French Computer Emergency Response Team (CERT-FR) ผู้ดูแลระบบของผู้ให้บริการโฮสติ้ง ได้ออกมาแจ้งเตือนการพบแคมเปญการโจมตีของแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ที่ยังไม่ได้อัปเดตแพตซ์ด้านความปลอดภัย โดยใช้ช่องโหว่ CVE-2021-21974 ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล เพื่อติดตั้งแรนซัมแวร์ลงยังเครื่องเป้าหมายได้

CVE-2021-21974 เป็นช่องโหว่ที่เกิดจาก heap overflow ใน OpenSLP service ทำให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล Remote Code Execution (RCE) ซึ่งก่อนหน้านี้มีแพตซ์อัปเดตออกมาแล้วตั้งแต่ 23 กุมภาพันธ์ 2021

ช่องโหว่ CVE-2021-21974 ส่งผลกระทบต่อ ESXi version ดังนี้

ESXi versions x prior to ESXi70U1c-17325551
ESXi versions 7.x prior to ESXi670-202102401-SG
ESXi versions 5.x prior to ESXi650-202102101-SG

รวมถึงจากการค้นหาของ Shodan แหล่งข้อมูลด้านความปลอดภัย พบว่าเซิร์ฟเวอร์ VMware ESXi กว่า 120 เครื่องทั่วโลกอาจถูกโจมตีจากแคมเปญแรนซัมแวร์ตัวนี้แล้ว

การค้นพบ ESXiArgs ransomware

ในระหว่างที่พบแคมเปญแรนซัมแวร์ที่มุ่งเป้าการโจมตีไปยัง VMware ESXi server ทาง BleepingComputer ระบุว่า มีผู้ใช้งานเว็บไซต์ได้ตั้งกระทู้เรื่องของการถูกโจมตีโดย ESXiArgs ransomware ในฟอรัมของ BleepingComputer รวมถึงขอความช่วยเหลือ และข้อมูลเพิ่มเติมเกี่ยวกับวิธีการกู้คืนข้อมูล

จากข้อมูลพบว่า แรนซั่มแวร์จะเข้ารหัสข้อมูลไฟล์ด้วยนามสกุล .vmxf, .vmx, .vmdk, .vmsd และ .nvram บนเซิร์ฟเวอร์ ESXi ที่ถูกโจมตี และสร้างไฟล์ .args สำหรับเอกสารที่เข้ารหัสแต่ละรายการ (ซึ่งอาจเอาไว้ในการถอดรหัส) รวมถึงยังทิ้งบันทึกเรียกค่าไถ่ชื่อ "ransom.

นักวิจัยจาก Trend Micro บริษัทด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ กลุ่ม ransomware ในชื่อ Mimic ที่มีการใช้ API ของ ‘Everything‘ เครื่องมือค้นหาของ Windows เพื่อค้นหาไฟล์ที่กำหนดเป้าหมายสำหรับการเข้ารหัสข้อมูล

Mimic ransomware เป็นกลุ่มแรนซัมแวร์ที่ใช้ command line arguments กำหนดเป้าหมายไฟล์ รวมทั้งยังสามารถใช้ multiple processor threads เพื่อเพิ่มความเร็วของกระบวนการเข้ารหัสข้อมูล (more…)

Prodaft ทีมข่าวกรองด้านภัยคุกคามได้ค้นพบ “Checkmarks” แพลตฟอร์มที่ถูกสร้างมาสำหรับใช้โจมตีช่องโหว่ของ Microsoft Exchange และ SQL Injection โดยอัตโนมัติ เพื่อใช้เจาะเครือข่ายองค์กร ขโมยข้อมูล และสามารถเลือกเป้าหมายสำหรับการโจมตีด้วยแรนซัมแวร์ตามขนาดฐานะทางการเงินของบริษัท โดยเป็นการค้นพบในระหว่างที่ติดตามเหตุการณ์ข้อมูลรั่วไหลที่มีความเกี่ยวข้องกับกลุ่มแฮ็กเกอร์ FIN7

FIN7 คือกลุ่ม Hacker ชาวรัสเซีย ที่มีเป้าหมายในการเรียกค่าไถ่จากเหยื่อที่ถูกโจมตี โดยเริ่มพบการโจมตีตั้งแต่ปี 2012 ซึ่งเกี่ยวข้องกับเหตุการณ์โจมตีต่างๆ เช่น การโจมตีตู้ ATM, การส่ง USB ที่มีมัลแวร์ไปยังกลุ่มเป้าหมาย และการตั้งบริษัทรักษาความปลอดภัยทางไซเบอร์ปลอมขึ้น เพื่อจ้างผู้ทดสอบสำหรับการโจมตีด้วยแรนซัมแวร์ (ความจริงคือกำลังโจมตีเหยื่ออยู่จริง ๆ) และเหตุการณ์อื่น ๆ ที่พบความเกี่ยวข้องกับกลุ่ม รวมไปถึงกลุ่ม FIN7 ยังมีความเกี่ยวข้องกับกลุ่มแรนซัมแวร์อื่น ๆ เช่น Black Basta, Darkside, REvil และ LockBit Ransomware

ขั้นตอนโจมตีของ Checkmarks

Prodaft ได้อธิบายว่า Checkmarks เป็นแพลตฟอร์มสแกน และเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE ) โดยอัตโนมัติ สำหรับช่องโหว่ Microsoft Exchange servers บนเครื่องเป้าหมาย รวมถึงมีการใช้ช่องโหว่ในการยกระดับสิทธิ์ (Privilege Escalation) เช่น CVE-2021-34473, CVE-2021-34523 และ CVE-2021-31207

Checkmarks จะทำการดึงข้อมูลอีเมลจาก Active Directory และรวบรวมข้อมูล Microsoft Exchange servers หลังจากทำการโจมตีเครื่องที่มีช่องโหว่ได้สำเร็จ

จากนั้นจะนำข้อมูลของเหยื่อที่ทำการรวบรวมจาก Active Directory และ Microsoft Exchange servers เพิ่มไปยัง Panel ของระบบที่ใช้สำหรับควบคุมเครื่องเหยื่อโดยอัตโนมัติ เพื่อให้กลุ่ม FIN7 สามารถดูรายละเอียดของข้อมูลได้

นักวิเคราะห์ของ FIN7 จะตรวจสอบรายการข้อมูลของเหยื่อใหม่ รวมถึงแสดงคิดเห็นบนแพลตฟอร์ม Checkmarks เพื่อแสดงข้อมูลรายได้ปัจจุบันของเหยื่อ จำนวนพนักงาน โดเมน รายละเอียดสำนักงานใหญ่และข้อมูลอื่น ๆ รวมถึงการใช้ข้อมูลจากแหล่งข้อมูลที่หลากหลาย เช่น Owler, Crunchbase, DNB, Zoominfo และ Mustat ที่ช่วยให้ Hackers ประเมินได้ว่าบริษัทนั้นคุ้มค่า และมีโอกาสสำเร็จมากเพียงใดในการโจมตีด้วย Ransomware เพื่อเรียกค่าไถ่

หากเหยื่อรายนั้นได้รับการพิจารณาว่าคุ้มค่าและมีโอกาสสำเร็จ ฝ่ายโจมตีระบบของ FIN7 จะทำการออกแบบแผนการโจมตี ว่าสามารถใช้การเชื่อมต่อเซิร์ฟเวอร์ได้อย่างไร การโจมตีจะอยู่ได้นานแค่ไหนและไปได้ไกลแค่ไหน

อีกทั้ง Checkmarks ยังมี SQL injection module เพื่อใช้ SQLMap สแกนหาช่องโหว่บนเว็บไซต์ของเป้าหมาย รวมไปถึงการฝัง SSH backdoors เอาไว้ในเครื่องของเหยื่อ ทำให้สามารถขโมยไฟล์จากอุปกรณ์ที่ถูกโจมตี ใช้การเชื่อมต่อ reverse SSH (SFTP) ผ่านโดเมนบน Tor Network ถึงแม้เหยื่อจะจ่ายค่าไถ่แล้วก็ตาม เพื่อการกลับมาโจมตีซ้ำ รวมไปถึงการขายช่องโหว่นี้แก่ Hackers กลุ่มอื่น ๆ

Prodaft พบว่า แพลตฟอร์ม Checkmarks ของ FIN7 ได้ถูกนำไปใช้ในการแทรกซึมเข้าไปในบริษัทต่าง ๆ กว่า 8,147 แห่ง โดยส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา (16.7%) หลังจากสแกนเป้าหมายไปแล้วกว่า 1.8 ล้านเป้าหมาย

โดย แพลตฟอร์ม Checkmarks ได้แสดงให้เห็นถึงผลกระทบ และความรุนแรงของการเกิดขึ้นของกลุ่มผู้โจมตีทางไซเบอร์ ที่มีจุดประสงค์ในการเรียกค่าไถ่จากเหยื่อว่าได้ส่งผลกระทบทั่วโลกแล้วในขณะนี้

การป้องกัน

อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี
เพิ่ม FIN7 IOCไปยังอุปกรณ์ป้องกันภัยคุกคามทางไซเบอร์ที่ท่านใช้งานอยู่ prodaft.

Microsoft ได้เพิกถอนบัญชี Windows Hardware Developer หลายบัญชีหลังจากที่ไดรเวอร์ ที่ signed ผ่านโปรไฟล์ของพวกเขาถูกนำมาใช้ในการโจมตีทางไซเบอร์ รวมถึงการโจมตีจาก ransomware

ข้อมูลดังกล่าวถูกเปิดเผยจากรายงานร่วมกันของ Mandiant, Sophos และ SentinelOne โดยนักวิจัยระบุว่าผู้โจมตีกำลังใช้ไดรเวอร์ hardware kernel-mode ที่เป็นอันตราย ซึ่งผ่านการตรวจสอบความน่าเชื่อถือด้วย Authenticode จากโปรแกรม Windows Hardware Developer ของ Microsoft

Microsoft ระบุว่าได้รับแจ้งจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant, SentinelOne และ Sophos เมื่อวันที่ 19 ตุลาคม 2565 ว่าไดรเวอร์ที่ certified โดย Windows Hardware Developer ของ Microsoft ถูกนำไปใช้ในการโจมตี ซึ่งจากพฤติกรรมในการโจมตีครั้งนี้ ผู้โจมตีได้รับสิทธิ์ระดับผู้ดูแลระบบบนระบบที่ถูกโจมตีไปก่อนแล้วที่จะมีการใช้งานไดรเวอร์ดังกล่าว

โดยจากการตรวจสอบเพิ่มเติมพบว่าบัญชีนักพัฒนาหลายบัญชีสำหรับ Microsoft Partner Center มีส่วนร่วมในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) จาก Microsoft และความพยายามในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) ล่าสุดเมื่อวันที่ 29 กันยายน 2565 จึงนำไปสู่การระงับบัญชีของนักพัฒนาหลายรายในช่วงต้นเดือนตุลาคม

เมื่อมีการโหลดไดรเวอร์ hardware ใน kernel-mode บน Windows ไดรเวอร์จะได้รับสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ รวมถึงสิทธิ์ในการอนุญาตให้ไดรเวอร์สามารถดำเนินการที่เป็นอันตรายต่าง ๆ ได้ ซึ่งโดยปกติแล้วจะไม่อนุญาตในแอปพลิเคชันของ user-mode ซึ่งสิทธิ์ดังกล่าวรวมไปถึงการสามารถหยุดการทำงานของซอฟต์แวร์ด้านความปลอดภัย การลบไฟล์ที่ได้รับการป้องกัน และการทำตัวเป็น rootkits เพื่อซ่อนพฤติกรรมของ process อื่น ๆ

โดยตั้งแต่ Windows 10 เป็นต้นมา Microsoft ได้กำหนดให้ไดรเวอร์ฮาร์ดแวร์ใน kernel-mode ต้อง signed ผ่านโปรแกรม Windows Hardware Developer ของ Microsoft เท่านั้น

เนื่องจากนักพัฒนาจำเป็นต้องซื้อใบรับรองสำหรับ Extended Validation (EV) ซึ่งต้องผ่านกระบวนการระบุตัวตน และส่งไดรเวอร์มาผ่านการตรวจสอบจาก Microsoft ด้วย จึงทำให้ซอฟต์แวร์ด้านความปลอดภัยจำนวนมากจึงเชื่อถือไดรเวอร์ที่ signed โดย Microsoft ผ่านโปรแกรมนี้โดยอัตโนมัติ

เครื่องมือที่ถูกนำมาใช้ในการหยุดการทำงานของซอฟต์แวร์ด้านความปลอดภัย

นักวิจัยระบุว่าพบเครื่องมือที่ชื่อว่า STONESTOP (loader) และ POORTRY (kernel-mode driver) ที่ถูกนำมาใช้ในการโจมตีแบบที่เรียกว่า "Bring your vulnerable ไดรเวอร์" (BYOVD) ในครั้งนี้

STONESTOP เป็นแอพพลิเคชั่นแบบ user-mode ที่พยายามหยุดการทำงานซอฟต์แวร์รักษาความปลอดภัยบนอุปกรณ์ รวมถึงความสามารถในการเขียนทับ และลบไฟล์ และทำหน้าที่เป็นทั้งตัวโหลด/ตัวติดตั้งสำหรับ POORTRY

ransomware และ SIM swapper

โดย Sophos พบพฤติกรรมที่ผู้โจมตีซึ่งมีความเกี่ยวข้องกับกลุ่ม Cuba ransomware ใช้ BURNTCIGAR loader utility เพื่อติดตั้งไดรเวอร์ที่เป็นอันตราย ซึ่งถูก signed โดย Microsoft

ส่วน SentinelOne พบชุดเครื่องมือที่ signed โดย Microsoft ซึ่งถูกนำมาใช้ในการโจมตีธุรกิจโทรคมนาคม, BPO, MSSP และธุรกิจบริการทางการเงิน และถูกใช้โดยการดำเนินการของ Hive Ransomware กับบริษัทในอุตสาหกรรมการแพทย์ ซึ่งแฮ็กเกอร์หลายรายที่สามารถเข้าถึงเครื่องมือในลักษณะที่คล้ายกันได้

ทางด้าน Mandiant พบกลุ่ม UNC3944 ซึ่งเป็นกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน มีการใช้มัลแวร์ที่ได้รับการ signed โดย Microsoft เช่นเดียวกัน

โดย Mandiant ยังสามารถระบุรายชื่อองค์กรที่ถูกใช้ในการส่งไดรเวอร์ไปเพื่อขอรับการรับรอง (signed) จาก Microsoft ได้ดังนี้

 

 

 

 

 

Microsoft response

Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อเพิกถอน certificates ที่ใช้ไฟล์ที่เป็นอันตราย และได้ระงับบัญชีที่ใช้ในการส่งไดรเวอร์
Microsoft Defender เวอร์ชันใหม่ signatures (1.377.987.0) จะสามารถตรวจหาไดรเวอร์ที่ถึงแม้จะถูก signed อย่างถูกต้อง แต่มีส่วนเกี่ยวข้องกับการโจมตี
Microsoft Partner Center กำลังทำโซลูชันระยะยาวเพื่อจัดการกับพฤติกรรมเหล่านี้ และป้องกันผลกระทบของผู้ใช้งานในอนาคต

ที่มา : bleepingcomputer

CommonSpirit Health ระบบให้บริการทางด้านสาธารณสุขรายใหญ่ในสหรัฐอเมริกา ยืนยันว่าผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลของผู้ป่วยกว่า 623,774 ราย ในระหว่างการถูกโจมตีโดย Ransomware ในเดือนตุลาคมที่ผ่านมา ซึ่งตัวเลขนี้ได้รับการเผยแพร่บนระบบการแจ้งเตือนการละเมิดข้อมูลของกระทรวงสาธารณสุขในสหรัฐอเมริกาในวันที่ 8 ธันวาคม 2022 โดยองค์กรด้านการดูแลสุขภาพมีหน้าที่ตามกฎหมายในการรายงานการละเมิดข้อมูลที่มีผลกระทบต่อบุคคลมากกว่า 500 คน

เมื่อต้นเดือนตุลาคมที่ผ่านมา CommonSpirit Health ได้แจ้งให้ประชาชนทราบเป็นครั้งแรกเกี่ยวกับการโจมตีทางไซเบอร์ที่ทำให้ระบบไอทีไม่สามารถใช้งานได้

CommonSpirit Health เป็นระบบสาธารณสุขที่ใหญ่เป็นอันดับสองของสหรัฐอเมริกา มีโรงพยาบาล 140 แห่ง และมีสถานพยาบาลกว่า 1,000 แห่งใน 21 รัฐ ดังนั้นการหยุดชะงักในการดำเนินงานจึงมีผลกระทบในวงกว้าง

เมื่อวันที่ 1 ธันวาคม 2022 องค์กรได้เผยแพร่ผลการตรวจสอบภายในล่าสุดเกี่ยวกับเหตุการณ์ด้านความปลอดภัยเป็นครั้งแรก โดยยอมรับว่าถูกโจมตีจาก ransomware จริง และผู้โจมตีสามารถเข้าถึงข้อมูลผู้ป่วยได้

ภายหลังการตรวจสอบ พบว่าไฟล์บางไฟล์ที่ถูกเข้าถึงมีข้อมูลส่วนบุคคลของบุคคลที่เคยได้รับบริการในอดีต หรือบริษัทในเครือของบุคคลเหล่านั้น เช่น จาก Franciscan Medical Group และ/หรือ Franciscan Health ในรัฐวอชิงตัน

ประเภทของข้อมูลที่รั่วไหล

ชื่อ
ที่อยู่
หมายเลขโทรศัพท์
วันเกิด
บัตรประจำตัวเฉพาะที่ใช้ภายในองค์กรเท่านั้น

บริษัทชี้แจงว่าหมายเลขบัตรประกันสุขภาพ และหมายเลขเวชระเบียนไม่ได้รับผลกระทบ โดยองค์กรยืนยันว่าจะติดต่อบุคคลที่ได้รับผลกระทบทั้งหมดพร้อมการแจ้งเตือนทางด้านความปลอดภัย แต่ยังไม่ได้เปิดเผยจำนวนผู้ป่วยที่ได้รับผลกระทบในขณะนั้น

ในการแจ้งเตือนที่ส่งถึงบุคคลที่ได้รับผลกระทบ บริษัทกล่าวว่าข้อมูลถูกเข้าถึงได้ในช่วงวันที่ 16 กันยายน ถึง 3 ตุลาคม 2022 ซึ่งเป็นช่วงเวลาที่ CommonSpirit Health ถูกโจมตีจาก ransomware

ปัจจุบันยังไม่มีการเปิดเผยชื่อกลุ่มแรนซัมแวร์ที่ทำการโจมตี และยังไม่มีการดำเนินการทางอาญากับกลุ่มใด

 

ที่มา : bleepingcomputer

ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อ ในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona ซึ่งนอกจากการรีแบรนด์ใหม่แล้วยังมีการเปิดตัวเว็ปไซต์เพื่อเจรจากับเป้าหมายผ่าน Tor Browser อีกด้วย ซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์ และหมู่บ้านในเยอรมนี

ลักษณะการทำงาน

ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้
/full
/!autorun
/test_cid
/test_vid
/path
/!local
/!lan
/autorun_only
/autorun_only
การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files
หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc.

กลุ่มแรนซัมแวร์ ** Vice Society อ้างว่าเมื่อเร็ว ๆ นี้ได้ทำการโจมตีที่วิทยาลัย Cincinnati State Technical และ Community College โดยผู้โจมตีได้มีการปล่อยข้อมูลที่ถูกขโมยมาลงบนเว็บไซต์ของกลุ่ม

โดยข้อมูลประกอบไปด้วยรายการเอกสารจำนวนมากที่อ้างว่าขโมยมาจากวิทยาลัย โดยระบุว่าหากยังไม่มีการจ่ายค่าไถ่ใด ๆ เอกสารทั้งหมดที่ถูกขโมยมาจะถูกเปิดให้สามารถเข้าถึงได้ ซึ่งรวมไปถึงข้อมูล PII (ข้อมูลส่วนบุคคล) ด้วย

การดำเนินการกู้คืน

วิทยาลัย Cincinnati State แจ้งนักศึกษา 10,000 คน และเจ้าหน้าที่ 1,000 คน ว่าถูกโจมตีเมื่อต้นเดือนพฤศจิกายน พร้อมแจ้งว่าการให้บริการออนไลน์ระบบอาจต้องใช้เวลาในการแก้ไขก่อนกลับมาเปิดให้บริการตามปกติ

การโจมตีในครั้งนี้ทำให้ ข้อความเสียง, Network Printer, การเข้าถึง VPN, เครือข่าย และระบบอินทราเน็ตแชร์ไดร์ฟ, แอปพลิเคชันออนไลน์ และพอร์ทัลการลงทะเบียนต่าง ๆ ไม่สามารถใช้งานได้ทั้งหมด

ทางวิทยาลัยได้โพสต์ FAQs (คำถามที่พบบ่อย) ไว้สำหรับพนักงาน, นักศึกษาปัจจุบัน และนักศึกษาใหม่ เพื่อแนะนำพวกเขาเกี่ยวกับวิธีติดต่อกับฝ่ายบริหารจนกว่าระบบจะกลับมาทำงานได้ตามปกติ

Vice Society vs.

ผู้เชี่ยวชาญจาก Cyble พบแรนซัมแวร์ตัวใหม่ 'AXLocker' ซึ่งนอกจากจะเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว ยังขโมยข้อมูล Discord accounts ของเหยื่อออกไปเพื่อเรียกค่าไถ่ด้วย

โดยปกติแล้วเมื่อผู้ใช้งาน Login เข้าสู่ระบบ Discord ด้วยข้อมูลประจำตัว แพลตฟอร์มจะทำการส่งโทเค็นเพื่อตรวจสอบสิทธิ์ผู้ใช้งาน ซึ่งจะถูกเก็บไว้บนเครื่องคอมพิวเตอร์ โดยโทเค็นนี้สามารถใช้ยืนยันตัวตนเพื่อเข้าสู่ระบบในฐานะของผู้ใช้งาน ซึ่งทำให้หากผู้โจมตีได้โทเค็นดังกล่าวไป อาจทำให้สามารถควบคุมบัญชี และยังใช้ส่งคำขอ API ในการดึงข้อมูลเกี่ยวกับบัญชีที่เกี่ยวข้องได้

เนื่องจาก Discord เป็นทางเลือกสำหรับแพลตฟอร์ม NFT และกลุ่มสกุลเงินดิจิตอล ทำให้การขโมยโทเค็นของผู้ใช้งานเป็นเป้าหมายหลักของผู้โจมตี เพื่อใช้ในการขโมยเงิน และหลอกลวงการทำธุรกรรมต่าง ๆ ในส่วนของการเข้ารหัส แรนซั่มแวร์จะกำหนดเป้าหมายไฟล์บางนามสกุล และ exclude บาง folder

เมื่อทำการเข้ารหัสไฟล์ AXLocker จะไม่เพิ่มนามสกุลใด ๆ ต่อท้ายไฟล์ ซึ่งทำให้ผู้ใช้งานมองเห็นชื่อไฟล์เป็นชื่อไฟล์ปกติ จากนั้น AXLocker จะส่งรหัสของเหยื่อ รวมถึงรายละเอียดข้อมูลที่เก็บไว้บนเบราว์เซอร์ และโทเค็น Discord ไปยัง Discord ของผู้โจมตีโดยการใช้ webhook URL ซึ่งการขโมยโทเค็นจะใช้การสแกนไดเร็กทอรีดังต่อไปนี้เพื่อค้นหาโทเค็น

Discord\Local Storage\leveldb
discordcanary\Local Storage\leveldb
discordptb\leveldb
Opera Software\Opera Stable\Local Storage\leveldb
Google\Chrome\User Data\\Default\Local Storage\leveldb
BraveSoftware\Brave-Browser\User Data\Default\Local Storage\leveldb
Yandex\YandexBrowser\User Data\Default\Local Storage\leveldb

จากนั้นเหยื่อที่ถูกโจมตีจะได้รับป๊อปอัปที่มีข้อความเรียกค่าไถ่แจ้งว่าข้อมูลถูกเข้ารหัส และวิธีติดต่อผู้โจมตี โดยในข้อความไม่มีการระบุจำนวนเงินค่าไถ่ไว้ เหยื่อมีเวลาเพียง 48 ชั่วโมงในการติดต่อกลับผู้โจมตี เพื่อถอดรหัส หรือปลดล็อคไฟล์ข้อมูล ดังนั้นหากพบว่า AXLocker เข้ารหัสคอมพิวเตอร์ของคุณ ให้รีบเปลี่ยนรหัสผ่าน Discord โดยทันที เพราะจะทำให้โทเค็นที่ถูกขโมยไปไม่สามารถใช้งานได้

ที่มา: bleepingcompute

เมื่อสัปดาห์ที่ผ่านมาพบสายการบินที่ให้บริการในประเทศไทย 2 สายการบินถูกโจมตี และถูกขโมยข้อมูลภายในออกไปได้ โดยทั้ง 2 สายการบินถูกโจมตีโดย Ransomware คนละกลุ่มในเวลาไล่เรี่ยกัน

โดยการโจมตีครั้งแรกพบเมื่อวันที่ 11 พฤศจิกายน 2565 จากกลุ่ม Daixin ransomware ได้โจมตีสายการบิน AirAsia ซึ่งทำให้ได้ข้อมูลผู้โดยสารของสายการบินออกไปได้กว่า 5 ล้านรายการ รวมถึงข้อมูลพนักงานทั้งหมด ซึ่งจากการตรวจสอบบนไฟล์ CSV 2 ไฟล์ที่ถูกเผยแพร่ไว้บนเว็ปไซต์ของทางกลุ่ม พบว่าข้อมูลไฟล์ในไฟล์ส่วนของผู้โดยสารประกอบไปด้วย รหัสผู้โดยสาร ชื่อ รหัสการจอง ค่าตั๋วโดยสาร เป็นต้น และในส่วนของพนักงานสายการบินจะประกอบไปด้วย รูปถ่าย คำถามลับต่าง ๆ ข้อมูลการเกิด และสัญชาติ เป็นต้น

ทั้งนี้ทางกลุ่มยังได้ระบุว่า พวกเขาได้หลีกเลี่ยงการเข้ารหัสข้อมูลสำคัญที่เชื่อมต่อกับอุปกรณ์การบิน เพื่อหลีกเลี่ยงผลกระทบที่อาจทำให้เกิดอันตรายถึงชีวิตไว้ด้วย

ต่อมาเมื่อวันที่ 20 พฤศจิกายน 2565 ที่ผ่านมา พบว่ามีการเผยแพร่ข้อมูลของสายการบิน Nok Air อยู่บนเว็ปไซต์ของกลุ่ม ALPHV ซึ่งทางกลุ่มระบุว่าได้ทำการโจมตี และได้ข้อมูลออกมาแล้วกว่า 500 GB โดยข้อมูลที่ได้ออกมานั้น จะประกอบไปด้วยโฟลเดอร์ ไฟล์ และข้อมูลที่เก็บอยู่ในหลายโฟลเดอร์ ไฟล์เอกสาร สเปรดชีต และอื่นๆ โดยจากรูปที่กลุ่มผู้โจมตีเผยแพร่ออกมาจะพบว่าไฟล์บางไฟล์ที่ชื่อว่า refund to customers.

หน่วยงานทางด้านความปลอดภัยทางไซเบอร์ของยูเครน (CERT-UA) ประกาศแจ้งเตือนการแพร่กระจายของแรนซัมแวร์สายพันธุ์ใหม่ที่ชื่อว่า Somnia โดยระบุว่าเป็นปฏิบัติการภายใต้ชื่อว่า 'From Russia with Love' (FRwL) โดยกลุ่ม Z-Team หรืออีกชื่อหนึ่งคือ UAC-0118 โดยการฝังมัลแวร์ไว้บนเว็บไซต์ปลอมเพื่อใช้สำหรับขโมยข้อมูล และเพื่อขัดขวางการทำงานขององค์กรต่าง ๆ ในยูเครน

โดยกลุ่มแฮ็กเกอร์ได้ใช้เว็บไซต์ปลอมที่เลียนแบบซอฟต์แวร์ "Advanced IP Scanner" เพื่อหลอกให้พนักงานขององค์กรต่าง ๆ ในยูเครนให้ดาวน์โหลดโปรแกรมมาติดตั้ง ซึ่งจริง ๆ แล้วโปรแกรมดังกล่าวคือมัลแวร์ Vidar stealer ซึ่งจะถูกใช้เพื่อขโมย Telegram session เพื่อเข้าควบคุมบัญชี Telegram ของเหยื่อ

โดย **CERT-UA ระบุว่าแฮ็กเกอร์จะใช้บัญชี Telegram ของเหยื่อเพื่อขโมยข้อมูลการเชื่อมต่อ VPN (authentication และ certificates) โดยถ้าบัญชี VPN ไม่ได้มีการเปิดใช้งาน multi-factor authentication แฮ็กเกอร์จะใช้บัญชีดังกล่าวเพื่อเข้าถึงเครือข่ายขององค์กรของเหยื่อ

จากนั้นแฮ็กเกอร์จะติดตั้ง Cobalt Strike beacon, Netscan, Rclone, Anydesk, และ Ngrok เพื่อปฏิบัติการรูปแบบอื่นๆ บนเครือข่ายของเหยื่อต่อไป

CERT-UA ระบุว่าตั้งแต่ฤดูใบไม้ผลิปี 2022 เป็นต้นมา ปฏิบัติการ FRwL ได้ทำการโจมตีคอมพิวเตอร์ขององค์กรยูเครนไปแล้วหลายครั้ง โดยประเภทไฟล์ที่เป็นเป้าหมายในการโจมตีของ Somnia ประกอบไปด้วย ไฟล์เอกสาร, รูปภาพ, ฐานข้อมูล, ไฟล์วิดีโอ และอื่น ๆ

โดย Somnia จะต่อท้ายนามสกุลไฟล์ที่ถูกเข้ารหัสด้วย .somnia แต่จะไม่มีการเรียกเงินค่าไถ่จากเหยื่อในกรณีที่เหยื่อต้องการจ่ายเงินสำหรับตัวถอดรหัสของไฟล์ที่ถูกเข้ารหัสไว้ เนื่องจากเป้าหมายของ Somnia คือการขัดขวางกระบวนการทำงานของเป้าหมายมากกว่าที่จะเป็นการสร้างรายได้จากการโจมตี ดังนั้นมัลแวร์ดังกล่าวน่าจะถูกสร้างมาเพื่อทำลายล้างมากกว่าการเรียกค่าไถ่แบบเดียวกับแรนซัมแวร์อื่นๆ

แนวทางการป้องกัน

ตรวจสอบแหล่งที่มาของไฟล์ก่อนดาวน์โหลด
เปิดใช้งาน Multi-Factor Authentication

ที่มา : bleepingcomputer