นักวิจัยด้านความปลอดภัยจาก ClearSky ได้เผยถึงการพบเบาะแสที่เชื่อมโยงระหว่าง Thanos ransomware กับกลุ่ม MuddyWater ซึ่งเป็นแฮกเกอร์ที่รัฐสนับสนุนโดยอิหร่าน

นักวิจัยด้านความปลอดภัยกล่าวว่าเบาะแสที่มีเชื่อมโยงนั้นพบว่ากลุ่ม MuddyWater มักจะใช้วิธีการโจมตีอยู่สองวิธีคือ หนึ่งใช้อีเมลฟิชชิ่งที่มีเอกสาร Excel หรือ PDF ที่เป็นอันตราย ซึ่งเมื่อเหยื่อเปิดแล้วจะดาวน์โหลดและติดตั้งมัลแวร์จากเซิร์ฟเวอร์ของแฮกเกอร์ ส่วนวิธีที่สองคือการสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ไม่ได้รับการเเพตซ์และใช้ประโยชน์จากช่องโหว่ CVE-2020-0688 ติดตั้งเว็บเชลล์บนเซิร์ฟเวอร์จากนั้นดาวน์โหลดและติดตั้งมัลแวร์ตัวเดียวกันเดียวกับที่เคยเห็นมาก่อน ซึ่งมีชื่อว่า PowGoop โดยจะเป็นมัลเเวร์ที่ถูกใช้เพื่อทำการติดตั้ง Thanos ransomware ซึ่งเป็นข้อมูลจากการติดตามและรายงานโดย Palo Alto Networks

จุดน่าสนใจของ TTP ล่าสุดอยู่ในประเด็นที่ว่า Thanos ransomware ที่ตรวจพบและเกี่ยวข้องกับ MuddyWater ถูกเขียนขึ้นมาให้เข้ารหัสแบบไม่สามารถกู้คืนได้ ซึ่งเป็นความพยายามในการปกปิดเป้าหมายที่แท้จริงผ่านการอำพรางด้วยการใช้มัลแวร์เรียกค่าไถ่ด้วย

ที่มา: zdnet.

FireEye เปิดเผยความเคลื่อนไหวล่าสุดหลังจากมีการตรวจพบว่ากลุ่ม FIN11 ร่วมมีการปรับเปลี่ยนกลยุทธ์มาเน้นการแพร่กระจาย ransomware เพื่อหาเงิน รวมไปถึงมีการขู่ปล่อยข้อมูลโดยที่ไม่มีการใช้ ransomware ด้วย

FIN11 เป็นกลุ่มแฮกเกอร์ที่เป้าหมายคือเงินและเริ่มปฏิบัติการมาตั้งแต่ปี 2016 โดยในยุคแรกนั้นกลุ่ม FIN11 พุ่งเป้าโจมตีสถาบันทางการเงิน, กลุ่มร้านค้าและร้านอาหารด้วยการโจมตีระบบ Point of Sale (POS) อย่างไรก็ตามข้อมูลล่าสุดของ FieEye เปิดเผยว่ากลุ่ม FIN11 เริ่มมีเป้าหมายการโจมตีที่กว้างมากขึ้นและยังมีการใช้ ransomware ชื่อดังคือ Clop เข้ามาเป็นส่วนหนึ่งของปฏิบัติการ

Clop ransomware เป็นที่รู้จักกันว่าเป็น ransomware ที่ได้รับมักถูกใช้โดยกลุ่ม TA505 ซึ่งเป็นกลุ่มแฮกเกอร์ชื่อดังอีกกลุ่มหนึ่ง พฤติกรรมของ FIN11 และ TA505 ยังมีบางส่วนที่เหมือนกันเช่นการใช้โปรแกรมในการช่วยดาวโหลดมัลแวร์ตัวเดียวกัน ทั้งนี้ FireEye ยังคงกล่าวว่าความเหมือนของพฤติกรรมยังคงมีน้อยกว่าความแตกต่างและประวัติในการโจมตี ทำให้แฮกเกอร์สองกลุ่มนี้ยังไม่ถูกมองว่ามีความเกี่ยวข้องกับในลักษณะใด

จุดน่าสนใจของพฤติกรรมของ FIN11 อีกลักษณะหนึ่งคือ FIN11 พยายามเป็นอย่างยิ่งในทุกวิถีทางเพื่อให้ได้เงินมาจากเหยื่อ ในบาง incident ที่ FireEye เข้าให้บริการนั้นยังมีการตรวจพบว่า FIN11 มีการโจมตีเหยื่อเดิมซ้ำเพื่อเรียกค่าไถ่ด้วย

อ่านข้อมูลเพิ่มเติมเกี่ยวกับพฤติกรรมใหม่ของ FIN11 ได้จาก https://www.

โรงพยาบาลแห่งมหาวิทยาลัย New Jersey ใน Newark ออกมาให้สัมภาษณ์และยอมรับกับ Bleeping Computer หลังจากที่ทางโรงพยาบาลฯ ตัดสินใจจ่ายค่าไถ่ให้กับกลุ่มมัลแวร์เรียกค่าไถ่ Suncrypt กว่า 20 ล้านบาท เพื่อแลกกับการไม่ปล่อยข้อมูลของคนไข้ขนาด 240 กิกะไบต์

อ้างอิงจากการสัมภาษณ์ Suncrypt มีการเรียกค่าไถ่จำนวนกว่า 1.7 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 53 ล้านบาท ทั้งนี้กลุ่ม Suncrypt ยอมที่จะตกลงลดราคาเนื่องจากสถานการณ์ COVID-19 และด้วยเหตุผลในการต่อรองอื่น ๆ

ทาง UNHJ ซึ่งเป็นตัวแทนของโรงพยาบาลออกมายอมรับว่า ทางโรงพยาบาลต้องการที่จะยับยั้งการรั่วไหลของข้อมูลของคนไข้เป็นอันดับแรก การเจรจาและการยอมจ่ายค่าไถ่จึงเริ่มขึ้น

หลังจากการโจมตี Bleeping Computer ได้มีการติดต่อกลุ่ม SunCrypt และได้รับการยืนยันว่ากลุ่ม SunCrypt จะไม่พุ่งเป้าโจมตีระบบของกลุ่มสาธารณสุขอีกต่อไป โดยอ้างว่า "We don't play with people's lives.

นักวิจัยด้านความปลอดภัย Michael Gillespie ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ใหม่ "Egregor" ซึ่งใช้วิธีการขู่เรียกค่าไถ่ด้วยข่มขู่ที่จะปล่อยข้อมูลที่ได้จากการโจมตี มีการค้นพบเหยื่อจาก Egregor แล้วคือบริษัทโลจิสติกส์ระดับโลก GEFCO

ผลการวิเคราะห์ตัวอย่างของมัลแวร์เรียกค่าไถ่เบื้องต้นบ่งชี้ความเหมือนของโค้ดระหว่าง Egregor และมัลแวร์เรียกค่าไถ่ Sekhmet ซึ่งเคยมีการแพร่กระจายในช่วงเดือนมิถุนายนที่ผ่านมา ส่วนของโค้ดของมัลแวร์ Egregor เองประกอบไปด้วยวิธีการ anti-analysis หลายรูปแบบ รวมไปถึงมีการทำ code obfuscation, packing และมีความยืดหยุ่นในการกำหนดฟังก์ชันการใช้งานด้วย ส่งผลให้คะแนนด้านความอันตรายของ Egregor มีสูงเทียบเท่ากับมัลแวร์เรียกค่าไถ่สายพันธุ์อื่น

IOC ของ Egregor ถูกเผยแพร่แล้วที่ AlienVault OTX (https://otx.

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

กระทรวงการคลังสหรัฐฯ กล่าวเมื่อวานนี้ว่าการจ่ายค่าไถ่ให้กับ Ransomware โดยเหยื่อ ผู้ที่ได้รับผลกระทบหรือแม้แต่ตัวกลางของบริษัทต่าง ๆ อาจถือเป็นการละเมิดมาตรการคว่ำบาตรซึ่งรัฐบาลกำหนดไว้

Office of Foreigh Assetrs Control (OFAC) ซึ่งเป็นหน่วยงานภายใต้กระทรวงการคลังสหรัฐฯ และเป็นผู้ควบคุมการคว่ำบาตรออกมาอธิบายถึงการจ่ายค่าไถ่เพิ่มเติมว่า บริษัทหรือองค์กรใดๆ ซึ่งดำเนินการจ่ายค่าไถ่ให้กับมัลแวร์เรียกค่าไถ่ไม่ว่าองค์กรเหล่านั้นจะเป็นผู้ที่ได้รับผลกระทบเองหรือไม่นอกจากจะเป็นการสนับสนุนให้เกิดการโจมตีต่อไปแล้ว การจ่ายค่าไถ่อาจเป็นการละเมิดข้อห้ามหรือมาตรการคว่ำบาตรทางเศรษฐกิจซึ่งรัฐบาลกำหนดเอาไว้ ซึ่งอาจทำให้เกิดผลกระทบและกลายเป็นประเด็นความมั่นคงของชาติ

ทั้งนี้ OFAC ออกมาให้คำแนะนำเพิ่มเติมว่า ผู้ที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ควรมีการรวบรวมหลักฐานและมีการประสานงานกับหน่วยงานด้านกฎหมายเพื่อหาแนวทางในการดำเนินการกับสถานการณ์โดยทันที โดยกระบวนการจ่ายค่าไถ่นั้นอาจจำเป็นที่จะต้องถูกตรวจสอบโดย OFAC ก่อนดำเนินการเป็นรายกรณีไปภายใต้ดุลยพินิจของ OFAC เอง

ที่มา : bleepingcomputer

 

แรนซัมแวร์โจมตีโรงพยาบาลในเยอรมันทำให้ผู้ป่วยเสียชีวิต

เมื่อวันที่ 10 กันยายนที่ผ่านมาระบบเครือข่ายของโรงพยาบาลมหาวิทยาลัย Düsseldorf (University Hospital Düsseldorf - UKD) ในประเทศเยอรมนีได้รับการโจมตีจากแรนซัมแวร์จนไม่สามารถทำการได้ จึงทำให้ผู้ป่วยที่อยู่ในสภาวะฉุกเฉินถูกส่งไปยังโรงพยาบาลอีกเเห่งหนึ่งจึงเป็นเหตุทำให้ผู้ป่วยเสียชีวิตลงเนื่องจากได้รับการช่วยเหลือทางการเเพทย์ช้าไป

จากรายงานของหน่วยงาน Bundesamt für Sicherheit in der Informationstechnik (BSI) ของเยอรมันได้เปิดเผยว่าการโจมตีที่เกิดขึ้นนั้นเกิดจากผู้บุกรุกใช้ประโยชน์จากช่องโหว่ CVE-2019-19781 (Citrix ADC) ซึ่งช่องโหว่นี้ถูกค้นพบและถูกเผยเเพร่แล้วตั้งเเต่เดือนมกราคม 2020 และได้ทำการออกเเพตช์เเก้ไขช่องโหว่แล้วตั้งเเต่เดือนมกราคม 2020 หลังจากการโจมตีระบบไอทีของโรงพยาบาลได้หยุดชะงักจึงทำให้ผู้ป่วยที่ต้องการการดูแลฉุกเฉินถูกนำทางไปยังโรงพยาบาลที่ห่างไกลกว่าเพื่อรับการรักษาแทน

ซึ่งหลังจากการโจมตีหน่วยงานตำรวจเมือง Düsseldorf ของเยอรมนีได้ทำการติดต่อไปยังผู้ปฏิบัติการที่ทำการโจมตีเรียกค่าไถ่และได้อธิบายว่าเป้าหมายของพวกเขาคือโรงพยาบาลและได้รับผลกระทบอย่างมากจนมีผู้เสียชีวิต ซึ่งหลังผู้ปฏิบัติการการโจมตีได้รับรู้แล้วจึงส่งมอบคีย์ที่ใช้ในการถอดรหัสจึงทำให้โรงพยาบาลสามารถทำการกู้คืนระบบได้

ทั้งนี้เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยซึ่งผู้ดูแลระบบไม่ได้
ทำการอัปเดตเเพตช์จึงทำให้เกิดการบุกรุกเครือข่ายได้ ผู้ดูแลระบบควรทำการตรวจสอบระบบและควรทำการเเพตช์อย่างเร่งด่วนเพื่อป้องกันการโจมตีระบบ

ที่มา: bleepingcomputer.

กลุ่มผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่หันมาขโมยข้อมูลก่อนที่จะปล่อยมัลแวร์เข้ารหัสไฟล์มากขึ้นเพื่อข่มขู่เหยื่อให้ยอมจ่ายค่าไถ่ ไม่อย่างนั้นจะปล่อยข้อมูลที่ขโมยมา โดยเทคนิคข่มขู่นี้เริ่มมาจาก Maze ransomware ในเดือนธันวาคม 2019 และมีกลุ่มที่ดำเนินรอยตามอีกมาก รวมไปถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ Conti

มัลแวร์เรียกค่าไถ่ Conti พบครั้งแรกในช่วงเดือนมิถุนายน 2020 จากการวิเคราะห์พบว่ามัลแวร์นี้น่าจะมาจากกลุ่มทีเคยอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Ryuk มาก่อน โดย Conti แพร่กระจายผ่าน TrickBot และมีโค้ดแบบเดียวกับ Ryuk ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมามีนักวิจัยรายงานการค้นพบเว็บไซต์สำหรับปล่อยข้อมูลผู้ที่ตกเป็นเหยื่อ Conti ซึ่งมีข้อมูลของเหยื่อแล้วกว่า 26 ราย

ZDNet ระบุว่าเทรนด์การขโมยข้อมูลก่อนเรียกค่าไถ่นี้ทำให้องค์กรต้องเพิ่มความสามารถในการรับมือตรวจสอบภัยคุกคามมากขึ้นกว่าแค่กู้คืนระบบ ต้องมีการตรวจสอบหากมี backdoor หลงเหลืออยู่ในระบบ รวมถึงต้องมีการประกาศข้อมูลรั่วไหลหากพบว่าข้อมูลผู้ใช้งานหรือพนักงานถูกขโมยออกไป

ที่มา

bleepingcomputer.

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

Garmin บริษัทผู้ผลิตสมาร์ทวอทช์และอุปกรณ์สวมใส่ชื่อดังได้เเจ้งการหยุดให้บริการชั่วคราวในหลายๆระบบของ Garmin เช่น เว็บไซต์ Garmin.