นักวิจัยด้านความปลอดภัยพบเบาะแสที่เชื่อมโยงระหว่าง Thanos ransomware กับกลุ่มแฮกเกอร์ชาวอิหร่าน

นักวิจัยด้านความปลอดภัยจาก ClearSky ได้เผยถึงการพบเบาะแสที่เชื่อมโยงระหว่าง Thanos ransomware กับกลุ่ม MuddyWater ซึ่งเป็นแฮกเกอร์ที่รัฐสนับสนุนโดยอิหร่าน

นักวิจัยด้านความปลอดภัยกล่าวว่าเบาะแสที่มีเชื่อมโยงนั้นพบว่ากลุ่ม MuddyWater มักจะใช้วิธีการโจมตีอยู่สองวิธีคือ หนึ่งใช้อีเมลฟิชชิ่งที่มีเอกสาร Excel หรือ PDF ที่เป็นอันตราย ซึ่งเมื่อเหยื่อเปิดแล้วจะดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ของแฮกเกอร์ ส่วนวิธีที่สองคือการสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ไม่ได้รับการเเพตซ์และใช้ประโยชน์จากช่องโหว่ CVE-2020-0688 ติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์จากนั้นดาวน์โหลดและติดตั้งมัลแวร์ตัวเดียวกันเดียวกับที่เคยเห็นมาก่อน ซึ่งมีชื่อว่า PowGoop โดยจะเป็นมัลเเวร์ที่ถูกใช้เพื่อทำการติดตั้ง Thanos ransomware ซึ่งเป็นข้อมูลจากการติดตามและรายงานโดย Palo Alto Networks

จุดน่าสนใจของ TTP ล่าสุดอยู่ในประเด็นที่ว่า Thanos ransomware ที่ตรวจพบและเกี่ยวข้องกับ MuddyWater ถูกเขียนขึ้นมาให้เข้ารหัสแบบไม่สามารถกู้คืนได้ ซึ่งเป็นความพยายามในการปกปิดเป้าหมายที่แท้จริงผ่านการอำพรางด้วยการใช้มัลแวร์เรียกค่าไถ่ด้วย

ที่มา: zdnet.

เงินดีเลยเอาด้วย FIN11 กระโดดร่วมวงแพร่กระจายมัลแวร์เรียกค่าไถ่แล้ว ใช้ Clop ransomware ช่วยหาเงิน

FireEye เปิดเผยความเคลื่อนไหวล่าสุดหลังจากมีการตรวจพบว่ากลุ่ม FIN11 ร่วมมีการปรับเปลี่ยนกลยุทธ์มาเน้นการแพร่กระจาย ransomware เพื่อหาเงิน รวมไปถึงมีการขู่ปล่อยข้อมูลโดยที่ไม่มีการใช้ ransomware ด้วย

FIN11 เป็นกลุ่มแฮกเกอร์ที่เป้าหมายคือเงินและเริ่มปฏิบัติการมาตั้งแต่ปี 2016 โดยในยุคแรกนั้นกลุ่ม FIN11 พุ่งเป้าโจมตีสถาบันทางการเงิน, กลุ่มร้านค้าและร้านอาหารด้วยการโจมตีระบบ Point of Sale (POS) อย่างไรก็ตามข้อมูลล่าสุดของ FieEye เปิดเผยว่ากลุ่ม FIN11 เริ่มมีเป้าหมายการโจมตีที่กว้างมากขึ้นและยังมีการใช้ ransomware ชื่อดังคือ Clop เข้ามาเป็นส่วนหนึ่งของปฏิบัติการ

Clop ransomware เป็นที่รู้จักกันว่าเป็น ransomware ที่ได้รับมักถูกใช้โดยกลุ่ม TA505 ซึ่งเป็นกลุ่มแฮกเกอร์ชื่อดังอีกกลุ่มหนึ่ง พฤติกรรมของ FIN11 และ TA505 ยังมีบางส่วนที่เหมือนกันเช่นการใช้โปรแกรมในการช่วยดาวโหลดมัลแวร์ตัวเดียวกัน ทั้งนี้ FireEye ยังคงกล่าวว่าความเหมือนของพฤติกรรมยังคงมีน้อยกว่าความแตกต่างและประวัติในการโจมตี ทำให้แฮกเกอร์สองกลุ่มนี้ยังไม่ถูกมองว่ามีความเกี่ยวข้องกับในลักษณะใด

จุดน่าสนใจของพฤติกรรมของ FIN11 อีกลักษณะหนึ่งคือ FIN11 พยายามเป็นอย่างยิ่งในทุกวิถีทางเพื่อให้ได้เงินมาจากเหยื่อ ในบาง incident ที่ FireEye เข้าให้บริการนั้นยังมีการตรวจพบว่า FIN11 มีการโจมตีเหยื่อเดิมซ้ำเพื่อเรียกค่าไถ่ด้วย

อ่านข้อมูลเพิ่มเติมเกี่ยวกับพฤติกรรมใหม่ของ FIN11 ได้จาก https://www.

จ่ายค่าไถ่ดีกว่าจ่ายค่าปรับ!? โรงพยาบาลแห่งมหาวิทยาลัย New Jersey ยอมจ่ายค่าไถ่ 20 ล้านบาท แลกกับการไม่ให้แฮกเกอร์เปิดเผยข้อมูลคนไข้

โรงพยาบาลแห่งมหาวิทยาลัย New Jersey ใน Newark ออกมาให้สัมภาษณ์และยอมรับกับ Bleeping Computer หลังจากที่ทางโรงพยาบาลฯ ตัดสินใจจ่ายค่าไถ่ให้กับกลุ่มมัลแวร์เรียกค่าไถ่ Suncrypt กว่า 20 ล้านบาท เพื่อแลกกับการไม่ปล่อยข้อมูลของคนไข้ขนาด 240 กิกะไบต์

อ้างอิงจากการสัมภาษณ์ Suncrypt มีการเรียกค่าไถ่จำนวนกว่า 1.7 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 53 ล้านบาท ทั้งนี้กลุ่ม Suncrypt ยอมที่จะตกลงลดราคาเนื่องจากสถานการณ์ COVID-19 และด้วยเหตุผลในการต่อรองอื่น ๆ

ทาง UNHJ ซึ่งเป็นตัวแทนของโรงพยาบาลออกมายอมรับว่า ทางโรงพยาบาลต้องการที่จะยับยั้งการรั่วไหลของข้อมูลของคนไข้เป็นอันดับแรก การเจรจาและการยอมจ่ายค่าไถ่จึงเริ่มขึ้น

หลังจากการโจมตี Bleeping Computer ได้มีการติดต่อกลุ่ม SunCrypt และได้รับการยืนยันว่ากลุ่ม SunCrypt จะไม่พุ่งเป้าโจมตีระบบของกลุ่มสาธารณสุขอีกต่อไป โดยอ้างว่า "We don't play with people's lives.

ทำความรู้จักกับ Egregor มัลแวร์เรียกค่าไถ่ตัวใหม่ มีเหยื่อแล้วเป็นบริษัทด้านโลจิสติกส์ระดับโลก

นักวิจัยด้านความปลอดภัย Michael Gillespie ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ใหม่ "Egregor" ซึ่งใช้วิธีการขู่เรียกค่าไถ่ด้วยข่มขู่ที่จะปล่อยข้อมูลที่ได้จากการโจมตี มีการค้นพบเหยื่อจาก Egregor แล้วคือบริษัทโลจิสติกส์ระดับโลก GEFCO

ผลการวิเคราะห์ตัวอย่างของมัลแวร์เรียกค่าไถ่เบื้องต้นบ่งชี้ความเหมือนของโค้ดระหว่าง Egregor และมัลแวร์เรียกค่าไถ่ Sekhmet ซึ่งเคยมีการแพร่กระจายในช่วงเดือนมิถุนายนที่ผ่านมา ส่วนของโค้ดของมัลแวร์ Egregor เองประกอบไปด้วยวิธีการ anti-analysis หลายรูปแบบ รวมไปถึงมีการทำ code obfuscation, packing และมีความยืดหยุ่นในการกำหนดฟังก์ชันการใช้งานด้วย ส่งผลให้คะแนนด้านความอันตรายของ Egregor มีสูงเทียบเท่ากับมัลแวร์เรียกค่าไถ่สายพันธุ์อื่น

IOC ของ Egregor ถูกเผยแพร่แล้วที่ AlienVault OTX (https://otx.

กลุ่มเรียกค่าไถ่ SunCrypt ปรับแผน ส่งพระรอง “DDoS attack” มาช่วยกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

กระทรวงการคลังสหรัฐฯ กล่าว “การจ่ายค่าไถ่ให้กับ Ransomware” อาจละเมิดมาตรการคว่ำบาตรที่รัฐบาลฯ กำหนด

กระทรวงการคลังสหรัฐฯ กล่าวเมื่อวานนี้ว่าการจ่ายค่าไถ่ให้กับ Ransomware โดยเหยื่อ ผู้ที่ได้รับผลกระทบหรือแม้แต่ตัวกลางของบริษัทต่าง ๆ อาจถือเป็นการละเมิดมาตรการคว่ำบาตรซึ่งรัฐบาลกำหนดไว้

Office of Foreigh Assetrs Control (OFAC) ซึ่งเป็นหน่วยงานภายใต้กระทรวงการคลังสหรัฐฯ และเป็นผู้ควบคุมการคว่ำบาตรออกมาอธิบายถึงการจ่ายค่าไถ่เพิ่มเติมว่า บริษัทหรือองค์กรใดๆ ซึ่งดำเนินการจ่ายค่าไถ่ให้กับมัลแวร์เรียกค่าไถ่ไม่ว่าองค์กรเหล่านั้นจะเป็นผู้ที่ได้รับผลกระทบเองหรือไม่นอกจากจะเป็นการสนับสนุนให้เกิดการโจมตีต่อไปแล้ว การจ่ายค่าไถ่อาจเป็นการละเมิดข้อห้ามหรือมาตรการคว่ำบาตรทางเศรษฐกิจซึ่งรัฐบาลกำหนดเอาไว้ ซึ่งอาจทำให้เกิดผลกระทบและกลายเป็นประเด็นความมั่นคงของชาติ

ทั้งนี้ OFAC ออกมาให้คำแนะนำเพิ่มเติมว่า ผู้ที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ควรมีการรวบรวมหลักฐานและมีการประสานงานกับหน่วยงานด้านกฎหมายเพื่อหาแนวทางในการดำเนินการกับสถานการณ์โดยทันที โดยกระบวนการจ่ายค่าไถ่นั้นอาจจำเป็นที่จะต้องถูกตรวจสอบโดย OFAC ก่อนดำเนินการเป็นรายกรณีไปภายใต้ดุลยพินิจของ OFAC เอง

ที่มา : bleepingcomputer

 

First death reported following a ransomware attack on a German hospital

แรนซัมแวร์โจมตีโรงพยาบาลในเยอรมันทำให้ผู้ป่วยเสียชีวิต

เมื่อวันที่ 10 กันยายนที่ผ่านมาระบบเครือข่ายของโรงพยาบาลมหาวิทยาลัย Düsseldorf (University Hospital Düsseldorf - UKD) ในประเทศเยอรมนีได้รับการโจมตีจากแรนซัมแวร์จนไม่สามารถทำการได้ จึงทำให้ผู้ป่วยที่อยู่ในสภาวะฉุกเฉินถูกส่งไปยังโรงพยาบาลอีกเเห่งหนึ่งจึงเป็นเหตุทำให้ผู้ป่วยเสียชีวิตลงเนื่องจากได้รับการช่วยเหลือทางการเเพทย์ช้าไป

จากรายงานของหน่วยงาน Bundesamt für Sicherheit in der Informationstechnik (BSI) ของเยอรมันได้เปิดเผยว่าการโจมตีที่เกิดขึ้นนั้นเกิดจากผู้บุกรุกใช้ประโยชน์จากช่องโหว่ CVE-2019-19781 (Citrix ADC) ซึ่งช่องโหว่นี้ถูกค้นพบและถูกเผยเเพร่แล้วตั้งเเต่เดือนมกราคม 2020 และได้ทำการออกเเพตช์เเก้ไขช่องโหว่แล้วตั้งเเต่เดือนมกราคม 2020 หลังจากการโจมตีระบบไอทีของโรงพยาบาลได้หยุดชะงักจึงทำให้ผู้ป่วยที่ต้องการการดูแลฉุกเฉินถูกนำทางไปยังโรงพยาบาลที่ห่างไกลกว่าเพื่อรับการรักษาแทน

ซึ่งหลังจากการโจมตีหน่วยงานตำรวจเมือง Düsseldorf ของเยอรมนีได้ทำการติดต่อไปยังผู้ปฏิบัติการที่ทำการโจมตีเรียกค่าไถ่และได้อธิบายว่าเป้าหมายของพวกเขาคือโรงพยาบาลและได้รับผลกระทบอย่างมากจนมีผู้เสียชีวิต ซึ่งหลังผู้ปฏิบัติการการโจมตีได้รับรู้แล้วจึงส่งมอบคีย์ที่ใช้ในการถอดรหัสจึงทำให้โรงพยาบาลสามารถทำการกู้คืนระบบได้

ทั้งนี้เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยซึ่งผู้ดูแลระบบไม่ได้
ทำการอัปเดตเเพตช์จึงทำให้เกิดการบุกรุกเครือข่ายได้ ผู้ดูแลระบบควรทำการตรวจสอบระบบและควรทำการเเพตช์อย่างเร่งด่วนเพื่อป้องกันการโจมตีระบบ

ที่มา: bleepingcomputer.

มัลแวร์เรียกค่าไถ่ Conti (Ryuk) ออกเว็บไซต์สำหรับปล่อยข้อมูล

กลุ่มผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่หันมาขโมยข้อมูลก่อนที่จะปล่อยมัลแวร์เข้ารหัสไฟล์มากขึ้นเพื่อข่มขู่เหยื่อให้ยอมจ่ายค่าไถ่ ไม่อย่างนั้นจะปล่อยข้อมูลที่ขโมยมา โดยเทคนิคข่มขู่นี้เริ่มมาจาก Maze ransomware ในเดือนธันวาคม 2019 และมีกลุ่มที่ดำเนินรอยตามอีกมาก รวมไปถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ Conti

มัลแวร์เรียกค่าไถ่ Conti พบครั้งแรกในช่วงเดือนมิถุนายน 2020 จากการวิเคราะห์พบว่ามัลแวร์นี้น่าจะมาจากกลุ่มทีเคยอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Ryuk มาก่อน โดย Conti แพร่กระจายผ่าน TrickBot และมีโค้ดแบบเดียวกับ Ryuk ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมามีนักวิจัยรายงานการค้นพบเว็บไซต์สำหรับปล่อยข้อมูลผู้ที่ตกเป็นเหยื่อ Conti ซึ่งมีข้อมูลของเหยื่อแล้วกว่า 26 ราย

ZDNet ระบุว่าเทรนด์การขโมยข้อมูลก่อนเรียกค่าไถ่นี้ทำให้องค์กรต้องเพิ่มความสามารถในการรับมือตรวจสอบภัยคุกคามมากขึ้นกว่าแค่กู้คืนระบบ ต้องมีการตรวจสอบหากมี backdoor หลงเหลืออยู่ในระบบ รวมถึงต้องมีการประกาศข้อมูลรั่วไหลหากพบว่าข้อมูลผู้ใช้งานหรือพนักงานถูกขโมยออกไป

ที่มา

bleepingcomputer.

ผลการสำรวจครึ่งปี 2020 พบกลุ่ม Ransomware ใช้ประโยชน์จากช่องโหว่ VPN และ RDP ทำการโจมตีองค์กรต่างๆ มากที่สุด

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

Garmin หยุดให้บริการชั่วคราวหลังจากสงสัยว่ามีการโจมตี Ransomware

Garmin บริษัทผู้ผลิตสมาร์ทวอทช์และอุปกรณ์สวมใส่ชื่อดังได้เเจ้งการหยุดให้บริการชั่วคราวในหลายๆระบบของ Garmin เช่น เว็บไซต์ Garmin.