบริการอีเมลภายในของเรา (Microsoft Exchange) ซึ่งปัจจุบันบริการนี้ถูกแยกออกจากบริการอื่น ๆ แล้ว และปัจจุบันบัญชี Microsoft Exchange ส่วนใหญ่ของมหาวิทยาลัยอยู่บนระบบคลาวด์ และไม่ได้รับผลกระทบ "

"ดังนั้นสำหรับบุคคลส่วนใหญ่ในมหาวิทยาลัย การเข้าถึงอีเมลจะไม่ได้รับผลกระทบ โดยมหาวิทยาลัยกำลังดำเนินการตรวจสอบผลกระทบจากการละเมิดความปลอดภัยนี้ อาจมีความจำเป็นที่จะต้องแยกบริการออกจากกัน ซึ่งทำให้บางระบบอาจไม่สามารถเข้าถึงได้ตลอดทั้งวัน"

เมื่อวันพฤหัสบดีที่ผ่านมา ทางมหาวิทยาลัยได้แถลงการณ์ว่า จะเริ่มการปิดระบบ และรีเซ็ตระบบทั้งหมดใหม่ในคืนวันพฤหัสบดีซึ่งจะใช้เวลาประมาณหกชั่วโมง

การเข้าถึงทรัพยากรออนไลน์ของห้องสมุดในมหาวิทยาลัย รวมถึง Omni และการจองหลักสูตรได้รับผลกระทบจากการหยุดทำงาน มหาวิทยาลัยได้อธิบายสถานการณ์ให้แก่นักศึกษา และคณาจารย์ทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น

เมื่อวันศุกร์ที่ผ่านมา Reitsma ได้แถลงการณ์ว่า การรีเซ็ตเสร็จสมบูรณ์แล้ว แต่ได้แจ้งนักศึกษา และคณาจารย์จะต้องทำการเปลี่ยนรหัสผ่านก่อนวันที่ 8 มิถุนายน ผู้ที่ทำการเปลี่ยนรหัสผ่านไม่ทันจะถูกล็อคออกจากบัญชี และจำเป็นต้องได้รับความช่วยเหลือจากทีมไอทีของมหาวิทยาลัย

ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตีในเหตุการณ์ครั้งนี้ โดยในปี 2023 ประเทศแคนาดาได้เผชิญกับการโจมตีจากแรนซัมแวร์หลายครั้งในสถาบันขนาดใหญ่

สำนักพิมพ์ Indigo ของแคนาดาที่มียอดขายหลายพันล้านดอลลาร์ก็พึ่งถูกกลุ่มแรนซัมแวร์ Lockbit โจมตีในเดือนกุมภาพันธ์ และพิพิธภัณฑ์แห่งชาติแคนาดาก็ถูกแรนซัมแวร์โจมตีเมื่อสามสัปดาห์ที่ผ่านมา

อ้างอิง : https://therecord.

บริษัทประกันสุขภาพทางทันตกรรม Managed Care of North America (MCNA) Dental ของสหรัฐอเมริกา ออกมายืนยันเรื่องข้อมูลของลูกค้าประมาณ 9 ล้านรายรั่วไหลออกไป หลังจากเกิดเหตุการณ์โจมตีจากกลุ่มแรนซัมแวร์ (more…)

กลุ่ม LockBit  ประกาศการโจมตีห้างสรรพสินค้าประเภทไฮเปอร์มาร์เก็ต, ซูเปอร์มาร์เก็ต และร้านสะดวกซื้อที่มีขนาดใหญ่เป็นอันดับสองของประเทศไทย โดยมีการโพสต์การโจมตีทางไซเบอร์บนเว็บไซต์ของทางกลุ่ม ซึ่งมีการกำหนดเวลาการปล่อยข้อมูลออกสู่สาธารณะในวันที่ 27 เมษายน หากไม่มีการดำเนินการจ่ายค่าไถ่
(more…)

ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศอัปเกรดตัวเองเป็นเวอร์ชัน 3.0 ซึ่งในครั้งนี้มีการเพิ่มฟีเจอร์ใหม่ ๆ เข้ามา เช่น ป้องกันการวิเคราะห์ และตรวจสอบจากอุปกรณ์ต่างๆ, เพิ่มรางวัลกับผู้ที่เจอบั๊กของโปรแกรม รวมไปถึงเพิ่มวิธีการใหม่ ๆ ในการโจมตี

อย่างไรก็ตาม ในวันที่ 21 กันยายนที่ผ่านมา 3xp0rt ผู้เชี่ยวชาญด้าน Cybersecurity ได้โพสบน Twitter ว่าพบบัญชีสร้างใหม่ที่มีชื่อว่า "Ali Qushji" ซึ่งอ้างว่าตน และทีมได้แฮ็กเซิฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0

หลังจากที่ 3xp0rt แชร์ทวีตไม่นาน ก็มีทีมงานผู้เชี่ยวชาญอีกกลุ่มที่ชื่อว่า VX-Underground ได้แชร์ทวีตในลักษณะเดียวกัน โดยระบุว่าตนได้รับการติดต่อจากผู้ที่อ้างว่ามีข้อมูล Builder ของ LockBit 3.0 เช่นกัน

ต่อมาตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็ก ข้อมูลที่ถูกเผยแพร่มาจากทีม Developer ที่มีปัญหากันเองภายในกลุ่ม

ลักษณะการทำงาน

จากการตรวจสอบไฟล์ Builder ที่ถูกเผยแพร่ออกมา พบว่าผู้ใช้งานสามารถสร้าง Ransomware ที่ใช้ในการโจมตีขึ้นมาได้อย่างรวดเร็ว ซึ่งในไฟล์ที่ถูกสร้างนั้นประกอบไปด้วยเครื่องมือที่ใช้ในการเข้ารหัส, เครื่องมือถอดรหัส, รวมไปถึง Tools พิเศษอื่น ๆ ที่ใช้ในการถอดรหัส
เมื่อตรวจสอบ Builder พบว่าประกอบด้วย 4 ไฟล์หลัก ๆ ได้แก่

เครื่องมือ Generate Key ที่ใช้สำหรับการเข้ารหัส
Builder ที่ใช้ในการสร้าง Execute File
Configuration Files ที่ผู้ใช้งานสามารถปรับแก้ไขให้ตรงตามที่ต้องการได้
Batch File สำหรับสร้าง File ทั้งหมดที่ผู้ใช้งานกำหนดไว้

ในไฟล์ config.

กลุ่ม LockBit Ransomware ได้ออกมาประกาศเรื่องการปรับปรุงเว็บไซต์ของทางกลุ่ม หลังจากที่ถูกโจมตีแบบปฏิเสธการให้บริการ (DDoS) และเตรียมยกระดับการโจมตีของกลุ่มให้เป็นแบบ Triple Extortion

รายละเอียดเหตุการณ์

เหตุการณ์ครั้งนี้เกิดขึ้นจากเมื่อวันที่ 18 มิถุนายน 2565 ที่ผ่านมา LockBit ได้ขโมยข้อมูลจำนวนกว่า 300 GB ของ Entrust บริษัทด้านความปลอดภัยทางดิจิทัล โดยเหตุการณ์ครั้งนี้ Entrust ยืนยันที่จะไม่ยอมจ่ายค่าไถ่ ทำให้ LockBit เริ่มประกาศจะเผยแพร่ข้อมูลของ Entrust ออกมาในวันที่ 19 สิงหาคม 2565 แต่ก็ไม่สามารถเผยแพร่ข้อมูลได้อย่างต่อเนื่อง เนื่องจาก LockBit อ้างว่าเว็บไซต์ของทางกลุ่มถูกบริษัท Entrust โจมตีด้วย DDoS attack เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่ LockBit อ้างว่าได้ขโมยออกมา

จากเหตุการณ์ดังกล่าว LockBit ใช้บทเรียนครั้งนี้เป็นโอกาสที่จะเพิ่มผู้เชี่ยวชาญในการโจมตีด้วย DDoS เข้าสู่ทีม เพื่อยกระดับการโจมตีของตนให้เป็นแบบ Triple Extortion ซึ่งประกอบไปด้วย

การเข้ารหัสไฟล์บนเครื่องเป้าหมาย
การเผยแพร่ข้อมูลของเป้าหมาย
การโจมตีแบบปฏิเสธการให้บริการ (DDoS) ไปยังเป้าหมาย

นอกจากนี้โฆษาของ LockBit ยังยืนยันว่าจะแชร์ข้อมูลกว่า 300GB ที่ขโมยมาจาก Entrust ให้ได้ โดยเริ่มจากการส่งข้อมูลไปให้กับผู้ที่สนใจที่ติดต่อเข้ามาทาง Direct Message ผ่านทางไฟล์ Torrent

ส่วนวิธีที่ LockBit นำมาใช้เพื่อป้องกันการโจมตีจาก DDoS คือการใช้ลิงก์ที่แตกต่างกันในไฟล์บันทึกค่าไถ่ของเหยื่อแต่ละราย จากนั้นจะเพิ่มจำนวนมิเรอร์ และเซิร์ฟเวอร์สำหรับเผยแพร่ข้อมูลที่แฮ็กมา และในอนาคตมีแผนที่จะเพิ่มความพร้อมใช้งานของข้อมูลที่ถูกขโมยโดยทำให้สามารถเข้าถึงได้ผ่าน clearnet ผ่านบริการจัดเก็บข้อมูลแบบ bulletproof

ข้อมูลเพิ่มเติมเกี่ยวกับ LockBit

การดำเนินการของ LockBit ถูกพบมาตั้งแต่เดือนกันยายน 2562 โดยมีผู้ตกเป็นเหยื่อมากกว่า 700 รายและ Entrust ก็ถือเป็นหนึ่งในนั้น

ที่มา : bleepingcomputer

 

กลุ่มแรนซัมแวร์ LockBit อ้างว่าได้ทำการโจมตี Entrust บริษัทยักษ์ใหญ่ด้านความปลอดภัยดิจิทัลในเดือนมิถุนายน

ต้นเดือนมิถุนายนที่ผ่านมา Entrust ได้แจ้งลูกค้าว่าบริษัทถูกโจมตีทางไซเบอร์ และมีข้อมูลบางส่วนถูกขโมยออกจากระบบภายใน และกำลังดำเนินการตรวจสอบ โดยจะมีการติดต่อลูกค้าหากพบว่ามีข้อมูลที่ส่งผลต่อความปลอดภัยของการให้บริการ

ถึงแม้ Entrust จะไม่ได้เปิดเผยรายละเอียดของการโจมตี แต่ก็ยืนยันมาตลอดว่าไม่พบหลักฐานว่าการโจมตีส่งผลกระทบต่อบริการของบริษัท เนื่องจากระบบที่ถูกโจมตี และระบบที่ให้บริการกับลูกค้าอยู่คนละส่วนกัน และยังสามารถให้บริการได้ตามปกติ โดย Vitali Kremez AdvIntel CEO ระบุว่าผู้โจมตีเป็นกลุ่มแรนซัมแวร์ที่มีชื่อเสียง ที่ได้ข้อมูลในการโจมตี Entrust จากการซื้อข้อมูลที่ทำให้สามารถเข้าถึงเครือข่ายของ Entrust ได้ต่อมาอีกที

LockBit อ้างการโจมตี Entrust

โดยในวันที่ 18 ส.ค. 2565 ที่ผ่านมา นักวิจัยด้านความปลอดภัย Dominic Alvieri ระบุว่า LockBit ได้สร้างหน้าเพจแสดงข้อมูลที่ขโมยออกมาจาก Entrust โดยระบุว่าจะเผยแพร่ข้อมูลที่ถูกขโมยมาทั้งหมดในเย็นวันที่ 19 ส.ค. 2565 เนื่องจาก Entrust ไม่ยอมเจรจา หรือปฏิเสธที่จะตอบรับข้อเสนอในการเรียกค่าไถ่ของ LockBit

LockBit ถือเป็นหนึ่งในแรนซัมแวร์ที่พบมากที่สุดในขณะนี้ ในเดือนมิถุนายนที่ผ่านมาพึ่งมีการเปิดตัว LockBit 3.0 ซึ่งมาพร้อมกับตัวเข้ารหัสใหม่โดยอิงจากซอร์สโค้ดของ BlackMatter, มีตัวเลือกการชำระเงินใหม่ และช่องทางให้กลุ่มผู้ไม่หวังดีแจ้งช่องโหว่ของซอฟแวร์ต่างๆเข้าไปเพื่อแลกกับเงินรางวัล

Update: 21 ส.ค. 2565 LockBit เริ่มปล่อยข้อมูลของ Entrust

โดยวันที่ 19 ส.ค. 2565 ที่ผ่านมา LockBit เริ่มทยอยปล่อยข้อมูลของ Entrust ออกมา โดยมีข้อมูลเบื้องต้นเป็นภาพแคปเจอร์หน้าจอของข้อมูลที่อ้างว่าถูกขโมยมา โดย Alvieri นักวิจัยที่ติดตามการเผยแพร่ข้อมูลของ Entrust ระบุว่าข้อมูลอื่นๆประกอบไปด้วยเอกสารทางบัญชี กฏหมาย และการตลาด แต่ที่น่าสนใจคือหลังจาก LockBit เริ่มทยอยปล่อยข้อมูลไปสักพัก เว็ปไซต์ดังกล่าว(บน Tor Network) ก็ออฟไลน์ไป โดย LockBit อ้างว่าพวกเขาถูก DDoS จาก Entrust

ที่มา: bleepingcomputer

กลุ่มผู้โจมตีในเครือข่ายของ LockBit ransomware กำลังใช้วิธีใหม่เพื่อให้เหยื่อติด ransomware ในอุปกรณ์ของพวกเขาโดยการปลอมอีเมลล์แจ้งเตือนการละเมิดลิขสิทธิ์

ผู้รับอีเมลเหล่านี้จะถูกเตือนว่าละเมิดลิขสิทธิ์ และถูกกล่าวหาว่าใช้ไฟล์สื่อโดยไม่ได้รับอนุญาตจากผู้สร้าง อีเมลเหล่านี้จะแจ้งให้ลบเนื้อหาละเมิดลิขสิทธิ์จากเว็บไซต์ของพวกเขาไม่เช่นนั้นพวกเขาจะถูกดำเนินคดีทางกฎหมาย โดยนักวิเคราะห์จาก AhnLab ของเกาหลีใต้ ไม่ได้ระบุถึงชื่อไฟล์ หรือรายละเอียดของข้อความที่ผู้โจมตีบอกว่าเป็นการละเมิดลิขสิทธิ์ แต่แจ้งเตือนให้ผู้ที่ได้รับอีเมลอย่าดาวน์โหลด และเปิดไฟล์ที่แนบมาเพื่อดูเนื้อหาที่ถูกแจ้งว่าละเมิดลิขสิทธิ์ (more…)