Entrust บริษัทยักษ์ใหญ่ด้านความมั่นคงปลอดภัยดิจิทัล ยืนยันว่าได้รับความเสียหายจากการโจมตีทางไซเบอร์ โดยผู้โจมตีได้เจาะเครือข่าย และขโมยข้อมูลจากระบบภายในออกไป Entrust เป็นบริษัทรักษาความปลอดภัยทางด้าน identity management, บริการเข้ารหัสสำหรับการสื่อสาร, ความปลอดภัยทางด้าน digital payments และ ID issuance solutions การโจมตีครั้งนี้อาจส่งผลกระทบต่อองค์กรต่างๆจำนวนมากที่ใช้งาน Entrust สำหรับการจัดการข้อมูลประจำตัว และการตรวจสอบสิทธิ์ ซึ่งขึ้นอยู่กับว่ามีข้อมูลประเภทใดบ้างที่ถูกขโมยออกไป รวมไปถึงหน่วยงานต่างๆของรัฐบาลสหรัฐฯ เช่น กระทรวงพลังงาน กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลัง กระทรวงสาธารณสุขและบริการมนุษย์ กรมกิจการทหารผ่านศึก กรมวิชาการเกษตร และองค์กรอื่นๆ อีกมากมาย แฮ็กเกอร์เจาะเครือข่ายของ Entrust ได้ในเดือนมิถุนายน เมื่อประมาณสองสัปดาห์ก่อน BleepingComputer ได้รับข้อมูลว่า Entrust ถูกโจมตีเมื่อวันที่ 18 มิถุนายน และแฮ็กเกอร์ขโมยข้อมูลของบริษัทออกไปด้วยระหว่างการโจมตี อย่างไรก็ตาม จนกระทั่งเมื่อวานนี้ (21 กรกฎาคม 2565 ) การโจมตีดังกล่าวถึงได้รับการยืนยันว่าเกิดขึ้นจริง เมื่อนักวิจัยด้านความปลอดภัย Dominic Alvieri ได้ทวีตรูปการแจ้งเตือนถึงการถูกโจมตีที่ส่งไปยังลูกค้าของ Entrust เมื่อวันที่ 6 กรกฎาคมจาก Entrust CEO Todd Wilkinson ข้อความระบุว่า “เมื่อวันที่ 18 มิถุนายน บริษัทได้พบว่ามีบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงระบบบางระบบของเราที่ใช้สำหรับการดำเนินงานภายใน เราพยายามทำงานอย่างหนักเพื่อแก้ไขสถานการณ์นี้มาโดยตลอด”
“ปัจจุบันบริษัทกำลังทำการตรวจสอบอย่างต่อเนื่อง มีเอกสารบางอย่างถูกนำออกไปจากระบบของเรา บริษัทจะติดต่อกับลูกค้าโดยตรงหากมีข้อมูลที่เชื่อได้ว่าจะส่งผลต่อความปลอดภัยของผลิตภัณฑ์ และบริการที่ให้กับองค์กรของลูกค้า"
Entrust ให้ข้อมูลกับ BleepingComputer ว่าพวกเขากำลังทำงานร่วมกับ บริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำ และหน่วยงานบังคับใช้กฎหมายเพื่อตรวจสอบการโจมตี
"แม้ว่าการสืบสวนจะยังคงดำเนินอยู่ แต่จนถึงขณะนี้ยังไม่พบหลักฐานว่ามีปัญหาที่จะส่งผลกระทบต่อผลิตภัณฑ์ และการรักษาความปลอดภัยของเรา ผลิตภัณฑ์ และบริการเหล่านี้จะทำงานอยู่แยกจากระบบภายในของบริษัท ซึ่งยังสามารถให้บริการได้ตามปกติ” Entrust ให้ข้อมูลกับ BleepingComputer

กลุ่ม Ransomware
แม้ว่าประกาศ และคำกล่าวของ Entrust กับ BleepingComputer ไม่ได้บอกรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว แต่ BleepingComputer คาดว่ากลุ่มผู้โจมตีน่าจะเป็นกลุ่มแรนซัมแวร์ที่รู้จักกันดี เป็นผู้อยู่เบื้องหลังการโจมตีครั้งนี้

ที่มา : bleepingcomputer

 

 

 

 

ผู้เชี่ยวชาญจาก Kaspersky พบ Ransomware ชนิดใหม่จากระบบ Darknet Threat Intelligence ที่มีชื่อว่า Luna ซึ่ง Luna Ransomware นี้สามารถเข้ารหัสระบบปฏิบัติการได้หลายระบบไม่ว่าจะเป็น Windows, Linux และ ESXi

รายละเอียดการโจมตี

จากการตรวจสอบของทีม Kasperky พบว่า Ransomware Luna มาจากผู้พัฒนาชาวรัสเซีย เนื่องจากภาษาอังกฤษที่ใช้ในสคริปเรียกค่าไถ่ยังมีการใช้คำผิดอยู่ รวมไปถึงฟีเจอร์ในการเข้ารหัส ซึ่งเข้ารหัสได้ตามคำสังที่มีให้เลือกเท่านั้น ทำให้นักวิจัยคาดว่ามันกำลังอยู่ระหว่างการพัฒนา

รูปแบบการเข้ารหัสของ Luna นั้นซับซ้อนมาก มีการแลกเปลี่ยนคีย์โดยใช้ Diffie-Hellman ร่วมกับการเข้ารหัสแบบ Curve25519 ด้วยอัลกอริทึม Advanced Encryption Standard (AES) ทำให้ยากมากในการถอดรหัส
ภาษาที่ใช้ในการพัฒนา Ransomware เป็นภาษาที่ใช้ข้าม Platform ได้ ทำให้การโจมตีบน OS อื่นๆ นอกจาก Windows ไม่จำเป็นต้องมีการเปลี่ยนแปลงใหญ่ๆบน source code เดิม

ในปัจจุบัน มีข้อมูลน้อยมากเกี่ยวกับเหยื่อ รวมไปถึงตัว Luna ransomware เอง เนื่องจากกลุ่มเพิ่งถูกค้นพบ และกิจกรรมของกลุ่มนั้นยังอยู่ในระหว่างการตรวจสอบที่มา

ที่มา : bleepingcomputer

 

ตามรายงานของผู้เชี่ยวชาญจาก Cyble มีการค้นพบ Ransomware ตัวใหม่ ที่มีการเปิดตัวภายใต้ชื่อ 'Lilith' ซึ่งเป็น Ransomware ที่ถูกพัฒนาโดยภาษา C/C++ เป้าหมายคือระบบปฏิบัติการ Windows 64 Bit ซึ่งคล้ายกับ Ransomware ที่เคยถูกพบก่อนหน้านี้อย่าง RedAlert และ 0mega โดย Lilith จะทำการโจมตีแบบ double-extortions คือจะทำการขโมยข้อมูลก่อนที่จะเข้ารหัสอุปกรณ์

(more…)

ผู้เชี่ยวชาญจาก MalwareHunterTeam ค้นพบ Ransomware ตัวใหม่ชื่อ RedAlert หรือมีอีกชื่อคือ N13V ถูกสร้างขึ้นโดยมีเป้าหมายไปที่ VMware EXSI Server ทั้งระบบปฏิบัติการ Windows และ Linux

โดยในตัว Linux encryptor มีตัวเลือกที่เป็น Command-Line ต่างๆ ให้ผู้โจมตีสามารถดำเนินการกับ VM ก่อนเข้ารหัสไฟล์ได้โดยคำสั่งดังนี้

-w คำสั่งสำหรับหยุดการทำงาน vm ทั้งหมดที่ทำงานอยู่
-p Path ที่จะ encrypt (ซึ่งค่า default มันจะทำการ encrypt ไฟล์ทั้งหมดใน directory เท่านั้น ไม่รวมไฟล์ใน subdirectories)
-f File ที่จะ encrypt
-r เรียกซ้ำ โดยใช้กับ Command -p (search และ encryption จะทำงานบน directory และ subdirectories ทั้งหมด)
-t ตรวจสอบเวลาในการ Encryption (เฉพาะการเข้ารหัสโดยไม่มี Key)
-n ค้นหาไฟล์โดยไม่มีการเข้ารหัส (show ffiles and folders with some info)
-x การทดสอบ Asymmetric cryptography และ DEBUG
-h แสดง Message

ลักษณะการโจมตี

เมื่อผู้โจมตีรัน Command -w Linux Encryptor จะปิด VM ทั้งหมดที่ใช้งานโดยใช้คำสั่ง ESXCLI ต่อไปนี้
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
ในการเข้ารหัสไฟล์ Ransomware จะใช้อัลกอริทึมการเข้ารหัส NTRUENCRYPT ซึ่งรองรับ Parameter Sets
เมื่อเข้ารหัสไฟล์ ransomware จะกำหนดเป้าหมายไปยังไฟล์ที่เชื่อมโยงกับ VMware ESXI Virtual Machines รวมไปถึง log files, swap files, virtual disks, และ memory files ที่มีนามสกุลดังนี้
.log
.vmdk
.vmem
.vswp
.vmsn
และจะผนวกไฟล์นามสกุล .crypt658 กับไฟล์ที่โดนเข้ารหัส
หลังจากเข้ารหัสแล้ว ransomware จะสร้างโน้ตที่ชื่อ How_To_Restore ซึ่งมีคำอธิบายข้อมูลที่ถูกขโมย และลิงก์ไปยังไซต์ชำระเงินค่าไถ่บน TOR Browser
หากเหยื่อไม่จ่ายค่าไถ่ แฮ็กเกอร์จะเผยแพร่ข้อมูลที่ถูกขโมยในลงบนเว็บไซต์ที่ทุกคนสามารถเข้าไปดาวน์โหลดได้

ปัจจุบัน เว็บไซต์ของ Redalert ที่เผยแพร่ข้อมูลเป้าหมาย มีข้อมูลเพียงองค์กรเดียวเท่านั้น ซึ่งระบุว่าเป็นกลุ่มที่ใหม่มาก แต่ก็เป็นพฤติกรรมที่จะต้องจับตาดูอย่างใกล้ชิด เนื่องจากฟังก์ชั่นที่ซับซ้อนของการ Encrypt ไฟล์ และรองรับทั้ง Linux และ Windows

ที่มา : bleepingcomputer

เมื่อวันเสาร์ที่ผ่านมา เว็บไซต์ DataBreaches.net ได้เผยแพร่ข้อมูลเกี่ยวกับโรงพยาบาล Fitzgibbon ในรัฐมิสซูรีที่ถูก Ransomware โจมตีจากกลุ่มที่แฮ็กเกอร์ที่มีชื่อว่า Daixin Team พวกเขาอ้างว่าได้ขโมยข้อมูลขนาด 40 GB ออกมา และเผยแพร่ไฟล์ที่ได้มาบางส่วนผ่าน Dark Web หนึ่งในไฟล์ที่ถูกเผยแพร่เป็นบัญชีอีเมลจากโรงพยาบาล Fitzgibbon ในช่วงปี 2552-2557

นอกจากนี้ยังพบไฟล์จำนวนมากที่มีข้อมูลด้านสุขภาพของผู้ป่วย เช่น ชื่อผู้ป่วย ข้อมูลการวินิจฉัยหรือการรักษา วันที่ให้บริการ ข้อมูลการประกันสุขภาพ และข้อมูลการเรียกเก็บเงิน

ไฟล์บางไฟล์มีบันทึกเกี่ยวกับผู้ป่วยที่กระทำผิด และกำลังถูกพิจารณาสำหรับการดำเนินการทางกฎหมาย นอกจากข้อมูลเกี่ยวกับผู้ป่วยแล้ว ยังมีไฟล์เกี่ยวกับพนักงานอีกด้วย เช่นไฟล์เงินเดือนของพนักงาน

แต่สิ่งที่น่าเป็นห่วงสุดในการโจมตีครั้งนี้คือ มีไฟล์จำนวนมากที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ของโรงพยาบาล เช่น ไฟล์ประเมินระบบที่มีจุดอ่อน และต้องทำการแก้ไข, ไฟล์ Incident Report เป็นต้น

รายละเอียดเพิ่มเติม

หลังจากทราบข่าว ทีมจาก DataBreaches ได้ส่งอีเมลสอบถามไปยังโรงยาบาล แต่ไม่ได้รับการตอบกลับ และไม่มีประกาศบนเว็บไซต์เพื่อแจ้งเตือนผู้ป่วยเกี่ยวกับการละเมิด หรือการรั่วไหลของข้อมูลแต่อย่างใด ต่อมาทาง DataBreaches จึงมีการสอบถามไปยัง Daixin Team เพื่อขอรายละเอียดเพิ่มเติมแทน ได้รับคำตอบว่ามีการเข้ารหัสบนเซิร์ฟเวอร์ และระบบ Backup จริง ส่วนจำนวนเงินไม่ได้มีการเปิดเผยว่าเรียกไปเป็นจำนวนเท่าไหร่ นอกจากนี้ ทางโรงพยาบาลมีการ Backup ข้อมูลแบบ Offline อยู่จำนวนหนึ่ง จึงสามารถกู้คืนเองได้บางส่วน และจากเหตุการณ์ทั้งหมด โรงพยาบาล Fitzgibbon อ้างว่าจะจ่ายเงินเพื่อกู้คืนข้อมูล แต่ก็ไม่ได้มีการติดต่อไปยังกลุ่มแฮ็กเกอร์แต่อย่างใด ส่วนข้อมูลเกี่ยวกับตัวแฮ็กเกอร์ โฆษกของ Daixin ไม่เต็มใจที่จะให้ข้อมูล โดยบอกว่าพวกเขาต้องการอยู่ในความมืด และทุกการโจมตีจะไม่ก่อให้เกิดความเสียหายต่อชีวิตมนุษย์ เช่น จะไม่โจมตีระบบการแพทย์ให้หยุดทำงาน ส่วนเป้าหมายที่โจมตีนั้น พวกเขาได้อ้างว่าเคยโจมตีรัสเซีย และกลุ่มประเทศใน CIS แต่ประเทศเหล่านี้ไม่สนใจข้อมูลที่รั่วไหล และไม่มีการจ่ายเงิน จึงไม่ใช่เป้าหมายหลัก เป้าหมายหลักจะมุ่งเน้นไปที่บริษัทหรือองค์กรที่พร้อมจ่ายเงินให้แก่พวกเขา

แนวทางการป้องกัน

อัพเดตแพตช์บนระบบปฏิบัติการให้ล่าสุดเสมอ
อัพเดท Signature หรือเวอร์ชันของ Endpoint ให้เป็นปัจจุบัน
Backup ข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นได้ในอนาคต
ติดตามข่าวสารอย่างใกล้ชิด

ที่มา : databreaches

ในช่วงสัปดาห์ที่ผ่านมา RansomHouse ได้มีการส่งข้อความผ่าน Telegram ของพวกเขาว่าจะมีการขายข้อมูลของบริษัทที่มีชื่อสามตัวอักษร และขึ้นต้นตัวอักษร “A” ซึ่งหลังจากนั้นเมื่อวันที่ 27 มิถุนายน 2565 ที่ผ่านมาทางกลุ่ม RansomHouse ก็ได้มีการเพิ่ม AMD ลงในเว็บไซต์ Data leak ของตนเองโดยอ้างว่ามีข้อมูลที่ขโมยมาได้จาก AMD กว่า 450 GB

RansomHouse ได้บอกว่าข้อมูลที่ได้ขโมยไปนั้นเป็นข้อมูลเกี่ยวกับการวิจัย และข้อมูลทางการเงิน และข้อมูลนี้รวมถึง CSV ที่เผยแพร่ออกมา ซึ่งมีรายชื่อของอุปกรณ์กว่า 70,000 เครื่อง ที่ดูเหมือนจะเป็นเครือข่ายภายในของ AMD รวมถึงรายการ Corporate Credential ของ User ที่ตั้งรหัสผ่านไม่รัดกุม เช่น ‘password’ ‘P@ssw0rd’ ‘amd!23’ ‘Welcome1’ และพวกเขากำลังวิเคราะห์เพื่อกำหนดมูลค่าของข้อมูล

ต่อมา AMD ซึ่งเป็นบริษัทยักษ์ใหญ่ด้าน Semiconductor ผู้ผลิต CPU และการ์ดจอ โดย AMD ได้ออกมาระบุว่าพวกเขากำลังสืบสวนเกี่ยวกับข่าว และเหตุการณ์ที่อ้างว่ามีการโจมตี และได้โมยข้อมูลออกไปกว่า 450 GB โดยกลุ่ม RansomHouse ในครั้งนี้

RansomHouse ได้ให้ข้อมูลกับ BleepingComputer ว่า partner ของพวกเขาได้เริ่มการโจมตี AMD เมื่อประมาณหนึ่งปีที่แล้ว แต่สาเหตที่ในเว็บไซต์ของพวกเขาได้ระบุถึงการรั่วไหลของข้อมูลเป็นวันที่ 5 มกราคม 2565 นั้น เนื่องจากเป็นวันที่กลุ่มถูกตัดขาดการเข้าถึงเครือข่ายของ AMD

ในขณะที่ RansomHouse ถูกเชื่อมโยงเข้ากับกลุ่ม Ransomware อย่าง WhiteRabbit แต่พวกเขาระบุว่าการโจมตีครั้งนี้ไม่ได้มีการเข้ารหัสอุปกรณ์ และไม่ได้มีการใช้ Ransomware ในการโจมตี AMD และพวกเขาไม่ได้ติดต่อกับ AMD เพื่อเรียกค่าไถ่แต่อย่างใด เนื่องจากทางกลุ่มมองว่าเสียเวลาในการเจรจากับตัวแทนขององค์กร ซึ่งการขายข้อมูลให้กับหน่วยงานอื่น ๆ หรือผู้โจมตีอื่น ๆ นั้นใช้เวลาน้อยกว่ามาก และมีมูลค่ามากกว่า

RansomHouse นั้นเป็นกลุ่มที่ใช้ข้อมูลขององค์กรมาใช้ในการเรียกค่าไถ่แลกกับการไม่เผยแพร่ข้อมูลขององค์กรออกสู่สาธารณะ หรือขายให้กับผู้โจมตีรายอื่น ๆ ได้เริ่มปฏิบัติการเมื่อเดือนธันวาคม 2564 โดยมีเหยื่อรายแรกคือ Saskatchewan Liquor and Gaming Authority (SLGA) และยังพบว่ากลุ่มได้มีความเชื่อมโยงกับกลุ่ม White Rabbit Ransomware จาก Note ที่ทิ้งไว้หลังจากที่โจมตีเหยื่อตามภาพตั้งแต่เดือนธันวาคม 2564 ทาง RansomHouse ได้เพิ่มเหยื่ออีกห้ารายไปยังเว็บไซต์ Dataleak ของพวกเขา รวมถึง AMD ด้วย และอีกหนึ่งในเหยื่อเหล่านี้คือ Shoprite Holdings ที่เป็นเครือข่าย Supermaket ที่ใหญ่ที่สุดในแอฟริกา ซึ่งได้ยืนยันแล้วว่าถูกโจมตี เมื่อวันที่ 10 มิถุนายน 2565

แนวทางการป้องกัน

 ไม่เปิดอีเมล หรือไฟล์แนบจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัพเดตแพตช์บนระบบปฏิบัติการให้ล่าสุดเสมอ
อัพเดท Signature หรือเวอร์ชันของ Endpoint ให้เป็นปัจจุบัน
Backup ข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นได้ในอนาคต
ติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer

ช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับแพตช์แก้ไขใน Atlassian Confluence Server และ Data Center ได้ถูกนำมาใช้เพื่อติดตั้ง cryptocurrency มัลแวร์ และเพย์โหลดของ Ransomware

มีการพบเหตุการณ์อย่างน้อย 2 เหตุการณ์ที่เกี่ยวข้องกับการโจมตีด้วยช่องโหว่ดังกล่าว โดยบริษัท Sophos พบว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ในการติดตั้ง Cerber ransomware และ crypto miner ที่ชื่อว่า z0miner บนเครือข่ายของเหยื่อ

ช่องโหว่ CVE-2022-26134, คะแนน CVSS: 9.8 (ได้รับแก้ไขจาก Atlassian ไปแล้วเมื่อวันที่ 3 มิถุนายน พ.ศ. 2565) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีผลกระทบกับ Confluence Server และ Data Center ทุกเวอร์ชัน

(more…)

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.

Ransomware Vice Society อ้างว่าอยู่เบื้องหลังการโจมตีที่เมือง Palermo ของอิตาลี

กลุ่ม ransomware Vice Society อ้างว่าเมื่อเร็วๆ นี้ได้ทำการโจมตีที่เมือง Palermo ในอิตาลี ซึ่งทำให้บริการขนาดใหญ่หยุดชะงัก

การโจมตีเกิดขึ้นเมื่อวันศุกร์ที่ผ่านมา บริการบนอินเทอร์เน็ตทั้งหมดยังคงใช้งานไม่ได้ ส่งผลกระทบต่อผู้ใช้งานกว่า 1.3 ล้านคน และนักท่องเที่ยวจำนวนมาก เจ้าหน้าที่ยอมรับว่าความรุนแรงของเหตุการณ์ที่เกิดขึ้นกระทบต่อระบบทั้งหมด และต้องออฟไลน์ระบบเพื่อควบคุมความเสียหาย โดยแจ้งว่าไฟฟ้าจะดับไปอีกสองสามวัน การปิดเครือข่ายทำให้การโจมตีดูเหมือนเป็นการโจมตีของ ransomware ไม่ใช่การโจมตี DDoS ที่เพิ่งโจมตีในประเทศอิตาลีก่อนหน้านี้ (more…)

พบ DeadBolt ransomware รูปแบบใหม่ มีเป้าหมายที่ระบบ Network Attached Storage (NAS) ที่เข้าถึงได้จากอินเทอร์เน็ต

Fernando Mercês ผู้เชี่ยวชาญจาก Trend Micro ได้รายงานถึงการพบ DeadBolt ransomware รูปแบบใหม่ซึ่งต่างจาก Ransomware อื่นๆที่มักจะมีเป้าหมายไปยังอุปกรณ์ต่างๆขององค์กร

แต่ในครั้งนี้เป้าหมายคือระบบ Network Attached Storage (NAS) ที่มีการที่เชื่อมต่อกับอินเทอร์เน็ต (Internet Facing) สาเหตุเกิดจากปัจจัยหลายประการ เช่น ระบบมีความปลอดภัยที่ต่ำ ความพร้อมใช้งานสูง มูลค่าของข้อมูลสูง และเป็นระบบปฏิบัติการที่ใช้อย่างแพร่หลายทั่วไปอย่าง Linux โดยเป้าหมายในครั้งนี้เป็นทั้งผู้ให้บริการ และผู้รับบริการ NAS นอกจากนี้ Script ของ Ransomware เป็นรูปแบบใหม่ที่สามารถเข้ารหัสไฟล์ให้ตรงกับ Vendor บนระบบ NAS ได้ ซึ่งอาจจะเป็นมาตรฐานของ Ransomware อื่นๆต่อไปที่จะเกิดขึ้นในอนาคต

โดยในเดือนพฤษภาคมที่ผ่านมา QNAP ได้ออกมาเตือนผู้ใช้งาน NAS ให้ระวังการถูกโจมตีจาก DeadBolt ransomware และในเดือนมกราคม รายงานจาก Censys.