FNoutlet[.]com ถูกโจมตีจาก LockBit 2.0 Ransomware

RedPacket Security ได้ออกมาให้ข่าวเรื่องการถูกโจมตีด้วยมัลแวร์เรียกค่าไถ่ของบริษัท เอฟเอ็น แฟคตอรี่เอาท์เล็ท จำกัด (มหาชน) ซึ่งเป็นบริษัทผลิต และจำหน่ายเครื่องแต่งกาย ประกอบกิจการจำหน่ายเครื่องหนัง เสื้อผ้า เฟอร์นิเจอร์ และเครื่องใช้ภายในบ้าน

LockBit ระบุว่าได้ข้อมูลออกไปทั้งหมด 2236 ไฟล์ และหากเหยื่อไม่จ่ายค่าไถ่ก็เตรียมจะเผยแพร่ข้อมูลทั้งหมดในบล็อกของ LockBit ภายในวันที่ 13 พ.ค. 2565 เวลา 00:00:00

ที่มา : redpacketsecurity

เว็ปไซต์บน TOR ของ REvil กลับมาออนไลน์อีกครั้ง เพื่อเปลี่ยนเส้นทางไปยังปฏิบัติการของแรนซัมแวร์ตัวใหม่

เซิร์ฟเวอร์ของ REvil ransomware ในเครือข่าย TOR กลับมาออนไลน์อีกครั้ง หลังจากไม่พบความเคลื่อนไหวเป็นเวลาหลายเดือน ซึ่งมีการเปลี่ยนเส้นทางไปยังการดำเนินการครั้งใหม่ที่เพิ่งเปิดตัวไปเมื่อเร็วๆ นี้ ไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการที่เชื่อมโยงกับ REvil ในครั้งนี้ แต่เว็ปไซต์ใหม่แสดงรายการเหยื่อจำนวนมากจากการโจมตีของ REvil ในอดีต

RaaS (Ransomware as a service) ตัวใหม่กำลังอยู่ในระหว่างการพัฒนา

อย่างไรก็ตามเมื่อไม่กี่วันก่อนนักวิจัยด้านความปลอดภัย pancak3 และ Soufiane Tahiri สังเกตเห็นว่าเว็ปไซต์ใหม่ของ REvil ถูกโปรโมทบน RuTOR ซึ่งเป็นตลาดฟอรัมที่เน้นภูมิภาคที่พูดภาษารัสเซีย

"เว็บไซต์ใหม่นี้มีโดเมนที่ต่างจากเดิม แต่เมื่อเปิดใช้งานจะพบว่ามีความเชื่อมโยงกับเว็บไซต์เดิมที่ REvil เคยใช้" BleepingComputer ได้รับการยืนยันในวันนี้ จากนักวิจัยทั้ง 2 คนที่ได้บันทึกการเปลี่ยนเส้นทางนี้ไว้

เว็บไซต์จะมีการแสดงรายละเอียดเกี่ยวกับเงื่อนไขสำหรับกลุ่มพันธมิตรที่ต้องการนำ REvil ransomware เวอร์ชันปรับปรุงไปใช้ และจะมีส่วนแบ่งที่ต้องจ่าย 80/20 สำหรับกลุ่มพันธมิตรที่นำไปใช้แล้วสามารถเรียกค่าไถ่มาได้

เว็ปไซต์ดังกล่าวแสดงรายการผู้ที่ตกเป็นเหยื่อไว้ 26 หน้า ส่วนใหญ่มาจากการโจมตีจาก REvil ในอดีต และสองรายการสุดท้ายดูเหมือนจะมาจากการปฏิบัติการครั้งใหม่ หนึ่งในนั้นคือ Oil India

ในเดือนมกราคม 2-3 สัปดาห์หลังจากสมาชิกกลุ่ม 14 คนถูกจับในรัสเซีย นักวิจัยจาก MalwareHunterTeam พบว่ามีความเคลื่อนไหวจากกลุ่ม Ransomware กลุ่มอื่น ที่เกี่ยวข้องกับการนำตัวเข้ารหัสของ REvil ไปใช้งาน แม้จะไม่มีหลักฐานที่แน่ชัดว่าเป็นสมาชิกเดิมของกลุ่ม REvil หรือไม่ (more…)

แรนซัมแวร์ตัวใหม่มุ่งเป้าไปที่ data visualization tool บน Jupyter Notebook

Python Ransomware ตัวใหม่ กำลังมุ่งเป้าไปที่ระบบที่ใช้ Jupyter Notebook

Jupyter Notebook เป็น open source web environment ที่ใช้สำหรับการวิเคราะห์ข้อมูล และสร้างโมเดลข้อมูล เพื่อจำลองข้อมูลของ data science, computing และ machine learning ซึ่งรองรับภาษาโปรแกรมมากกว่า 40 ภาษา และถูกใช้โดยบริษัทต่างๆ รวมถึง Microsoft, IBM และ Google ควบคู่ไปกับมหาวิทยาลัยหลายแห่ง ล่าสุดทางทีม Nautilus ของ Aqua Security เพิ่งได้ค้นพบมัลแวร์ใหม่บนเครื่องมือที่เป็นที่นิยมนี้

ในขณะที่ Jupyter Notebook อนุญาตให้ผู้ใช้แบ่งปันเนื้อหากับผู้อื่น ให้สามารถเข้าถึงข้อมูลได้อย่างปลอดภัยผ่าน Account credential หรือ tokens แต่บางครั้งผู้ใช้งานก็ไม่ได้มีการตั้งค่าบน AWS buckets ไว้อย่างถูกต้อง และปลอดภัย ซึ่งจะทำให้ใครก็สามารถเปิดดูข้อมูลได้ ซึ่ง Python ransomware นี้ ก็จะมุ่งเป้าไปยังเครื่องที่มีความเสี่ยงในการโดนโจมตีเหล่านี้

นักวิจัยได้สร้าง honeypot ที่มีแอปพลิเคชั่น Jupyter Notebook ที่เปิดเผยข้อมูล เพื่อสังเกตพฤติกรรมของมัลแวร์ โดยพบว่าเมื่อแรนซัมแวร์เข้าถึงเซิร์ฟเวอร์ได้ มันจะทำการเปิด terminal เพื่อดาวน์โหลดเครื่องมือที่ใช้ในการโจมตีอื่นๆ รวมทั้งตัวเข้ารหัส จากนั้นจึงสร้างสคริปต์ Python เพื่อติดตั้งแรนซัมแวร์

เมื่อการโจมตีจบลง ทางทีม Nautilus สามารถเก็บข้อมูลได้มากพอที่จะนำมาจำลองการโจมตีดังกล่าว โดยที่ตัวเข้ารหัสจะคัดลอก และเข้ารหัสไฟล์ ลบเนื้อหาที่ไม่ได้เข้ารหัส และทำการลบตัวเองออกจากระบบ

(more…)

Denso บริษัทผลิตชิ้นส่วนรถยนต์ให้กับ Toyota ยอมรับว่าถูกโจมตีด้วย Ransomware

บริษัท Denso ผู้จัดจำหน่ายเทคโนโลยียานยนต์ และชิ้นส่วนได้ยืนยันกับ ISMG ว่าตกเป็นเหยื่อของการโจมตีด้วย Ransomware เมื่อสัปดาห์ที่ผ่านมา โดยยังอยู่ระหว่างการตรวจสอบ และบริษัทไม่ได้เปิดเผยรายละเอียดของการเรียกค่าไถ่ หรือผู้ที่อยู่เบื้องหลังการโจมตี แต่ DarkTracer แพลตฟอร์มตรวจสอบ Dark web อิสระ กล่าวว่าเป็นการโจมตีของกลุ่ม Ransomware Pandora

โฆษกของบริษัท Denso บอก ISMG ว่า "บริษัทในเครือในประเทศเยอรมนีถูกผู้ไม่หวังดีเข้าถึงระบบโดยมิชอบเมื่อวันที่ 10 มีนาคม พ.ศ. 2565 ซึ่งเป็นการโจมตีด้วย Ransomware" Denso Supplier เคยเป็นส่วนหนึ่งของกลุ่มผู้ผลิตรถยนต์ Toyota Group ของญี่ปุ่น บริษัทได้แจ้งหน่วยงานบังคับใช้กฎหมายที่เกี่ยวข้องทั้งหมด และหน่วยงานด้านความปลอดภัยทางไซเบอร์ที่เชี่ยวชาญเป็นพิเศษเพื่อสอบสวนเหตุการณ์ดังกล่าว

คำแถลงของบริษัทระบุว่า "หลังจากตรวจพบการเข้าถึงโดยมิชอบ บริษัทได้ตัดการเชื่อมต่อเครือข่ายของอุปกรณ์ในทันที และยืนยันว่าไม่มีผลกระทบต่อบริษัทอื่นๆ ของ Denso"

โฆษกของ Denso กล่าวกับ ISMG ว่า "การผลิตไม่มีการหยุดชะงัก และเรายังคงดำเนินการโรงงานทั้งหมดของเราตามปกติ เราสามารถทำเช่นนี้ได้เนื่องจากเราย้ายระบบงานที่ได้รับผลกระทบจากเหตุการณ์นี้ไปยังไซต์อื่น ๆ ของ Denso เรากำลังตรวจสอบข้อมูลที่ได้รับผลกระทบจากเหตุการณ์นี้ เรายังไม่สามารถพูดรายละเอียดเพิ่มเติมเกี่ยวกับเรื่องนี้ได้"

แม้ว่าโฆษกของ Denso ปฏิเสธที่จะเปิดเผยรายละเอียดเกี่ยวกับ Ransomware แต่แพลตฟอร์มการตรวจสอบ Dark web อิสระที่เรียกว่า DarkTracer ทวีตว่ากลุ่ม Ransomware ของ Pandora ได้อ้างความรับผิดชอบในการโจมตีครั้งนี้

(more…)

มัลแวร์ TrickBot อัพเกรด AnchorDNS Backdoor ด้วยเทคนิค AnchorMail

IBM Security X-Force พบเวอร์ชันอัพเกรดของ AnchorDNS Backdoor โดยมีชื่อเรียกว่า AnchorMail

"AnchorMail จะใช้ Command and Control เป็นเซิร์ฟเวอร์อีเมล โดยใช้โปรโตคอล SMTP และ IMAP ผ่าน Protocol TLS" โดย Charlotte Hammond ผู้เชี่ยวชาญการวิเคราะห์มัลแวร์ของ IBM ระบุว่าพฤติกรรมของ AnchorMail จะคล้ายๆกับพฤติกรรมของ AnchorDNS รุ่นก่อน

กลุ่มแฮกเกอร์ที่อยู่เบื้องหลัง TrickBot คือ ITG23 หรือที่รู้จักในชื่อ Wizard Spider โดยค่อนข้างมีชื่อเสียงในด้านการพัฒนา Anchor Backdoor ที่ถูกใช้โจมตีเหยื่อมาตั้งแต่ปี 2018 ด้วยมัลแวร์ TrickBot และ BazarBackdoor ในช่วงหลายปีที่ผ่านมาทางกลุ่มได้ร่วมมือกับกลุ่ม Conti Ransomware ซึ่งทำให้มีการนำ TrickBot และ BazarLoader ไปใช้ร่วมในการโจมตี

Backdoor AnchorDNS ในเวอร์ชันเก่านั้นจะสื่อสารกับเซิร์ฟเวอร์ C2 โดยใช้ DNS Tunneling เพื่อหลีกเลี่ยงการป้องกันของเหยื่อ แต่เวอร์ชันใหม่จะใช้อีเมลที่ได้รับการออกแบบมาเป็นพิเศษ

Charlotte Hammond ได้กล่าวว่า AnchorMail จะใช้โปรโตคอล SMTPS ที่เข้ารหัสเพื่อส่งข้อมูลไปยัง C2 และใช้ IMAPS ในการรับคำสั่ง การทำงานของมัลแวร์จะกำหนดเวลาให้ทำงานทุกๆ 10 นาที ตามด้วยการติดต่อไปยังเซิร์ฟเวอร์ C2 เพื่อดำเนินการรับคำสั่ง ซึ่งรวมถึงการรันไบนารี, DLL และ shell code ผ่าน PowerShell จากนั้นก็จะลบตัวมันเองออกจากระบบ

การค้นพบ Anchor เวอร์ชันใหม่ จะทำให้เกิด Backdoor ใหม่ๆที่ใช้ในการโจมตีด้วย Ransomware เพิ่มมากขึ้น

ในปัจจุบัน AnchorMail ยังพบการโจมตีเฉพาะบน Windows เท่านั้น แต่เนื่องจากพบว่า AnchorDNS ถูกนำไปใช้บน Linux เรียบร้อยแล้ว จึงทำให้ในอนาคตเราอาจพบ AnchorMail เวอร์ชัน Linux เกิดขึ้นได้เช่นกัน

ที่มา : thehackernews

AIS แถลงการณ์ข้อมูลของลูกค้ากว่า 100,000 รายการ ถูกเผยแพร่อยู่บน Darkweb

พบข้อมูลของ AIS รั่วไหล และถูกเผยแพร่อยู่บน Darkweb ตั้งแต่วันที่ 16 กุมภาพันธ์ที่ผ่านมา

ทาง AIS ได้ออกแถลงการณ์เกี่ยวกับเหตุการณ์ดังกล่าวว่าแฮกเกอร์ได้ทำการบุกรุกมาที่เครื่องของพนักงานที่ปฏิบัติงานในช่วงระหว่าง Work from home ด้วย Ransomware และพบว่าข้อมูลของผู้ใช้บริการกว่า 100,000 รายการถูกขโมยไป ประกอบไปด้วย ชื่อ-นามสกุล, เลขบัตรประจำตัวประชาชน, วัน-เดือน-ปีเกิด, หมายเลขโทรศัพท์ โดยไม่มีข้อมูลเกี่ยวกับธุรกรรมทางการเงินใด ๆ

ซึ่งหลังจากพบการโจมตีดังกล่าว ทาง AIS ก็ได้ร่วมกันกับผู้เชี่ยวชาญด้านการรักษาความมั่นคงปลอดภัยทางไซเบอร์เร่งตรวจสอบหาสาเหตุอย่างเร่งด่วน พร้อมกับแจ้งไปยัง สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.)และ กสทช. รวมถึงแจ้งไปยังลูกค้ากลุ่มดังกล่าวผ่านทาง SMS เพื่อให้รับทราบและระมัดระวังต่อไป โดยกรณีดังกล่าว ไม่กระทบกับระบบรักษาความปลอดภัยและการดำเนินธุรกิจของบริษัท

จากข้อมูลประกาศดังกล่าวไอ-ซีเคียวคำแนะนำให้ดำเนินการดังต่อไปนี้

1. ปัจจุบันการโจมตีของ ransomware ส่วนใหญ่ จะใช้ smb port ดังนั้นควรพิจารณา ถ้าไม่ได้ใช้งาน port ดังกล่าวไม่ควรเปิด

2. ดำเนินการเปลี่ยนรหัสผ่านของผู้ใช้งานกลุ่ม Admin และ High privilege

3. ดำเนินการปรับ Prevention policy สำหรับเครื่อง Client ให้เป็นไปตาม Best practices

4. แนะนำให้อัปเดต Antivirus หรือ ระบบปฎิบัติการให้เป็นปัจจุบัน

ปล.หากมีอัปเดตเพิ่มเติมทางไอ-ซีเคียว จะแจ้งให้ทราบอีกครั้ง

QNAP เตือน แรนซัมแวร์พุ่งเป้าการโจมตีไปที่อุปกรณ์ NAS ที่เชื่อมต่อบนอินเทอร์เน็ต

QNAP ได้ออกมาแจ้งเตือนผู้ใช้งานให้รีบป้องกันอุปกรณ์เก็บข้อมูลแบบเครือข่าย Network Attached Storage (NAS) ที่เชื่อมต่อออกอินเทอร์เน็ตทันทีจากการโจมตีทั้ง ransomware และการโจมตีแบบ brute-force

"QNAP แนะนำให้ผู้ใช้ QNAP NAS ทุกคนปฏิบัติตามคำแนะนำในการตั้งค่าความปลอดภัยด้านล่าง เพื่อความปลอดภัยของอุปกรณ์เครือข่าย QNAP" ผู้ผลิต NAS ของไต้หวันกล่าวในการแถลงข่าว

ผู้ผลิตอุปกรณ์ NAS เตือนผู้ใช้ให้เช็คว่า NAS ของตนถูกโจมตีได้หรือไม่ โดยเปิด Security Counselor ซึ่งเป็น security portal ในตัวสำหรับอุปกรณ์ QNAP NAS

"NAS ของคุณอาจถูกโจมตี และมีความเสี่ยงสูงหากมีข้อความว่า 'The System Administration service can be directly accessible from an external IP address via the following protocols: HTTP’ บน Dashboard"

QNAP แนะนำให้ลูกค้าที่มีอุปกรณ์ NAS ที่เข้าถึงได้จากอินเทอร์เน็ตให้ดำเนินการดังต่อไปนี้เพื่อป้องกันการโจมตี:

ปิดใช้งานฟังก์ชัน Port Forwarding ของเราเตอร์: เข้าไปที่ Management Interface ของ Router, ตรวจสอบการตั้งค่า Virtual Server, NAT หรือ Port forwarding และปิดใช้งาน Port Forwarding เซอร์วิสที่ใช้จัดการ NAS (พอร์ต 8080 และ 433 )
ปิดใช้งานฟังก์ชัน UPnP ของ QNAP NAS: ไปที่ myQNAPcloud บนเมนู QTS คลิก “Auto Router Configuration” และยกเลิกการเลือก "Enable UPnP Port forwarding"

ผู้ผลิตอุปกรณ์ NAS ยังให้รายละเอียดขั้นตอนในการปิดการเชื่อมต่อ SSH และ Telnet และเปลี่ยนหมายเลขพอร์ตของระบบ เปลี่ยนรหัสผ่านของอุปกรณ์ และเปิดใช้งานการป้องกัน IP และการเข้าถึงบัญชี

คำเตือนนี้มีขึ้นหลังจากการถูกโจมตีด้วยแรนซัมแวร์จำนวนมาก

แม้ว่าบริษัทจะไม่เปิดเผยรายละเอียดอื่นใดเกี่ยวกับการโจมตีเหล่านี้ แต่ BleepingComputer ได้รายงานเกี่ยวกับลูกค้า QNAP ว่าระบบของพวกเขาตกเป็นเป้าหมายของ eCh0raix ransomware (หรือที่เรียกว่า QNAPCrypt) และพบว่าเหตุการณ์เหล่านี้เพิ่มขึ้นจำนวนมากในช่วงก่อนวันคริสต์มาส และยังไม่มีการระบุถึงช่องทางที่ผู้โจมตีใช้ในการโจมตี

อย่างไรก็ตาม รายงานจากผู้ใช้บางส่วนที่ถูกโจมตีด้วย ransomware มาจากการตั้งค่าที่ไม่ปลอดภัยของ QNAP ส่วนรายงานอื่นๆอ้างว่าผู้โจมตีใช้ช่องโหว่ของ QNAP Photo Station ในการโจมตี

BleepingComputer พบการเรียกค่าไถ่ ech0raix ตั้งแต่ $1,200 ถึง $3,000 ด้วย bitcoins ในการโจมตีรอบล่าสุด ผู้โจมตีบางคนได้รับเงินเพราะเหยื่อไม่มีข้อมูลสำรองของไฟล์ที่ถูกเข้ารหัส

ก่อนหน้านี้อุปกรณ์ QNAP ตกเป็นเป้าหมายของแรนซัมแวร์ eCh0raix ในเดือนมิถุนายน 2019 และมิถุนายน 2020 โดยผู้ผลิตอุปกรณ์ NAS ยังแจ้งเตือนผู้ใช้ถึงการโจมตี eCh0raix อีกชุดหนึ่งที่พุ่งเป้าไปที่อุปกรณ์ที่ใช้รหัสผ่านที่ไม่รัดกุมในเดือนพฤษภาคม 2021

ที่มา : bleepingcomputer

FBI เตือน! กลุ่มแฮกเกอร์ส่ง USB ไดรฟ์มาให้เพื่อใช้แพร่กระจาย ransomware

 

 

 

 

 

 

 

 

สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้ออกคำเตือนถึงองค์กรต่างๆ เกี่ยวกับ แฟลชไดร์ USB อันตรายที่มาพร้อมกับ ransomware ซึ่งสามารถแพร่กระจายผ่านทางอีเมล และเป็นช่องทางให้เกิดโจมตีทางไซเบอร์ได้ โดยแฟลชไดร์ USB จะถูกส่งมาในรูปแบบของ "กล่องของขวัญตกแต่งที่มีจดหมายขอบคุณปลอม บัตรของขวัญปลอม และ USB"

รายละเอียดแผนการหลอกลวง

กลุ่มอาชญากรไซเบอร์ FIN7 ส่งของขวัญที่น่าสงสัยให้กับบริษัทต่างๆในสหรัฐอเมริกา ซึ่งพัสดุถูกปลอมแปลงให้เป็นการส่งโดยกระทรวงสาธารณสุข และบริการประชาชนของสหรัฐฯ (HHS) หรือไม่ก็มาจาก Amazon เพื่อหลอกลวงให้ผู้รับเปิดพัสดุเหล่านี้มาใช้งาน

ในกล่องพัสดุประกอบด้วยแฟลชไดร์ USB ที่มีมัลแวร์ และยังมีจดหมายระบุรายระเอียดแนวทางปฏิบัติเกี่ยวกับไวรัสโควิด 19 ซึ่งคาดว่าออกโดยกระทรวงสาธารณสุข หรือไม่ก็เป็นของขวัญจาก Amazon

 

 

 

 

 

 

 

 

 

 

 

 

 

 

แคมเปญนี้เกิดขึ้นตั้งแต่เดือนสิงหาคม 2021

ตามรายงาน FBI ระบุว่ามีการส่งไดร์ USB ที่ติดตั้งไวรัสตั้งแต่เดือนสิงหาคม 2021 พัสดุเหล่านี้ถูกส่งผ่านทางไปรษณีย์สหรัฐ (USPS) ไปยังบริษัทในอุตสาหกรรมต่างๆเช่น การขนส่ง การประกันภัย และการป้องกันประเทศ โดยพัสดุประกอบด้วยแฟลชไดร์ Lily Go USB ที่ภายหลังถูกระบุว่าถูกติดตั้ง ransomware ไว้ โดยหน่วยงานต่างๆพบว่าเมื่อนำมาใช้งาน แฟลชไดร์ดังกล่าวจะดำเนินการโจมตีด้วยวิธีการที่เรียกว่า BadUSB ซึ่งจะติดตั้งตัวเองลงบนเครื่อง และแสร้งทำเป็นอุปกรณ์คีย์บอร์ดแทนที่จะเป็นไดร์ USB ซึ่งอาจส่งผลให้เกิดการแพร่กระจาย BlackMatter และ REvil ransomware ไปยังคอมพิวเตอร์ของบริษัทที่เป็นเหยื่อ

"เป้าหมายสุดท้ายของ FIN7 ในการโจมตีคือการเข้าถึงเครือข่ายของเหยื่อ และติดตั้ง ransomware (ทั้ง BlackMatter และ REvil) ภายในเครือข่าย โดยใช้เครื่องมือต่างๆรวมถึง Metasploit, Cobalt Strike, Carbanak malware, the Griffon backdoor, and PowerShell scripts" FBI กล่าว

คำเตือนของ FBI เน้นย้ำถึงข้อที่ว่าไม่ควรใช้งานแฟลชไดร์ USB ที่ไม่รู้จักกับอุปกร์ของตน หรือองค์กร

ที่มา : hackread

Ransomware ตัวใหม่มีชื่อว่า Yanluowang ใช้ในการโจมตีองค์กรที่เป็นเป้าหมาย

Ransomware ตัวใหม่ และยังอยู่ในระหว่างการพัฒนากำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมายอย่างตั้งใจต่อองค์กร เหตุการณ์นี้ถูกพบโดยทีม Symantec Threat Hunter ของ Broadcom

โดยมัลแวร์มีชื่อว่า Yanluowang Ransomware (เป็นชื่อเทพของจีน Yanluo Wang หนึ่งในสิบราชาแห่งนรก) โดยข้อมูลนี้ถูกเพิ่มเข้าไปในส่วนขยายในไฟล์ที่ถูกเข้ารหัสบนระบบที่ถูกโจมตี

Yanluowang Ransomware ถูกพบเมื่อเร็ว ๆ นี้ ขณะที่มีการตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับองค์กรที่มีชื่อเสียง หลังพบพฤติกรรมที่น่าสงสัยที่เกี่ยวข้องกับ Active Directory query tool ชื่อว่า AdFind

AdFind มักถูกใช้โดยผู้ใช้งานแรนซัมแวร์สำหรับการสอดแนม ซึ่งรวมถึงการเข้าถึงข้อมูลที่จำเป็นสำหรับการทำ Lateral movement บนเครือข่ายของเหยื่อ

เหยื่อถูกเตือนอย่าพยายามขอความช่วยเหลือ

ภายในไม่กี่วันที่นักวิจัยตรวจพบการใช้ AdFind ที่น่าสงสัย ผู้โจมตีก็พยายามที่จะปรับใช้ Yanluowang ransomware payloads ทั่วทั้งระบบขององค์กรที่ถูกโจมตี

ก่อนที่จะนำไปปรับใช้ในอุปกรณ์ที่ถูกโจมตี Ransomware จะมีการเปิดตัวเครื่องมือที่เป็นอันตรายซึ่งออกแบบมาเพื่อดำเนินการดังต่อไปนี้

สร้างไฟล์ .txt พร้อมจำนวนเครื่องที่มีการเข้าถึงได้เพื่อตรวจสอบใน Command line
ใช้ Windows Management Instrumentation (WMI) เพื่อเก็บข้อมูล Process ที่ทำงานอยู่บนเครื่องที่มีการเข้าถึงได้ที่อยู่ในไฟล์ .txt
บันทึก Process และชื่อเครื่องที่มีการเข้าถึงได้ทั้งหมดไปที่ process.

แฮกเกอร์ปล่อยข้อมูล Account ของ Fortinet VPN ออกมากว่า 500,000 บัญชี และมีข้อมูลขององค์กรในประเทศไทยด้วย

มีข้อมูลว่าแฮกเกอร์รายหนึ่งได้ปล่อยข้อมูล Username และ Password สำหรับ Login Fortinet VPN กว่า 5 แสนรายการ บน RAMP Hacking forum ที่พึ่งเปิดตัวขึ้นมาใหม่ โดยมีผู้ดูแลใช้ชื่อว่า “Orange” และเจ้าตัวยังเป็นผู้ดำเนินการ BaBuk Ransomware คนก่อนอีกด้วย และปัจจุบันเชื่อว่าได้แยกตัวมาเป็นตัวแทนของการดำเนินการของ Groove Ransomware

ข้อมูลที่ถูกปล่อยออกมาบน forum นั้นได้มาจากการโจมตีช่องโหว่ของ Fortinet CVE-2018-13379 ซึ่งการหลุดของข้อมูลครั้งนี้ถือว่าเป็นเหตุการณ์ที่ร้ายแรง เนื่องจากข้อมูลที่หลุดไปนั้น สามารถทำให้ผู้ที่โจมตีสามารถ VPN เข้าถึงเครือข่ายเพื่อทำการขโมยข้อมูล ติดตั้งมัลแวร์ หรือดำเนินการโจมตีด้วยแรนซัมแวร์ได้

และนอกจาก forum ดังกล่าวแล้ว ยังมีโพสที่ปรากฎอยู่บน data leak site ของ Groove ransomware ด้วยเช่นกัน

จากการตรวจสอบของ BleepingComputer พบว่ามีข้อมูล VPN Credentials กว่า 498,908 Users และอุปกรณ์กว่า 12,856 เครื่อง และ IP Address ที่ตรวจสอบทั้งหมดนั้นเป็น Fortinet VPN Servers และจากการวิเคราะห์เพิ่มเติมพบว่าอุปกรณ์กว่า 2,959 เครื่องนั้นอยู่ในสหรัฐอเมริกา

แต่เป็นที่น่าสงสัยว่าเพราะอะไรกลุ่มแฮกเกอร์ถึงปล่อยข้อมูลออกมา แต่สามารถเชื่อได้ว่าอาจทำไปเพื่อโฆษณา RAMP forum เพื่อให้ผู้โจมตีที่สนใจ RaaS มาใช้ Groove as a Service ซึ่งเป็น Ransomware ที่ค่อนข้างใหม่ ที่มีเหยื่อเพียงรายเดียวเท่านั้นที่อยู่ในรายชื่อของเหยื่อบนหน้าเว็บไซต์

และจากการตรวจสอบเพิ่มเติมของทาง I-SECURE ผมว่ามี IP ขององค์กรต่างๆ โรงเรียนหรือมหาวิทยาลัย รวมถึงหน่วยงานราชการในประเทศไทย รวมกันมากกว่า 500 IP และในแต่ละไฟล์จะมีข้อมูลของ Username และ Password อยู่ด้านใน

และทางเราแนะนำว่าหากมี Server ใดที่ยังไม่ได้รับการ Patch ให้ทำการ Patch ในทันที และให้ทำการรีเซ็ตรหัสผ่านของผู้ใช้งาน Fortinet VPN ทั้งหมดเพื่อความปลอดภัย

ที่มา: BleepingComputer, advintel