ทีมรับมือเหตุฉุกเฉินทางคอมพิวเตอร์ของประเทศยูเครน (CERT-UA) ได้แจ้งเตือนเกี่ยวกับการโจมตีของ Cuba Ransomware ที่อาจเกิดขึ้นกับระบบที่สำคัญในประเทศ

ตั้งแต่วันที่ 21 ตุลาคม CERT-UA สังเกตเห็นการโจมตีรูปแบบใหม่ของอีเมลฟิชชิ่งที่แอบอ้างเป็นบริการของกองทัพยูเครน เพื่อหลอกให้ผู้ใช้งานคลิก Link เพื่อติดตั้งมัลแวร์

อีเมลที่แพร่กระจายไปทั่วยูเครน (CERT-UA)

จากอีเมล์ที่ส่งมาจะมี Link ที่หลอกให้ผู้ใช้งานคลิกเพื่อดาวน์โหลดเอกสารชื่อ "Наказ_309.pdf" โดยจะแสดงการแจ้งเตือนปลอมที่ระบุว่าจำเป็นต้องอัปเดตซอฟต์แวร์สำหรับเปิดอ่าน PDF ก่อน

เว็บไซต์จะหลอกให้ผู้ใช้คลิกที่ปุ่ม "ดาวน์โหลด" ซึ่งจะนำไปสู่การดาวน์โหลดไฟล์ปฏิบัติการ ("AcroRdrDCx642200120169_uk_UA.exe") ที่คล้ายกับโปรแกรมติดตั้ง Acrobat Reader

โดยไฟล์ติดตั้ง และเรียกใช้ไฟล์ DLL "rmtpak.

ช่องโหว่ VMware Workspace ONE Access ที่ปัจจุบันได้รับการแก้ไขไปแล้ว พบว่ากำลังถูกใช้ในการโจมตีเพื่อติดตั้ง cryptocurrency miners และ Ransomware บนเครื่องที่ถูกโจมตี

Cara Lin นักวิจัยของ Fortinet FortiGuard Labs ระบุในรายงานว่า ผู้โจมตีตั้งใจที่จะใช้ทรัพยากรของเหยื่อให้มากที่สุดไม่เพียงแค่ติดตั้ง RAR1Ransom เท่านั้น แต่ยังเพื่อแพร่กระจาย GuardMiner เพื่อทำการขุดเหรียญคริปโตเคอเรนซี

ช่องโหว่นี้มีหมายเลข CVE-2022-22954 (คะแนน CVSS: 9.8) ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล ซึ่งเกิดจาก server-side template injection แม้ว่าช่องโหว่ดังกล่าวจะได้รับการแก้ไขไปแล้วโดย VMware ในเดือนเมษายน พ.ศ. 2565 แต่ก็ยังมีการพยายามโจมตีอยู่อย่างต่อเนื่อง

Fortinet ระบุว่าตรวจพบการโจมตีในเดือนสิงหาคม พ.ศ. 2565 ที่เป็นการพยายามโจมตีเพื่อติดตั้ง Mirai botnet บน Linux รวมถึง RAR1Ransom และ GuardMiner ซึ่งเป็นเวอร์ชันหนึ่งของ XMRig Monero miner

Mirai ถูกออกแบบมาเพื่อเปิดใช้การโจมตีแบบ DoS และ brute-force attacks โดยมุ่งเป้าไปที่อุปกรณ์ประเภท IoT

การแพร่กระจายของ RAR1Ransom และ GuardMiner โดยใช้ PowerShell หรือเชลล์สคริปต์ขึ้นอยู่กับระบบปฏิบัติการ RAR1ransom จะใช้ประโยชน์จาก WinRAR เพื่อล็อคไฟล์โดยการใส่รหัสผ่าน

นอกจากนี้ GuardMiner ยังมีความสามารถในการเผยแพร่ไปยังโฮสต์อื่น ๆ โดยใช้ช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลในซอฟต์แวร์อื่น ๆ รวมถึงช่องโหว่ใน Apache Struts, Atlassian Confluence และ Spring Cloud Gateway

ที่มา: thehackernews

มัลแวร์ Ursnif เวอร์ชันใหม่ (หรือที่รู้จักในชื่อ Gozi) ปรับตัวเองกลายเป็น backdoor ธรรมดา หลังจากถอดฟังก์ชันโทรจันสำหรับขโมยข้อมูลของธนาคารออกไป

การเปลี่ยนแปลงนี้แสดงให้เห็นว่า Ursnif เวอร์ชันใหม่กำลังมุ่งเน้นไปที่การแพร่กระจายแรนซัมแวร์ โดยเวอร์ชันใหม่นี้มีชื่อว่า “LDR4” ซึ่งถูกพบเมื่อวันที่ 23 มิถุนายน 2022 ที่ผ่านมา

โดยนักวิจัยจากบริษัท Mandiant ที่เป็นผู้วิเคราะห์ตัวมัลแวร์ เชื่อว่าตัวมัลแวร์ถูกปล่อยโดยกลุ่มเดียวกันกับมัลแวร์เวอร์ชัน RM3 ในช่วงหลายปีที่ผ่านมา

แคมเปญใหม่ของ Ursnif
มัลแวร์ Ursnif LDR4 ถูกส่งผ่านอีเมลเสนองานจากบริษัทจัดหางานปลอมที่มีลิงก์ไปยังเว็บไซต์ที่แอบอ้างเป็นบริษัทที่ถูกต้อง

โดยวิธีนี้กลุ่ม Ursnif เคยใช้มาก่อนแล้วในอดีต เมื่อเข้าไปยังเว็บไซต์ดังกล่าว จะต้องผ่านหน้า CAPTCHA ก่อน จึงจะสามารถดาวน์โหลดเอกสาร Excel ซึ่งภายในมีมาโครที่ใช้ดาวน์โหลดมัลแวร์จากเซิร์ฟเวอร์ภายนอกมาอีกครั้งหนึ่ง

 

LDR4 มาในรูปแบบ DLL (“loader.

กลุ่ม BlackByte ransomware มีการใช้งานเครื่องมือเวอร์ชันใหม่ในการขโมยข้อมูล ซึ่งเป็นเครื่องมือที่ถูกสร้างขึ้นเองชื่อว่า 'ExByte' เพื่อใช้ขโมยข้อมูลจากอุปกรณ์ Windows ที่ถูกโจมตีได้อย่างรวดเร็ว

การขโมยข้อมูลนี้เป็นส่วนหนึ่งของขั้นตอนที่สำคัญที่สุดในการโจมตีแบบ double-extortion โดย BleepingComputer ระบุว่าบริษัทต่างๆ จะยอมจ่ายค่าไถ่เพื่อป้องกันการรั่วไหลของข้อมูลมากกว่าการรับตัวถอดรหัส

ด้วยเหตุนี้ทำให้การทำงานของกลุ่มแรนซัมแวร์ รวมถึง ALPHV และ LockBit มีการพัฒนาอย่างต่อเนื่องเพื่อปรับปรุงเครื่องมือที่ใช้สำหรับขโมยข้อมูล

กลุ่มแฮ็กเกอร์อื่น ๆ เช่น Karakurt ไม่สนใจกับการเข้ารหัสในเครื่อง โดยจะมุ่งเน้นในการโจมตีเพื่อขโมยข้อมูลเท่านั้น

เครื่องมือที่ใช้สำหรับการขโมยข้อมูล Exbyte

Exbyte ถูกพบโดยนักวิจัยด้านความปลอดภัยที่ Symantec ซึ่งระบุว่าผู้โจมตีใช้เครื่องมือในการขโมยข้อมูลแบบ Go-based เพื่ออัปโหลดไฟล์ที่ถูกขโมยโดยตรงไปยังบริการจัดเก็บข้อมูลระบบคลาวด์ของ Mega

เมื่อเริ่มดำเนินการ เครื่องมือจะทำการตรวจสอบการป้องกันการวิเคราะห์ เพื่อตรวจสอบการทำงานว่าอยู่ใน SANDBOX หรือไม่ และตรวจหาโปรแกรม debuggers และกระบวนการป้องกันมัลแวร์

processes ที่ Exbyte จะทำการตรวจสอบ คือ:

MegaDumper 1.0 by CodeCracker / SnD
Import reconstructor
x64dbg
x32dbg
OLLYDBG
WinDbg
The Interactive Disassembler
Immunity Debugger – [CPU]

นอกจากนี้ มัลแวร์ยังตรวจสอบการมีอยู่ของไฟล์ DLL ต่อไปนี้:

avghooka.

ในช่วงเดือนมิถุนายน 2565 LockBit ransomware ได้ประกาศอัปเกรดตัวเองเป็นเวอร์ชัน 3.0 ซึ่งในครั้งนี้มีการเพิ่มฟีเจอร์ใหม่ ๆ เข้ามา เช่น ป้องกันการวิเคราะห์ และตรวจสอบจากอุปกรณ์ต่างๆ, เพิ่มรางวัลกับผู้ที่เจอบั๊กของโปรแกรม รวมไปถึงเพิ่มวิธีการใหม่ ๆ ในการโจมตี

อย่างไรก็ตาม ในวันที่ 21 กันยายนที่ผ่านมา 3xp0rt ผู้เชี่ยวชาญด้าน Cybersecurity ได้โพสบน Twitter ว่าพบบัญชีสร้างใหม่ที่มีชื่อว่า "Ali Qushji" ซึ่งอ้างว่าตน และทีมได้แฮ็กเซิฟเวอร์ของ LockBits ได้สำเร็จ และพบ Builder ที่เป็นตัวเข้ารหัสของ LockBit 3.0

หลังจากที่ 3xp0rt แชร์ทวีตไม่นาน ก็มีทีมงานผู้เชี่ยวชาญอีกกลุ่มที่ชื่อว่า VX-Underground ได้แชร์ทวีตในลักษณะเดียวกัน โดยระบุว่าตนได้รับการติดต่อจากผู้ที่อ้างว่ามีข้อมูล Builder ของ LockBit 3.0 เช่นกัน

ต่อมาตัวแทนของกลุ่ม LockBit ได้ออกมาชี้แจงว่าพวกเขาไม่ได้ถูกแฮ็ก ข้อมูลที่ถูกเผยแพร่มาจากทีม Developer ที่มีปัญหากันเองภายในกลุ่ม

ลักษณะการทำงาน

จากการตรวจสอบไฟล์ Builder ที่ถูกเผยแพร่ออกมา พบว่าผู้ใช้งานสามารถสร้าง Ransomware ที่ใช้ในการโจมตีขึ้นมาได้อย่างรวดเร็ว ซึ่งในไฟล์ที่ถูกสร้างนั้นประกอบไปด้วยเครื่องมือที่ใช้ในการเข้ารหัส, เครื่องมือถอดรหัส, รวมไปถึง Tools พิเศษอื่น ๆ ที่ใช้ในการถอดรหัส
เมื่อตรวจสอบ Builder พบว่าประกอบด้วย 4 ไฟล์หลัก ๆ ได้แก่

เครื่องมือ Generate Key ที่ใช้สำหรับการเข้ารหัส
Builder ที่ใช้ในการสร้าง Execute File
Configuration Files ที่ผู้ใช้งานสามารถปรับแก้ไขให้ตรงตามที่ต้องการได้
Batch File สำหรับสร้าง File ทั้งหมดที่ผู้ใช้งานกำหนดไว้

ในไฟล์ config.

กลุ่ม Lorenz ransomware ใช้ช่องโหว่ระดับ Critical ในอุปกรณ์ Mitel MiVoice VOIP เพื่อเข้าถึงเครือข่ายขององค์กร โดยเป็นการใช้ระบบโทรศัพท์เพื่อเจาะเข้าถึงระบบเครือข่ายขององค์กร

นักวิจัยด้านความปลอดภัยจาก Arctic Wolf Labs พบวิธีการนี้หลังจากการวิเคราะห์ Tactics, Techniques, and Procedures (TTPs) ที่เชื่อมโยงกับการโจมตีจาก ransomware ด้วยช่องโหว่ CVE-2022-29499 เพื่อใช้ในการเข้าถึงเครือข่ายขององค์กร จากรายงานของ Crowdstrike เมื่อเดือนมิถุนายน

แม้ว่าเหตุการณ์นี้จะไม่ตรงกับรูปแบบการโจมตีจาก ransomware กลุ่มใดกลุ่มหนึ่ง แต่ Arctic Wolf Labs มั่นใจว่าพฤติกรรมดังกล่าวเชื่อมโยงได้กับกลุ่ม Lorenz ransomware

นักวิจัยด้านความปลอดภัยระบุในรายงานว่า “พฤติกรรมการโจมตีเริ่มต้นจากอุปกรณ์ Mitel ที่อยู่บนระบบเครือข่าย” โดยกลุ่ม Lorenz ใช้ประโยชน์จากช่องโหว่ CVE-2022-29499 ซึ่งเป็นช่องโหว่ในการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลที่ส่งผลกระทบกับอุปกรณ์ Mitel Service Appliance ในส่วนของ MiVoice Connect ซึ่งจะทำให้ผู้โจมตีสามารถ reverse Shell และใช้ Chisel เป็น tunneling tool เพื่อเข้าสู่เครือข่าย

Kevin Beaumont ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่า เนื่องจาก Mitel Voice-over-IP (VoIP) ถูกใช้โดยองค์กรต่าง ๆ ทั่วโลก รวมไปถึงหน่วยงานของรัฐ จึงทำให้ปัจจุบันมีอุปกรณ์กว่า 19,000 เครื่องที่มีความเสี่ยงต่อการถูกโจมตี

Mitel ได้ออกแพตซ์แก้ไขช่องโหว่นี้แล้วในช่วงต้นเดือนมิถุนายน 2565 หลังจากปล่อยสคริปต์การแก้ไขปัญหาเบื้องต้นสำหรับ MiVoice Connect เวอร์ชันที่ได้รับผลกระทบในเดือนเมษายน

โดยก่อนหน้านี้มีกลุ่มผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ในด้านความปลอดภัยอื่น ๆ ที่ส่งผลกระทบต่ออุปกรณ์ Mitel ในการโจมตีด้วย DDoS ที่ทำลายสถิติการโจมตีด้วย DDoS amplification ที่เคยเกิดขึ้นในอดีต

กลุ่ม Lorenz คือใคร?

Lorenz ransomware ตั้งเป้าหมายไปที่องค์กรต่าง ๆ ทั่วโลก โดยล่าสุดเมื่อเดือนธันวาคม 2563 ที่ผ่านมา มีการเรียกร้องค่าไถ่จากเหยื่อแต่ละรายหลายแสนดอลลาร์

Michael Gillespie ระบุว่าลักษณะของ Lorenz นั้นเหมือนกับการเรียกค่าไถ่ที่เกิดขึ้นก่อนหน้านี้ที่รู้จักกันในชื่อ ThunderCrypt

กลุ่มนี้ยังเป็นที่รู้จักในการขายข้อมูลที่ถูกขโมยออกมาไปให้ผู้โจมตีรายอื่น เพื่อกดดันให้เหยื่อของพวกเขาจ่ายค่าไถ่ รวมถึงมีการขายข้อมูลที่ใช้สำหรับการเข้าถึงเครือข่ายภายในของเหยื่อให้กับผู้โจมตีรายอื่นอีกด้วย

ที่มา : bleepingcomputer

ทีมวิจัย และข่าวกรองของ BlackBerry รายงานว่า มีการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ที่ชื่อว่า “Monti” ซึ่งมีการนำ Conti code มาใช้ในการโจมตี โดยกลุ่ม Monti ransomware ถูกพบในช่วงสุดสัปดาห์ของ independence day ด้วยการใช้ช่องโหว่ Log4Shell เพื่อเข้ารหัส BlackBerry user hosts 20 ราย และเซิร์ฟเวอร์ 20 เครื่องได้สำเร็จ

จากการวิเคราะห์เพิ่มเติม นักวิจัยพบว่า IOC ของการโจมตีด้วย ransomware ค่อนข้างคล้ายกับการโจมตีของ Conti ransomware ในอดีต ซึ่งคาดว่า Monti ได้นำโครงสร้างของระบบของ Conti ที่รั่วไหลออกมาเมื่อช่วงเดือน กุมภาพันธ์ และมีนาคมมาปรับใช้ ซึ่งคาดว่าจะมีกลุ่มผู้โจมตีอื่น ๆ ที่น่าจะนำโซลูชัน ransomware-as-a-service (RaaS) และซอร์สโค้ดที่รั่วไหลออกมาของกลุ่ม Conti มาใช้โจมตีอีก

ความเกี่ยวข้องของ Monti ransomware กับ Conti

มัลแวร์เรียกค่าไถ่ Monti ที่พึ่งถูกค้นพบ เกิดขึ้นหลังจากการล่มสลายของมัลแวร์เรียกค่าไถ่ Conti

นักวิจัยของ Intel471 ไม่แน่ใจว่า Monti เป็นการรีแบรนด์ของ Conti หรือเป็นเพียงกลุ่มผู้โจมตีใหม่ที่ใช้ซอร์สโค้ดของ Conti ransomware ที่รั่วไหลออกมา แต่รายงานจาก BlackBerry ได้ประเมินว่า Monti นั้นเป็นการเลียนแบบ Conti มากกว่า

ไม่ว่า Conti จะถูกรีแบรนด์เป็น Monti หรือเป็นแรนซัมแวร์ตัวใหม่ก็มีแนวโน้มว่าเราจะยังคงเห็นแรนซัมแวร์ตัวใหม่ ๆ ทำการโจมตี และส่งผลกระทบต่อธุรกิจทั่วโลกต่อไป" Intel471 กล่าว

ที่มา: darkreading , scmagazine

Cisco ยืนยันเรื่องการถูกโจมตีในเดือนพฤษภาคม และข้อมูลรั่วไหลโดยกลุ่มแรนซัมแวร์ Yanluowang เป็นข้อมูลที่ถูกขโมยจากระบบของ Cisco จริง ๆ

ในเดือนสิงหาคมที่ผ่านมา Cisco ออกมาเปิดเผยข้อมูลการถูกโจมตีจากกลุ่มแรนซัมแวร์ Yanluowang ที่สามารถเข้าถึงเครือข่ายขององค์กรได้ในช่วงปลายเดือนพฤษภาคม และขโมยข้อมูลภายในออกไป

การสืบสวนดำเนินการโดย Cisco Security Incident Response (CSIRT) และ Cisco Talos เปิดเผยว่าผู้โจมตีสามารถเข้าถึงข้อมูลบัญชีของพนักงานของ Cisco ได้ หลังจากที่แฮ็กบัญชี Google ส่วนตัวของพนักงานรายนั้นได้ก่อนหน้า และพบว่ามีการซิงโครไนซ์ข้อมูลประจำตัวที่บันทึกไว้ในเบราว์เซอร์

เมื่อได้ข้อมูลแล้ว ผู้โจมตีก็เริ่มโจมตีแบบ voice phishing เพื่อหลอกให้เหยื่อให้กดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตี

จากนั้นหลังจากที่ผู้โจมตีสามารถเข้าถึง VPN ในฐานะของผู้ใช้ได้ ก็ทำการโจมตีแบบ voice phishing ต่อไปอีกหลายครั้ง เพื่อพยายามให้เหยื่อกดยอมรับ MFA push notification ที่เป็นการพยายามเข้าใช้งานจากผู้โจมตีต่อไปเรื่อย ๆ จนในที่สุดผู้โจมตีประสบความสำเร็จในการเข้าถึง VPN ของผู้ใช้งานที่เป็นเป้าหมายได้

จากรายงานของ Talos เมื่อผู้โจมตีสามารถเข้าถึงเครือข่ายได้แล้ว ผู้โจมตีก็ทำการโจมตีเพื่อยกระดับสิทธิ์จนได้สิทธิ์ของผู้ดูแลระบบ จากนั้นจึงสามารถเข้าถึงระบบภายในต่าง ๆ ได้ และสามารถติดตั้งเครื่องมือต่าง ๆ บนเครือข่ายเป้าหมาย ซึ่งรวมถึงเครื่องมือที่ใช้ในการเข้าถึงได้จากระยะไกล เช่น LogMeIn และ TeamViewer, Cobalt Strike, PowerSploit, Mimikatz และ Impacket

ในช่วงสุดสัปดาห์ที่ผ่านมา Cisco ยืนยันว่าข้อมูลที่เผยแพร่โดยกลุ่มแรนซัมแวร์ Yanluowang นั้นเป็นข้อมูลจริง และถูกขโมยจากเครือข่าย ระหว่างการบุกรุกในเดือนพฤษภาคมดังกล่าว อย่างไรก็ตามบริษัทระบุว่าการโจมตีครั้งนี้ไม่กระทบต่อธุรกิจ เนื่องจากข้อมูลที่ถูกขโมยออกไปไม่มีข้อมูลที่สำคัญ

จากข้อมูลของ BleepinComputer ซึ่งติดต่อกับหัวหน้ากลุ่มแรนซัมแวร์ Yanluowang ซึ่งอ้างว่าได้ขโมยไฟล์ขนาด 55GB ซึ่งรวมถึงเอกสารลับ แผนผังทางเทคนิค และซอร์สโค้ด โดย Cisco ยังคงปฏิเสธว่าผู้โจมตีสามารถเข้าถึงซอร์สโค้ดของผลิตภัณฑ์ของตนได้

เมื่อเร็ว ๆ นี้ นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ eSentire ค้นพบว่าระบบของผู้โจมตีที่ใช้ในการแฮ็ก Cisco นั้น ถูกใช้เพื่อโจมตีบริษัทการจัดการแรงงานชั้นนำในเดือนเมษายน 2022 อีกด้วย

ผู้เชี่ยวชาญยังคาดการณ์ด้วยว่าการโจมตีดังกล่าวทำโดยผู้คุกคามที่รู้จักกันในชื่อ mx1r ซึ่งเป็นสมาชิกของกลุ่มพันธมิตร Evil Corp ที่มีชื่อว่า UNC2165

ที่มา: securityaffairs

เมื่อวันพุธที่ผ่านมา Threat Intelligence ของ Microsoft ออกมาแจ้งเตือนถึงกลุ่มผู้โจมตีด้วย ransomware ซึ่งคาดว่ามาจากประเทศอิหร่าน ที่ใช้ชื่อว่า "Phosphorus"

โดย Microsoft กำลังติดตามข้อมูลของกลุ่ม DEV-0270 (หรือที่รู้จักในชื่อ Nemesis Kitten) ซึ่งกำลังดำเนินการภายใต้บริษัทนามแฝงที่ชื่อว่า Secnerd และ Lifeweb โดยพบข้อมูลของระบบ และเครื่องมือที่ใช้ในการโจมตีของทางกลุ่ม และทั้งสององค์กรมีลักษณะเดียวกัน

DEV-0270 ใช้ประโยชน์จากช่องโหว่ที่มีระดับความรุนแรงสูง เพื่อเข้าถึงอุปกรณ์ต่าง ๆ และยังเป็นที่รู้จักจากการใช้ช่องโหว่ใหม่ ๆ รูปแบบอื่นในการโจมตี และกลุ่ม DEV-0270 ยังมีการใช้วิธีการอย่าง living off the land binaries(LOLBINs) ในการค้นหา และเข้าถึงข้อมูลที่สำคัญ จนไปถึงการใช้เครื่องมืออย่าง BitLocker เพื่อเข้ารหัสไฟล์บนเครื่องของเหยื่อที่ถูกโจมตี

การใช้ BitLocker และ DiskCryptor ransomware โดยกลุ่มผู้โจมตีจากอิหร่าน เริ่มปรากฏให้เห็นเมื่อต้นเดือนพฤษภาคม จากรายงานของ Secureworks ที่เปิดเผยการโจมตีโดยกลุ่มที่มีชื่อว่า Cobalt Mirage (หรือที่รู้จักในชื่อ Cobalt Illusion) และ TunnelVision ซึ่งคาดว่าก็มีความเกี่ยวข้องกับกลุ่ม Phosphorus

โดย DEV-0270 จะใช้วิธีการสแกนช่องโหว่จากอินเทอร์เน็ต เพื่อค้นหาเซิร์ฟเวอร์ และอุปกรณ์ที่มีความเสี่ยงที่จะถูกโจมตีได้จากช่องโหว่ของ Microsoft Exchange Server, Fortinet FortiGate SSL-VPN และ Apache Log4j จากนั้นจึงจะทำการสำรวจข้อมูลของเครือข่ายของเหยื่อเพิ่มเติม รวมไปถึงขโมยข้อมูล credential

เมื่อสามารถเข้าถึงเครือข่ายของเหยื่อที่ถูกโจมตี มันจะพยายามแฝงตัวอยู่บนระบบให้ได้นานที่สุดด้วยการแอบสร้าง scheduled task สำหรับสั่งการทำงานบนเครื่องของเหยื่อ

จากนั้น DEV-0270 จะใช้วิธีการโจมตีเพื่อยกระดับสิทธิ์เป็น System เพื่อให้สามารถปิดการทำงานของ Microsoft Defender Antivirus จากนั้นจึงทำการโจมตีต่อไปยังเครื่องอื่น ๆ บนเครือข่ายของเหยื่อ และใช้ BitLocker เข้ารหัสไฟล์บนเครื่องเหยื่อ

เครื่องมือที่ผู้โจมตีใช้ส่วนมากจะเป็น WMI, net, CMD, PowerShell commands และเข้าไปกำหนดค่า Registry อีกทั้งผู้โจมตียังมีการติดตั้ง และปลอมแปลง binaries ที่สร้างขึ้นเพื่อปลอมเป็น Process ที่ดูปกติ เพื่อแฝงตัวอยู่บนเครื่องเหยื่ออีกด้วย

แนะนำให้ผู้ใช้งานอัปเดตแพตช์เซิร์ฟเวอร์ Exchange ที่เชื่อมต่อกับอินเทอร์เน็ตโดยด่วน เพื่อลดความเสี่ยงจากการถูกโจมตี รวมไปถึงจำกัดการเข้าถึงอุปกรณ์เครือข่ายของ Fortinet SSL-VPN และตั้งรหัสผ่านให้รัดกุม และทำการสำรองข้อมูลอย่างสม่ำเสมอ

ที่มา : thehackernews

Baker & Taylor บริษัทเอกชนที่จัดตั้งขึ้นมานานกว่า 190 ปี ในสหรัฐอเมริกา และเป็นผู้จัดจำหน่ายหนังสือรายใหญ่ที่สุดในโลก ซึ่งปัจจุบันกำลังพยายามกู้คืนระบบ หลังจากถูกโจมตีโดย Ransomware เมื่อสัปดาห์ก่อน

เมื่อวันที่ 23 สิงหาคมที่ผ่านมา บริษัทระบุว่าเซิร์ฟเวอร์ของบริษัทหยุดทำงาน หลังจากเกิดไฟฟ้าขัดข้อง ซึ่งส่งผลกระทบต่อระบบโทรศัพท์ ระบบสำนักงาน และศูนย์บริการของบริษัท หลังจากนั้น 1 วัน บริษัทระบุถึงเหตุการณ์ภัยคุกคามที่เกิดขึ้นกับระบบที่สำคัญ ซึ่งปัจจุบันทีมที่เกี่ยวข้องกำลังดำเนินการกู้คืนข้อมูลบน Server ที่ได้รับผลกระทบ

ซึ่งล่าสุดทาง Baker & Taylor ได้ออกมายอมรับว่าถูกโจมตีจาก Ransomware และอยู่ระหว่างดำเนินการแก้ไขโดยทีมไอที และผู้เชี่ยวชาญภายนอก เพื่อพยายามกู้คืนระบบให้กลับมาทำงานได้โดยเร็วที่สุด

ปัจจุบันยังไม่มีข้อมูลว่ากลุ่ม Ransomware กลุ่มไหน หรือองค์กรใดอยู่เบื้องหลังการโจมตีในครั้งนี้ แต่ Baker & Taylor ยืนยันว่าจะไม่มีการจ่ายเงินให้กับกลุ่มผู้โจมตี

ที่มา : bleepingcomputer