LockBit Ransomware น่ากลัวขึ้นอีกระดับ หลังประกาศเพิ่มการโจมตีแบบ DDoS Attack

กลุ่ม LockBit Ransomware ได้ออกมาประกาศเรื่องการปรับปรุงเว็บไซต์ของทางกลุ่ม หลังจากที่ถูกโจมตีแบบปฏิเสธการให้บริการ (DDoS) และเตรียมยกระดับการโจมตีของกลุ่มให้เป็นแบบ Triple Extortion

รายละเอียดเหตุการณ์

เหตุการณ์ครั้งนี้เกิดขึ้นจากเมื่อวันที่ 18 มิถุนายน 2565 ที่ผ่านมา LockBit ได้ขโมยข้อมูลจำนวนกว่า 300 GB ของ Entrust บริษัทด้านความปลอดภัยทางดิจิทัล โดยเหตุการณ์ครั้งนี้ Entrust ยืนยันที่จะไม่ยอมจ่ายค่าไถ่ ทำให้ LockBit เริ่มประกาศจะเผยแพร่ข้อมูลของ Entrust ออกมาในวันที่ 19 สิงหาคม 2565 แต่ก็ไม่สามารถเผยแพร่ข้อมูลได้อย่างต่อเนื่อง เนื่องจาก LockBit อ้างว่าเว็บไซต์ของทางกลุ่มถูกบริษัท Entrust โจมตีด้วย DDoS attack เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่ LockBit อ้างว่าได้ขโมยออกมา

จากเหตุการณ์ดังกล่าว LockBit ใช้บทเรียนครั้งนี้เป็นโอกาสที่จะเพิ่มผู้เชี่ยวชาญในการโจมตีด้วย DDoS เข้าสู่ทีม เพื่อยกระดับการโจมตีของตนให้เป็นแบบ Triple Extortion ซึ่งประกอบไปด้วย

การเข้ารหัสไฟล์บนเครื่องเป้าหมาย
การเผยแพร่ข้อมูลของเป้าหมาย
การโจมตีแบบปฏิเสธการให้บริการ (DDoS) ไปยังเป้าหมาย

นอกจากนี้โฆษาของ LockBit ยังยืนยันว่าจะแชร์ข้อมูลกว่า 300GB ที่ขโมยมาจาก Entrust ให้ได้ โดยเริ่มจากการส่งข้อมูลไปให้กับผู้ที่สนใจที่ติดต่อเข้ามาทาง Direct Message ผ่านทางไฟล์ Torrent

ส่วนวิธีที่ LockBit นำมาใช้เพื่อป้องกันการโจมตีจาก DDoS คือการใช้ลิงก์ที่แตกต่างกันในไฟล์บันทึกค่าไถ่ของเหยื่อแต่ละราย จากนั้นจะเพิ่มจำนวนมิเรอร์ และเซิร์ฟเวอร์สำหรับเผยแพร่ข้อมูลที่แฮ็กมา และในอนาคตมีแผนที่จะเพิ่มความพร้อมใช้งานของข้อมูลที่ถูกขโมยโดยทำให้สามารถเข้าถึงได้ผ่าน clearnet ผ่านบริการจัดเก็บข้อมูลแบบ bulletproof

ข้อมูลเพิ่มเติมเกี่ยวกับ LockBit

การดำเนินการของ LockBit ถูกพบมาตั้งแต่เดือนกันยายน 2562 โดยมีผู้ตกเป็นเหยื่อมากกว่า 700 รายและ Entrust ก็ถือเป็นหนึ่งในนั้น

ที่มา : bleepingcomputer

 

โรงพยาบาลในฝรั่งเศสถูกแรนซัมแวร์เรียกค่าไถ่ 10 ล้านดอลลาร์ ทำให้ต้องส่งคนไข้ต่อไปยังโรงพยาบาลอื่น

Centre Hospitalier Sud Francilien (CHSF) ซึ่งเป็นโรงพยาบาลขนาด 1,000 เตียง โดยอยู่ห่างจากกรุงปารีสเพียง 28 กม. และให้บริการในพื้นที่ที่มีประชากรราวๆ 600,000 คน
เมื่อวันอาทิตย์ที่ผ่านมาโรงพยาบาลถูกโจมตีด้วยแรนซัมแวร์ ทำให้เกิดการขัดข้องในการดำเนินการรักษา ซึ่งอาจเป็นอันตรายต่อสุขภาพ และชีวิตของผู้ป่วยในภาวะฉุกเฉินทางการแพทย์ จึงทำให้ทางโรงพยาบาลจำเป็นต้องส่งผู้ป่วยต่อไปยังโรงพยาบาลอื่น และต้องเลื่อนนัดสำหรับผู้ป่วยที่ต้องทำการผ่าตัด
ประกาศของทางโรงพยาบาลระบุว่า “การโจมตีเครือข่ายคอมพิวเตอร์ทำให้ซอฟต์แวร์ ระบบจัดเก็บข้อมูล (โดยเฉพาะภาพทางการแพทย์) และระบบข้อมูลที่เกี่ยวข้องกับการรับผู้ป่วยของโรงพยาบาลไม่สามารถเข้าถึงได้ในขณะนี้ ”

เจ้าหน้าที่โรงพยาบาลยังไม่ได้ให้ข้อมูลเพิ่มเติมเกี่ยวกับสถานการณ์ระบบไอทีที่ยังขัดข้อง และยังคงส่งผลอันตรายต่อผู้ป่วยของโรงพยาบาล ในส่วนคนไข้ที่ต้องดูแลฉุกเฉินจะได้รับการประเมินโดยแพทย์ของโรงพยาบาล หากคนไข้อยู่ในภาวะที่ต้องมีการถ่ายภาพทางการแพทย์เพื่อการรักษา ผู้ป่วยจะถูกย้ายไปยังโรงพยาบาลอื่น
รายงานของหนังสือพิมพ์ Le Monde ซึ่งมีข้อมูลจากหน่วยงานบังคับใช้กฎหมายของประเทศได้ระบุว่า กลุ่มผู้โจมตีเรียกค่าไถ่เป็นเงินจำนวน 10,000,000 ดอลลาร์ เพื่อแลกกับคีย์สำหรับถอดรหัส เจ้าหน้าที่ตำรวจกล่าวกับหนังสือพิมพ์ Le Monde โดยระบุว่า "การสอบสวนกำลังดำเนินการโดยศูนย์ต่อต้านอาชญากรรมทางดิจิทัล (C3N) และสำนักงานอัยการปารีส เพื่อตรวจสอบรายละเอียดของการโจมตี และกลุ่มที่พยายามเรียกค่าไถ่”

สันนิษฐานว่าเป็นการโจมตีจาก Lockbit 3.0

Valéry Riess-Marchive นักข่าวด้านความปลอดภัยทางไซเบอร์ชาวฝรั่งเศสระบุถึงสัญญาณของ LockBit 3.0 โดยกล่าวถึงวิธีการจัดการโดยหน่วยงานที่กำลังดำเนินการตรวจสอบ มีแนวโน้มว่าน่าจะเกี่ยวข้องกับการโจมตีจาก Rangar Locker และ LockBit
Riess-Marchive ระบุใน LegMagIT ว่า Ragnar Locker ไม่น่าจะอยู่เบื้องหลังการโจมตีครั้งนี้ เนื่องจากมักจะมุ่งเน้นไปที่ขนาดของธุรกิจของเหยื่อที่แตกต่างจากที่นี่ ในขณะที่ LockBit 3.0 มีขอบเขตของเป้าหมายในการโจมตีที่กว้างกว่า หาก Lockbit 3.0 เกี่ยวข้องกับการโจมตีโรงพยาบาล CHSF ครั้งนี้จริง ก็ถือว่าเป็นการละเมิดกฎของบริการ RaaS ซึ่งจะห้ามไม่ให้กลุ่มผู้โจมตีที่นำ Ransomware ไปใช้โจมตีระบบของผู้ให้บริการด้านการดูแลสุขภาพ
ปัจจุบันกลุ่มผู้โจมตีในครั้งนี้นั้นยังไม่ได้รับการยืนยัน และเว็บไซต์ LockBit 3.0 ก็ยังไม่มีรายชื่อของโรงพยาบาล ดังนั้นจึงยังเป็นแค่การสันนิษฐานจากผู้สื่อข่าวเท่านั้น

ที่มา : bleepingcomputer

Entrust บริษัทยักษ์ใหญ่ด้านความปลอดภัยดิจิทัลถูกโจมตีโดย Ransomware

Entrust บริษัทยักษ์ใหญ่ด้านความมั่นคงปลอดภัยดิจิทัล ยืนยันว่าได้รับความเสียหายจากการโจมตีทางไซเบอร์ โดยผู้โจมตีได้เจาะเครือข่าย และขโมยข้อมูลจากระบบภายในออกไป Entrust เป็นบริษัทรักษาความปลอดภัยทางด้าน identity management, บริการเข้ารหัสสำหรับการสื่อสาร, ความปลอดภัยทางด้าน digital payments และ ID issuance solutions การโจมตีครั้งนี้อาจส่งผลกระทบต่อองค์กรต่างๆจำนวนมากที่ใช้งาน Entrust สำหรับการจัดการข้อมูลประจำตัว และการตรวจสอบสิทธิ์ ซึ่งขึ้นอยู่กับว่ามีข้อมูลประเภทใดบ้างที่ถูกขโมยออกไป รวมไปถึงหน่วยงานต่างๆของรัฐบาลสหรัฐฯ เช่น กระทรวงพลังงาน กระทรวงความมั่นคงแห่งมาตุภูมิ กระทรวงการคลัง กระทรวงสาธารณสุขและบริการมนุษย์ กรมกิจการทหารผ่านศึก กรมวิชาการเกษตร และองค์กรอื่นๆ อีกมากมาย แฮ็กเกอร์เจาะเครือข่ายของ Entrust ได้ในเดือนมิถุนายน เมื่อประมาณสองสัปดาห์ก่อน BleepingComputer ได้รับข้อมูลว่า Entrust ถูกโจมตีเมื่อวันที่ 18 มิถุนายน และแฮ็กเกอร์ขโมยข้อมูลของบริษัทออกไปด้วยระหว่างการโจมตี อย่างไรก็ตาม จนกระทั่งเมื่อวานนี้ (21 กรกฎาคม 2565 ) การโจมตีดังกล่าวถึงได้รับการยืนยันว่าเกิดขึ้นจริง เมื่อนักวิจัยด้านความปลอดภัย Dominic Alvieri ได้ทวีตรูปการแจ้งเตือนถึงการถูกโจมตีที่ส่งไปยังลูกค้าของ Entrust เมื่อวันที่ 6 กรกฎาคมจาก Entrust CEO Todd Wilkinson ข้อความระบุว่า “เมื่อวันที่ 18 มิถุนายน บริษัทได้พบว่ามีบุคคลที่ไม่ได้รับอนุญาตสามารถเข้าถึงระบบบางระบบของเราที่ใช้สำหรับการดำเนินงานภายใน เราพยายามทำงานอย่างหนักเพื่อแก้ไขสถานการณ์นี้มาโดยตลอด”
“ปัจจุบันบริษัทกำลังทำการตรวจสอบอย่างต่อเนื่อง มีเอกสารบางอย่างถูกนำออกไปจากระบบของเรา บริษัทจะติดต่อกับลูกค้าโดยตรงหากมีข้อมูลที่เชื่อได้ว่าจะส่งผลต่อความปลอดภัยของผลิตภัณฑ์ และบริการที่ให้กับองค์กรของลูกค้า"
Entrust ให้ข้อมูลกับ BleepingComputer ว่าพวกเขากำลังทำงานร่วมกับ บริษัทรักษาความปลอดภัยทางไซเบอร์ชั้นนำ และหน่วยงานบังคับใช้กฎหมายเพื่อตรวจสอบการโจมตี
"แม้ว่าการสืบสวนจะยังคงดำเนินอยู่ แต่จนถึงขณะนี้ยังไม่พบหลักฐานว่ามีปัญหาที่จะส่งผลกระทบต่อผลิตภัณฑ์ และการรักษาความปลอดภัยของเรา ผลิตภัณฑ์ และบริการเหล่านี้จะทำงานอยู่แยกจากระบบภายในของบริษัท ซึ่งยังสามารถให้บริการได้ตามปกติ” Entrust ให้ข้อมูลกับ BleepingComputer

กลุ่ม Ransomware
แม้ว่าประกาศ และคำกล่าวของ Entrust กับ BleepingComputer ไม่ได้บอกรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีดังกล่าว แต่ BleepingComputer คาดว่ากลุ่มผู้โจมตีน่าจะเป็นกลุ่มแรนซัมแวร์ที่รู้จักกันดี เป็นผู้อยู่เบื้องหลังการโจมตีครั้งนี้

ที่มา : bleepingcomputer

 

 

 

 

Luna Ransomware ตัวใหม่ สามารถเข้ารหัสได้ทั้ง Windows, Linux และ ESXi Server

ผู้เชี่ยวชาญจาก Kaspersky พบ Ransomware ชนิดใหม่จากระบบ Darknet Threat Intelligence ที่มีชื่อว่า Luna ซึ่ง Luna Ransomware นี้สามารถเข้ารหัสระบบปฏิบัติการได้หลายระบบไม่ว่าจะเป็น Windows, Linux และ ESXi

รายละเอียดการโจมตี

จากการตรวจสอบของทีม Kasperky พบว่า Ransomware Luna มาจากผู้พัฒนาชาวรัสเซีย เนื่องจากภาษาอังกฤษที่ใช้ในสคริปเรียกค่าไถ่ยังมีการใช้คำผิดอยู่ รวมไปถึงฟีเจอร์ในการเข้ารหัส ซึ่งเข้ารหัสได้ตามคำสังที่มีให้เลือกเท่านั้น ทำให้นักวิจัยคาดว่ามันกำลังอยู่ระหว่างการพัฒนา

รูปแบบการเข้ารหัสของ Luna นั้นซับซ้อนมาก มีการแลกเปลี่ยนคีย์โดยใช้ Diffie-Hellman ร่วมกับการเข้ารหัสแบบ Curve25519 ด้วยอัลกอริทึม Advanced Encryption Standard (AES) ทำให้ยากมากในการถอดรหัส
ภาษาที่ใช้ในการพัฒนา Ransomware เป็นภาษาที่ใช้ข้าม Platform ได้ ทำให้การโจมตีบน OS อื่นๆ นอกจาก Windows ไม่จำเป็นต้องมีการเปลี่ยนแปลงใหญ่ๆบน source code เดิม

ในปัจจุบัน มีข้อมูลน้อยมากเกี่ยวกับเหยื่อ รวมไปถึงตัว Luna ransomware เอง เนื่องจากกลุ่มเพิ่งถูกค้นพบ และกิจกรรมของกลุ่มนั้นยังอยู่ในระหว่างการตรวจสอบที่มา

ที่มา : bleepingcomputer

 

Ransomware ตัวใหม่ Lilith เปิดตัวเว็ปไซต์ต่อรองค่าไถ่พร้อมเหยื่อรายแรก

ตามรายงานของผู้เชี่ยวชาญจาก Cyble มีการค้นพบ Ransomware ตัวใหม่ ที่มีการเปิดตัวภายใต้ชื่อ 'Lilith' ซึ่งเป็น Ransomware ที่ถูกพัฒนาโดยภาษา C/C++ เป้าหมายคือระบบปฏิบัติการ Windows 64 Bit ซึ่งคล้ายกับ Ransomware ที่เคยถูกพบก่อนหน้านี้อย่าง RedAlert และ 0mega โดย Lilith จะทำการโจมตีแบบ double-extortions คือจะทำการขโมยข้อมูลก่อนที่จะเข้ารหัสอุปกรณ์

(more…)

พบ Ransomware ตัวใหม่ชื่อ RedAlert เป้าหมายคือ VMware EXSI Server ทั้ง Windows และ Linux

ผู้เชี่ยวชาญจาก MalwareHunterTeam ค้นพบ Ransomware ตัวใหม่ชื่อ RedAlert หรือมีอีกชื่อคือ N13V ถูกสร้างขึ้นโดยมีเป้าหมายไปที่ VMware EXSI Server ทั้งระบบปฏิบัติการ Windows และ Linux

โดยในตัว Linux encryptor มีตัวเลือกที่เป็น Command-Line ต่างๆ ให้ผู้โจมตีสามารถดำเนินการกับ VM ก่อนเข้ารหัสไฟล์ได้โดยคำสั่งดังนี้

-w คำสั่งสำหรับหยุดการทำงาน vm ทั้งหมดที่ทำงานอยู่
-p Path ที่จะ encrypt (ซึ่งค่า default มันจะทำการ encrypt ไฟล์ทั้งหมดใน directory เท่านั้น ไม่รวมไฟล์ใน subdirectories)
-f File ที่จะ encrypt
-r เรียกซ้ำ โดยใช้กับ Command -p (search และ encryption จะทำงานบน directory และ subdirectories ทั้งหมด)
-t ตรวจสอบเวลาในการ Encryption (เฉพาะการเข้ารหัสโดยไม่มี Key)
-n ค้นหาไฟล์โดยไม่มีการเข้ารหัส (show ffiles and folders with some info)
-x การทดสอบ Asymmetric cryptography และ DEBUG
-h แสดง Message

ลักษณะการโจมตี

เมื่อผู้โจมตีรัน Command -w Linux Encryptor จะปิด VM ทั้งหมดที่ใช้งานโดยใช้คำสั่ง ESXCLI ต่อไปนี้
esxcli --formatter=csv --format-param=fields=="WorldID,DisplayName" vm process list | tail -n +2 | awk -F $',' '{system("esxcli vm process kill --type=force --world-id=" $1)}'
ในการเข้ารหัสไฟล์ Ransomware จะใช้อัลกอริทึมการเข้ารหัส NTRUENCRYPT ซึ่งรองรับ Parameter Sets
เมื่อเข้ารหัสไฟล์ ransomware จะกำหนดเป้าหมายไปยังไฟล์ที่เชื่อมโยงกับ VMware ESXI Virtual Machines รวมไปถึง log files, swap files, virtual disks, และ memory files ที่มีนามสกุลดังนี้
.log
.vmdk
.vmem
.vswp
.vmsn
และจะผนวกไฟล์นามสกุล .crypt658 กับไฟล์ที่โดนเข้ารหัส
หลังจากเข้ารหัสแล้ว ransomware จะสร้างโน้ตที่ชื่อ How_To_Restore ซึ่งมีคำอธิบายข้อมูลที่ถูกขโมย และลิงก์ไปยังไซต์ชำระเงินค่าไถ่บน TOR Browser
หากเหยื่อไม่จ่ายค่าไถ่ แฮ็กเกอร์จะเผยแพร่ข้อมูลที่ถูกขโมยในลงบนเว็บไซต์ที่ทุกคนสามารถเข้าไปดาวน์โหลดได้

ปัจจุบัน เว็บไซต์ของ Redalert ที่เผยแพร่ข้อมูลเป้าหมาย มีข้อมูลเพียงองค์กรเดียวเท่านั้น ซึ่งระบุว่าเป็นกลุ่มที่ใหม่มาก แต่ก็เป็นพฤติกรรมที่จะต้องจับตาดูอย่างใกล้ชิด เนื่องจากฟังก์ชั่นที่ซับซ้อนของการ Encrypt ไฟล์ และรองรับทั้ง Linux และ Windows

ที่มา : bleepingcomputer

โรงพยาบาลในสหรัฐอเมริกาถูกโจมตี พบข้อมูลหลุดกว่า 40 GB

เมื่อวันเสาร์ที่ผ่านมา เว็บไซต์ DataBreaches.net ได้เผยแพร่ข้อมูลเกี่ยวกับโรงพยาบาล Fitzgibbon ในรัฐมิสซูรีที่ถูก Ransomware โจมตีจากกลุ่มที่แฮ็กเกอร์ที่มีชื่อว่า Daixin Team พวกเขาอ้างว่าได้ขโมยข้อมูลขนาด 40 GB ออกมา และเผยแพร่ไฟล์ที่ได้มาบางส่วนผ่าน Dark Web หนึ่งในไฟล์ที่ถูกเผยแพร่เป็นบัญชีอีเมลจากโรงพยาบาล Fitzgibbon ในช่วงปี 2552-2557

นอกจากนี้ยังพบไฟล์จำนวนมากที่มีข้อมูลด้านสุขภาพของผู้ป่วย เช่น ชื่อผู้ป่วย ข้อมูลการวินิจฉัยหรือการรักษา วันที่ให้บริการ ข้อมูลการประกันสุขภาพ และข้อมูลการเรียกเก็บเงิน

ไฟล์บางไฟล์มีบันทึกเกี่ยวกับผู้ป่วยที่กระทำผิด และกำลังถูกพิจารณาสำหรับการดำเนินการทางกฎหมาย นอกจากข้อมูลเกี่ยวกับผู้ป่วยแล้ว ยังมีไฟล์เกี่ยวกับพนักงานอีกด้วย เช่นไฟล์เงินเดือนของพนักงาน

แต่สิ่งที่น่าเป็นห่วงสุดในการโจมตีครั้งนี้คือ มีไฟล์จำนวนมากที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ของโรงพยาบาล เช่น ไฟล์ประเมินระบบที่มีจุดอ่อน และต้องทำการแก้ไข, ไฟล์ Incident Report เป็นต้น

รายละเอียดเพิ่มเติม

หลังจากทราบข่าว ทีมจาก DataBreaches ได้ส่งอีเมลสอบถามไปยังโรงยาบาล แต่ไม่ได้รับการตอบกลับ และไม่มีประกาศบนเว็บไซต์เพื่อแจ้งเตือนผู้ป่วยเกี่ยวกับการละเมิด หรือการรั่วไหลของข้อมูลแต่อย่างใด ต่อมาทาง DataBreaches จึงมีการสอบถามไปยัง Daixin Team เพื่อขอรายละเอียดเพิ่มเติมแทน ได้รับคำตอบว่ามีการเข้ารหัสบนเซิร์ฟเวอร์ และระบบ Backup จริง ส่วนจำนวนเงินไม่ได้มีการเปิดเผยว่าเรียกไปเป็นจำนวนเท่าไหร่ นอกจากนี้ ทางโรงพยาบาลมีการ Backup ข้อมูลแบบ Offline อยู่จำนวนหนึ่ง จึงสามารถกู้คืนเองได้บางส่วน และจากเหตุการณ์ทั้งหมด โรงพยาบาล Fitzgibbon อ้างว่าจะจ่ายเงินเพื่อกู้คืนข้อมูล แต่ก็ไม่ได้มีการติดต่อไปยังกลุ่มแฮ็กเกอร์แต่อย่างใด ส่วนข้อมูลเกี่ยวกับตัวแฮ็กเกอร์ โฆษกของ Daixin ไม่เต็มใจที่จะให้ข้อมูล โดยบอกว่าพวกเขาต้องการอยู่ในความมืด และทุกการโจมตีจะไม่ก่อให้เกิดความเสียหายต่อชีวิตมนุษย์ เช่น จะไม่โจมตีระบบการแพทย์ให้หยุดทำงาน ส่วนเป้าหมายที่โจมตีนั้น พวกเขาได้อ้างว่าเคยโจมตีรัสเซีย และกลุ่มประเทศใน CIS แต่ประเทศเหล่านี้ไม่สนใจข้อมูลที่รั่วไหล และไม่มีการจ่ายเงิน จึงไม่ใช่เป้าหมายหลัก เป้าหมายหลักจะมุ่งเน้นไปที่บริษัทหรือองค์กรที่พร้อมจ่ายเงินให้แก่พวกเขา

แนวทางการป้องกัน

อัพเดตแพตช์บนระบบปฏิบัติการให้ล่าสุดเสมอ
อัพเดท Signature หรือเวอร์ชันของ Endpoint ให้เป็นปัจจุบัน
Backup ข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นได้ในอนาคต
ติดตามข่าวสารอย่างใกล้ชิด

ที่มา : databreaches

กลุ่ม RansomHouse อ้างว่าได้โจมตี และขโมยข้อมูลของ AMD กว่า 450 GB

ในช่วงสัปดาห์ที่ผ่านมา RansomHouse ได้มีการส่งข้อความผ่าน Telegram ของพวกเขาว่าจะมีการขายข้อมูลของบริษัทที่มีชื่อสามตัวอักษร และขึ้นต้นตัวอักษร “A” ซึ่งหลังจากนั้นเมื่อวันที่ 27 มิถุนายน 2565 ที่ผ่านมาทางกลุ่ม RansomHouse ก็ได้มีการเพิ่ม AMD ลงในเว็บไซต์ Data leak ของตนเองโดยอ้างว่ามีข้อมูลที่ขโมยมาได้จาก AMD กว่า 450 GB

RansomHouse ได้บอกว่าข้อมูลที่ได้ขโมยไปนั้นเป็นข้อมูลเกี่ยวกับการวิจัย และข้อมูลทางการเงิน และข้อมูลนี้รวมถึง CSV ที่เผยแพร่ออกมา ซึ่งมีรายชื่อของอุปกรณ์กว่า 70,000 เครื่อง ที่ดูเหมือนจะเป็นเครือข่ายภายในของ AMD รวมถึงรายการ Corporate Credential ของ User ที่ตั้งรหัสผ่านไม่รัดกุม เช่น ‘password’ ‘P@ssw0rd’ ‘amd!23’ ‘Welcome1’ และพวกเขากำลังวิเคราะห์เพื่อกำหนดมูลค่าของข้อมูล

ต่อมา AMD ซึ่งเป็นบริษัทยักษ์ใหญ่ด้าน Semiconductor ผู้ผลิต CPU และการ์ดจอ โดย AMD ได้ออกมาระบุว่าพวกเขากำลังสืบสวนเกี่ยวกับข่าว และเหตุการณ์ที่อ้างว่ามีการโจมตี และได้โมยข้อมูลออกไปกว่า 450 GB โดยกลุ่ม RansomHouse ในครั้งนี้

RansomHouse ได้ให้ข้อมูลกับ BleepingComputer ว่า partner ของพวกเขาได้เริ่มการโจมตี AMD เมื่อประมาณหนึ่งปีที่แล้ว แต่สาเหตที่ในเว็บไซต์ของพวกเขาได้ระบุถึงการรั่วไหลของข้อมูลเป็นวันที่ 5 มกราคม 2565 นั้น เนื่องจากเป็นวันที่กลุ่มถูกตัดขาดการเข้าถึงเครือข่ายของ AMD

ในขณะที่ RansomHouse ถูกเชื่อมโยงเข้ากับกลุ่ม Ransomware อย่าง WhiteRabbit แต่พวกเขาระบุว่าการโจมตีครั้งนี้ไม่ได้มีการเข้ารหัสอุปกรณ์ และไม่ได้มีการใช้ Ransomware ในการโจมตี AMD และพวกเขาไม่ได้ติดต่อกับ AMD เพื่อเรียกค่าไถ่แต่อย่างใด เนื่องจากทางกลุ่มมองว่าเสียเวลาในการเจรจากับตัวแทนขององค์กร ซึ่งการขายข้อมูลให้กับหน่วยงานอื่น ๆ หรือผู้โจมตีอื่น ๆ นั้นใช้เวลาน้อยกว่ามาก และมีมูลค่ามากกว่า

RansomHouse นั้นเป็นกลุ่มที่ใช้ข้อมูลขององค์กรมาใช้ในการเรียกค่าไถ่แลกกับการไม่เผยแพร่ข้อมูลขององค์กรออกสู่สาธารณะ หรือขายให้กับผู้โจมตีรายอื่น ๆ ได้เริ่มปฏิบัติการเมื่อเดือนธันวาคม 2564 โดยมีเหยื่อรายแรกคือ Saskatchewan Liquor and Gaming Authority (SLGA) และยังพบว่ากลุ่มได้มีความเชื่อมโยงกับกลุ่ม White Rabbit Ransomware จาก Note ที่ทิ้งไว้หลังจากที่โจมตีเหยื่อตามภาพตั้งแต่เดือนธันวาคม 2564 ทาง RansomHouse ได้เพิ่มเหยื่ออีกห้ารายไปยังเว็บไซต์ Dataleak ของพวกเขา รวมถึง AMD ด้วย และอีกหนึ่งในเหยื่อเหล่านี้คือ Shoprite Holdings ที่เป็นเครือข่าย Supermaket ที่ใหญ่ที่สุดในแอฟริกา ซึ่งได้ยืนยันแล้วว่าถูกโจมตี เมื่อวันที่ 10 มิถุนายน 2565

แนวทางการป้องกัน

 ไม่เปิดอีเมล หรือไฟล์แนบจากผู้ส่งที่ไม่รู้จัก หรือดูน่าสงสัย
อัพเดตแพตช์บนระบบปฏิบัติการให้ล่าสุดเสมอ
อัพเดท Signature หรือเวอร์ชันของ Endpoint ให้เป็นปัจจุบัน
Backup ข้อมูลอย่างสม่ำเสมอ เพื่อป้องกันเหตุการณ์ที่เกิดขึ้นได้ในอนาคต
ติดตามข่าวสารอย่างใกล้ชิด

ที่มา : bleepingcomputer

ช่องโหว่บน Atlassian Confluence ถูกใช้เพื่อติดตั้ง Ransomware และ Crypto Miners

ช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับแพตช์แก้ไขใน Atlassian Confluence Server และ Data Center ได้ถูกนำมาใช้เพื่อติดตั้ง cryptocurrency มัลแวร์ และเพย์โหลดของ Ransomware

มีการพบเหตุการณ์อย่างน้อย 2 เหตุการณ์ที่เกี่ยวข้องกับการโจมตีด้วยช่องโหว่ดังกล่าว โดยบริษัท Sophos พบว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ในการติดตั้ง Cerber ransomware และ crypto miner ที่ชื่อว่า z0miner บนเครือข่ายของเหยื่อ

ช่องโหว่ CVE-2022-26134, คะแนน CVSS: 9.8 (ได้รับแก้ไขจาก Atlassian ไปแล้วเมื่อวันที่ 3 มิถุนายน พ.ศ. 2565) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ โดยมีผลกระทบกับ Confluence Server และ Data Center ทุกเวอร์ชัน

(more…)

Microsoft Exchange เซิร์ฟเวอร์ถูกแฮ็กเพื่อติดตั้ง BlackCat ransomware

Microsoft กล่าวว่ากลุ่มผู้โจมตีโดยใช้ BlackCat ransomware กำลังโจมตีเซิร์ฟเวอร์ Microsoft Exchange ที่ยังไม่ได้อัปเดตแพตช์

ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft พบว่ามีเหตุการณ์หนึ่งที่ผู้โจมตีใช้วิธีเคลื่อนย้ายไปยังระบบต่างๆบนเครือข่ายของเหยื่อ เพื่อขโมยข้อมูลประจำตัว และข้อมูลสำคัญต่างๆ และส่งข้อมูลสำคัญกลับไปยังเซิร์ฟเวอร์ภายนอก เพื่อนำมาใช้ข่มขู่เรียกค่าไถ่จากเหยื่อซ้ำอีกครั้งหนึ่ง

โดยสองสัปดาห์หลังจากที่ผู้โจมตีเข้าถึงเครือข่ายของเหยื่อครั้งแรกได้จากทาง Exchange server ผู้โจมตีก็ได้ติดตั้ง Blackcat ransomware payloads บนระบบต่างๆของเหยื่อทั้งหมดโดยใช้ PsExec

ผู้เชี่ยวชาญจาก Microsoft กล่าวว่า "นอกจากช่องทางปกติที่ผู้โจมตีมักใช้ในการเข้าถึงระบบของเหยื่อเช่น remote desktop และข้อมูลบัญชีผู้ใช้งานระบบที่ถูกขโมยมา เรายังพบการโจมตีโดยใช้ช่องโหว่จาก Microsoft Exchange เพื่อเข้าถึงระบบของเหยื่ออีกด้วย"

แม้ว่าจะไม่ได้มีการระบุถึงช่องโหว่ของ Exchange ที่ถูกใช้ในการโจมตี แต่ Microsoft ก็ระบุถึงลิงก์ไปยังคำแนะนำด้านความปลอดภัยตั้งแต่เดือนมีนาคม 2021 ที่เป็นคำแนะนำในการตรวจสอบ และการลดความเสี่ยงจากการถูกโจมตีด้วยช่องโหว่ที่ชื่อว่า ProxyLogon

นอกจากนี้แม้ว่า Microsoft จะไม่ระบุชื่อกลุ่มผู้โจมตีที่มีการใช้งาน BlackCat ransomware ในครั้งนี้ แต่ว่ากลุ่มอาชญากรไซเบอร์หลายกลุ่มก็มีการใช้งาน ransomware ตัวดังกล่าวในการโจมตี เนื่องจาก BlackCat ransomware มีการให้บริการในลักษณะ Ransomware as a Service (RaaS) ซึ่งทำให้ตัวมันถูกนำไปใช้งานจากผู้โจมตีกลุ่มใดก็ได้

อาชญากรไซเบอร์ส่วนใหญ่หันมาใช้ BlackCat ransomware
หนึ่งในนั้นคือกลุ่มอาชญากรไซเบอร์ที่มีเป้าหมายทางด้านการเงินที่มีชื่อว่า FIN12 ซึ่งเป็นที่รู้จักก่อนหน้านี้จากการเริ่มใช้แรนซัมแวร์ Ryuk, Conti และ Hive ในการโจมตีที่กำหนดเป้าหมายไปที่องค์กรด้านการดูแลสุขภาพเป็นหลัก

โดยบริษัท Mandiant ระบุว่า การโจมตีจาก FIN12 ใช้เวลาอยู่บนระบบของเหยื่อน้อยมาก ก่อนที่จะเผยตัวตนออกมาให้เหยื่อรู้ตัวด้วยการติดตั้ง ransomware เนื่องจากบางครั้งพวกเขาข้ามขั้นตอนในการขโมยข้อมูล และใช้เวลาเพียงไม่ถึงสองวันในการติดตั้งเพย์โหลดการเข้ารหัสไฟล์บนเครือข่ายทั้งหมดของเป้าหมาย

Microsoft ได้กล่าวเพิ่มเติมว่า "เราสังเกตเห็นว่ากลุ่มนี้ได้เปลี่ยนมาใช้ BlackCat ransomware ตั้งแต่เดือนมีนาคม 2022" โดยการเปลี่ยนไปใช้ BlackCat จากเดิมที่เคยใช้ Hive นั้น Microsoft สงสัยว่าเป็นเพราะการถูกเผยแพร่เกี่ยวกับ methodologies สำหรับการถอดรหัสของ Hive ransomware

BlackCat ransomware ยังถูกใช้โดยกลุ่มผุ้โจมตีที่ชื่อ DEV-0504 ซึ่งโดยทั่วไปแล้วจะทำการขโมยข้อมูลโดยใช้ Stealbit ซึ่งเป็นเครื่องมือที่กลุ่ม LockBit มอบให้กับบริษัทที่มาใช้บริการ RaaS

DEV-0504 ยังมีการใช้ ransomware ตัวอื่นๆอีกมากตั้งแต่เดือนธันวาคม 2564 รวมไปถึง BlackMatter, Conti, LockBit 2.0, Revil และ Ryuk

ดังนั้นเพื่อป้องกันการโจมตีจาก BlackCat ransomware Microsoft แนะนำให้องค์กรตรวจสอบสถานะข้อมูลประจำตัว ตรวจสอบการเข้าถึงเครือข่ายจากภายนอก และอัปเดตเซิร์ฟเวอร์ Exchange ที่มีช่องโหว่โดยเร็วที่สุด

ถูกใช้ในการโจมตีด้วย ransomware มากกว่า 100 ครั้ง

ในเดือนเมษายน FBI ออกมาแจ้งเตือนว่า BlackCat ransomware ถูกใช้เพื่อเข้ารหัสเครือข่ายขององค์กรอย่างน้อย 60 แห่งทั่วโลกระหว่างเดือนพฤศจิกายน 2564 ถึงมีนาคม 2565

FBI ได้กล่าวในขณะนั้นว่า "นักพัฒนา และผู้ที่เกี่ยวข้องกับการฟอกเงินจำนวนมากของกลุ่ม BlackCat/ALPHV มีความเชื่อมโยงกับกลุ่ม Darkside/Blackmatter ซึ่งบ่งบอกว่าพวกเขามีเครือข่ายที่กว้างขวาง และมีประสบการณ์กับการโจมตีด้วยแรนซัมแวร์"

อย่างไรก็ตาม จำนวนเหยื่อ BlackCat ที่แท้จริงนั้นมีแนวโน้มว่าจะสูงขึ้นมาก เนื่องจากมีการส่งตัวอย่างไปตรวจสอบมากกว่า 480 ตัวอย่าง บนแพลตฟอร์ม ID-Ransomware ระหว่างเดือนพฤศจิกายน 2564 ถึงมิถุนายน 2565

ในการแจ้งเตือนเมื่อเดือนเมษายน FBI ยังขอให้ผู้ดูแลระบบ และทีมรักษาความปลอดภัยที่ตรวจพบการถูกโจมตีจาก BlackCat แบ่งปันข้อมูลเหตุการณ์ที่เกี่ยวข้องกับ FBI Cyber ​​Squad ในพื้นที่ทันที

เนื่องจากข้อมูลที่เป็นประโยชน์จะช่วยติดตาม และระบุตัวผู้โจมตีได้ เช่น "บันทึก IP ที่แสดงการเข้าถึงระบบจาก IP ต่างประเทศ, ที่อยู่กระเป๋า Bitcoin หรือ Monero และ ID ของการทำธุรกรรม, ข้อมูลที่ใช้ติดต่อสื่อสารกับผู้โจมตี และตัวอย่างของไฟล์ที่เข้ารหัส เป็นต้น

ที่มา : bleepingcomputer.