พบ Hacker มุ่งเป้าไปที่ MongoDB instance ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ต ด้วยการโจมตีจาก Ransomware แบบอัตโนมัติ โดยเรียกร้องค่าไถ่จำนวนเล็กน้อยจากเจ้าของเพื่อกู้คืนข้อมูล

Hacker มุ่งเน้นไปที่เป้าหมายที่เข้าถึงได้ง่าย นั่นคือฐานข้อมูลที่ตั้งค่าที่ไม่ถูกต้อง ซึ่งอนุญาตให้เข้าถึงได้โดยไม่มีข้อจำกัด เซิร์ฟเวอร์ที่เปิดให้เข้าถึงได้จากอินเตอร์เน็ตประมาณ 1,400 เครื่องถูกโจมตี พร้อมข้อความเรียกค่าไถ่ที่เรียกร้องค่าไถ่ประมาณ 500 ดอลลาร์สหรัฐในสกุลเงิน Bitcoin

พบว่าตั้นแต่ปี 2021 มีการโจมตีเกิดขึ้นมากมาย มีการลบฐานข้อมูลหลายพันรายการ และเรียกค่าไถ่เพื่อกู้คืนข้อมูล โดยบางครั้ง Hacker ก็ลบฐานข้อมูลโดยไม่เรียกร้องเงิน

การทดสอบเจาะระบบจากนักวิจัยของบริษัทรักษาความปลอดภัยทางไซเบอร์ Flare เปิดเผยว่าการโจมตีเหล่านี้ยังคงมีอยู่ เพียงแต่พบการโจมตีในขนาดที่เล็กลง

นักวิจัยค้นพบ MongoDB instance ที่เปิดเผยสู่สาธารณะมากกว่า 208,500 เครื่อง ซึ่งในจำนวนนั้น 100,000 เครื่อง เปิดเผยข้อมูลการดำเนินงาน และ 3,100 เครื่อง สามารถเข้าถึงได้โดยไม่ต้องมีการยืนยันตัวตน

ทั้งนี้เกือบครึ่งหนึ่ง (45.6%) ของเครื่อง MongoDB instance ที่เข้าถึงได้โดยไม่มีข้อจำกัดนั้นถูกโจมตีไปแล้ว เมื่อ Flare ทำการตรวจสอบ พบว่าฐานข้อมูลถูกลบไปหมดแล้ว และมีการทิ้งข้อความเรียกค่าไถ่ไว้ให้ชำระเงิน 0.005 BTC ภายใน 48 ชั่วโมง

รายงานของ Flare ระบุว่า Hacker เรียกร้องให้ชำระเงินเป็น Bitcoin (มักจะประมาณ 0.005 BTC ซึ่งเทียบเท่ากับ 500-600 ดอลลาร์สหรัฐในปัจจุบัน) ไปยังที่อยู่กระเป๋า Bitcoin ที่ระบุไว้ โดยสัญญาว่าจะกู้คืนข้อมูลให้ แต่ไม่มีหลักประกันว่า Hacker จะมีข้อมูล หรือจะให้รหัสถอดรหัสที่ใช้งานได้จริงหากได้รับเงิน

รวมถึงพบว่ามีที่อยู่กระเป๋า Bitcoin ที่แตกต่างกันเพียงห้าแห่ง ในข้อความเรียกค่าไถ่ที่ถูกทิ้งไว้ และหนึ่งในนั้นพบได้บ่อยในประมาณ 98% ของการโจมตี ซึ่งแสดงให้เห็นว่ามี Hacker เพียงรายเดียวที่มุ่งเป้าไปที่การโจมตีเหล่านี้

Flare ยังแสดงความคิดเห็นเกี่ยวกับ MongoDB instance ที่เหลืออยู่ซึ่งดูเหมือนจะไม่ได้รับผลกระทบ แม้ว่า MongoDB instance เหล่านั้นจะเข้าถึงได้จากอินเตอร์เน็ต และมีการรักษาความปลอดภัยที่ไม่ดี โดยตั้งสมมติฐานว่าเป้าหมายอาจจ่ายค่าไถ่ให้กับ Hacker ไปแล้ว

นอกเหนือจากมาตรการการยืนยันตัวตนที่ไม่ดีแล้ว นักวิจัยยังพบว่าเกือบครึ่งหนึ่ง (95,000) ของ MongoDB instance ที่เข้าถึงได้จากอินเตอร์เน็ตทั้งหมด ใช้เวอร์ชันเก่าที่มีช่องโหว่ n-day อย่างไรก็ตาม ศักยภาพของช่องโหว่ส่วนใหญ่จำกัดอยู่เพียงการโจมตีแบบปฏิเสธการให้บริการ (Denial-of-Service) ไม่ใช่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE)

Flare แนะนำว่า ผู้ดูแลระบบ MongoDB ควรหลีกเลี่ยงการเปิดเผยอินสแตนซ์ต่อสาธารณะเว้นแต่จำเป็น ใช้วิธีการยืนยันตัวตนที่เข้มงวด ตั้งค่า Firewall Rules และ Kubernetes Network Policy ที่อนุญาตเฉพาะการเชื่อมต่อที่เชื่อถือได้ และหลีกเลี่ยงการคัดลอก configurations จากคู่มือการใช้งาน

รวมถึงควรมีการอัปเดต MongoDB ให้เป็นเวอร์ชันล่าสุด และตรวจสอบการเปิดให้เข้าถึงจากอินเตอร์เน็ตอย่างต่อเนื่อง ในกรณีที่มีการเปิดให้เข้าถึงจากอินเตอร์เน็ต ข้อมูล credentials จะต้องได้รับการ rotated และตรวจสอบ Log เพื่อหาพฤติกรรมที่น่าสงสัย

ที่มา : bleepingcomputer

กลุ่มผู้โจมตีด้วย ransomware ได้พุ่งเป้าไปที่บริษัทการเงินยักษ์ใหญ่ระดับ Fortune 100 โดยใช้มัลแวร์สายพันธุ์ใหม่ที่ชื่อว่า "PDFSider" ในการส่ง payload ที่เป็นอันตรายเข้าสู่ระบบปฏิบัติการ Windows

การโจมตีครั้งนี้ คนร้ายใช้วิธีการแบบ Social Engineering เพื่อให้ได้สิทธิ์การเข้าถึงระบบจากระยะไกล โดยการแอบอ้างว่าเป็นเจ้าหน้าที่ฝ่ายสนับสนุนทางเทคนิค และหลอกให้พนักงานบริษัทติดตั้งเครื่องมือ Microsoft Quick Assist

นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Resecurity ได้ตรวจพบ PDFSider ในระหว่างการเข้าจัดการเหตุภัยคุกคาม และระบุว่ามัลแวร์ตัวนี้เป็น Backdoor ที่ซ่อนตัวได้อย่างแนบเนียนเพื่อการแฝงตัวในระบบแบบระยะยาว อีกทั้งยังมีลักษณะเฉพาะที่มักพบในเทคนิคการโจมตีขั้นสูงแบบ APT

เป็นไฟล์ .EXE ก็จริง แต่ภายในแฝงไปด้วยไฟล์ .DLL ที่อันตราย

โฆษกของ Resecurity เปิดเผยกับ BleepingComputer โดยระบุว่า พบเห็นการใช้ PDFSider ในปฏิบัติการโจมตีของกลุ่ม Qilin ransomware อย่างไรก็ตาม ทีม Threat Hunting ของบริษัทระบุว่า backdoor ตัวนี้ถูกนำไปใช้งานจริงอย่างแพร่หลายโดยกลุ่ม ransomware หลายกลุ่มเพื่อใช้เป็นช่องทางในการปล่อยมัลแวร์เข้าสู่ระบบ

PDFSider backdoor จะถูกส่งผ่านอีเมล spearphishing ที่แนบไฟล์ ZIP ซึ่งภายในมีไฟล์โปรแกรมที่ถูกต้องที่มี digitally signed ของเครื่องมือ PDF24 Creator จากบริษัท Miron Geek Software GmbH อย่างไรก็ตาม ในแพ็กเกจดังกล่าวกลับมีไฟล์ DLL เวอร์ชันอันตราย (cryptbase.

Veeam ได้ออกแพตซ์อัปเดตความปลอดภัยเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยหลายรายการในซอฟต์แวร์ Backup & Replication รวมไปถึงช่องโหว่ Critical ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล

ช่องโหว่ RCE นี้มีหมายเลข CVE-2025-59470 ซึ่งส่งผลกระทบต่อ Veeam Backup & Replication เวอร์ชัน 13.0.1.180 และก่อนหน้าเวอร์ชัน 13 ทั้งหมด (more…)

กลุ่มแรนซัมแวร์หลายกลุ่ม กำลังใช้แพลตฟอร์ม Packer-as-a-Service ที่ชื่อว่า Shanya เพื่อช่วยติดตั้งเพย์โหลดที่สามารถ disable การตรวจจับจาก endpoint detection and response บนระบบของเหยื่อ

Packer services กำลังถูกใช้เป็นเครื่องมือเฉพาะทางให้กับกลุ่มแรนซัมแวร์ เพื่อ packed payloads ของพวกเขา เพื่อซ่อนโค้ดอันตรายในการหลีกเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัย และโปรแกรมป้องกันมัลแวร์ส่วนใหญ่ (more…)

Apache Software Foundation ออกมาปฏิเสธคำกล่าวอ้างที่ว่าโครงการ OpenOffice ของตนถูกโจมตีโดย Akira ransomware หลังจากที่กลุ่มผู้โจมตีอ้างว่าได้ขโมยไฟล์เอกสารขององค์กรไป 23 GB

(more…)

CISA ยืนยันเมื่อวันพฤหัสบดี (30 ตุลาคม 2025) ที่ผ่านมาว่า ขณะนี้พบการโจมตีโดยใช้ประโยชน์จากช่องโหว่การยกระดับสิทธิ์ระดับความรุนแรงสูงใน Linux kernel แล้ว ซึ่งเป็นสาเหตุของการโจมตีด้วยแรนซัมแวร์ (more…)

กลุ่ม Qilin ransomware ได้ออกมาอ้างว่าเป็นผู้อยู่เบื้องหลังในการโจมตีบริษัทเบียร์ Asahi ซึ่งเป็นผู้ผลิตเบียร์รายใหญ่ของญี่ปุ่น โดยได้เพิ่มชื่อของบริษัทเข้าไปในรายชื่อเหยื่อบนเว็บไซต์เผยแพร่ข้อมูลของตนเอง (more…)

กลุ่มอาชญากรรมไซเบอร์ที่ถูกติดตามภายใต้ชื่อ Storm-1175 กำลังใช้ช่องโหว่ระดับ Critical ** ใน GoAnywhere MFT เพื่อโจมตีด้วย Medusa ransomware มาเป็นระยะเวลานานเกือบหนึ่งเดือนแล้ว

ช่องโหว่ CVE-2025-10035 ใน GoAnywhere MFT ของ Fortra ซึ่งเป็นเครื่องมือโอนย้ายข้อมูลบนเว็บอย่างปลอดภัย ซึ่งเกิดจากการที่ License Servlet มีช่องโหว่ในการจัดการข้อมูลที่ไม่น่าเชื่อถือ ช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ง่าย โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

Shadowserver Foundation กำลังตรวจสอบ GoAnywhere MFT กว่า 500 ตัวที่ออนไลน์อยู่ เพื่อดูจำนวนที่ได้รับการอัปเดต โดยนักวิเคราะห์ด้านความปลอดภัยได้ติดตามเรื่องนี้อย่างใกล้ชิด

Fortra ได้ออกแพตช์สำหรับช่องโหว่นี้เมื่อวันที่ 18 กันยายน 2025 ซึ่งไม่ได้ระบุถึงการโจมตีที่เกิดขึ้นจริง อย่างไรก็ตาม ทีมวิจัยด้านความปลอดภัยจาก WatchTower Labs พบหลักฐานที่น่าเชื่อถือยืนยันได้ว่า ช่องโหว่ CVE-2025-10035 ถูกนำไปใช้ประโยชน์ในการโจมตีแบบ zero-day มาตั้งแต่วันที่ 10 กันยายน ซึ่งเป็นเวลาหนึ่งสัปดาห์ก่อนที่แพตช์จะถูกปล่อยออกมา

ช่องโหว่ถูกใช้ในการโจมตีด้วย Medusa ransomware

ไมโครซอฟท์ได้ยืนยันรายงานของ WatchTowr Labs โดยระบุว่า กลุ่มที่เกี่ยวข้องกับ Medusa ransomware ซึ่งถูกติดตามในชื่อ Storm-1175 ได้เริ่มใช้ช่องโหว่นี้ในการโจมตีมาตั้งแต่วันที่ 11 กันยายน 2025 เป็นต้นมา

ทีมวิจัยของ Microsoft Defender พบกิจกรรมการโจมตีในหลายองค์กร ซึ่งมีรูปแบบของยุทธวิธี เทคนิค และกระบวนการ (TTPs) ที่สอดคล้องกับกลุ่ม Storm-1175 โดยในการเข้าถึงระบบครั้งแรก ผู้โจมตีได้ใช้ช่องโหว่ deserialization ใน GoAnywhere MFT ซึ่งขณะนั้นยังเป็นช่องโหว่แบบ zero-day และเพื่อรักษาการเข้าถึงอย่างต่อเนื่อง พวกเขาได้ใช้เครื่องมือควบคุมจากระยะไกล (RMM) โดยเฉพาะ SimpleHelp และ MeshAgent

ในการโจมตีครั้งถัดไป กลุ่มผู้โจมตีได้เปิดใช้งานไฟล์ไบนารี RMM, ใช้ Netscan เพื่อแสกนเครือข่าย, เรียกใช้คำสั่งเพื่อค้นหาผู้ใช้ และระบบ จากนั้นจึงขยายการโจมตีไปยังระบบต่าง ๆ ภายในเครือข่ายที่ถูกโจมตีโดยใช้ไคลเอนต์ Microsoft Remote Desktop Connection (mtsc.

Google ได้เริ่มทยอยเปิดให้ใช้งานฟีเจอร์ความปลอดภัยที่ใช้ AI ตัวใหม่สำหรับ Google Drive เวอร์ชันบน Desktop ซึ่งจะทำการหยุดการซิงค์ไฟล์โดยอัตโนมัติเมื่อตรวจพบการโจมตีจาก Ransomware เพื่อลดผลกระทบให้ได้มากที่สุด (more…)

ตรวจพบ Ransomware สายพันธุ์ใหม่ชื่อ HybridPetya ซึ่งสามารถ Bypass การทำงานของ UEFI Secure Boot เพื่อทำการติดตั้งแอปพลิเคชันอันตรายลงใน EFI System Partition ได้

HybridPetya ดูเหมือนจะได้รับแรงบันดาลใจจากมัลแวร์ Petya/NotPetya ซึ่งเคยเข้ารหัสคอมพิวเตอร์ และทำให้ Boot Windows ไม่ได้ในการโจมตีเมื่อปี 2016 และ 2017 โดยไม่มีวิธีกู้คืนข้อมูล

นักวิจัยจากบริษัท ESET พบตัวอย่างของ HybridPetya บน VirusTotal โดยระบุว่า มัลแวร์นี้อาจเป็นโครงการวิจัย, Proof-of-Concept (PoC) หรือเป็นเวอร์ชันเริ่มต้นของเครื่องมือของกลุ่มอาชญากรรมไซเบอร์ ที่ยังอยู่ในระยะทดลอง

อย่างไรก็ตาม ESET ระบุว่า การพบ HybridPetya ครั้งนี้ เป็นอีกหนึ่งตัวอย่าง (เช่นเดียวกับ BlackLotus, BootKitty และ Hyper-V Backdoor) ที่แสดงให้เห็นว่า UEFI bootkit ซึ่งมีความสามารถ Bypass การป้องกัน Secure Boot นั้นเป็นภัยคุกคามที่เกิดขึ้นจริง

HybridPetya ผสานลักษณะเด่นของ Petya และ NotPetya เข้าด้วยกัน ทั้งในด้านลักษณะการแสดงผล และขั้นตอนการโจมตีของมัลแวร์รุ่นเก่าเหล่านั้น

อย่างไรก็ตาม ผู้พัฒนา Ransomware HybridPetya ได้เพิ่มความสามารถใหม่ เช่น การติดตั้งลงใน EFI System Partition และความสามารถในการ Bypass การป้องกัน Secure Boot โดยอาศัยช่องโหว่ CVE-2024-7344

ESET ค้นพบช่องโหว่นี้เมื่อเดือนมกราคมปีนี้ โดยปัญหานี้เกิดจาก แอปพลิเคชันที่มีการ signed โดย Microsoft ซึ่งอาจถูกผู้โจมตีใช้เพื่อติดตั้ง Bootkit ได้ แม้ว่า Secure Boot ของเครื่องเป้าหมายจะยังทำงานอยู่

เมื่อเริ่มทำงาน HybridPetya จะตรวจสอบว่าคอมพิวเตอร์เป้าหมายใช้ UEFI แบบ GPT partitioning หรือไม่ จากนั้นจะปล่อย Bootkit อันตรายลงใน EFI System Partition ซึ่งประกอบด้วยไฟล์หลายไฟล์

ซึ่งไฟล์เหล่านี้ประกอบด้วย ไฟล์ configuration และ validation, modified bootloader, fallback UEFI Bootloader, exploit payload container และ status file สำหรับติดตามความคืบหน้าของการ encryption

ESET ระบุไฟล์ที่พบในหลายเวอร์ชันของ HybridPetya ดังนี้

\EFI\Microsoft\Boot\config – เก็บข้อมูล encryption flag, key, nonce และ victim ID
\EFI\Microsoft\Boot\verify – ใช้สำหรับตรวจสอบ decryption key ว่าถูกต้องหรือไม่
\EFI\Microsoft\Boot\counter – ใช้ติดตามความคืบหน้าของการ encrypted clusters
\EFI\Microsoft\Boot\bootmgfw.