Microsoft เปิดเผยว่า หนึ่งในกลุ่มผู้โจมตีที่อยู่เบื้องหลังการโจมตีช่องโหว่ SharePoint อย่างต่อเนื่อง กำลังใช้ช่องโหว่เหล่านี้เพื่อแพร่กระจายแรนซัมแวร์ Warlock บนระบบเป้าหมาย
Microsoft ระบุในการอัปเดตเมื่อวันพุธว่า ข้อมูลดังกล่าวมาจาก “การวิเคราะห์เชิงลึก และข้อมูลข่าวกรองจากการติดตามพฤติกรรมการโจมตีของกลุ่ม Storm-2603 อย่างต่อเนื่อง”
(more…)
ไวน์แล็บ (WineLab) ร้านค้าปลีกเครื่องดื่มแอลกอฮอล์รายใหญ่ของรัสเซียในเครือ Novabev Group ได้ประกาศปิดให้บริการร้านค้าทั้งหมด หลังเผชิญกับการโจมตีทางไซเบอร์จากแรนซัมแวร์ ซึ่งส่งผลกระทบต่อการดำเนินงาน และก่อให้เกิดปัญหาในการซื้อสินค้าของลูกค้า
(more…)
Veeam ได้เผยแพร่การอัปเดตเพื่อแก้ไขช่องโหว่หลายรายการของ Veeam Backup & Replication (VBR) ซึ่งรวมถึงช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical
CVE-2025-23121 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้ใช้งานในโดเมนที่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดได้ตามที่ต้องการบน Backup Server ได้ ด้วยวิธีการโจมตีที่มีความซับซ้อนต่ำ ซึ่งอาจส่งผลกระทบต่อความสมบูรณ์ของข้อมูลสำรอง
โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Veeam Backup & Replication 12 หรือใหม่กว่า และได้รับการแก้ไขช่องโหว่แล้วในเวอร์ชัน 12.3.2.3617 โดยช่องโหว่ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ watchTowr และ CodeWhite
แม้ว่า CVE-2025-23121 จะส่งผลต่อการติดตั้ง Veeam Backup & Replication (VBR) ที่เชื่อมโยงกับโดเมนเท่านั้น แต่ผู้ใช้งานใด ๆ ในโดเมน ก็สามารถโจมตีโดยใช้ช่องโหว่ CVE-2025-23121 ได้ ทำให้เกิดการโจมตีได้ง่ายในระบบที่มี configurations ในลักษณะดังกล่าว
ทั้งนี้บริษัทหลายแห่งได้รวม Backup Servers ของตนเข้ากับ Windows Domain โดยไม่ได้ปฏิบัติตาม Veeam's Best Practices ซึ่งแนะนำให้ผู้ดูแลระบบใช้ Active Directory Forest แยกต่างหาก และปกป้องบัญชีผู้ดูแลระบบด้วยการยืนยันตัวตนแบบ Two-Factor Authentication
ในเดือนมีนาคม 2025 Veeam ได้แก้ไขช่องโหว่ RCE อีกรายการหนึ่ง (CVE-2025-23120) ในซอฟต์แวร์ Backup & Replication ของ Veeam ซึ่งส่งผลกระทบต่อ Domain-Joined Installations
กลุ่ม Ransomware เคยให้ข้อมูลกับ BleepingComputer เมื่อหลายปีก่อนว่า พวกเขามักจะโจมตี VBR servers เสมอ เนื่องจากทำให้การขโมยข้อมูลของเหยื่อง่ายขึ้น และป้องกันการกู้คืนข้อมูลด้วยการลบข้อมูลสำรอง ก่อนที่จะนำเพย์โหลดของ Ransomware ไปใช้งานบนเครือข่ายของเหยื่อ
ตามที่ทีม Sophos X-Ops incident responders เปิดเผยในเดือนพฤศจิกายน 2024 ช่องโหว่ VBR RCE อีกรายการ (CVE-2024-40711) ที่ถูกเปิดเผยในเดือนกันยายน 2024 กำลังถูกใช้เพื่อติดตั้ง Frag ransomware
ช่องโหว่เดียวกันนี้ยังถูกใช้เพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Veeam backup servers ที่มีช่องโหว่ในการโจมตีด้วย Akira ransomware และ Fog ransomware ซึ่งเริ่มโจมตีตั้งแต่เดือนตุลาคม 2024
ในอดีตกลุ่ม Cuba ransomware และ FIN7 ซึ่งเป็นกลุ่ม Hacker ที่มีเป้าหมายทางด้านการเงิน ที่มักจะร่วมมือกับกลุ่ม ransomware อื่น ๆ เช่น Conti, REvil, Maze, Egregor และ BlackBasta ก็พบว่าใช้จากช่องโหว่ VBR ในการโจมตีเช่นกัน
ผลิตภัณฑ์ของ Veeam ถูกใช้งานโดยลูกค้ามากกว่า 550,000 รายทั่วโลก รวมถึงบริษัทในกลุ่ม Fortune 500 ถึง 82% และบริษัทในกลุ่ม Global 2,000 ถึง 74%
ที่มา : bleepingcomputer
บริษัทสื่อยักษ์ใหญ่ Lee Enterprises แจ้งเตือนผู้ใช้งานเกือบ 40,000 รายว่าข้อมูลส่วนบุคคลถูกขโมยจากเหตุการณ์แรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 โดยบริษัทเป็นผู้จัดพิมพ์หนังสือพิมพ์รายวัน 77 ฉบับ และสิ่งพิมพ์รายสัปดาห์กว่า 350 ฉบับ ครอบคลุม 26 รัฐ มีผู้อ่านฉบับพิมพ์กว่า 1.2 ล้านรายต่อวัน และผู้อ่านดิจิทัลนับสิบล้านรายต่อเดือน
Lee Enterprises ได้ยื่นเอกสารต่อสำนักงานอัยการรัฐเมนเมื่อสัปดาห์นี้ โดยเปิดเผยว่า จากเหตุการณ์ถูกโจมตีด้วยแรนซัมแวร์ในเดือนกุมภาพันธ์ 2025 แฮ็กเกอร์ได้ขโมยเอกสารที่มีข้อมูลส่วนบุคคลของผู้ใช้งานกว่า 39,779 ราย ซึ่งถูกเข้าถึงโดยไม่ได้รับอนุญาตเมื่อวันที่ 3 กุมภาพันธ์ โดยข้อมูลที่รั่วไหลประกอบไปด้วยชื่อ-นามสกุล และหมายเลขประกันสังคม
(more…)
Nova Scotia Power ออกมายืนยันอย่างเป็นทางการว่าตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ข้อมูลส่วนบุคคลลูกค้าราว 280,000 รายถูกละเมิด
บริษัทสาธารณูปโภคจากแคนาดาระบุเมื่อวันศุกร์ที่ผ่านมาว่า กลุ่มผู้โจมตีสามารถแทรกซึมเข้าสู่ระบบเครือข่ายขององค์กรได้สำเร็จ และได้ทำการเผยแพร่ข้อมูลที่ถูกขโมยออกไป หลังจากที่บริษัทปฏิเสธที่จะจ่ายค่าไถ่ตามที่ถูกเรียกร้อง (more…)
Ascension ซึ่งเป็นหนึ่งในระบบบริการสุขภาพเอกชนที่ใหญ่ที่สุดในสหรัฐอเมริกา ได้เปิดเผยว่าข้อมูลส่วนบุคคล และข้อมูลด้านสุขภาพของผู้ป่วยมากกว่า 430,000 ราย ถูกเปิดเผยในเหตุการณ์การละเมิดข้อมูลที่ถูกเปิดเผยเมื่อเดือนที่ผ่านมา (more…)
ผู้ไม่หวังดีที่มีความเชื่อมโยงกับกลุ่ม Qilin ransomware ได้ใช้มัลแวร์ชื่อ SmokeLoader ร่วมกับ .NET compiled loader ที่ไม่เคยถูกเปิดเผยมาก่อน โดยมีชื่อรหัสว่า NETXLOADER ซึ่งเป็นส่วนหนึ่งของแคมเปญที่ถูกตรวจพบในเดือนพฤศจิกายน 2024 (more…)
พบเทคนิค EDR bypass "Bring Your Own Installer" รูปแบบใหม่ ที่ถูกใช้ประโยชน์ในการโจมตีเพื่อ bypass คุณสมบัติการป้องกันการปลอมแปลง (tamper protection feature) ของ SentinelOne ทำให้ Hacker สามารถปิดใช้งาน endpoint detection and response (EDR) (more…)
พบการโจมตีของ ransomware-as-a-service (RaaS) ตัวใหม่ที่ชื่อ VanHelsing โดยกำหนดเป้าหมายไปที่ระบบ Windows, Linux, BSD, ARM และ ESXi
โดย VanHelsing ได้รับการโปรโมตบนแพลตฟอร์มใต้ดินของอาชญากรรมไซเบอร์เป็นครั้งแรกเมื่อวันที่ 7 มีนาคม 2025 โดยเปิดให้ผู้โจมตีที่มีประสบการณ์เข้าร่วมฟรี ในขณะที่ผู้โจมตีที่มีประสบการณ์น้อยกว่าต้องวางเงินมัดจำ 5,000 ดอลลาร์
การทำงานของแรนซัมแวร์ตัวใหม่นี้ถูกรายงานครั้งแรกโดย CYFIRMA เมื่อสัปดาห์ที่แล้ว ในขณะที่ Check Point Research ได้เผยแพร่การวิเคราะห์เชิงลึกเพิ่มเติมเมื่อวันที่ 23 มีนาคม 2025
ภายในแรนซัมแวร์ VanHelsing
นักวิเคราะห์จาก Check Point รายงานว่า VanHelsing เป็นโครงการอาชญากรรมไซเบอร์จากรัสเซียที่ห้ามไม่ให้โจมตีระบบภายในประเทศ CIS (Commonwealth of Independent States)
โดยในส่วนของกลุ่มพันธมิตรที่นำ ransomware-as-a-service (RaaS) ไปใช้ จะได้รับอนุญาตให้เก็บเงินค่าไถ่ได้ 80% ในขณะที่ผู้ดำเนินการจะได้รับส่วนแบ่ง 20% และการชำระเงินจะถูกจัดการผ่าน escrow system ในรูปแบบอัตโนมัติที่ใช้ two blockchain confirmations เพื่อความปลอดภัย
กลุ่มพันธมิตรที่ได้รับการยอมรับจะได้รับสิทธิ์ในการเข้าถึง panel ที่มีการทำงานในรูปแบบอัตโนมัติ และยังได้รับการสนับสนุนโดยตรงจากทีมพัฒนา
ไฟล์ที่ถูกขโมยจากเครือข่ายของเหยื่อจะถูกจัดเก็บไว้บน VanHelsing operation servers ซึ่งทีมพัฒนาหลักอ้างว่าพวกเขาทำการทดสอบการเจาะระบบเป็นประจำเพื่อให้แน่ใจถึงความปลอดภัยระดับสูง และความน่าเชื่อถือของระบบ
ปัจจุบัน extortion portal ของ VanHelsing บน Dark Web ซึ่งระบุว่ามีเป้าหมาย 3 ราย โดยสองรายอยู่ในสหรัฐอเมริกา และอีกหนึ่งรายในฝรั่งเศส โดยหนึ่งในเป้าหมายคือ เมืองในรัฐเท็กซัส ส่วนอีกสองรายคือ บริษัทเทคโนโลยี
ตัวอย่างข้อมูลที่กลุ่มแรนซัมแวร์ขู่จะปล่อยไฟล์ที่ขโมยมาในไม่กี่วันข้างหน้าหากไม่เป็นไปตามข้อเรียกร้องในการเรียกค่าไถ่ ซึ่งจากการตรวจสอบของ Check Point การเรียกค่าไถ่อยู่ที่ 500,000 ดอลลาร์
Stealth mode
แรนซัมแวร์ VanHelsing เขียนด้วยภาษา C++ และมีหลักฐานที่แสดงให้เห็นว่ามีการโจมตีครั้งแรกเมื่อ 16 มีนาคม 2025
VanHelsing ใช้อัลกอริธึม ChaCha20 สำหรับการเข้ารหัสไฟล์ โดยสร้าง 32-byte (256-bit) symmetric key และ 12-byte nonce สำหรับแต่ละไฟล์
จากนั้นค่านี้จะถูกเข้ารหัสด้วย Curve25519 public key ที่ฝังไว้ และในส่วนของคู่ encrypted key/nonce จะถูกเก็บไว้ในไฟล์ที่ถูกเข้ารหัส
VanHelsing เข้ารหัสไฟล์ที่มีขนาดใหญ่กว่า 1GB เพียงบางส่วน แต่จะดำเนินการเข้ารหัสทั้งหมดในไฟล์ที่มีขนาดเล็กกว่า
มัลแวร์นี้รองรับการปรับแต่ง CLI ที่หลากหลายเพื่อปรับแต่งการโจมตีให้สอดคล้องกับแต่ละเป้าหมาย เช่น การโจมตีไดรฟ์ และโฟลเดอร์เฉพาะ, การจำกัดขอบเขตของการเข้ารหัส, การแพร่กระจายผ่าน SMB, การ skipping การลบ Shadow Copies และการเปิดใช้งาน two-phase stealth mode
ในโหมดการเข้ารหัสแบบปกติ VanHelsing จะทำการตรวจสอบไฟล์ และโฟลเดอร์ รวมถึงทำการเข้ารหัสเนื้อหาของไฟล์ และทำการเปลี่ยนชื่อไฟล์ที่เข้ารหัสโดยการเพิ่มนามสกุล ".vanhelsing"
โดย Stealth mode แรนซัมแวร์จะแยกการเข้ารหัสออกจากการเปลี่ยนชื่อไฟล์ ซึ่งมีแนวโน้มที่จะทำให้เกิดการแจ้งเตือนน้อยลง เนื่องจากรูปแบบ I/O ของไฟล์เลียนแบบพฤติกรรมปกติของระบบ
แม้ว่า security tools จะตอบสนองในช่วงเริ่มต้นของขั้นตอนการเปลี่ยนชื่อ แต่ในครั้งถัดไป ชุดข้อมูลที่ถูกโจมตีทั้งหมดจะถูกเข้ารหัสไปแล้ว
แม้ว่า VanHelsing จะดูเหมือนเป็นแรนซัมแวร์ที่มีความซับซ้อน และพัฒนาอย่างรวดเร็ว แต่ Check Point ก็สังเกตเห็นช่องโหว่บางอย่างที่แสดงให้เห็นถึงความไม่สมบูรณ์ของโค้ด
ช่องโหว่อาทิ เช่น ข้อมูลไม่ตรงกันของนามสกุลไฟล์, ช่องโหว่ใน logic ของรายการที่มีการยกเว้น ซึ่งอาจทำให้เกิดการเข้ารหัสซ้ำ และบางคำสั่งที่ยังไม่ได้ implement
แม้ว่าจะมีช่องโหว่เหล่านี้เกิดขึ้น แต่ VanHelsing ยังคงเป็นภัยคุกคามที่น่ากังวล และดูเหมือนว่าจะเริ่มได้รับความสนใจในเร็ว ๆ นี้
ที่มา : bleepingcomputer.
Ransomware Black Basta ได้สร้าง Automated Brute-forcing Framework เรียกว่า "BRUTED" เพื่อเจาะอุปกรณ์เครือข่ายไฟร์วอลล์ และ VPN โดย Büyükkaya นักวิจัยที่ค้นพบระบุว่า Black Basta ได้ใช้ BRUTED มาตั้งแต่ปี 2023 เพื่อโจมตีแบบ Credential-stuffing
จากการวิเคราะห์ Code แสดงให้เห็นว่า Framework นี้ได้รับการออกแบบมาเพื่อ Brute-force Credentials บนระบบ VPN และการเข้าถึงจากระยะไกลบนบนผลิตภัณฑ์ SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) และ WatchGuard SSL VPN
Framework จะค้นหาอุปกรณ์ที่เข้าถึงได้จาก Public ที่ตรงกับรายการเป้าหมาย โดยการใช้ Subdomain Enumeration หรือการระบุที่อยู่ IP และการเพิ่มคำนำหน้าเช่น ".vpn" หรือ "remote" และข้อมูลจะถูกส่งกลับไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี
เมื่อระบุเป้าหมายได้ BRUTED จะดึงข้อมูลรหัสผ่านที่น่าจะเป็นไปได้จาก remote server และร่วมกับการคาดเดารหัส โดย Framework สามารถดึงชื่อ Common Name (CN) และ Subject Alternative Names (SAN) ออกจาก SSL certificates ของอุปกรณ์เป้าหมายได้ ซึ่งจะช่วยสร้างการคาดเดารหัสผ่านที่น่าจะเป็นไปได้เพิ่มเติมตามโดเมน และการตั้งชื่อของเป้าหมาย
ต่อมาคือการทำ Authentication ทดลอง Login หลายครั้ง ผ่าน CPU หลายตัว ซึ่งมี Code ตัวอย่างจากนักวิจัย แสดงให้เห็นว่ามี Code เฉพาะของแต่ละอุปกรณ์ที่เป็นเป้าหมาย โดยที่มีการใช้ Proxy SOCKS5 เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม
BRUTED ยังช่วยเพิ่มประสิทธิภาพการทำงานของกลุ่ม Ransomware เนื่องจากความสามารถในการพยายามเจาะเครือข่ายจำนวนมากพร้อมกัน ส่งผลให้มีโอกาสโจมตีสำเร็จมากขึ้น
แนวทางการป้องกันที่สำคัญคือ การบังคับใช้รหัสผ่านที่คาดเดาได้ยาก และไม่ซ้ำกันของแต่ละอุปกรณ์ รวมถึงบัญชี VPN ทั้งหมด และใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อบล็อกการเข้าถึง แม้ว่า Credential จะถูก Compromise ไปแล้วก็ตาม นอกจากนี้ควร Monitor การ Authentication จากตำแหน่งที่ผิดปกติ และการพยายามเข้าสู่ระบบไม่สำเร็จปริมาณมาก รวมถึงกำหนด Policy สำหรับจำกัดการ Login
ที่มา : bleepingcomputer