JPCERT เผยแพร่เทคนิคการตรวจจับการโจมตีของ Ransomware ด้วย Windows Event Log

ศูนย์ตอบสนองเหตุภัยคุกคามด้านคอมพิวเตอร์ของญี่ปุ่น (JPCERT/CC) ได้เผยแพร่เทคนิคในการตรวจจับการโจมตีของกลุ่ม Ransomware ต่าง ๆ โดยใช้รายการใน Windows Event Logs ที่ช่วยให้สามารถตรวจจับการโจมตีที่เกิดขึ้นได้ทันท่วงที ก่อนที่การโจมตีเหล่านั้นจะแพร่กระจายไปในเครือข่าย (more…)

AutoCanada แจ้งเตือนการถูกโจมตีด้วยแรนซัมแวร์ “อาจจะ” ส่งผลกระทบต่อข้อมูลพนักงาน

AutoCanada ออกคำเตือนว่าข้อมูลของพนักงานอาจถูกเปิดเผยในเหตุการณ์โจมตีทางไซเบอร์เมื่อเดือนสิงหาคมที่ผ่านมา ซึ่งกลุ่มแรนซัมแวร์ Hunters International เป็นผู้อ้างความรับผิดชอบในการโจมตี (more…)

CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware

CISA แจ้งเตือนช่องโหว่ RCE ใน Jenkins ที่กำลังถูกใช้ในการโจมตีด้วย Ransomware

CISA ได้เพิ่มช่องโหว่ remote code execution ระดับ Critical ของ Jenkins ที่กำลังถูกใช้ในการโจมตีเข้า Known Exploited Vulnerabilities Catalog พร้อมแจ้งเตือนว่าช่องโหว่นี้กำลังถูกนำไปใช้ในการโจมตีอยู่ในปัจจุบัน

(more…)

กระทรวงยุติธรรมสหรัฐฯ ตั้งข้อกล่าวหาแฮ็กเกอร์ชาวเกาหลีเหนือฐานโจมตีโรงพยาบาลด้วยแรนซัมแวร์

กระทรวงยุติธรรมสหรัฐฯ ตั้งข้อกล่าวหาแฮ็กเกอร์ชาวเกาหลีเหนือฐานโจมตีโรงพยาบาลด้วยแรนซัมแวร์

กระทรวงยุติธรรมของสหรัฐฯ (DoJ) ได้เปิดเผยคำฟ้องต่อเจ้าหน้าที่หน่วยข่าวกรองทางทหารของเกาหลีเหนือเมื่อวันพฤหัสบดีที่ผ่านมา โดยกล่าวหาว่าได้ดำเนินการโจมตีด้วยแรนซัมแวร์ต่อสถานพยาบาลในประเทศ และนำเงินที่ได้จากการเรียกค่าไถ่ไปใช้ในการโจมตีเพิ่มเติมต่อหน่วยงานด้านการป้องกันประเทศ เทคโนโลยี และหน่วยงานของรัฐทั่วโลก

(more…)

กลุ่มอาชญากรทางไซเบอร์ส่งมอบเครื่องมือถอดรหัสแรนซัมแวร์ (Ransomware Decryptor) แก่ศูนย์ข้อมูลแห่งชาติอินโดนีเซียโดยไม่คิดค่าใช้จ่าย แต่ขอเป็นการบริจาคแทน

กลุ่มอาชญากรทางไซเบอร์ที่ได้โจมตีระบบของศูนย์ข้อมูลแห่งชาติอินโดนีเซียในเดือนมิถุนายน สร้างผลกระทบต่อหลายร้อยบริการของรัฐบาล ได้ส่งมอบเครื่องมือถอดรหัสให้โดยไม่คิดค่าใช้จ่าย รวมทั้งระบุถึงคำขอโทษต่อเหตุการณ์ดังกล่าว แต่มีการแนบลิ้งสำหรับการบริจาค เพื่อให้ประชาชน และรัฐบาลสามารถแสดงความขอบคุณต่อความมีน้ำใจของทางกลุ่มได้

“Brain Cipher” เป็นกลุ่มก่ออาชญากรรมทางไซเบอร์ค่อนข้างใหม่ที่ใช้งาน LockBit 3.0 ในเวอร์ชันของกลุ่มเอง โดยสร้าง และดัดแปลงจากเวอร์ชันที่ถูกปล่อยออกมาจากผู้พัฒนาเก่าของทาง LockBit ในปี 2023 ซึ่งถูกนำมาใช้เรียกค่าไถ่กว่า $8 ล้านเหรียญจากประเทศอินโดนีเซีย ก่อนจะเปลี่ยนเป็นการรับบริจาคในครั้งนี้

ศูนย์ข้อมูลแห่งชาติกำลังกลับมาให้บริการอย่างช้า ๆ

ประเทศอินโดนีเซียมีศูนย์ข้อมูลแห่งชาติกว่า 4 แห่ง ซึ่งมีการบริหารจัดการภายใต้มาตรฐานความปลอดภัยสูงสุดของประเทศ และเป็นแหล่งข้อมูลที่เปรียบเสมือนกระดูกสันหลังของการดำเนินงานของรัฐบาลเลยทีเดียว โดยเหตุการณ์ที่เกิดขึ้นคือทางกลุ่มแฮ็กเกอร์ได้เข้าโจมตีศูนย์ข้อมูลแห่งชาติแห่งใหม่ (ชั่วคราว) ซึ่งกำลังดำเนินการก่อสร้างตามมาตรฐานความปลอดภัยสูงสุดของประเทศ พร้อมทั้งติดตั้งแรนซัมแวร์ที่ทำให้ส่งผลกระทบเป็นวงกว้าง ซึ่งกลุ่มผู้ที่ได้รับผลกระทบอย่างรุนแรงทันทีนั้นคือกลุ่มนักท่องเที่ยว กลุ่มผู้สมัครเป็นผู้อพยพ อันเนื่องมาจากระบบของทางสนามบินได้ล่มลงไป แต่ความเสียหายที่เกิดขึ้นไม่ได้เกิดเพียงแค่กับ 2 กลุ่มนี้เท่านั้น ยังส่งผลกระทบไปทุกด้าน ตั้งแต่การอนุญาตด้านการศึกษาไปจนถึงการอนุญาตทางธุรกิจ ซึ่งทั้งหมดนี้คาดว่าต้องใช้เวลาในการกู้ระบบคืนตั้งแต่หลายสัปดาห์ไปจนถึงหลายเดือน

ในวันที่ 4 กรกฎาคม 2024 ที่ผ่านมา กระทรวงการคมนาคม และสารสนเทศ (Ministry of Communications and Informatics - Kominfo) ได้ออกมายืนยันว่าได้รับชุดเครื่องมือถอดรหัสจาก Brain Cipher แล้ว ซึ่งถูกใช้ในการกู้คืน 6 ชุดข้อมูลที่ได้รับผลกระทบของศูนย์ข้อมูลแห่งชาติแล้ว อย่างไรก็ตาม ยังไม่มีประกาศอย่างเป็นทางการว่าชุดเครื่องมือถอดรหัสจะสามารถใช้งานกับระบบ และข้อมูลที่ได้รับผลกระทบได้ทั้งหมด และเป็นที่แน่นอนว่าต้องใช้เวลาในการกู้คืนระบบ และข้อมูลหลายสัปดาห์ กว่า 230 หน่วยงานของรัฐจะสามารถให้บริการได้อย่างเต็มรูปแบบอีกครั้ง ถึงแม้ว่าชุดเครื่องมือจะสามารถใช้งานได้กับทุกระบบ และข้อมูลก็ตาม

Brain Cipher ได้ส่งมอบชุดเครื่องมือถอดรหัสให้ในวันที่ 3 กรกฎาคม 2024 แต่ในโพสต์บน Dark web ยังมีรายละเอียดระบุคำเตือนถึงข้อกำหนด และเงื่อนไขถึง Kominfo ว่าให้รัฐบาลใช้ชุดเครื่องมือในการกู้คืนข้อมูลเพียงเท่านั้น ห้ามขอความช่วยเหลือจากหน่วยงานภายนอก มิเช่นนั้นจะดำเนินการเปิดเผยข้อมูลที่นำออกมาได้แก่สาธารณะ และยังระบุเพิ่มเติมว่านี่จะเป็นครั้งแรก และครั้งสุดท้าย ในการที่กลุ่มนี้จะมอบชุดเครื่องมือถอดรหัสให้โดยไม่มีค่าใช้จ่ายแก่เหยื่อ และยังอวดอ้างถึงความมีน้ำใจของทางกลุ่ม และเชิญชวนให้ทำการบริจาคคริปโตแก่ทางกลุ่ม เพื่อแสดงถึงคำขอบคุณที่ทางกลุ่มมอบชุดเครื่องมือให้

จากเหตุกาณ์ดังกล่าว ยังไม่มีเหตุผลที่ชัดเจนว่าทำไมทางกลุ่มก่ออาชญากรรมทางไซเบอร์ถึงมอบชุดเครื่องมือถอดรหัสให้ เนื่องจากก่อนหน้านี้ทาง Kominfo ไม่ได้มีการติดต่อกับกลุ่ม Brain Cipher เลย ซึ่งเป็นไปได้ว่าเกิดจากการยืนยันปฏิเสธการจ่ายเงินให้แก่กลุ่มแฮ็กเกอร์ และทางกลุ่มแฮ็กเกอร์ก็มองว่าเป็นอีกช่องทางในการหาชื่อเสียงของทางกลุ่มได้พร้อม ๆ กันกับหลีกเลี่ยงกลไกของหน่วยงานบังคับใช้กฏหมายระหว่างประเทศได้ ซึ่งเป็นสาเหตุของการล่มสลายในหลายกลุ่มแรนซัมแวร์ใหญ่ ๆ ในช่วงไม่กี่ปีที่ผ่านมา

รัฐมนตรีช่วยด้านการเมือง กฏหมาย และความมั่นคงของอินโดนีเซีย (Purn) Hadi Tjahjanto ได้ออกแถลงการณ์เมื่อวันที่ 1 กรกฎาคม 2024 ระบุว่าศูนย์ข้อมูลแห่งชาติถูกยึดไปเนื่องจากพนักงานใช้งานรหัสผ่านร่วมกัน และพนักงานคนดังกล่าวคาดว่าจะตกเป็นเป้าหมายในการดำเนินคดีอีกด้วย และจากเหตุการณ์ความเสียหายดังกล่าวได้นำไปสู่การบังคับใช้ระเบียบตามมาตรฐานความมั่นคงแห่งชาติที่เข้มงวดมากยิ่งขึ้นโดยทันที ซึ่งรวมไปถึงการใช้งานระบบเฝ้าระวัง และติดตามความปลอดภัยทางไซเบอร์ของพนักงานรัฐทั้งหมด โดยใช้งานระบบ PDN ที่ได้รับผลกระทบชั่วคราว และขยายระบบสำหรับสำรองข้อมูลของรัฐบาลให้ใหญ่ยิ่งขึ้น ทั้งนี้อธิบดีกรมสารสนเทศประยุกต์ “Samuel Abrijani Pangerapan” ได้ลาออกจากตำแหน่งภายหลังการโจมตีศูนย์ข้อมูลแห่งชาติแล้ว

ระยะเวลาใช้งานชุดเครื่องมือถอดรหัสแรนซัมแวร์ อาจต้องใช้เวลานานพอสมควรเนื่องจากต้องยกระดับความปลอดภัยขององกรค์ไปพร้อม ๆ กันด้วย

เหตุการณ์ความเสียหายที่เกิดขึ้นครั้งนี้ ได้กระตุ้นให้เกิดการทบทวนด้านความมั่นคงปลอดภัยทางไซเบอร์ระดับชาติ ซึ่งนำไปสู่การวิพากษ์วิจารณ์ถึงความหละหลวมมากเกินไปของการดูแลระบบมาระยะหนึ่งแล้ว และประกอบกับอินโดนีเซียได้พบการโจมตีที่เพิ่มขึ้นกว่า 30 ล้านครั้งในช่วงไม่กี่ปีที่ผ่านมา โดยส่วนใหญ่เกิดจาก Phishing หรือการพยายามขโมยข้อมูล credentials ต่าง ๆ ซึ่งผู้ดำรงตำแหน่งทางการเมืองก็ได้รับการวิพากษ์วิจารณ์ในส่วนของการคัดเลือกนักการเมืองที่ไม่มีประสบการณ์ด้าน IT มาทำหน้าที่ พร้อมทั้งความเข้าใจที่ล้าสมัยถึงความอันตรายของการโจรกรรมข้อมูล และอินโดนีเซียยังต้องประสบปัญหาในการสำรองข้อมูลที่ไม่เพียงพอ เนื่องจากไม่มีกฏหมายบังคับหน่วยงานของรัฐให้ดำเนินการเตรียมพร้อมรับมือตามมาตรฐานความปลอดภัยทางไซเบอร์

Brain Cipher ได้เริ่มปฏิบัติการมาตั้งแต่มิถุนายน และการโจมตีศูนย์ข้อมูลแห่งชาตินี้ถือเป็นก้าวสำคัญที่สำเร็จของกลุ่มเลยก็ว่าได้ โดยทางกลุ่มพยายามสร้างชื่อเสียงด้วยการส่งมอบชุดเครื่องมือถอดรหัสให้เหยื่อไปโดยไม่คิดค่าใช้จ่าย เนื่องจากกลุ่มแรนซัมแวร์รายใหญ่ ที่รวมไปถึง LockBit เองด้วย กำลังตกเป็นเป้าหมายหลักของหน่วยงานผู้บังคับใช้กฏหมาย ซึ่งปัจจุบันยังไม่มีข้อมูลเกี่ยวกับกลุ่มนี้มากนัก แต่ดูเหมือนว่าจะมีข้อกำหนด และเงื่อนไขไม่ให้เหยื่อขอความช่วยเหลือจากตำรวจ และนำผู้เจรจาบุคคลที่สามเข้ามามีส่วนร่วม

ที่มา : Cpomagazine

Ascension ถูกแฮ็กหลังพนักงานดาวน์โหลดไฟล์ที่เป็นอันตราย

Ascension หนึ่งในระบบการดูแลสุขภาพที่ใหญ่ที่สุดของสหรัฐอเมริกา เปิดเผยเหตุการณ์ถูกโจมตีจากแรนซัมแวร์ในเดือนพฤษภาคม 2024 โดยมีสาเหตุมาจากพนักงานที่ดาวน์โหลดไฟล์ที่เป็นอันตรายลงในอุปกรณ์ของบริษัท เนื่องจากคิดว่ากำลังดาวน์โหลดไฟล์ที่ถูกต้อง (more…)

กลุ่ม Black Basta ransomware กำลังโจมตีช่องโหว่ Zero-Day บน Windows

นักวิจัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการโจมตีช่องโหว่ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows

CVE-2024-26169 (คะแนน CVSS 7.8/10 ความรุนแรงระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024

โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta

Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows

การโจมตีช่องโหว่ CVE-2024-26169

Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot

นักวิจัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้

สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.

Veeam แจ้งเตือนช่องโหว่ Authentication bypass ระดับ Critical บน Backup Enterprise Manager

Veeam แจ้งเตือนลูกค้าให้ทำการแก้ไขช่องโหว่ด้านความปลอดภัยระดับ Critical ซึ่งทำให้ Hacker ที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถลงชื่อเข้าใช้บัญชีใด ๆ ผ่านทาง Veeam Backup Enterprise Manager (VBEM) (more…)

พบกลุ่ม Ransomware มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows ผ่าน PuTTy และ WinSCP ปลอม

Rapid7 ออกรายงานการค้นพบแคมเปญการโจมตีของกลุ่ม Ransomware ที่มุ่งเป้าการโจมตีไปยังผู้ดูแลระบบ Windows เนื่องจากมีสิทธิ์การใช้งานที่สูงกว่าผู้ใช้งานทั่วไป โดยใช้โฆษณาบน Google หลอกให้เหยื่อดาวน์โหลด Putty และ WinSCP ปลอม เมื่อทำการค้นหาบน Google หรือ Bing

WinSCP และ Putty เป็น Windows utilities ยอดนิยม โดย WinSCP เป็น SFTP client และ FTP client ส่วน Putty เป็น SSH client

โดยที่กลุ่ม Ransomware ได้ทำการสร้างหน้าเว็บไซต์ขึ้นมา คือ [https://www[.]chiark.

เว็บไซต์ที่ถูกยึดของ Lockbit กลับมาเปิดใหม่อีกครั้งเพื่อลงประกาศใหม่ของตำรวจ

หน่วยงาน NCA, FBI และ Europol ได้ฟื้นฟูเว็บไซต์เผยแพร่ข้อมูลรั่วไหลของกลุ่ม LockBit ransomware ที่ถูกยึดไป เพื่อบอกเป็นนัยถึงข้อมูลใหม่ที่จะถูกเปิดเผยโดยหน่วยงานบังคับใช้กฎหมายในวันอังคารนี้ (more…)