Inotiv บริษัทเภสัชภัณฑ์สัญชาติอเมริกัน เปิดเผยว่าถูกโจมตีด้วยแรนซัมแวร์ และการโจมตีดังกล่าวส่งผลให้ระบบ และข้อมูลบางส่วนถูกเข้ารหัส ซึ่งกระทบต่อการดำเนินงานทางธุรกิจของบริษัท (more…)

กลุ่มแรนซัมแวร์ Crypto24 ได้ใช้เครื่องมือพิเศษที่พัฒนาขึ้นเองในการโจมตี เพื่อหลบเลี่ยงการตรวจจับจากอุปกรณ์ด้านความปลอดภัยในเครือข่าย และเข้ารหัสไฟล์ รวมถึงขโมยข้อมูลออกไป

ปฏิบัติการของกลุ่มนี้ถูกพบครั้งแรกในฟอรั่มของ BleepingComputer เมื่อเดือนกันยายน 2024 แม้ในช่วงแรกจะไม่ได้มีชื่อเสียงมากนัก

นักวิจัยจาก Trend Micro ที่ติดตามพฤติกรรมของกลุ่ม Crypto24 พบว่า ผู้โจมตีกลุ่มนี้ได้โจมตีองค์กรขนาดใหญ่หลายแห่งในสหรัฐอเมริกา, ยุโรป และเอเชีย โดยเน้นเป้าหมายที่มีมูลค่าสูง เช่น ภาคการเงิน, การผลิต, ด้านความบันเทิง และด้านเทคโนโลยี

นักวิจัยด้านความปลอดภัยระบุว่า กลุ่ม Crypto24 มีความรู้ และความชำนาญ ซึ่งแสดงให้เห็นว่ามีความเป็นไปได้มากที่กลุ่มนี้ก่อตั้งโดยอดีตสมาชิกหลักของกลุ่มแรนซัมแวร์ที่ยุติการปฏิบัติการไปแล้ว

พฤติกรรมหลังการโจมตีระบบ

หลังจากได้สิทธิ์เข้าถึงระบบในครั้งแรก ผู้โจมตีกลุ่ม Crypto24 จะเปิดใช้งานบัญชีผู้ดูแลระบบที่เป็นค่าเริ่มต้นบนระบบ Windows ภายในเครือข่ายองค์กร หรือสร้างบัญชีผู้ใช้ใหม่ เพื่อใช้สำหรับการเข้าถึงแบบเงียบ ๆ และแฝงตัวอยู่ในระบบได้อย่างต่อเนื่อง

จากนั้นจะเข้าสู่ขั้นตอนการ reconnaissance โดยใช้ batch file ที่พัฒนาขึ้นเอง พร้อมใช้คำสั่งในการดึงข้อมูลรายชื่อบัญชีผู้ใช้, รายละเอียดฮาร์ดแวร์ของระบบ และโครงสร้างของดิสก์ ซึ่งต่อมาผู้โจมตีจะสร้าง Windows services และ scheduled tasks ที่เป็นอันตรายเพื่อใช้ในการแฝงตัวอยู่ในระบบ

อันแรก WinMainSvc เป็น keylogger service สำหรับดักจับการพิมพ์ของผู้ใช้ และอันที่สอง MSRuntime เป็น ransomware loader

ต่อมากลุ่ม Crypto24 จะใช้เครื่องมือโอเพ่นซอร์ส RealBlindingEDR เวอร์ชันพิเศษ ซึ่งมีเป้าหมายโจมตี agent ของซอฟต์แวร์รักษาความปลอดภัยจากผู้ผลิตหลายราย โดยปิดการทำงานของ kernel driver เช่น

Trend Micro
Kaspersky
Sophos
SentinelOne
Malwarebytes
Cynet
McAfee
Bitdefender
Broadcom (Symantec)
Cisco
Fortinet
Acronis

RealBlindingEDR เวอร์ชันพิเศษของกลุ่ม Crypto24 จะดึงชื่อบริษัทจากข้อมูล metadata ของ driver มาเปรียบเทียบกับรายชื่อที่ฝังไว้ในโค้ด และถ้าพบว่าตรงกัน จะปิดการทำงานของ hooks/callbacks ในระดับ kernel เพื่อปิดการตรวจจับของเครื่องมือ

สำหรับผลิตภัณฑ์ของ Trend Micro รายงานระบุว่า ถ้าผู้โจมตีมีสิทธิ์ administrator จะรัน batch script ที่เรียกใช้โปรแกรม ‘XBCUninstaller.

พบเครื่องมือสำหรับปิดการทำงานของระบบ Endpoint Detection and Response (EDR) ตัวใหม่ ซึ่งถือเป็นเวอร์ชันพัฒนาต่อจาก “EDRKillShifter” ที่สร้างโดยกลุ่ม RansomHub ถูกพบว่ากำลังถูกนำไปใช้ในการโจมตีโดยกลุ่มแรนซัมแวร์ถึง 8 กลุ่ม

(more…)

SonicWall ได้แจ้งเตือนให้ผู้ดูแลระบบทำการปิดใช้งาน SSLVPN หลังจากพบกลุ่ม Ransomware มุ่งเป้าโจมตีช่องโหว่ Zero-Day ในไฟร์วอลล์ SonicWall Gen 7 เพื่อเข้าถึงระบบในช่วงที่ผ่านมา (more…)

พบกลุ่ม Ransomware กำลังมุ่งเป้าโจมตี Microsoft SharePoint servers โดยกำหนดเป้าหมายการโจมตีไปที่ช่องโหว่ของ Microsoft SharePoint ซึ่งเป็นส่วนหนึ่งของแคมเปญการโจมตีที่เกิดขึ้นในปัจจุบัน ส่งผลให้เกิดการโจมตีองค์กรกว่า 148 แห่งทั่วโลก (more…)

Microsoft เปิดเผยว่า หนึ่งในกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีช่องโหว่ SharePoint อย่างต่อเนื่อง กำลังใช้ช่องโหว่เหล่านี้เพื่อแพร่กระจายแรนซัมแวร์ Warlock บนระบบเป้าหมาย

Microsoft ระบุในการอัปเดตเมื่อวันพุธว่า ข้อมูลดังกล่าวมาจาก “การวิเคราะห์เชิงลึก และข้อมูลข่าวกรองจากการติดตามพฤติกรรมการโจมตีของกลุ่ม Storm-2603 อย่างต่อเนื่อง”

(more…)

ไวน์แล็บ (WineLab) ร้านค้าปลีกเครื่องดื่มแอลกอฮอล์รายใหญ่ของรัสเซียในเครือ Novabev Group ได้ประกาศปิดให้บริการร้านค้าทั้งหมด หลังเผชิญกับการโจมตีทางไซเบอร์จากแรนซัมแวร์ ซึ่งส่งผลกระทบต่อการดำเนินงาน และก่อให้เกิดปัญหาในการซื้อสินค้าของลูกค้า

(more…)

Veeam ได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่หลายรายการของ Veeam Backup & Replication (VBR) ซึ่งรวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical

CVE-2025-23121 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้ใช้งานในโดเมนที่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดได้ตามที่ต้องการบน Backup Server ได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ ซึ่งอาจส่งผลกระทบต่อความสมบูรณ์ของข้อมูลสำรอง

โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Veeam Backup & Replication 12 หรือใหม่กว่า และได้รับการแก้ไขช่องโหว่แล้วในเวอร์ชัน 12.3.2.3617 โดยช่องโหว่ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ watchTowr และ CodeWhite

แม้ว่า CVE-2025-23121 จะส่งผลต่อการติดตั้ง Veeam Backup & Replication (VBR) ที่เชื่อมโยงกับโดเมนเท่านั้น แต่ผู้ใช้งานใด ๆ ในโดเมน ก็สามารถโจมตีโดยใช้ช่องโหว่ CVE-2025-23121 ได้ ทำให้เกิดการโจมตีได้ง่ายในระบบที่มี configurations ในลักษณะดังกล่าว

ทั้งนี้บริษัทหลายแห่งได้รวม Backup Servers ของตนเข้ากับ Windows Domain โดยไม่ได้ปฏิบัติตาม Veeam's Best Practices ซึ่งแนะนำให้ผู้ดูแลระบบใช้ Active Directory Forest แยกต่างหาก และปกป้องบัญชีผู้ดูแลระบบด้วยการยืนยันตัวตนแบบ Two-Factor Authentication

ในเดือนมีนาคม 2025 Veeam ได้แก้ไขช่องโหว่ RCE อีกรายการหนึ่ง (CVE-2025-23120) ในซอฟต์แวร์ Backup & Replication ของ Veeam ซึ่งส่งผลกระทบต่อ Domain-Joined Installations

กลุ่ม Ransomware เคยให้ข้อมูลกับ BleepingComputer เมื่อหลายปีก่อนว่า พวกเขามักจะโจมตี VBR servers เสมอ เนื่องจากทำให้การขโมยข้อมูลของเหยื่อง่ายขึ้น และป้องกันการกู้คืนข้อมูลด้วยการลบข้อมูลสำรอง ก่อนที่จะนำเพย์โหลดของ Ransomware ไปใช้งานบนเครือข่ายของเหยื่อ

ตามที่ทีม Sophos X-Ops incident responders เปิดเผยในเดือนพฤศจิกายน 2024 ช่องโหว่ VBR RCE อีกรายการ (CVE-2024-40711) ที่ถูกเปิดเผยในเดือนกันยายน 2024 กำลังถูกใช้เพื่อติดตั้ง Frag ransomware

ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Veeam backup servers ที่มีช่องโหว่ในการโจมตีด้วย Akira ransomware และ Fog ransomware ซึ่งเริ่มโจมตีตั้งแต่เดือนตุลาคม 2024

ในอดีตกลุ่ม Cuba ransomware และ FIN7 ซึ่งเป็นกลุ่ม Hacker ที่มีเป้าหมายทางด้านการเงิน ที่มักจะร่วมมือกับกลุ่ม ransomware อื่น ๆ เช่น Conti, REvil, Maze, Egregor และ BlackBasta ก็พบว่าใช้จากช่องโหว่ VBR ในการโจมตีเช่นกัน

ผลิตภัณฑ์ของ Veeam ถูกใช้งานโดยลูกค้ามากกว่า 550,000 รายทั่วโลก รวมถึงบริษัทในกลุ่ม Fortune 500 ถึง 82% และบริษัทในกลุ่ม Global 2,000 ถึง 74%

ที่มา : bleepingcomputer

บริษัทสื่อยักษ์ใหญ่ Lee Enterprises แจ้งเตือนผู้ใช้งานเกือบ 40,000 รายว่าข้อมูลส่วนบุคคลถูกขโมยจากเหตุการณ์แรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 โดยบริษัทเป็นผู้จัดพิมพ์หนังสือพิมพ์รายวัน 77 ฉบับ และสิ่งพิมพ์รายสัปดาห์กว่า 350 ฉบับ ครอบคลุม 26 รัฐ มีผู้อ่านฉบับพิมพ์กว่า 1.2 ล้านรายต่อวัน และผู้อ่านดิจิทัลนับสิบล้านรายต่อเดือน

Lee Enterprises ได้ยื่นเอกสารต่อสำนักงานอัยการรัฐเมนเมื่อสัปดาห์นี้ โดยเปิดเผยว่า จากเหตุการณ์ถูกโจมตีด้วยแรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 แฮ็กเกอร์ได้ขโมยเอกสารที่มีข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 39,779 ราย ซึ่งถูกเข้าถึงโดยไม่ได้รับอนุญาตเมื่อวันที่ 3 กุมภาพันธ์ โดยข้อมูลที่รั่วไหลประกอบไปด้วยชื่อ-นามสกุล และหมายเลขประกันสังคม

(more…)

Nova Scotia Power ออกมายืนยันอย่างเป็นทางการว่าตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ข้อมูลส่วนบุคคลลูกค้าราว 280,000 รายถูกละเมิด

บริษัทสาธารณูปโภคจากแคนาดาระบุเมื่อวันศุกร์ที่ผ่านมาว่า กลุ่มผู้โจมตีสามารถแทรกซึมเข้าสู่ระบบเครือข่ายขององค์กรได้สำเร็จ และได้ทำการเผยแพร่ข้อมูลที่ถูกขโมยออกไป หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ตามที่ถูกเรียกร้อง (more…)