Marina Bay Sands discloses data breach impacting 665,000 customers

Marina Bay Sands (MBS) รีสอร์ท และคาสิโนหรูในสิงคโปร์ได้เปิดเผยการละเมิดข้อมูล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้า 665,000 คน

ตามแถลงการณ์ เหตุการณ์การโจมตีเกิดขึ้นในวันที่ 20 ตุลาคม และผู้ไม่หวังดีสามารถเข้าถึงข้อมูลของสมาชิก MBS loyalty ได้

โดยแถลงการณ์ระบุว่า “Marina Bay Sands ได้รับทราบเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูลในวันที่ 20 ตุลาคม 2023 โดยพบว่าผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสมาชิกโปรแกรมสะสมแต้มของลูกค้าบางส่วนประมาณ 665,000 คนในวันที่ 19 และ 20 ตุลาคม 2023”

ประเภทของข้อมูลที่เปิดเผยในการละเมิดข้อมูลมีดังต่อไปนี้:

ชื่อ
ที่อยู่อีเมล
หมายเลขโทรศัพท์มือถือ
หมายเลขโทรศัพท์
ประเทศที่อยู่อาศัย
หมายเลขสมาชิก และระดับ
ข้อมูลดังกล่าวอาจช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายลูกค้า MBS ในการหลอกลวงประเภทต่าง ๆ เช่น การฟิชชิง และการโจมตีแบบ social engineering
โดยบริษัทระบุว่าจากหลักฐานในปัจจุบันคาดว่าสมาชิกคาสิโน (Sands Rewards Club) ไม่ได้รับผลกระทบจากเหตุการณ์นี้ โดยลูกค้า MBS ที่ข้อมูลส่วนบุคคลของตนรั่วไหลจะได้รับแจ้งเกี่ยวกับการละเมิด และผลกระทบเป็นรายบุคคล

โดยหลังจากการพบเหตุการณ์นี้ MBS ได้รายงานต่อเจ้าหน้าที่ในสิงคโปร์ และประเทศอื่น ๆ ที่เกี่ยวข้อง

แม้ว่าขอบเขตของการโจมตีจะไม่ได้รับการชี้แจงต่อสาธารณะ แต่การโจมตีอาจเกี่ยวข้องกับการโจมตีด้วย ransomware ซึ่งผู้ไม่หวังดีมักขโมยข้อมูลจากเครือข่ายของบริษัทจากนั้นจึงพยายามขู่กรรโชกทรัพย์จากเหยื่อ

อย่างไรก็ตาม ยังไม่มีกลุ่ม ransomware รายใดที่ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี Marina Bay Sands

BleepingComputer ได้ติดต่อ MBS เพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ทาง MBS ปฏิเสธที่จะให้ความเห็นเพิ่มเติมจากรายละเอียดในแถลงการณ์อย่างเป็นทางการ

ที่มา: bleepingcomputer

ICBC ธนาคารพาณิชย์รายใหญ่ที่สุดของโลก ออกมายืนยันการถูกโจมตีด้วยแรนซัมแวร์

ICBC ธนาคารพาณิชย์ยักษ์ใหญ่จากประเทศจีน ออกประกาศยืนยันการถูกโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบทำให้ระบบหยุดชะงักในวันพุธที่ 8 พฤศจิกายน 2023

The Industrial & Commercial Bank of China (ICBC) เป็นธนาคารที่ใหญ่ที่สุดของจีน และเป็นธนาคารพาณิชย์ที่ใหญ่ที่สุดในโลกเมื่อวัดตามรายรับ โดยมีรายได้ 214.7 พันล้านดอลลาร์สหรัฐ และผลกำไร 53.5 พันล้านดอลลาร์จากรายงานในปี 2022 ตามรายงานของ Fortune ธนาคาร ICBC มีลูกค้าระดับองค์กร 10.7 ล้านราย และลูกค้ารายบุคคล 720 ล้านราย โดยมีสาขาในประเทศจำนวน 17,000 แห่ง และมีสาขาใน 41 ประเทศ รวมถึง 13 สาขาทั่วชายฝั่งตะวันออก และตะวันตกของสหรัฐอเมริกา

อัปเดต 10 พฤศจิกายน 2023

ICBC ประกาศยืนยันข้อมูลว่า ในวันที่ 8 พฤศจิกายน 2023 U.S. Eastern Time (9 พฤศจิกายน 2023 ตามเวลาปักกิ่ง) ICBC Financial Services (FS) ได้ถูกโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ระบบ FS บางระบบหยุดชะงัก ทันทีที่พบเหตุการณ์ ICBC FS ก็ตัดการเชื่อมต่อทั้งหมด และแยกระบบที่ถูกโจมตีออกเพื่อควบคุมเหตุการณ์

โดย ICBC FS ได้ดำเนินการสอบสวนอย่างละเอียด และกำลังดำเนินการกู้คืนระบบด้วยการสนับสนุนจากทีมงานผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ICBC FS ยังได้รายงานเหตุการณ์นี้ต่อหน่วยงานบังคับใช้กฎหมายด้วย รวมถึงได้ดำเนินการเคลียร์การซื้อขายในกระทรวงการคลังของสหรัฐฯ ที่ดำเนินการเมื่อวันพุธ (08/11/23) และ Repo financing trades เสร็จสิ้นในวันพฤหัสบดี (09/11/23)

นอกจากนี้ทาง ICBC ระบุว่าระบบธุรกิจ และอีเมลของบริษัททำงานโดยอัตโนมัติจากกลุ่ม ICBC และเหตุการณ์ดังกล่าวไม่ได้ส่งผลกระทบต่อระบบของ ICBC สาขานิวยอร์ก, สำนักงานใหญ่ของ ICBC และสถาบันในเครืออื่น ๆ ทั้งใน และต่างประเทศ

การโจมตีได้รับการยืนยันแหล่งข่าว

ก่อนที่ทาง ICBC จะออกมาประกาศยืนยันว่าได้ถูกโจมตีด้วยแรนซัมแวร์นั้น ทาง BleepingComputer ได้รับข้อมูลยืนยันจากแหล่งข่าวหลายแห่งว่า ICBC ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์

โดยผู้เชี่ยวชาญด้านความปลอดภัย Kevin Beaumont ระบุว่าพบ ICBC Citrix server ที่มีช่องโหว่ครั้งล่าสุดเมื่อวันจันทร์ที่ผ่านมา (06/11/23) และยังไม่ได้มีการอัปเดตเพื่อแก้ไขช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องที่มีชื่อว่า 'Citrix Bleed' ซึ่งช่องโหว่ดังกล่าวทำให้สามารถหลีกเลี่ยงการ authentication ทุกรูปแบบได้อย่างสมบูรณ์ และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ในการโจมตีอย่างต่อเนื่อง รวมทั้งสามารถใช้งาน Remote Desktop PC ได้อย่างสมบูรณ์ไปยัง Citrix server ที่มีช่องโหว่

ที่มา : bleepingcomputer

Microsoft แจ้งเตือน Octo Tempest หนึ่งในกลุ่มแฮ็กเกอร์ที่มีเป้าหมายทางด้านการเงินที่อันตรายที่สุด

Microsoft ได้เผยแพร่ข้อมูลโดยละเอียดของกลุ่มผู้โจมตีที่ใช้ภาษาอังกฤษเป็นภาษาหลัก และมีความสามารถทางด้าน social engineering ขั้นสูง ถูกติดตามในชื่อ Octo Tempest ซึ่งเป็นกลุ่มแฮ็กเกอร์ที่โจมตีบริษัทต่าง ๆ ด้วยการเรียกค่าไถ่ และการโจมตีด้วย ransomware

การโจมตีของ Octo Tempest ได้พัฒนามาอย่างต่อเนื่องนับตั้งแต่ต้นปี 2022 โดยขยายเป้าหมายไปยังองค์กรที่ให้บริการโทรคมนาคมผ่านสายสัญญาณเคเบิล อีเมล และบริการด้านเทคโนโลยี และร่วมมือกับกลุ่ม ransomware ALPHV/BlackCat

เริ่มต้นจากการขโมยบัญชีไปจนถึงการโจมตีด้วย ransomware

กลุ่มผู้โจมตีรายนี้ถูกพบครั้งแรกจากการโจมตีแบบ SIM swaps และขโมยบัญชีของบุคคลที่มีชื่อเสียงที่มีสินทรัพย์ cryptocurrency

ในช่วงปลายปี 2022 Octo Tempest ได้เริ่มใช้การโจมตีแบบฟิชชิ่ง, social engineering, รีเซ็ตรหัสผ่านจำนวนมากของลูกค้าของผู้ให้บริการที่ถูกโจมตี และการขโมยข้อมูล

ในช่วงต้นปีนี้ กลุ่มแฮ็กเกอร์ได้โจมตีบริษัทในอุตสาหกรรมเกม, การโรงแรม, ร้านค้า, การผลิต, เทคโนโลยี และการเงิน รวมถึงผู้ให้บริการในลักษณะ managed service providers (MSPs)

หลังจากเข้าร่วมเป็นพันธมิตรกับกลุ่ม ALPHV/BlackCat กลุ่ม Octa Tempest ได้เริ่มใช้งาน ransomware เพื่อขโมยข้อมูล และเข้ารหัสข้อมูลของเหยื่อ

กลุ่ม Octo Tempest ได้ใช้ประสบการณ์ที่สั่งสมมาในการสร้างการโจมตีที่ทันสมัย และรุนแรงมากขึ้น และยังเริ่มสร้างรายได้จากการโจมตีโดยการรีดไถ่เหยื่อหลังจากขโมยข้อมูล

Microsoft ระบุว่า Octo Tempest ยังใช้วิธีการ physical threats โดยตรงในบางกรณี เพื่อให้ได้ข้อมูลการเข้าสู่ระบบที่จะทำให้การโจมตีของพวกเขามีโอกาสสำเร็จมากขึ้น

อีกเหตุการณ์ที่พบคือ Octo Tempest ได้กลายเป็นพันธมิตรกับกลุ่ม Ransomware ALPHV/BlackCat ตามที่ Microsoft รายงานในเดือนมิถุนายนว่า พวกเขาได้เริ่มต้นใช้ ransomware payloads ทั้ง Windows และ Linux โดยมุ่งเน้นไปที่เซิร์ฟเวอร์ VMware ESXi

เหตุการณ์นี้น่าสนใจตรงที่ในอดีต กลุ่ม ransomware ในยุโรปตะวันออกมักจะปฏิเสธที่จะทำธุรกิจร่วมกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาอังกฤษเป็นภาษาหลัก

โดยการโจมตีล่าสุดของกลุ่มนี้มุ่งเป้าไปที่องค์กรในหลากหลายภาคอุตสาหกรรม รวมถึงธุรกิจเกมส์, ทรัพยากรธรรมชาติ, โรงแรม, สินค้าอุปโภคบริโภค, ร้านค้าปลีก ,ผู้ให้บริการในลักษณะ managed service providers (MSPs), การผลิต, กฎหมาย, เทคโนโลยี และบริการทางด้านการเงิน

Octo Tempest TTPs

Microsoft ประเมินว่า Octo Tempest เป็นกลุ่มที่มีการจัดระเบียบอย่างดี ซึ่งประกอบด้วยสมาชิกที่มีความรู้ด้านเทคนิคอย่างกว้างขวาง และผู้ปฏิบัติงานแบบ hands-on-keyboard หลายคน

โดยผู้โจมตีมักได้รับสิทธิ์ในการเข้าถึงระบบของเหยื่อเบื้องต้นผ่านทางการโจมตีแบบ social engineering ขั้นสูง ที่มุ่งเป้าไปที่บัญชีของผู้ดูแลระบบด้านเทคนิค (เช่น พนักงานฝ่ายสนับสนุน และบริการช่วยเหลือ) ซึ่งมีสิทธิ์มากพอที่จะดำเนินการโจมตีในลักษณะอื่น ๆ ต่อไป

พวกเขาทำการศึกษาข้อมูลเกี่ยวกับบริษัทของเหยื่อ เพื่อระบุเป้าหมายที่พวกเขาสามารถปลอมแปลงได้ ซึ่งรวมถึงการเลียนแบบการพูดของบุคคลในการสนทนาทางโทรศัพท์

ด้วยการทำเช่นนี้พวกเขาจึงสามารถหลอกผู้ดูแลระบบด้านเทคนิค ให้รีเซ็ตรหัสผ่าน และรีเซ็ตวิธีการตรวจสอบสิทธิ์แบบหลายขั้นตอน (MFA) ได้

วิธีการโจมตีอื่น ๆ สำหรับขั้นตอน Initial access ได้แก่ :

การหลอกเป้าหมายให้ติดตั้งซอฟต์แวร์สำหรับการติดตาม และการจัดการระยะไกล
การขโมยข้อมูลเข้าสู่ระบบผ่านเว็บไซต์ฟิชชิง
การซื้อข้อมูลเข้าสู่ระบบ หรือ session tokens จากอาชญากรไซเบอร์รายอื่น
การโจมตีแบบ SMS phishing ด้วยลิงก์ไปยังเว็บไซต์ปลอมที่ดักจับข้อมูลรหัสผ่าน
การโจมตีแบบ SIM-swapping หรือ call forwarding
การคุกคามโดยตรง หรือใช้ความรุนแรง

เมื่อได้สิทธิ์เข้าถึงที่เพียงพอแล้ว กลุ่ม Octo Tempest จะเริ่มขั้นตอนการสำรวจการโจมตีโดยการระบุโฮสต์ และบริการ และรวบรวมข้อมูลที่จะช่วยให้สามารถใช้ประโยชน์จากช่องทางที่ถูกต้องเพื่อดำเนินการโจมตีต่อไป

จากนั้น Octo Tempest จะดำเนินการสำรวจโครงสร้างของระบบ ระบุสิทธิ์การเข้าถึง และ resources ของ cloud environments, code repositories, ระบบจัดการเซิร์ฟเวอร์ และระบบสำรองข้อมูล เพื่อยกระดับสิทธิ์ ผู้โจมตีจะกลับไปใช้วิธีการ social engineering, SIM-swapping หรือ call forwarding และเริ่มต้นการรีเซ็ตรหัสผ่านด้วยตนเองของบัญชีเป้าหมาย

ในขั้นตอนนี้ แฮ็กเกอร์จะสร้างความเชื่อใจกับเหยื่อ โดยใช้บัญชีที่ถูกขโมย และแสดงให้เห็นว่ามีความเข้าใจในขั้นตอนการทำงานของบริษัท ซึ่งหากแฮ็กเกอร์เข้าถึงบัญชีที่มีสิทธิ์สูงได้ ก็จะทำการอนุมัติคำขอรับสิทธิ์การเข้าถึงที่เพิ่มขึ้นได้ด้วยตนเอง

เมื่อไรก็ตามที่ Octo Tempest สามารถเข้าถึงระบบได้ พวกเขาจะค้นหาข้อมูล credentials เพิ่มเติม เพื่อขยายขอบเขตของการโจมตี ด้วยการใช้เครื่องมืออย่าง Jercretz และ TruffleHog เพื่อทำงานอัตโนมัติในการค้นหา plaintext keys, ข้อมูลที่เป็นความลับ และรหัสผ่านที่อยู่ใน code repositories

เพื่อปกปิดร่องรอย แฮ็กเกอร์ยังโจมตีบัญชีของเจ้าหน้าที่ด้านความปลอดภัยด้วย เพื่อให้พวกเขาสามารถปิดใช้งานผลิตภัณฑ์ และคุณสมบัติด้านความปลอดภัยได้

โดยข้อมูลจาก Microsoft ระบุว่า Octo Tempest จะพยายามซ่อนตัวตนของตนเองบนเครือข่ายโดยการปิดการใช้งานการแจ้งเตือนการเปลี่ยนแปลง และแก้ไข mailbox rules เพื่อลบอีเมลที่อาจทำให้เหยื่อสงสัยเรื่องการละเมิดความปลอดภัย

นักวิจัยให้รายละเอียดเพิ่มเติมเกี่ยวกับเครื่องมือและเทคนิคที่ Octo Tempest ใช้ในการโจมตี ได้แก่:

เครื่องมือโอเพ่นซอร์ส : ** ScreenConnect, FleetDeck, AnyDesk, RustDesk, Splashtop, Pulseway, TightVNC, LummaC2, Level.

การโจมตีด้วยแรนซัมแวร์เพิ่มขึ้นเป็นสองเท่า เตรียมพร้อมสำหรับภัยคุกคามทางไซเบอร์ในปี 2024

การโจมตีด้วยแรนซัมแวร์มีความซับซ้อน และความสามารถเพิ่มขึ้นอย่างมากในช่วงปีที่ผ่านมา ตั้งแต่เทคนิคการหลีกเลี่ยงการตรวจจับ และเทคนิคป้องกันการวิเคราะห์ใหม่ ๆ ไปจนถึงแรนซัมแวร์ที่ถูกเขียนด้วยภาษาโปรแกรมใหม่ ๆ กลุ่มแรนซัมแวร์ได้ปรับเปลี่ยนกลยุทธ์ของตนเองเพื่อหลีกเลี่ยงกลยุทธ์ป้องกันทั่วไปได้อย่างมีประสิทธิภาพมากขึ้น (more…)

พบการละเมิดข้อมูล National Student Clearinghouse ส่งผลกระทบต่อโรงเรียน 890 แห่ง

National Student Clearinghouse (NSC) องค์กรที่ไม่แสวงหากำไรด้านการศึกษาของสหรัฐฯ เปิดเผยการถูกเข้าถึงข้อมูลที่ทำให้ส่งผลกระทบต่อโรงเรียนกว่า 890 แห่งที่ใช้บริการต่าง ๆ ทั่วทั้งสหรัฐอเมริกา

ในจดหมายแจ้งเตือนที่ยื่นต่อสำนักงานอัยการสูงสุดของแคลิฟอร์เนีย Clearinghouse ระบุว่าผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ MOVEit managed file transfer (MFT) เมื่อวันที่ 30 พฤษภาคม และขโมยไฟล์ที่มีข้อมูลส่วนบุคคลจำนวนมากออกไป

"เมื่อวันที่ 31 พฤษภาคม 2023 Clearinghouse ได้รับแจ้งจากผู้ให้บริการซอฟต์แวร์ third-party ของเราเกี่ยวกับปัญหาด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับโซลูชัน MOVEit Transfer ของผู้ให้บริการ"

“หลังจากทราบปัญหานี้แล้ว องค์กรได้เริ่มการสอบสวนทันทีโดยได้รับการสนับสนุนจากผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ชั้นนำ นอกจากนี้ยังได้ประสานงานกับหน่วยงานบังคับใช้กฎหมายด้วย”

ข้อมูลส่วนบุคคลที่ถูกขโมยออกไปนั้น ประกอบด้วยชื่อ วันเกิด ข้อมูลติดต่อ หมายเลขประกันสังคม หมายเลขประจำตัวนักเรียน และบันทึกที่เกี่ยวข้องกับโรงเรียนบางส่วน เช่น บันทึกการลงทะเบียน บันทึกการศึกษาระดับปริญญา และข้อมูลระดับหลักสูตร

NSC ให้บริการการรายงานทางการศึกษา การแลกเปลี่ยนข้อมูล การตรวจสอบ และการวิจัยแก่โรงเรียนมัธยมประมาณ 22,000 แห่ง วิทยาลัย และมหาวิทยาลัยประมาณ 3,600 แห่ง และพบว่ามีผู้เข้าร่วมลงทะเบียนประมาณ 97% ของนักเรียนในสถาบันของรัฐ และเอกชน โดยในเดือนสิงหาคม NSC เปิดเผยในการยื่นเรื่องการละเมิดข้อมูลกับอัยการสูงสุดของรัฐเมน ว่ามีผู้ใช้งานมากกว่า 51,500 คนได้รับผลกระทบจากเหตุการณ์ดังกล่าว

กลุ่มแรนซัมแวร์ Clop ที่อยู่เบื้องหลังการแฮ็ก MoveIT

กลุ่ม Clop ransomware เป็นผู้ที่ออกมายอมรับการอยู่เบื้องหลังการโจมตีเพื่อขโมยข้อมูลจำนวนมาก ซึ่งเริ่มตั้งแต่เมื่อวันที่ 27 พฤษภาคม 2023 โดยใช้ประโยชน์จากช่องโหว่ zero-day ในแพลตฟอร์มสำหรับถ่ายโอนไฟล์ที่มีความปลอดภัยอย่าง MOVEit Transfer

โดยตั้งแต่วันที่ 15 มิถุนายน อาชญากรไซเบอร์เริ่มขู่กรรโชกองค์กรที่ตกเป็นเหยื่อของการโจมตี โดยเปิดเผยรายชื่อขององค์กรที่ถูกโจมตีไวับนไซต์ที่ใช้สำหรับโพสต์ข้อมูลรั่วไหลบน Dark Web ซึ่งคาดว่าจะส่งผลกระทบต่อองค์กรหลายร้อยแห่งทั่วโลก โดยหลายแห่งได้แจ้งให้ลูกค้าที่ได้รับผลกระทบทราบแล้วในช่วงสี่เดือนที่ผ่านมา

อย่างไรก็ตาม คาดว่ากลุ่ม Clop ransomware จะเรียกเก็บเงินประมาณ 75-100 ล้านดอลลาร์ เนื่องจากจำนวนเงินค่าไถ่ที่สูงเกินไปที่เหยื่อจะยอมจ่าย แม้จะมีเหยื่อจากการโจมตีจำนวนมาก แต่ที่จาก Coveware ประมาณการ ชี้ให้เห็นว่ามีเพียงเหยื่อเฉพาะบางกลุ่มเท่านั้นที่มีแนวโน้มว่าจะยอมจ่ายเงินค่าไถ่ตามการเรียกร้องของ Clop

จากรายงานยังเผยให้เห็นด้วยว่าหน่วยงานรัฐบาลกลางของสหรัฐอเมริกาหลายแห่ง และหน่วยงานกระทรวงพลังงานของสหรัฐอเมริกา (DOE) สองแห่งตกเป็นเหยื่อของการโจรกรรมข้อมูล และการโจมตีเพื่อกรรโชกทรัพย์ในคร้งนี้

ที่มา : bleepingcomputer

กลุ่ม Rhysida ransomware อ้างการโจมตี Prospect Medical และขู่ว่าจะขายข้อมูลที่ขโมยมา

กลุ่ม Rhysida ransomware ได้ออกมาแสดงความรับผิดชอบต่อการโจมตีทางไซเบอร์ครั้งใหญ่ต่อ Prospect Medical Holdings โดยอ้างว่าได้ขโมยหมายเลขประกันสังคม, เอกสารของบริษัท และบันทึกผู้ป่วยกว่า 500,000 รายการ ซึ่งเชื่อว่าเหตุการณ์ดังกล่าวเกิดขึ้นเมื่อวันที่ 3 สิงหาคม โดยพนักงานของบริษัทได้พบข้อความเรียกค่าไถ่บนหน้าจอที่ระบุว่าเครือข่ายถูกแฮ็ก และอุปกรณ์ถูกเข้ารหัส (more…)

Ransomware ** ใช้เวลาในการโจมตีลดลงเหลือ 5 วัน โดย RDP ยังเป็นช่องทางการโจมตีหลัก

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลสถิติ โดยพบว่าการโจมตีจาก Ransomware ใช้เวลาในการโจมตีเพื่อเข้าถึงระบบ ก่อนที่จะถูกตรวจจับได้น้อยลงกว่าเดิม โดยเฉลี่ยจาก 9 วัน ในปี 2022 เหลือ 5 วันในปัจจุบัน จากการเก็บข้อมูลสถิติการโจมตี Ransomware ช่วงครึ่งปีแรกของปี 2023 (more…)

มหาวิทยาลัยชื่อดังในแคนาดาถูกแรนซัมแวร์โจมตีระบบอีเมล

University of Waterloo มหาวิทยาลัยในแคนาดา ออกมายืนยันในสัปดาห์ที่ผ่านมาว่ากำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่เกิดขึ้นกับระบบอีเมลของมหาวิทยาลัย

เมื่อวันพุธที่ผ่านมา รองประธานมหาวิทยาลัย 'Jacinda Reitsma' ระบุว่า มหาวิทยาลัยได้หยุดการโจมตีจากแรนซัมแวร์ที่พยายามเข้าสู่ระบบในวันที่ 30 พฤษภาคม และกำลังดำเนินการเพื่อจำกัดผลกระทบจากการละเมิดข้อมูล โดยมหาวิทยาลัยดังกล่าวตั้งอยู่ในเวตเตอร์ลู รัฐออนแทริโอ มีนักศึกษากว่า 40,000 คน

Reitsma ระบุว่า บริการอีเมล Microsoft Exchange ในวิทยาเขตของโรงเรียนได้รับผลกระทบจากการโจมตีจากแรนซัมแวร์ โดยผู้ใช้บริการอีเมลที่ใช้บนระบบคลาวด์จะไม่ได้รับผลกระทบจากการโจมตีครั้งนี้

แต่เนื่องจากการโจมตีดังกล่าว ทางมหาวิทยาลัยต้องปิดการใช้งานระบบอีเมลชั่วคราว ส่งผลให้นักศึกษาไม่สามารถเข้าสู่ระบบ หรือสร้างบัญชีใหม่ได้ นักศึกษายังไม่สามารถเข้าสู่แพลตฟอร์มการศึกษาอื่น ๆ ด้วยข้อมูลประจำตัวทางอีเมลได้ เช่น Workday, Waterloo LEARN และอื่น ๆ

Reitsma ระบุเพิ่มเติมว่า "มหาวิทยาลัยทราบถึงการละเมิดความปลอดภัยที่เกี่ยวข้องกับบริการอีเมลภายในของเรา (Microsoft Exchange) ซึ่งปัจจุบันบริการนี้ถูกแยกออกจากบริการอื่น ๆ แล้ว และปัจจุบันบัญชี Microsoft Exchange ส่วนใหญ่ของมหาวิทยาลัยอยู่บนระบบคลาวด์ และไม่ได้รับผลกระทบ "

"ดังนั้นสำหรับบุคคลส่วนใหญ่ในมหาวิทยาลัย การเข้าถึงอีเมลจะไม่ได้รับผลกระทบ โดยมหาวิทยาลัยกำลังดำเนินการตรวจสอบผลกระทบจากการละเมิดความปลอดภัยนี้ อาจมีความจำเป็นที่จะต้องแยกบริการออกจากกัน ซึ่งทำให้บางระบบอาจไม่สามารถเข้าถึงได้ตลอดทั้งวัน"

เมื่อวันพฤหัสบดีที่ผ่านมา ทางมหาวิทยาลัยได้แถลงการณ์ว่า จะเริ่มการปิดระบบ และรีเซ็ตระบบทั้งหมดใหม่ในคืนวันพฤหัสบดีซึ่งจะใช้เวลาประมาณหกชั่วโมง

การเข้าถึงทรัพยากรออนไลน์ของห้องสมุดในมหาวิทยาลัย รวมถึง Omni และการจองหลักสูตรได้รับผลกระทบจากการหยุดทำงาน มหาวิทยาลัยได้อธิบายสถานการณ์ให้แก่นักศึกษา และคณาจารย์ทราบเกี่ยวกับเหตุการณ์ที่เกิดขึ้น

เมื่อวันศุกร์ที่ผ่านมา Reitsma ได้แถลงการณ์ว่า การรีเซ็ตเสร็จสมบูรณ์แล้ว แต่ได้แจ้งนักศึกษา และคณาจารย์จะต้องทำการเปลี่ยนรหัสผ่านก่อนวันที่ 8 มิถุนายน ผู้ที่ทำการเปลี่ยนรหัสผ่านไม่ทันจะถูกล็อคออกจากบัญชี และจำเป็นต้องได้รับความช่วยเหลือจากทีมไอทีของมหาวิทยาลัย

ยังไม่มีกลุ่มแรนซัมแวร์ใดออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตีในเหตุการณ์ครั้งนี้ โดยในปี 2023 ประเทศแคนาดาได้เผชิญกับการโจมตีจากแรนซัมแวร์หลายครั้งในสถาบันขนาดใหญ่

สำนักพิมพ์ Indigo ของแคนาดาที่มียอดขายหลายพันล้านดอลลาร์ก็พึ่งถูกกลุ่มแรนซัมแวร์ Lockbit โจมตีในเดือนกุมภาพันธ์ และพิพิธภัณฑ์แห่งชาติแคนาดาก็ถูกแรนซัมแวร์โจมตีเมื่อสามสัปดาห์ที่ผ่านมา

อ้างอิง : https://therecord.

ธนาคารขนาดใหญ่ในสเปนยืนยันการถูกโจมตีจากแรนซัมแวร์

หนึ่งในผู้ให้บริการทางการเงินรายใหญ่ในสเปนแจ้งว่า กำลังรับมือกับการโจมตีจากแรนซัมแวร์ที่ส่งผลกระทบต่อสำนักงานหลายแห่ง

Globalcaja ที่ตั้งอยู่ในเมือง Albacete ในสเปน มีสำนักงานกว่า 300 แห่งทั่วประเทศ และให้บริการแก่ประชาชนกว่า 500,000 คน ด้วยบริการทางการเงินหลากหลายประเภท ธนาคารนี้จัดการกับสินเชื่อผู้บริโภคมากกว่า 1.6 พันล้านเหรียญสหรัฐ และมีพนักงานกว่า 1,000 คน

กลุ่มแรนซัมแวร์ Play ได้ประกาศในสัปดาห์นี้ว่าได้โจมตีธนาคาร และขโมยข้อมูลที่เป็นความลับที่เกี่ยวกับข้อมูลส่วนตัว และความลับของลูกค้า และเอกสารของพนักงาน เช่น หนังสือเดินทาง, สัญญา และอื่น ๆ ซึ่งจำนวนข้อมูลที่ถูกขโมยมายังไม่ถูกเปิดเผย

ธนาคารได้เผยแพร่แถลงการณ์เมื่อวันศุกร์ที่ผ่านมายืนยันว่า คอมพิวเตอร์ในสำนักงานท้องถิ่นหลายแห่งกำลังถูกโจมตีด้วยแรนซัมแวร์

"การโจมตีไม่ส่งผลกระทบต่อการทำธุรกรรมขององค์กร (รวมถึงบัญชี และข้อกำหนดของลูกค้า) สำนักงานต่าง ๆ กำลังดำเนินการตามปกติสำหรับธุรกรรมทางอิเล็กทรอนิกส์ และตู้เอทีเอ็ม" ธนาคารระบุในแถลงการณ์

"เมื่อตรวจพบการโจมตี Globalcaja ได้เปิดใช้งานโปรโตคอลด้านความปลอดภัยที่สร้างขึ้นเพื่อวัตถุประสงค์นี้ ซึ่งทำให้ธนาคารต้องปิดการทำงานของสำนักงานบางแห่ง และจำกัดการดำเนินการบางอย่างชั่วคราว และกำลังทำงานอย่างหนักเพื่อที่จะทำให้สถานะการณ์กลับสู่สถานะปกติ และกำลังวิเคราะห์สิ่งที่เกิดขึ้นโดยให้ความสำคัญกับความปลอดภัยเสมอ ขออภัยในความไม่สะดวกที่เกิดขึ้น"

บริษัทไม่ได้ตอบสนองต่อคำร้องให้แสดงความคิดเห็นเกี่ยวกับการจ่ายค่าไถ่

สถาบันการเงินในสเปนตกเป็นเป้าหมายของผู้ไม่หวังดีมานาน แต่ตั้งแต่ในปี 2023 ซึ่งสเปนกำลังเผชิญกับเหตุการณ์แรนซัมแวร์มากขึ้น โดยมีอีกหนึ่งการโจมตีที่ทำให้ระบบของโรงพยาบาลในบาร์เซโลนาหยุดการทำงาน และอีกเหตุการณ์หนึ่งกับบริษัทสวนสนุกในสเปน

กลุ่มแรนซัมแวร์ Play ปรากฏตัวครั้งแรกในเดือนกรกฎาคม 2022 โดยมุ่งเป้าไปที่หน่วยงานของรัฐในทวีปละตินอเมริกา ตามรายงานของ Trend Micro และเมื่อเร็ว ๆ นี้ กลุ่มดังกล่าวมีการโจมตีไปที่เมือง Oakland ซึ่งใช้เวลาหลายสัปดาห์ในการกู้คืนระบบจากเหตุการณ์ดังกล่าว

โดยกลุ่มนี้ยังได้โจมตีเมือง Lowell ในรัฐแมสซาซูเซตส์ รวมถึงบริษัทหลายแห่งในยุโรปอีกด้วย

อ้างอิง : https://therecord.

Buhti กลุ่มแรนซัมแวร์ใหม่ มุ่งเป้าการโจมตีไปยัง Windows และ Linux

แรนซัมแวร์ตัวใหม่ชื่อ 'Buhti' ใช้โค้ดที่รั่วไหลออกมาของแรนซัมแวร์ LockBit และ Babuk ในการโจมตี ที่กำหนดเป้าหมายไปยังระบบปฏิบัติการ Windows และ Linux ผู้โจมตีที่อยู่เบื้องหลัง Buhti ในชื่อ 'Blacktail' ยังไม่ได้พัฒนาแรนซัมแวร์ด้วยตนเอง แต่สร้างเฉพาะยูทิลิตี้เพื่อใช้ในการขโมยข้อมูลสำหรับแบล็กเมล์เหยื่อ
Buhti ถูกพบครั้งแรกในเดือนกุมภาพันธ์ 2023 โดยทีม Unit 42 ของ Palo Alto Networks ซึ่งระบุว่าเป็นแรนซัมแวร์ที่กำหนดเป้าหมายไปยัง Linux ซึ่งพัฒนาโดยภาษา Go-based

รายงานที่เผยแพร่ในวันนี้โดยทีม Threat Hunter ของ Symantec แสดงให้เห็นว่า Buhti ยังมุ่งเป้าไปที่ Windows ด้วย โดยใช้ LockBit 3.0 ที่ถูกปรับเปลี่ยนในชื่อ "LockBit Black"

Blacktail ใช้เครื่องมือสำหรับสร้าง Windows LockBit 3.0 ที่รั่วไหลบน Twitter ในเดือนกันยายน 2022 ซึ่งเมื่อโจมตีสำเร็จจะเปลี่ยนวอลเปเปอร์ของคอมพิวเตอร์ที่ถูกโจมตีเพื่อให้เหยื่อเปิดบันทึกเรียกค่าไถ่ ในขณะที่ไฟล์ที่เข้ารหัสทั้งหมดจะได้ถูกต่อท้านนามสกุลด้วย ".buthi"

(more…)