Details for 1.3 million Indian payment cards put up for sale on Joker’s Stash

รายละเอียดของบัตรชำระเงินอินเดีย 1.3 ล้านใบวางขายที่ Joker's Stash
รายละเอียดบัตรในชำระเงินมากกว่า 1.3 ล้านใบถูกวางขายใน Joker's Stash โดยข้อมูลส่วนใหญ่มาจากผู้ถือบัตรในอินเดีย นักวิจัยด้านความปลอดภัยที่ Group-IB บอกกับ ZDNet ในวันนี้หลังจากพบการอัปโหลดใหม่เมื่อไม่กี่ชั่วโมงก่อน
Group-IB กล่าวว่าบัตรเหล่านี้ถูกวางขายในราคาสูงสุดที่ 100 ดอลลาร์สหรัฐต่อ 1 ใบทำให้แฮกเกอร์สามารถทำเงินได้มากกว่า 130 ล้านดอลลาร์จากรายการครั้งล่าสุด
ยังไม่ทราบแหล่งที่มาของบัตร Group-IB กล่าวว่าพวกเขาไม่สามารถวิเคราะห์และดูแหล่งที่มาของการละเมิดที่อาจเกิดขึ้น เนื่องจากมีเวลาวิเคราะห์ไม่พอ ซึ่งการวิเคราะห์เบื้องต้นชี้ให้เห็นว่าอาจได้รับรายละเอียดการ์ดผ่านอุปกรณ์ skimming ที่ติดตั้งบน ATM หรือระบบ PoS เพราะข้อมูลบนบัตรที่วางขายมีข้อมูล Track 2 ซึ่งมักจะพบบนแถบแม่เหล็กของบัตรชำระเงิน ทำให้ตัดความเป็นไปได้ที่ข้อมูลจะมาจาก skimmers ที่ติดตั้งบนเว็บไซต์ซึ่งจะไม่มีพบข้อมูล Track 2 ดังกล่าว
ยิ่งไปกว่านั้นบัตรแต่ละใบแตกต่างกันอย่างมากในแง่ของการดำเนินการที่มาจากหลายธนาคารไม่ใช่เพียงแค่ธนาคารเดียว
"ในขณะนี้ทีมงาน Threat Intelligence ของ Group-IB ได้วิเคราะห์บัตรมากกว่า 550K จากฐานข้อมูล" Group-IB ซึ่งเขียนในรายงานที่แชร์เฉพาะกับ ZDNet และ บริษัท วางแผนที่จะเผยแพร่ในวันพรุ่งนี้
โดยเป็นของธนาคารอินเดียมากกว่า 98% ส่วน 1% เป็นของธนาคารโคลอมเบีย และมากกว่า 18% ของข้อมูล 550K ในบัตร ได้รับการวิเคราะห์จนถึงขณะนี้ว่าเป็นของธนาคารอินเดียแห่งหนึ่งในอินเดียเพียงธนาคารเดียว
Joker's Stash เป็นสิ่งที่นักวิจัยด้านความปลอดภัยเรียกว่า "card shop" เป็นคำที่ใช้อธิบายถึงตลาดออนไลน์ในเว็บมืดและเป็นที่รู้จักกันว่าเป็นสถานที่ที่กลุ่มอาชญากรไซเบอร์หลักเช่น FIN6 และ FIN7 ทำการขายและซื้อรายละเอียดบัตรชำระเงินซึ่งจะเรียกว่า card dump
ที่มา zdnet

Transaction Reversal Fraud – Global

Diebold ประกาศแจ้งเตือนการโจมตี Jackpotting และมัลแวร์ในเอทีเอ็ม พร้อม Fraud แบบใหม่จาก NCR

Diebold และ NCR บริษัทผู้ผลิตและจัดจำหน่ายระบบเอทีเอ็มและ POS รายใหญ่ออกประกาศด้านความปลอดภัยในระยะเวลาไล่เลี่ยกันเมื่อวานที่ผ่านมา โดยในประกาศของ Diebold นั้นโฟกัสไปที่การโจมตีด้วยวิธีการ Jackpotting และการค้นพบมัลแวร์ในเอทีเอ็ม สว่นประกาศจาก NCR นั้นเน้นไปที่เรื่องของเทคนิคการ Fraud "Transaction Reversal Fraud (TRF)" และวิธีการป้องกัน

Diebold ประกาศหลังจากตรวจพบเพิ่มขึ้นของการโจมตีในรูปแบบ Jackpotting กับระบบเอทีเอ็มซึ่งอยู่ในยุโรปและละตินอเมริกาโดยพุ่งเป้าไปที่ตู้รุ่น Opteva ที่มีการใช้งานตัวจ่ายเงินรุ่น Advacned Function Dispenser (AFD) 1.x ผู้โจมตีอาศัยทั้งการเข้าถึงทางกายภาพและทางซอฟต์แวร์เพื่อข้ามผ่านการตรวจสอบและยืนยันอุปกรณ์ โดยมีจุดมุ่งหมายเพื่อทำให้เกิดการเชื่อมต่อกับอุปกรณ์ภายนอกที่สามารถใช้เพื่อควบคุมระบบของเอทีเอ็มให้สามารถสั่งจ่ายเงินได้ อย่างไรก็ตามการโจมตีส่วนมากที่ตรวจพบนั้นไม่ประสบความสำเร็จด้วยเหตุผลทางด้านเทคนิค Diebold แนะนำให้ผู้ใช้งานทำการอัปเดตซอฟต์แวร์ให้เป็นรุ่นล่าสุดเพื่อป้องกันการโจมตีนี้

ในขณะเดียวกัน Diebold ได้ประกาศการค้นพบมัลแวร์ที่พุ่งเป้าโจมตีระบบเอทีเอ็มภายใต้ชื่อ "Peralta" โดยมัลแวร์ชนิดดังกล่าวนั้นถูกออกแบบมาเพื่อสร้างการโจมตีแบบ Jackpotting โดยใช้ซอฟต์แวร์แทนที่จะเป็นการโจมตีทางกายภาพกับระบบเอทีเอ็ม ในการโจมตีนั้น ผู้โจมตีใช้วิธีการถอดฮาร์ดดิสก์ของเอทีเอ็มที่อยู่บริเวณด้านบนของตู้ออกก่อนจะทำการแก้ไขข้อมูลในฮาร์ดดิสก์เพื่อสอดแทรกมัลแวร์ โดยมัลแวร์จะทำการโจมตีช่องโหว่รหัส MS16-032 ซึ่งมีการแพตช์ไปแล้วเพื่อยกระดับสิทธิ์ด้วยสคริปต์ PowerShell หลังจากนั้นจึงทำการเริ่มการทำงานของส่วนหลักของมัลแวร์ที่จะเริ่มการทำงานโดยอัตโนมัติเมื่อระบบของเอทีเอ็มถูกเปิด และคอยรอรับคำสั่งที่เป็นชุดของการกดแป้นพิมพ์ต่อ

สำหรับประกาศจากทาง NCR นั้น ได้มีการแจ้งเตือนความถีที่เพิ่มขึ้นของรูปแบบการโจมตีที่มีชื่อเรียกว่า Transaction Reversal Fraud (TRF) ซึ่งเป็นการโจมตีเพื่อขโมยเงินจากเอทีเอ็มออกโดยอาศัยการทำให้เกิด "ข้อผิดพลาด" ในกระบวนการถอนเงินที่เกือบสำเร็จ ซึ่งส่งผลให้บริเวณของส่วนจ่ายเงินยังเปิดอยู่และชิงเอาเงินออกมาก่อนที่เงินจะถูกส่งคืนกลับเซฟได้

ที่มา : response

NEW POS MALWARE PINKKITE TAKES FLIGHT

นักวิจัยจาก Kroll Cyber Security ค้นพบมัลแวร์ขนาดเล็กซึ่งมีขนาดประมาณ 6k โดยจัดอยู่ในกลุ่มของ Point-of-sale malware ถูกเรียกว่า "PinkKite" ด้วยขนาดที่เล็กทำให้มัลแวร์หลีกเลี่ยงการตรวจจับได้ง่าย

มัลแวร์ยังมีการใช้ obfuscation โดยใช้การเข้ารหัสด้วย double-XOR ซึ่งเข้ารหัสตัวเลข 16 หลักของหมายเลขบัตรเครดิตด้วยคีย์ที่กำหนดไว้ล่วงหน้าเพื่อให้การตรวจจับทำได้ยาก นอกจากนี้ยังมีการใช้ memory-scraping เพื่อดึงข้อมูลสำคัญจาก Memory ของเครื่อง

ผู้โจมตีได้ใช้สำนักหักบัญชีทั้งหมดสามแห่งในเกาหลีใต้ แคนาดาและเนเธอร์แลนด์เพื่อรับข้อมูลที่ถูกขโมย แทนที่จะส่งไปยัง C&C โดยตรง โดยข้อมูลบัตรเครดิตจะถูกเก็บไว้ในไฟล์บีบอัดที่มีชื่อเช่น. f64, .n9 หรือ. sha64 แต่ละแฟ้มข้อมูลสามารถมีได้สูงสุด 7,000 หมายเลขบัตรเครดิต และทำการจัดส่งผ่านเซอร์วิส Remote Desktop ไปยังหนึ่งในสามสำนักหักบัญชี

Kroll คาดว่าผู้โจมตีทำการโจมตีที่ระบบหลักจากนั้นใช้ PsExec เพื่อโจมตีระบบอื่นๆภายในเครือข่าย และทำการวาง malware ใน POS นอกจากนี้ผู้โจมตียังมีการใช้เครื่องมือที่ได้รับความนิยมอย่าง Mimikatz เพื่อดึงข้อมูล credentials จาก Local Security Authority Subsystem Service (LSASS) ทำให้สามารถเข้าถึงจากระยะไกลผ่านเซอร์วิส Remote Desktop (RDP) เพื่อลบข้อมูลบัตรเครดิตภายหลังได้

ที่มา : threatpost

POS Malware Found at 160 Applebee’s Restaurant Locations

พบ Malware ในระบบ POS (Point of Sale) ของร้านอาหาร Applebee กว่า 160 ร้าน ทำให้มีข้อมูลบัตรเครดิตของลูกค้ารั่วไหลออกไป

ทางด้าน RMH ซึ่งเป็นผู้ถือสิทธิ์แฟรนไชส์ โดยเป็นทั้งเจ้าของและผู้จัดการกว่า 160 สาขาได้ออกมาบอกว่าพบ Malware ระบาดอยู่ในระบบ POS ซึ่งทำให้ Hacker สามารถขโมยข้อมูลรายบุคคล เช่น ชื่อ เลขบัตร วันหมดอายุของบัตร เป็นต้น ร้าน Applebee ได้รับผลกระทบอยู่หลายวัน โดยช่วงแรกเกิดขึ้นประมาณ พฤศจิกายน หรือ ธันวาคม 2017 ตามรายงานจากเว็บไซต์ของ RHM

ทาง RHM เชื่อว่า Malware ดังกล่าวถูกออกแบบมาให้ดักจับข้อมูลบัตร และอาจส่งผลกระทบต่อระบบซื้อขายบางรายการสำหรับสาขาที่ติด Malware RHM ได้บอกกับทาง Threatpost ว่ามีการสืบสวนเรื่องนี้โดยได้รับความช่วยเหลือจากบริษัทด้านรักษาความปลอดภัยชั้นนำ และได้มีการรายงานเรื่องนี้ไปยังผู้บังคับใช้กฎหมาย โฆษกของ RHM บอกกับทาง Threatpost ว่าสามารถควบคุมเหตุการณ์ทันทีที่พบเมื่อวันที่ 13 กุมภาพันธ์ 2018 RHM ให้ข้อมูลเพิ่มเติมว่าได้ใช้งานตัวระบบ POS แยกจากเครือข่ายของทาง Applebee ต่างหาก และจะมีผลแค่กับสาขาที่ทาง RHM เป็นเจ้าของเท่านั้น POS Malware คือภัยคุกคามที่กำลังเพิ่มจำนวนขึ้นสำหรับผู้ที่ลงทุนในอุตสาหกรรมอย่างโรงพยาบาล

Fred Kneip, CEO ของบริษัท CyberGRX บอกกับทาง Threatpost ว่า RHM ได้แนะนำให้ลูกค้าตรวจสอบข้อมูลการใช้บัตรอยู่เสมอ แต่การป้องกัน POS Malware ที่ดีที่สุดต้องมาจากตัวผู้ค้าเอง

ที่มา : threatpost

New PoS Malware Family Discovered

นักวิจัยด้านความปลอดภัย Robery Neumann และ Luke Somerbille จาก Forcepoint ได้ทำการวิเคราะห็มัลแวร์ซึ่งเชื่อกันกว่าเป็นมัลแวร์ที่มุ่งโจมตีระบบ PoS สายพันธุ์ใหม่ โดยมีพฤติกรรมสำคัญคือการใช้ DNS เป็น covert channel ในการขโมยข้อมูลออกไป

มัลแวร์สายพันธุ์นี้ซึ่งในภายหลังถูกตั้งชื่อว่า UDPoS ถูกพัฒนาให้เลียนแบบแอปพลิเคชันชื่อดัง "LogMeIn" อีกทั้งยังมีการใช้ชื่อเซิร์ฟเวอร์ C&C เป็น service-logmeln.

LockPoS Adopts New Injection Technique

นักวิเคราะห์มัลแวร์จาก Cyberbit ได้มีการเปิดเผยถึงวิธีการใหม่ที่มัลแวร์ LockPoS ใช้ในการแฝงตัวเข้าไปในโปรเซสที่กำลังทำงานอยู่ในระบบ เพื่อหลีกเลี่ยงการตรวจจับทั้งจากผู้วิเคราะห์และโปรแกรมเพิ่มความปลอดภัยระบบ

LockPoS เป็นหนึ่งในมัลแวร์ที่แพร่กระจายผ่านทางเครือข่ายบ็อตเน็ตตระกูล Flokibot โดยพุ่งเป้าโจมตีระบบ PoS ด้วยวิธีการฝังตัว สแกนข้อมูลในหน่วยความจำของระบบที่กำลังทำงานอยู่เพื่อหาข้อมูล เช่น รหัสบัตรเครดิต จากนั้นส่งออกข้อมูลดังกล่าวไปยังเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม

วิธีการใหม่ที่ LockPoS ใช้ในการแฝงตัวลงในโปรเซสอื่นนั้นโดยภาพรวมคือการสร้าง section object ซึ่งเป็นตัวเก็บข้อมูลลักษณะหนึ่งในระบบซึ่งมีสามารถใช้ร่วมกันได้ระหว่างโปรเซส ก่อนจะแก้ไข section object และแทรก section object ดังกล่าวไปกับโปรเซสอื่น กระบวนการทั้งหมดเกิดขึ้นบนหน่วยความจำ ไม่มีการแก้ไขไฟล์ใดๆ ในเครื่อง และไม่มีพฤติกรรมการแทรกที่อาจก่อให้เกิดการแจ้งเตือนแก่โปรแกรมรักษาความปลอดภัยระบบได้

การป้องกันมัลแวร์ในลักษณะนี้เป็นไปได้ยากเนื่องจากพฤติกรรมการทำงานที่อยู่แต่บนหน่วยความจำ ทางที่ดีที่สุดคือการป้องกันไม่ให้มีการเข้าถึงระบบเพื่อติดตั้งมัลแวร์ซึ่งจะช่วยไม่ให้เกิดการแพร่กระจายได้ดีที่สุด

ที่มา : securityweek

North Korea Begins PoS Attacks with New Malware

กลุ่มแฮกเกอร์ Lazarus Group (เกาหลีเหนือ) พุ่งเป้าโจมตีระบบ PoS ด้วยมัลแวร์ประเภทใหม่

กลุ่มนักวิจัยด้านความปลอดภัยจาก Proofpoint ได้มีการเปิดเผยผลการวิเคราะห์ภัยคุกคามลักษณะใหม่ซึ่งเป็นครั้งแรกที่สามารถระบุได้ว่าเป็นภัยคุกคามที่มีความเกี่ยวข้องกับองค์กรระดับประเทศและพุ่งเป้าโจมตีระบบ PoS เพื่อขโมยข้อมูลบัตรเครดิต โดยการโจมตีดังกล่าวมาจากกลุ่มแฮกเกอร์ Lazarus Group ซึ่งเชื่อกันมีความเกี่ยวข้องกับเกาหลีเหนือ

ภัยคุกคามลักษณะใหม่ที่ Lazarus Group โจมตีนั้นมีการใช้มัลแวร์เพื่อฝังตัวในระบบ PoS ชื่อ "RatankbaPOS" โดยมีเป้าหมายหลักคือระบบในเกาหลีใต้ RatankbaPOS เป็นเพียงหนึ่งในมัลแวร์ที่ถูกใช้ในกระบวนการโจมตีทั้งหมด Proofpoint กล่าวถึงรายละเอียดอ้างอิงจากพฤติกรรมการติดต่อกับเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม (C&C server) ว่า ผู้โจมตีน่าจะมีการโจมตีเครือข่ายขององค์กรก่อนที่จะพยายามเข้าถึงระบบ PoS

เป็นที่ทราบกันดีว่าความเสี่ยงในระบบ ATM โดยส่วนมากนั้นไม่ได้ขึ้นอยู่กับตัว ATM จริงๆ แต่เป็นฝั่งขององค์กรที่สามารถเข้าถึงระบบ ATM ได้จากระยะไกล ขอให้ผู้ให้บริการหมั่นตรวจสอบความปลอดภัยระบบอย่างเข้มงวด ทางไอ-ซีเคียวแนะนำให้มีการปรับปรุงระบบความปลอดภัยและตรวจสอบข้อมูลให้สอดคล้องกับข้อมูล IOC ด้านล่างด้วย

ที่มา: infosecurity