โรงพยาบาลแห่งมหาวิทยาลัย New Jersey ใน Newark ออกมาให้สัมภาษณ์และยอมรับกับ Bleeping Computer หลังจากที่ทางโรงพยาบาลฯ ตัดสินใจจ่ายค่าไถ่ให้กับกลุ่มมัลแวร์เรียกค่าไถ่ Suncrypt กว่า 20 ล้านบาท เพื่อแลกกับการไม่ปล่อยข้อมูลของคนไข้ขนาด 240 กิกะไบต์

อ้างอิงจากการสัมภาษณ์ Suncrypt มีการเรียกค่าไถ่จำนวนกว่า 1.7 ล้านดอลลาร์สหรัฐฯ หรือประมาณ 53 ล้านบาท ทั้งนี้กลุ่ม Suncrypt ยอมที่จะตกลงลดราคาเนื่องจากสถานการณ์ COVID-19 และด้วยเหตุผลในการต่อรองอื่น ๆ

ทาง UNHJ ซึ่งเป็นตัวแทนของโรงพยาบาลออกมายอมรับว่า ทางโรงพยาบาลต้องการที่จะยับยั้งการรั่วไหลของข้อมูลของคนไข้เป็นอันดับแรก การเจรจาและการยอมจ่ายค่าไถ่จึงเริ่มขึ้น

หลังจากการโจมตี Bleeping Computer ได้มีการติดต่อกลุ่ม SunCrypt และได้รับการยืนยันว่ากลุ่ม SunCrypt จะไม่พุ่งเป้าโจมตีระบบของกลุ่มสาธารณสุขอีกต่อไป โดยอ้างว่า "We don't play with people's lives.

นักวิจัยด้านความปลอดภัย Michael Gillespie ประกาศการค้นพบมัลแวร์เรียกค่าไถ่ใหม่ "Egregor" ซึ่งใช้วิธีการขู่เรียกค่าไถ่ด้วยข่มขู่ที่จะปล่อยข้อมูลที่ได้จากการโจมตี มีการค้นพบเหยื่อจาก Egregor แล้วคือบริษัทโลจิสติกส์ระดับโลก GEFCO

ผลการวิเคราะห์ตัวอย่างของมัลแวร์เรียกค่าไถ่เบื้องต้นบ่งชี้ความเหมือนของโค้ดระหว่าง Egregor และมัลแวร์เรียกค่าไถ่ Sekhmet ซึ่งเคยมีการแพร่กระจายในช่วงเดือนมิถุนายนที่ผ่านมา ส่วนของโค้ดของมัลแวร์ Egregor เองประกอบไปด้วยวิธีการ anti-analysis หลายรูปแบบ รวมไปถึงมีการทำ code obfuscation, packing และมีความยืดหยุ่นในการกำหนดฟังก์ชันการใช้งานด้วย ส่งผลให้คะแนนด้านความอันตรายของ Egregor มีสูงเทียบเท่ากับมัลแวร์เรียกค่าไถ่สายพันธุ์อื่น

IOC ของ Egregor ถูกเผยแพร่แล้วที่ AlienVault OTX (https://otx.

กลุ่มแฮกเกอร์ซึ่งอยู่เบื้องหลังการแพร่กระจายของมัลแวร์เรียกค่าไถ่ SunCrypt ซึ่งมีเอกลักษณ์ของการเป็นมัลแวร์เรียกค่าที่ไฟล์มัลแวร์เป็นโค้ด PowerShell นั้นมีการปรับเปลี่ยนกลยุทธิ์ในการกระตุ้นให้เหยื่อจ่ายค่าไถ่โดยการโจมตีแบบ DDoS ใส่ระบบ

DDoS extortion เป็นหนึ่งในวิธีการโจมตีซึ่งมีมานานแล้วและเคยได้รับความนิยมอยู่ช่วงหนึ่ง อ้างอิงจากการรายงานของ Bleeping Computer พฤติกรรมของ SunCrypt แตกต่างจากการทำ DDoS extortion โดยตรงเนื่องจากการโจมตีแบบ DDoS ในรูปแบบนี้เป็นเพียง "พระรอง" ในการกระตุ้นให้เหยื่อรีบจ่ายค่าไถ่หลังจากที่ "พระเอก" คือมัลแวร์เรียกค่าไถ่ทำการเข้ารหัสข้อมูลเสร็จเรียบร้อยแล้ว

จากประสบการณ์ของทางไอ-ซีเคียว วิธีการในลักษณะนี้ถือเป็นลักษณะหนึ่งของการโจมตีแบบ social engineering เช่นเดียวกับการสร้างเงื่อนไขการเพิ่มขึ้นของค่าไถ่หากไม่จ่ายในเวลาที่กำหนด อย่างไรก็ตามวิธีการนี้อาจส่งผลด้านลบต่อธุรกิจของ ransomware มากกว่าเมื่อเทียบกับการเรียกค่าไถ่ให้สูง แล้วรอให้เหยื่อมาต่อราคาลงถึงจุดที่รับได้ เนื่องจากเหยื่ออาจมีความยินดีที่จะจ่ายมากกว่า

ที่มา : bleepingcomputer

กระทรวงการคลังสหรัฐฯ กล่าวเมื่อวานนี้ว่าการจ่ายค่าไถ่ให้กับ Ransomware โดยเหยื่อ ผู้ที่ได้รับผลกระทบหรือแม้แต่ตัวกลางของบริษัทต่าง ๆ อาจถือเป็นการละเมิดมาตรการคว่ำบาตรซึ่งรัฐบาลกำหนดไว้

Office of Foreigh Assetrs Control (OFAC) ซึ่งเป็นหน่วยงานภายใต้กระทรวงการคลังสหรัฐฯ และเป็นผู้ควบคุมการคว่ำบาตรออกมาอธิบายถึงการจ่ายค่าไถ่เพิ่มเติมว่า บริษัทหรือองค์กรใดๆ ซึ่งดำเนินการจ่ายค่าไถ่ให้กับมัลแวร์เรียกค่าไถ่ไม่ว่าองค์กรเหล่านั้นจะเป็นผู้ที่ได้รับผลกระทบเองหรือไม่นอกจากจะเป็นการสนับสนุนให้เกิดการโจมตีต่อไปแล้ว การจ่ายค่าไถ่อาจเป็นการละเมิดข้อห้ามหรือมาตรการคว่ำบาตรทางเศรษฐกิจซึ่งรัฐบาลกำหนดเอาไว้ ซึ่งอาจทำให้เกิดผลกระทบและกลายเป็นประเด็นความมั่นคงของชาติ

ทั้งนี้ OFAC ออกมาให้คำแนะนำเพิ่มเติมว่า ผู้ที่ได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่ควรมีการรวบรวมหลักฐานและมีการประสานงานกับหน่วยงานด้านกฎหมายเพื่อหาแนวทางในการดำเนินการกับสถานการณ์โดยทันที โดยกระบวนการจ่ายค่าไถ่นั้นอาจจำเป็นที่จะต้องถูกตรวจสอบโดย OFAC ก่อนดำเนินการเป็นรายกรณีไปภายใต้ดุลยพินิจของ OFAC เอง

ที่มา : bleepingcomputer

 

แรนซัมแวร์โจมตีโรงพยาบาลในเยอรมันทำให้ผู้ป่วยเสียชีวิต

เมื่อวันที่ 10 กันยายนที่ผ่านมาระบบเครือข่ายของโรงพยาบาลมหาวิทยาลัย Düsseldorf (University Hospital Düsseldorf - UKD) ในประเทศเยอรมนีได้รับการโจมตีจากแรนซัมแวร์จนไม่สามารถทำการได้ จึงทำให้ผู้ป่วยที่อยู่ในสภาวะฉุกเฉินถูกส่งไปยังโรงพยาบาลอีกเเห่งหนึ่งจึงเป็นเหตุทำให้ผู้ป่วยเสียชีวิตลงเนื่องจากได้รับการช่วยเหลือทางการเเพทย์ช้าไป

จากรายงานของหน่วยงาน Bundesamt für Sicherheit in der Informationstechnik (BSI) ของเยอรมันได้เปิดเผยว่าการโจมตีที่เกิดขึ้นนั้นเกิดจากผู้บุกรุกใช้ประโยชน์จากช่องโหว่ CVE-2019-19781 (Citrix ADC) ซึ่งช่องโหว่นี้ถูกค้นพบและถูกเผยเเพร่แล้วตั้งเเต่เดือนมกราคม 2020 และได้ทำการออกเเพตช์เเก้ไขช่องโหว่แล้วตั้งเเต่เดือนมกราคม 2020 หลังจากการโจมตีระบบไอทีของโรงพยาบาลได้หยุดชะงักจึงทำให้ผู้ป่วยที่ต้องการการดูแลฉุกเฉินถูกนำทางไปยังโรงพยาบาลที่ห่างไกลกว่าเพื่อรับการรักษาแทน

ซึ่งหลังจากการโจมตีหน่วยงานตำรวจเมือง Düsseldorf ของเยอรมนีได้ทำการติดต่อไปยังผู้ปฏิบัติการที่ทำการโจมตีเรียกค่าไถ่และได้อธิบายว่าเป้าหมายของพวกเขาคือโรงพยาบาลและได้รับผลกระทบอย่างมากจนมีผู้เสียชีวิต ซึ่งหลังผู้ปฏิบัติการการโจมตีได้รับรู้แล้วจึงส่งมอบคีย์ที่ใช้ในการถอดรหัสจึงทำให้โรงพยาบาลสามารถทำการกู้คืนระบบได้

ทั้งนี้เนื่องจากผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยซึ่งผู้ดูแลระบบไม่ได้
ทำการอัปเดตเเพตช์จึงทำให้เกิดการบุกรุกเครือข่ายได้ ผู้ดูแลระบบควรทำการตรวจสอบระบบและควรทำการเเพตช์อย่างเร่งด่วนเพื่อป้องกันการโจมตีระบบ

ที่มา: bleepingcomputer.

กลุ่มผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่หันมาขโมยข้อมูลก่อนที่จะปล่อยมัลแวร์เข้ารหัสไฟล์มากขึ้นเพื่อข่มขู่เหยื่อให้ยอมจ่ายค่าไถ่ ไม่อย่างนั้นจะปล่อยข้อมูลที่ขโมยมา โดยเทคนิคข่มขู่นี้เริ่มมาจาก Maze ransomware ในเดือนธันวาคม 2019 และมีกลุ่มที่ดำเนินรอยตามอีกมาก รวมไปถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ Conti

มัลแวร์เรียกค่าไถ่ Conti พบครั้งแรกในช่วงเดือนมิถุนายน 2020 จากการวิเคราะห์พบว่ามัลแวร์นี้น่าจะมาจากกลุ่มทีเคยอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Ryuk มาก่อน โดย Conti แพร่กระจายผ่าน TrickBot และมีโค้ดแบบเดียวกับ Ryuk ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมามีนักวิจัยรายงานการค้นพบเว็บไซต์สำหรับปล่อยข้อมูลผู้ที่ตกเป็นเหยื่อ Conti ซึ่งมีข้อมูลของเหยื่อแล้วกว่า 26 ราย

ZDNet ระบุว่าเทรนด์การขโมยข้อมูลก่อนเรียกค่าไถ่นี้ทำให้องค์กรต้องเพิ่มความสามารถในการรับมือตรวจสอบภัยคุกคามมากขึ้นกว่าแค่กู้คืนระบบ ต้องมีการตรวจสอบหากมี backdoor หลงเหลืออยู่ในระบบ รวมถึงต้องมีการประกาศข้อมูลรั่วไหลหากพบว่าข้อมูลผู้ใช้งานหรือพนักงานถูกขโมยออกไป

ที่มา

bleepingcomputer.

บริษัท Coveware, Emsisoft และ Recorded Future ได้ออกรายงานการจัดอันดับภัยคุกคามและช่องทางที่ถูกใช้โจมตีจากกลุ่ม Ransomware ซึ่งรายงานครึ่งปี 2020 ที่ผ่านมานั้นพบว่าช่องทางการโจมตีด้วย Remote Desktop Protocol (RDP), VPN และ Email phishing ยังได้รับความนิยมและถูกใช้อย่างเเพร่หลายและเป็นจุดเริ่มต้นของปฏิบัติการ Ransomware เพื่อใช้ในการโจมตีและหาประโยชน์ต่างๆ จากองค์กรที่ถูกบุกรุก

จากรายงานและการเก็บสถิติจาก Coveware และ Emsisoft พบว่า Remote Desktop Protocol (RDP) ถูกจัดให้เป็นอันดับหนึ่งในการใช้เป็นช่องทางการบุกรุกของกลุ่มปฏิบัติการ Ransomware เนื่องจากการใช้งาน RDP นั้นถูกใช้งานอย่างกว้างขวางและเป็นช่องทางในการเข้าถึงคอมพิวเตอร์ของผู้ใช้โดยตรงและยังสามารถติดตั้ง Ransomware และมัลแวร์อื่น ๆ ได้อีกด้วย

อันดับที่สองที่พบว่าถูกใช้ในการบุกรุกนั้นคือการใช้งานช่องโหว่ต่างๆ ของ VPN นับตั้งแต่กลางปี 2019 ที่ผ่านมาพบว่ามีการเปิดเผยช่องโหว่ที่รุนแรงหลายอย่างในอุปกรณ์ VPN จากบริษัทชั้นนำในปัจจุบัน ได้แก่ Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks และ F5 ซึ่งการที่ช่องโหว่ถูกทำการเปิดเผยและผู้ใช้งานไม่ทำการเเพตซ์ช่องโหว่ในอุปกรณ์ VPN นั้นทำให้กลุ่มปฏิบัติการ Ransomware ที่ตั้งเป้าหมายเพื่อทำการบุกรุกองค์กรต่างๆ เช่นกลุ่ม REvil (Sodinokibi), Black Kingdom, Ragnarok, DoppelPaymer, Maze, CLOP และ Nefilim นั้นได้ใช้มองว่าช่องโหว่เช่น CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure VPN) ที่ไม่ได้รับการเเพตซ์เป็นจุดเริ่มต้นในการบุกรุกองค์กรต่างๆ เมื่อสามารถเข้าถึงภายในเครือข่ายที่บุกรุกแล้วกลุ่มปฏิบัติการ Ransomware จะทำการติดตั้ง Ransomware และมัลแวร์อื่น ๆ ที่ใช้ในการเข้ารหัสไฟล์ เพื่อใช้ในการข่มขู่องค์กรที่ตกเป็นเหยื่อต่อไป

ทั้งนี้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เเนะนำให้ผู้ดูแลระบบตรวจเช็คการใช้งานเชื่อมต่อด้วย RDP และอุปกรณ์ VPN ว่าทำการเเพตซ์ซอฟต์แวร์เป็นเวอร์ชันล่าสุดหรือยังหรือถ้าต้องการใช้งาน RDP ควรใช้งานผ่าน VPN หรือหาซอฟต์แวร์ third party มาใช้งานเชื่อมต่อเเทนการเชื่อมต่อด้วย RDP โดยตรงผ่านระบบอินเตอร์เน็ตและเพื่อเป็นการป้องกันผู้ประสงค์ร้ายทำการโจมตีระบบซึ่งจะเป็นการป้องกันความเสียหายจากการโจมตีและทรัพย์สินขององค์กร

ที่มา: zdnet.

Garmin บริษัทผู้ผลิตสมาร์ทวอทช์และอุปกรณ์สวมใส่ชื่อดังได้เเจ้งการหยุดให้บริการชั่วคราวในหลายๆระบบของ Garmin เช่น เว็บไซต์ Garmin.

บริษัท Telecom Argentina ผู้ให้บริการ ISP รายใหญ่ของประเทศอาเจนติน่าได้เปิดเผยถึงกลุ่ม REVIL Ransomware หรือ Sodinokibi ได้ทำการโจมตีบริษัทและทำการเรียกร้องค่าไถ่เป็นเงินจำนวน $7.5 ล้านเหรียญเพื่อเป็นค่าไถ่สำหรับการปลดล็อกไฟล์ที่ถูกเข้ารหัส

เหตุการณ์เกิดในวันเสาร์ที่ 18 กรกฎาคม 2020 โดยกลุ่ม REVIL Ransomware ได้ทำการโจมตีเครือข่ายของบริษัทหลังจากที่พนักงานคนหนึ่งของบริษัทเปิดไฟล์ที่เเนบมากับอีเมลที่เป็นอันตรายของกลุ่ม REVIL Ransomware จึงทำให้กลุ่ม REVIL Ransomware สามารถเข้าควบคุม Domain Admin ภายในเครือข่ายบริษัทและทำแพร่กระจาย Ransomware ภายในเครือข่าย ซึ่งในช่วงเวลาที่ถูกบุกรุกนั้นทาง ISP ได้ทำการตรวจจับการบุกรุกในทันทีและได้แจ้งเตือนพนักงานผ่านการแจ้งเตือนภายใน เพื่อจำกัดการเชื่อมภายในเครือข่ายขององค์กรกับเครือข่าย VPN ภายในและยังสั่งห้ามพนักงานไม่ให้ทำการเปิดอีเมลที่มีไฟล์แนบ

ผู้ให้บริการ ISP กล่าวว่าอีกว่าเหตุการณ์ครั้งนี้ไม่ส่งผลกระทบต่อบริการโทรศัพท์พื้นฐานหรือเคเบิลทีวีและไม่ได้ทำให้การเชื่อมต่ออินเทอร์เน็ตสำหรับลูกค้าของ ISP มีปัญหา หลังจากเกิดเหตุการณ์ภายในเว็บพอร์ทัลของ REVIL Ransomware มีข้อความแสดงความต้องการค่าไถ่จำนวน 109,345.35 เหรียญ Monero หรือประมาณ 7.5 ล้านเหรียญและถ้าหากไม่ทำการจ่ายภายใน 3 วันจำนวนเงินเรียกค่าไถ่จะเพิ่มเป็น 2 เท่า

ทั้งนี้ผู้สื่อข่าวของ ZDNet ให้ความเห็นว่าการโจมตีผ่านอีเมลของกลุ่ม REVIL ในครั้งนี้แตกต่างจากพฤติกรรมในอดีตที่มักโจมตีผ่านช่องโหว่ในผลิตภัณฑ์ระดับองค์กรอย่างที่เคยมีประวัติโจมตีด้วยช่องโหว่ Pulse Secure และ Citrix VPN ซึ่งนักวิจัยด้านความปลอดภัยจากบริษัท Bad Packets พบว่าบริษัท Telecom Argentina นั้นมีการใช้ Citrix VPN และใช้ Citrix ที่มีช่องโหว่ CVE-2019-19781 อีกด้วย

ทั้งนี้ผู้ใช้งานควรทำการตรวจสอบเเหล่งที่มาของอีเมลและทำการตรวจสอบไฟล์ที่แนบมากับอีเมลทุกครั้งที่เปิดเพื่อป้องกันการโจมตีด้วย Ransomware ซึ่งอาจจะทำให้ระบบของผู้ใช้งานได้รับผลกระทบและเสียหาย รวมถึงผู้ดูแลระบบควรอัพเดตแพตช์ความปลอดภัยของผลิตภัณฑ์ระดับองค์กรเพื่อลดความเสี่ยงจากการโจมตี

ที่มา: zdnet.

บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่

ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน

วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.