Bitdefender ปล่อยเครื่องมือถอดรหัสให้ใช้ฟรีสำหรับมัลแวร์เรียกค่าไถ่ที่ชื่อว่า “DarkSide”

มัลแวร์เรียกค่าไถ่ตัวนี้ถูกจัดว่าเป็นมัลแวร์เรียกค่าไถ่ประเภท Human-Operated Ransomware ซึ่งเป็นประเภทเดียวกับมัลแวร์เรียกค่าไถ่ที่เป็นที่รู้จักอย่างเช่น Maze, REvil และ Ryuk เป็นต้น พบว่าถูกใช้ในการโจมตีครั้งแรกในช่วงเดือนสิงหาคมปีที่แล้ว แม้ว่าจะสามารถถอดรหัสไฟล์ได้ แต่มีความเป็นไปได้สูงว่าไฟล์เหล่านั้นจะถูกลักลอบส่งออกไปภายนอกก่อนที่จะเริ่มกระบวนการเข้ารหัส ทำให้ผู้ไม่หวังดียังคงมีไฟล์เหล่านั้นอยู่

ผู้สนใจสามารถดาวน์โหลดได้จาก > bitdefender.

มัลแวร์ TrickBot เพิ่มฟีเจอร์ใหม่ TrickBoot ทำให้มัลแวร์สามารถเข้าควบคุมเฟิร์มแวร์ในระดับ UEFI ได้

นักวิจัยจากบริษัท Advanced Intelligence (AdvIntel) และ Eclypsium ได้ออกรายงานถึงการพบความสามารถใหม่ในโมดูล TrickBot ที่จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสได้

ตามรายงานของนักวิจัยด้านความปลอดภัยซึ่งได้ระบุว่ามัลแวร์ TrickBot ได้ทำการปรับใช้โมดูล bootkit ซึ่งเป็นฟีเจอร์นี้จะช่วยให้มัลแวร์ TrickBot สามารถเข้าถึงแล้วควบคุม BIOS หรือเฟิร์มแวร์ UEFI ของคอมพิวเตอร์ที่ติดไวรัสและมัลแวร์สามารถคงอยู่ได้ต่อไปหลังจากผู้ใช้ทำการติดตั้งระบบปฏิบัติการ อีกทั้งภายในโมดูลยังมีความสามารถที่จะช่วยให้ผู้ประสงค์ร้ายสามารถทำได้ดังนี้

สามารถปิดการเข้าถึงอุปกรณ์จากระยะไกลที่ระดับเฟิร์มแวร์ผ่านการเชื่อมต่อระยะไกลของมัลแวร์ทั่วไป สามารถ Bypass ระบบ Security control เช่น BitLocker, ELAM, Windows 10 Virtual Secure Mode, Credential Guard, Endpoint Protection และซอฟต์แวร์ป้องกันไวรัส เป็นต้น
สามารถทำให้ผู้ประสงค์ร้ายกำหนดเป้าหมายการโจมตีช่องโหว่ Intel CSME หรือบางส่วนของ SPI controller ได้
สามารถ Reverse ACM หรือการอัปเดตไมโครโค้ดที่แก้ไขช่องโหว่ของ CPU เช่น Spectre, MDS เป็นต้น
นักวิจัยด้านความปลอดภัยยังกล่าวอีกว่ามัลแวร์มีโค้ดสำหรับอ่านเขียนและลบเฟิร์มแวร์ ซึ่งปัจจุบันโมดูลของ TrickBot ยังสามารถทำงานกับคอนโทรลเลอร์ SPI เท่านั้น ด้วยมัลแวร์ TrickBot มีความเกี่ยวเนื่องกับกลุ่ม Ransomware ในอนาคตอาจมีความเป็นไปได้ว่ากลุ่มผู้ประสงค์ร้ายนั้นจะใช้ฟีเจอร์ใหม่ของมัลแวร์ TrickBot นี้ทำการทำลายระบบของบริษัทหรือองค์กรต่างๆ ปฏิเสธการจ่ายเงินที่ถูกเรียกร้อง ทั้งนี้โมดูลนี้ยังสามารถใช้เพื่อป้องกันไม่ให้ทำการค้นหาหลักฐานทางนิติวิทยาศาสตร์ที่สำคัญได้โดยทำให้ความสามารถในการบู๊ตของระบบล้มเหลว

ผู้ใช้งานควรหลีกเลี่ยงการการดาวน์โหลดไฟล์จากเว็บไซต์ที่ไม่รู้จักและทำการอัปเดตซอฟต์แวร์ป้องกันไวรัสอยู่เสมอเพื่อป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet | thehackernews

 

ตามแถลงการณ์ของสโมสรแมนเชสเตอร์ยูไนเต็ดได้ระบุว่าการกู้ระบบยังคงดำเนินการต่อไปและระบบที่สำคัญที่จำเป็นสำหรับการแข่งขันที่จะเกิดขึ้นที่ Old Trafford ยังคงปลอดภัยและสามารถดำเนินเกมการแข่งขันได้ตามปกติ หลังจากเมื่อสัปดาห์ที่ผ่านมาสโมสรได้ถูกโจมตีด้านความปลอดภัยทางไซเบอร์ที่ส่งผลกระทบต่อระบบเครือข่ายภายในของสโมสร อย่างไรก็ดีเจ้าหน้าที่ IT ของสโมสรยังไม่สามารถเข้าถึงระบบอีเมลและฟังก์ชันอื่นๆ บางอย่างก็ยังไม่สามารถใช้งานได้

Jon Niccolls หัวหน้าทีม EMEA & APAC Incident Response จาก Check Point ได้กล่าวว่ามีรายงานถึงโจมตีดังกล่าวเป็นการโจมตีด้วยแรนซัมแวร์ โดยแฮกเกอร์ได้ทำการข่มขู่ถึงสองครั้ง เพื่อทำการเรียกค่าไถ่จากข้อมูลที่ถูกขโมยและขู่ว่าจะเปิดเผยข้อมูลที่ทำการขโมยสู่สาธารณะ

ทั้งนี้สโมสรแมนเชสเตอร์ยูไนเต็ดจะไม่แสดงความคิดใดๆ เกี่ยวกับการโจมตีในครั้งนี้และระบบสำหรับการแข่งขันที่จะเกิดขึ้นที่ Old Trafford ยังคงสามารถดำเนินเกมการแข่งขันได้ตามปกติ

ที่มา:

theregister.

ศาลยุติธรรมในบราซิลถูก Ransomware "RansomExx" โจมตี

เมื่ออาทิตย์ที่ผ่านมาศาลยุติธรรมในประเทศบราซิลประกาศว่าระบบและเครือข่ายภายในได้รับผลกระทบจากการโจมตี และหลักฐานซึ่งบ่งชี้ว่าการโจมตีดังกล่าวเกิดขึ้นโดยกลุ่ม Ransomware "RansomExx" ซึ่งส่งผลให้ระบบต้องหยุดให้บริการเพื่อจำกัดความเสียหายและฟื้นฟูระบบ

ฝ่ายเทคนิคของศาลออกมาให้ข้อมูลเพิ่้มเติมในภายหลังว่า กลุ่ม Ransomware ประสบความสำเร็จในการยึดครองบัญชี Domain admin และใช้ปัญชีดังกล่าวในการเข้าถึงระบบ virtual environment ที่ทางศาลใช้งาน ก่อนจะเริ่มการเข้ารหัสระบบซึ่งเป็น virtual machine ทั้งหมด

Kaspersky ได้มีการเผยแพร่การวิเคราะห์ทางเทคนิคของ RansomExx และพบว่า Ransomware ดังกล่าวถูกตรวจพบว่ามีเวอร์ชันที่พุ่งเป้าโจมตีกลุ่มระบบที่ใช้ระบบปฏิบัติการลินุกซ์ด้วย มัลแวร์ไม่มีการติดต่อ C&C, ไม่มีการปิดตัวเองลงหลังจากทำงานเสร็จสิ้นและไม่มีส่วนโค้ดซึ่งต่อต้านการวิเคราะห์แต่อย่างใด ไฟล์ถูกเข้ารหัสด้วย AES-ECB และคีย์ AES ถูกเข้ารหัสด้วย RSA ขนาด 4096 บิตที่ฝังมากับมัลแวร์

ยังไม่มีการระบุอย่างชัดเจนถึงวิธีที่กลุ่มมัลแวร์ใช้ในการเข้าถึงเหยื่อและเป้าหมาย

ที่มา: theregister | bleepingcomputer | securelist | zdnet

มัลแวร์เรียกค่าไถ่ Ragnar Locker โจมตี CAPCOM

บริษัทเกมสัญชาติญี่ปุ่นชื่อดัง CAPCOM ตกเป็นเหยื่อการโจมตีของกลุ่ม Ransomware "Ragnar Locker" ส่งผลให้เกิดความเสียหายต่อข้อมูลและคาดว่าจะถูกเรียกค่าด้วย

การโจมตี CAPCOM คาดว่าเริ่มต้นขึ้นในวันที่ 4 พฤศจิกายนที่ผ่านมา โดยมีการตรวจพบปัญหาในการใช้งานของระบบภายในเครือข่ายของ CAPCOM ในข่าวซึ่งปรากฎออกมาในหน้าสื่อครั้งแรกนั้น รายละเอียดการโจมตียังไม่ถูกเปิดเผยออกมาเท่าใดนักโดยมีการประกาศเพียงแค่ตรวจพบการเข้าถึงระบบโดยไม่ได้รับอนุญาต อย่างไรก็ตามในเวลาต่อมา มีการปรากฎของหลักฐานซึ่งบ่งชี้ให้เห็นว่าผู้ที่อยู่เบื้องหลังการโจมตีนั้นอาจเป็นกลุ่มมัลแวร์เรียกค่าไถ่ Ragnar Locker

กลุ่มมัลแวร์เรียกค่าไถ่ Ragnar Locker เป็นที่รู้จักหลังจากมีการโจมตีบริษัทด้านพลังงาน EDP ในเดือนกรกฎาคมที่ผ่านมา และยังเป็นที่รู้จักจากการใช้เทคนิคการโจมตี Shadow Bunny หรือการใช้ virtual machine เข้ามาช่วยโจมตี

ในขณะนี้ทาง CAPCOM ยืนยันว่าไม่มีข้อมูลของลูกค้าถูกเข้าถึงหรือได้รับผลกระทบอ้างอิงจากผลการตรวจสอบล่าสุด

ที่มา: zdnet.

บริษัทด้านความปลอดภัย Coveware ออกรายงานเกี่ยวกับ Ransomware ประจำ Q3 2020 เมื่อวานที่ผ่านมา โดยหนึ่งในประเด็นของรายงานที่น่าสนใจนั้นคือสถิติเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ไม่รักษาคำพูดกับเหยื่อ ตัวอย่างการโป้ปดที่น่าสนใจมีดังนี้

กลุ่ม REvil หรือ Sodinokibi มีการเรียกค่าเหยื่อรายเดิมซ้ำอีกครั้งหลังจากเหยื่อจ่ายเงินค่าไถ่ไปแล้วหนึ่งอาทิตย์ โดยการใช้ข้อมูลจากข้อมูลชุดเดิม
กลุ่ม Netwalker และ Mespinoza มีการปล่อยข้อมูลของเหยื่อแม้ว่าเหยื่อจะมีการจ่ายค่าไถ่เพื่อไม่ให้มีการปล่อยข้อมูล
กลุ่ม Conti มีการลบไฟล์ปลอมโชว์เหยื่อหลังจากที่เหยื่อจ่ายค่าไถ่แล้ว โดยเก็บไฟล์จริงเอาไว้

ด้วยพฤติกรรมดังกล่าว Coveware จึงมีการเพิ่มคำแนะนำเพิ่มเติมเพื่อแจ้งให้ผู้ที่อาจตกเป็นเหยื่อหรือเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ ดังนี้

ข้อมูลที่ถูกนำไปโดยผู้โจมตีอาจไม่สามารถพิสูจน์ได้ว่าถูกลบจริงหลังจากมีการจ่ายค่าไถ่แล้ว พึงระลึกไว้เสมอว่ากลุ่มมัลแวร์เรียกค่าไถ่อาจมีการแลกเปลี่ยน นำไปขายต่อหรือถือครองข้อมูลเดิมไว้เพื่อเรียกค่าไถ่ซ้ำ
ข้อมูลที่ถูกขโมยไปอาจถูกถือครองโดยบุคคลหลายกลุ่มและอาจไม่ได้รับความปลอดภัยอย่างเหมาะสม แม้กลุ่มมัลแวร์เรียกค่าไถ่จะลบข้อมูลไปแล้วจริง ก็อาจมีการลักลอบเข้าถึงและทำสำเนาข้อมูลเก็บเอาไว้ได้โดยบุคคลที่สาม
ข้อมูลที่ถูกขโมยไปอาจถูกโพสต์หรือถูกปล่อยสู่สาธารณะไม่ว่าจะได้ความตั้งใจหรือไม่ก็ตาม ในบางครั้งกลุ่มมัลแวร์เรียกค่าไถ่อาจตั้งใจโพสต์ก่อนที่จะมีการเรียกค่าไถ่ด้วย

ไอ-ซีเคียวขอแนะนำให้ผู้อ่านพิจารณาข้อเท็จจริงด้านบนเพื่อนำไปใช้ปรับปรุงแผนและแนวทางเพื่อรับมือและตอบสนองเหตุการณ์ความปลอดภัยจากมัลแวร์เรียกค่าไถ่ให้มีประสิทธิภาพมากยิ่งขึ้น

ที่มา: bleepingcomputer

กลุ่มมัลแวร์เรียกค่าไถ่ Ryuk ขยายปริมาณเหยื่อในกลุ่มโรงพยาบาลโดยการประกาศการโจมตีโรงพยาบาล Wyckoff Heights Medical Center ในบรูคลินและ University of Vermont Health Network นับเป็นเหยื่อรายที่ 8 และ 9 ในช่วงเดือนที่ผ่านมาของกลุ่มโรงพยาบาลซึ่งได้รับผลกระทบจากการโจมตีของกลุ่ม Ryuk

อ้างอิงข้อมูลจาก Charles Carmakal ซึ่งดำรงตำแหน่ง CTO ของ Mandiant ทาง Mandiant ระบุว่าพบข่าวกรองซึ่งทำให้สามารถเชื่อได้ว่ากลุ่มแฮกเกอร์ซึ่งมีถิ่นอาศัยอยู่ในโซนยุโรปตะวันออกชื่อ UNC1878 เป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ทาง FireEye และ Mandiant ยังได้มีการเผยแพร่ TTP บางส่วนบนบล็อคของทางองค์กรด้วย (https://www.

กลุ่มธุรกิจด้านพลังงานข้ามชาติ Enel Group ถูกกลุ่มมัลแวร์เรียกค่าไถ่ Netwalker โจมตีโดยถือเป็นเหตุการณ์ครั้งที่ 2 ในรอบปี หลังจากที่ Enel Group สามารถขัดขวางการแพร่กระจายของมัลแวร์เรียกค่าไถ่ Snake ได้สำเร็จเมื่อเดือนมิถุนายนที่ผ่านมา ในรอบนี้นั้น กลุ่ม Netwalker ยื่นการเรียกค่าไถ่เป็นจำนวน 14 ล้านดอลลาร์สหรัฐฯ แลกกับการถอดรหัสไฟล์และเงื่อนไขของการไม่เปิดเผยข้อมูลที่ถูกขโมยไป

การโจมตีของ Netwalker ในรอบนี้ถูกประกาศบนเว็บไซต์ของกลุ่มเองพร้อมกับหลักฐานของไฟล์ที่ได้มากว่า 5 เทระไบต์ ในขณะนี้ยังไม่มีความเคลื่อนไหวที่ชัดเจนจากฝั่ง Enel Group แม้ว่าจะมีเวลา 5 วันในการจ่ายค่าไถ่ตามเส้นตายที่กลุ่ม Netwalker มีการกำหนดเอาไว้

ที่มา: bleepingcomputer.

อ้างอิงจากข่าวกล่าวซึ่งไอ-ซีเคียวได้เคยรายงานไป ล่าสุดกลุ่มมัลแวร์เรียกค่าไถ่ชื่อดัง Maze ได้มีการประกาศยุติปฏิบัติการบนเว็บไซต์ของกลุ่มแล้ว ผลของการประกาศยุติปฏิบัติการจะส่งผลให้ไม่มีเหยื่อรายใหม่ที่จะถูกโจมตีโดยกลุ่ม Maze อีก

ไอ-ซีเคียวขอสรุปใจความสำคัญจากประกาศของกลุ่ม Maze ออกเป็นประเด็นดังนี้

กลุ่ม Maze ไม่มีพาร์ทเนอร์และกลุ่มอื่นซึ่งจะสานต่อปฏิบัติการ คนของ Maze จะไม่มีการเข้าร่วมกับกลุ่มอื่น
หากมีความเคลื่อนไหวจากกลุ่มอื่นๆ ซึ่งอ้างชื่อของ Maze ขอให้ทุกคนรับทราบว่านั่นเป็นการแอบอ้างตัวตนของกลุ่ม Maze และไม่ใช่ Maze จริงที่มีการเคลื่อนไหว
เหยื่อสามารถร้องขอให้ Maze ลบข้อมูลของตนบนหน้าเว็บโดยติดต่อผ่าน Maze Support Chat ได้
แม้จะมีปฏิเสธถึงความร่วมมือและพาร์ทเนอร์ ข้อมูลในอดีตก็บ่งชี้หลักฐานถึงความร่วมมือระหว่างกลุ่ม Ransomware กลุ่มอื่นและ Maze โดยความร่วมมือโดยส่วนใหญ่อยู่ในลักษณะของการช่วยประกาศชื่อเหยื่อจากมัลแวร์กลุ่มอื่นในเว็บไซต์ของกลุ่ม Maze ในขณะเดียวกันฝั่งของข้อมูล threat intelligence ก็มีการระบุเอาไว้ว่าคนของ Maze อาจเปลี่ยนกลุ่มไปอยู่กับกลุ่มมัลแวร์เรียกค่าไถ่ Egregor ได้ด้วยลักษณะที่เหมือนกันของซอฟต์แวร์ที่มีการใช้ในปฏิบัติการ

Bleeping Computer ได้มีการสอบถามถึงความเป็นไปได้ที่ Maze จะปล่อยโปรแกรมถอดรหัสหลักออกมาเพื่อถอดรหัสให้กับเหยื่อที่เหลือ กลุ่ม Maze ยังไม่มีการตอบคำถามมาในประเด็นนี้

ดูข่าวเก่าได้ที่: https://www.

กลุ่ม Ransomware "Darkside" ประกาศบริจาคค่าไถ่บางส่วนให้กับมูลนิธิการกุศล

กลุ่ม Ransomware "Darkside" มีการประกาศในเว็บไซต์ของทางกลุ่มเมื่อวันที่ 13 ตุลาคมที่ผ่านมาโดยมีการยืนยันถึงเจตนารมณ์การโจมตีซึ่งมีเนื้อหาเกี่ยวกับการที่ทางกลุ่มจะโจมตีเฉพาะบริษัทใหญ่และจะนำเงินค่าไถ่บางส่วนไปบริจาคในมูลนิธิต่างๆ เพื่อการกุศล

นอกเหนือจากคำยืนยัน กลุ่ม Darkside ยังได้มีการแสดงหลักฐานบางส่วนของการโอนค่าไถ่จำนวนประมาณ 10,000 ดอลลาร์สหรัฐฯ ไปให้กับองค์กร Children International (children.