Veeam แจ้งเตือนช่องโหว่ Authentication bypass ระดับ Critical บน Backup Enterprise Manager

Veeam แจ้งเตือนลูกค้าให้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถลงชื่อเข้าใช้บัญชีใด ๆ ผ่านทาง Veeam Backup Enterprise Manager (VBEM) (more…)

พบกลุ่ม Ransomware มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows ผ่าน PuTTy และ WinSCP ปลอม

Rapid7 ออกรายงานการค้นพบแคมเปญการโจมตีของกลุ่ม Ransomware ที่มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows เนื่องจากมีสิทธิ์การใช้งานที่สูงกว่าผู้ใช้งานทั่วไป โดยใช้โฆษณาบน Google หลอกให้เหยื่อดาวน์โหลด Putty และ WinSCP ปลอม เมื่อทำการค้นหาบน Google หรือ Bing

WinSCP และ Putty เป็น Windows utilities ยอดนิยม โดย WinSCP เป็น SFTP client และ FTP client ส่วน Putty เป็น SSH client

โดยที่กลุ่ม Ransomware ได้ทำการสร้างหน้าเว็บไซต์ขึ้นมา คือ [https://www[.]chiark.

เว็บไซต์ที่ถูกยึดของ Lockbit กลับมาเปิดใหม่อีกครั้งเพื่อลงประกาศใหม่ของตำรวจ

หน่วยงาน NCA, FBI และ Europol ได้ฟื้นฟูเว็บไซต์เผยแพร่ข้อมูลรั่วไหลของกลุ่ม LockBit ransomware ที่ถูกยึดไป เพื่อบอกเป็นนัยถึงข้อมูลใหม่ที่จะถูกเปิดเผยโดยหน่วยงานบังคับใช้กฎหมายในวันอังคารนี้ (more…)

DocGo เปิดเผยการถูกโจมตีทางไซเบอร์ หลังจากกลุ่มแฮ็กเกอร์ขโมยข้อมูลสุขภาพของผู้ป่วยไปได้

บริษัท DocGo ผู้ให้บริการรักษาทางการแพทย์เคลื่อนที่ ยืนยันว่าได้รับผลกระทบจากการโจมตีทางไซเบอร์ หลังจากที่กลุ่มแฮ็กเกอร์สามารถเข้ายึดระบบของบริษัท และนำข้อมูลสุขภาพของผู้ป่วยออกไปได้ (more…)

สรุปรายงานสถานะของ Ransomware ในปี 2024

Sophos บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ เผยแพร่รายงานสรุปเหตุการณ์ด้าน Ransomware ขององค์กร 5,000 แห่งทั่วโลก ตั้งแต่ต้นเหตุไปจนถึงความรุนแรงของการโจมตี ผลกระทบทางการเงิน และระยะเวลาในการกู้คืนระบบจากเหตุการณ์ที่เกิดขึ้น รวมถึงจากผลการสำรวจผู้นำด้านไอที/ความปลอดภัยทางไซเบอร์ใน 14 ประเทศ

ซึ่งรายงานประจำปีนี้ได้รวมข้อมูลเชิงลึกเกี่ยวกับการเรียกร้องค่าไถ่ และการชำระค่าไถ่ และให้ความกระจ่างเกี่ยวกับบทบาทของการบังคับใช้กฎหมายในการแก้ไขแรนซัมแวร์

อัตราการโจมตีลดลง แต่ค่าใช้จ่ายในการกู้คืนระบบเพิ่มขึ้น

พบว่าในปี 2024 มีองค์กรได้รับผลกระทบจาก Ransomware อยู่ที่ 59% ซึ่งลดลงจากในปี 2023 ซึ่งมีองค์กรได้รับผลกระทบจาก Ransomware ที่ 66% แต่ถึงแม้ว่าการโจมตีจะลดลง แต่พบว่าค่าใช้จ่ายในการกู้คืนระบบกลับเพิ่มสูงขึ้น (ไม่รวมการจ่ายค่าไถ่) โดยเพิ่มขึ้นเป็น 2.73 ล้านเหรียญสหรัฐ หรือ 50% จากที่รายงานในปี 2023 ที่ 1.82 ล้านเหรียญสหรัฐ

 

การเข้ารหัสเครื่องในระบบเครือข่ายทั้งหมดขององค์กรพบได้ยากขึ้น

พบว่าปัจจุบันมีเครื่องในระบบเครือข่ายได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์มีเพียงครึ่งหนึ่งขององค์กร (49%) ที่ถูกเข้ารหัส ทั้งนี้พบว่ามีเพียง 4% เท่านั้นที่องค์กรรายงานว่าอุปกรณ์ 91% ขึ้นไปได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์

 

 

เหยื่อเกิน 50% ยอมจ่ายเงินเรียกค่าไถ่

จากรายงานพบว่าในปี 2024 มีองค์กรที่ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ และถูกเข้ารหัสข้อมูลได้ยอมรับว่าจ่ายค่าไถ่เพื่อกู้คืนข้อมูลมากกว่าครึ่ง (56%) เมื่อเทียบกับการที่องค์กรได้ทำการกู้คืนข้อมูล backup กลับมา (68%) รวมถึงใช้วิธีการอื่น (68%) ในการกู้คืนข้อมูลที่ถูกโจมตี เช่น บังคับใช้กฎหมาย หรือการใช้ decryption keys ที่ถูกเปิดเผยต่อสาธารณะแล้ว

 

 

การจ่ายเงินเรียกค่าไถ่สูงขึ้น แต่เหยื่อไม่ได้จ่ายตามราคาที่ Hacker เรียกค่าไถ่

พบว่าในปี 2024 มีผู้ตอบแบบสอบถาม 1,097 ราย ที่ยอมรับว่าองค์กรยอมจ่ายค่าไถ่ ซึ่งเผยให้เห็นว่าการชำระเงินจ่ายค่าไถ่โดยเฉลี่ย (ค่ามัธยฐาน) เพิ่มขึ้น 5 เท่าจากปี 2023 จาก 400,000 ดอลลาร์เป็น 2 ล้านดอลลาร์

แม้ว่าอัตราการจ่ายค่าไถ่จะเพิ่มขึ้น แต่พบว่ามีเพียง 24% ของผู้ตอบแบบสอบถามที่บอกว่าการชำระเงินของพวกเขาตรงกับคำขอเรียกค่าไถ่แรก โดย 44% ได้จ่ายน้อยกว่าคำขอเรียกค่าไถ่แรก ในขณะที่ 31% จ่ายมากกว่าคำขอเรียกค่าไถ่แรก

 

 

หากต้องการข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการจ่ายค่าไถ่ และด้านอื่น ๆ สามารถดูเพิ่มเติมได้จากรายงานฉบับเต็ม

ที่มา : news.

Synlab Italia ยุติการให้บริการ หลังถูก Ransomware โจมตี

Synlab Italia ยุติการดำเนินงานด้านบริการวินิจฉัย และตรวจสอบทางการแพทย์เนื่องด้วยหลายระบบ IT ของบริษัทล่มจากการถูกโจมตีด้วย Ransomware (more…)

เซิร์ฟเวอร์ VMware ESXi ของบริษัท Hosting ถูกโจมตีจาก Ransomware ตัวใหม่ในชื่อ SEXi

IxMetro Powerhost ผู้ให้บริการศูนย์ข้อมูล และโฮสติ้งจากประเทศชิลี ได้ตกเป็นเหยื่อของการโจมตีทางไซเบอร์จากกลุ่ม Ransomware ใหม่ที่รู้จักกันในชื่อ SEXi ซึ่งมีความสามารถในการเข้ารหัสเซิร์ฟเวอร์ VMware ESXi และการสำรองข้อมูลของบริษัท

PowerHost คือบริษัทที่ทำธุรกิจทางด้านด้าน Data center, โฮสติ้ง และ interconnectivity ซึ่งมีสถานที่ตั้งในสหรัฐอเมริกา อเมริกาใต้ และยุโรป

เมื่อวันจันทร์ที่ผ่านมา (1 เมษายน 2024) IxMetro แจ้งให้ลูกค้าทราบว่าได้ถูกโจมตีด้วย Ransomware เมื่อวันเสาร์ที่ 30 มีนาคม 2024 โดยได้ถูกเข้ารหัสเซิร์ฟเวอร์ VMware ESXi ของบริษัทบางส่วนที่ใช้เป็น virtual private servers สำหรับลูกค้า ทำให้ลูกค้าที่โฮสต์เว็บไซต์ หรือบริการของตนบนเซิร์ฟเวอร์เหล่านี้ประสบปัญหา ขณะที่บริษัท PowerHost กำลังพยายามกู้คืนข้อมูลขนาดหลาย terabytes จากการสำรองข้อมูล (more…)

LockBit ransomware กลับมาเริ่มโจมตีอีกครั้งด้วยตัวเข้ารหัส และ server ใหม่

กลุ่ม LockBit ransomware ได้กลับมาเริ่มโจมตีอีกครั้ง พร้อมตัวเข้ารหัสที่ได้รับการอัปเดต และ server ตัวใหม่ หลังจากที่ทาง NCA, FBI และ Europol ได้ทำการประสานงานเพื่อปิดบริการการดำเนินการของ LockBit ransomware ในชื่อ “Operation Cronos”

ในการดำเนินการครั้งนี้ หน่วยงานบังคับใช้กฎหมายได้เข้ายึดระบบโครงสร้างพื้นฐาน, ตัวเข้ารหัส รวมถึงได้แก้ไขหน้าเว็บไซต์ของ data leak ให้กลายหน้าเว็บไซต์ของ FBI แทน

ต่อมากลุ่ม LockBit ransomware ได้ทำการแก้ไขหน้าเว็บไซต์ของ data leak คืน พร้อมทั้งฝากข้อความไปยัง FBI โดยอ้างว่าทาง FBI ได้ทำการโจมตี server โดยใช้ช่องโหว่ของ PHP ทั้งนี้กลุ่ม LockBit ransomware ได้ประกาศว่าจะกลับมาพร้อมกับโครงสร้างพื้นฐานที่ได้รับการอัปเดตความปลอดภัยใหม่ เพื่อป้องกันไม่ให้หน่วยงานรัฐสามารถทำการโจมตีระบบปฏิบัติการ และเข้าถึงตัวถอดรหัสได้อีกครั้ง

การอัปเดต LockBit encryptor ที่ใช้ในการโจมตี

ต่อมาได้พบว่ากลุ่ม LockBit ransomware ได้กลับมาเริ่มโจมตีอีกครั้งด้วยการเข้ารหัสใหม่ รวมถึงการตั้งค่าโครงสร้างพื้นฐานสำหรับเว็บไซต์ data leak และเว็บไซต์การเจรจาต่อรองในรูปแบบใหม่

Zscaler รายงานว่ากลุ่ม LockBit ได้อัปเดตบันทึกค่าไถ่ของตัวเข้ารหัสด้วย URL ของ Tor สำหรับโครงสร้างพื้นฐานใหม่ของกลุ่ม ต่อมา BleepingComputer พบตัวอย่างของตัวเข้ารหัสตัวใหม่ที่ถูกอัปโหลดไปยัง VirusTotal โดย MalwareHunterTeam

รวมถึง BleepingComputer ได้ยืนยันว่า server ที่ใช้ในการเจรจาต่อรองค่าไถ่กลับมาใช้งานได้อีกครั้ง แต่ใช้งานได้เฉพาะกับเหยื่อของการโจมตีครั้งใหม่เท่านั้น

โดยกลุ่ม LockBit ransomware มีพันธมิตรในเครือข่ายประมาณ 180 ราย ที่ทำงานร่วมกันเพื่อทำการโจมตีเป้าหมายต่าง ๆ รวมถึงยังมีการรับสมัคร Pentester ที่มีประสบการณ์เพื่อเข้าร่วมปฏิบัติการโจมตี ซึ่งอาจนำไปสู่การโจมตีที่เพิ่มขึ้นในอนาคต

ดังนั้นการติดตามความเคลื่อนไหวของกลุ่ม LockBit ransomware ยังคงมีต่อไปเนื่องจากเป็นกลุ่ม Hacker ที่มีความสามารถ และมีเครือข่ายที่ขว้างขวาง ที่สามารถสร้างผลกระทบเป็นวงกว้างได้

ที่มา : bleepingcomputer

LockBit ransomware กลับมาอีกครั้งจากกู้คืนเซิร์ฟเวอร์ หลังถูกจัดการไปโดยเจ้าหน้าที่ตำรวจ

 

กลุ่ม LockBit กำลังกลับมาดำเนินการโจมตีด้วยแรนซัมแวร์อีกครั้ง ภายในระยะเวลาไม่ถึง 1 อาทิตย์ หลังจากที่เจ้าหน้าที่สามารถเจาะเข้าไปยังเซิร์ฟเวอร์ของพวกเขา โดยกลุ่มนี้ได้ย้ายไปยังระบบใหม่ และยังคงข่มขู่ว่าจะมุ่งเน้นโจมตีหน่วยงานรัฐบาลมากขึ้น (more…)

Albabat, Kasseika, Kuiper กลุ่ม Ransomware กลุ่มใหม่ เปิดตัวด้วยภาษา Rust และ Golang

นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบ Ransomware ตระกูล Phobos อีกรูปแบบหนึ่งที่รู้จักกันในชื่อของ Faust

Fortinet FortiGuard Labs ซึ่งให้รายละเอียดเกี่ยวกับพฤติกรรมครั้งล่าสุดของ Ransomware โดยระบุว่ามันสามารถแพร่กระจายได้ด้วยการส่งไฟล์เอกสาร Microsoft Excel (.XLAM) ที่มีการแนบสคริปต์ของ VBA