นักวิจัยด้านความปลอดภัยทางไซเบอร์ตรวจพบ Ransomware ตระกูล Phobos อีกรูปแบบหนึ่งที่รู้จักกันในชื่อของ Faust
Fortinet FortiGuard Labs ซึ่งให้รายละเอียดเกี่ยวกับพฤติกรรมครั้งล่าสุดของ Ransomware โดยระบุว่ามันสามารถแพร่กระจายได้ด้วยการส่งไฟล์เอกสาร Microsoft Excel (.XLAM) ที่มีการแนบสคริปต์ของ VBA
Schneider Electric บริษัทชั้นนำด้านพลังงานถูกโจมตีจาก Cactus ransomware โจมตี
Schneider Electric บริษัทชั้นนำด้านพลังงาน และระบบอัตโนมัติ ได้เปิดเผยว่าถูกโจมตีจาก Cactus ransomware และขโมยข้อมูลออกไป
(more…)
Exploit สำหรับโจมตีช่องโหว่การตรวจสอบสิทธิ์ของ GoAnywhere MFT ถูกปล่อยออกมาแล้ว
ล่าสุด Exploit code สำหรับโจมตีช่องโหว่ authentication bypass ระดับ Critical ในซอฟต์แวร์ GoAnywhere MFT (Managed File Transfer) ของ Fortra ซึ่งจะทำให้ผู้โจมตีสามารถสร้างชื่อผู้ใช้ที่เป็นผู้ดูแลระบบบนอินสแตนซ์ที่มีช่องโหว่ผ่านทางพอร์ทัลของผู้ดูแลระบบได้ (more…)
loanDepot ถูกโจมตีทางไซเบอร์ ส่งผลให้ข้อมูลลูกค้ากว่า 16.6 ล้านรายรั่วไหล
loanDepot เป็นหนึ่งในสถาบันสินเชื่อรายย่อยที่ไม่ใช่ธนาคารที่ใหญ่ที่สุดในสหรัฐอเมริกา มีพนักงานประมาณ 6,000 ราย และให้บริการสินเชื่อกว่า 140,000 ล้านเหรียญสหรัฐ ได้ออกมาประกาศเรื่องการถูกโจมตีด้วยแรนซัมแวร์เมื่อต้นเดือนที่ผ่านมา ส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้ากว่า 16.6 ล้านรายรั่วไหลออกสู่สาธารณะ (more…)
นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Huntress ได้ออกมาแจ้งเตือนเกี่ยวกับการโจมตีทางไซเบอร์ที่กำลังถูกพบเพิ่มมากขึ้นเมื่อเร็ว ๆ นี้ โดยการใช้เทคนิคใหม่จากผู้ไม่หวังดีที่ใช้ TeamViewer เพื่อนำ LockBit ransomware มาติดตั้งบนระบบ
TeamViewer มีประวัติการถูกโจมตีในวงกว้างมาก่อนหน้านี้ โดยเมื่อล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์พบว่า มีการโจมตีโดยผู้ไม่หวังดีเพิ่มขึ้นจากการใช้ TeamViewer ซึ่งเป็นเครื่องมือในการเข้าถึงจากระยะไกล เพื่อนำ LockBit ransomware มาใช้ในการโจมตี ซึ่งอาจทำให้ผู้ใช้งานตกเป็นเป้าหมายของการเข้ารหัสข้อมูล และการเรียกค่าไถ่ (more…)
Microsoft ยกเลิกการใช้งาน MSIX ms-appinstaller protocol handler อีกครั้ง หลังพบความเกี่ยวข้องกับหลายกลุ่ม hacker ที่นำไปใช้ในทางที่ผิด โดยการแพร่กระจายมัลแวร์ลงบนเครื่องของผู้ใช้งาน Windows
(more…)
นักวิจัยพบการแพร่กระจายของแรนซัมแวร์สายพันธุ์หนึ่งที่รู้จักกันในชื่อ DJVU ในรูปแบบของไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์
Ralph Villanueva นักวิจัยด้านความปลอดภัยของ ระบุว่า “แม้ว่ารูปแบบการโจมตีลักษณะนี้จะไม่ใช่เรื่องใหม่ แต่ DJVU สายพันธุ์นี้จะต่อท้ายนามสกุลไฟล์ด้วย .xaro ไปยังไฟล์ที่ถูกโจมตี เพื่อเรียกค่าไถ่สำหรับตัวถอดรหัส ถูกพบว่ากำลังแพร่กระจายในระบบควบคู่ไปกับมัลแวร์สำหรับขโมยข้อมูลต่าง ๆ”
โดยแรนซัมแวร์สายพันธุ์ใหม่นี้ได้รับรหัสชื่อ Xaro จาก Cybereason
DJVU ซึ่งเป็นแรนซัมแวร์สายพันธุ์หนึ่งของ STOP ransomware โดยปกติจะมาในรูปแบบที่ปลอมเป็นบริการ หรือแอปพลิเคชันที่ดูถูกต้องตามปกติ นอกจากนี้ยังเคยถูกใช้เป็นเพย์โหลดของ SmokeLoader อีกด้วย
จุดสังเกตที่สำคัญของการโจมตีจาก DJVU คือการใช้มัลแวร์อื่น ๆ ร่วมด้วยเพิ่มเติม เช่น มัลแวร์สำหรับขโมยข้อมูล (เช่น RedLine Stealer และ Vidar) ซึ่งมักจะทำให้เกิดความเสียหายมากขึ้น
ในการโจมตีครั้งล่าสุดที่บันทึกไว้โดย Cybereason มัลแวร์ Xaro จะเป็นไฟล์ archive ที่ถูกดาวน์โหลดมาจากแหล่งที่น่าสงสัย ซึ่งเป็นเว็บไซต์ปลอมที่ให้สามารถดาวน์โหลดฟรีซอฟแวร์ที่ดูเหมือนถูกต้องตามกฎหมาย การเปิดไฟล์ archive จะนำไปสู่การรันไบนารีติดตั้งซอฟต์แวร์ PDF writing ที่ชื่อว่า CutePDF ซึ่งในความเป็นจริงเป็นการติดตั้งมัลแวร์ที่รู้จักกันในชื่อ PrivateLoader
โดย PrivateLoader นอกเหนือจากการนำไปสู่การติดตั้ง Xaro แล้ว มันจะทำการเชื่อมต่อกับ C2 Server เพื่อดาวน์โหลดมัลแวร์อื่น ๆ อีกจำนวนมาก เช่น RedLine Stealer, Vidar, Lumma Stealer, Amadey, SmokeLoader, Nymaim, GCleaner, XMRig และ Fabookie
นักวิจัยอธิบายเพิ่มเติมว่า "แนวทางการแพร่กระจายลักษณะนี้มักจะมาจากการดาวน์โหลด และติดตั้งมัลแวร์ PrivateLoader ที่เกิดจากเว็บไซต์ฟรีซอฟแวร์ หรือไฟล์ Crack ของซอฟแวร์ผิดลิขสิทธิ์"
เป้าหมายของมัลแวร์ดูเหมือนจะเป็นการรวบรวมข้อมูลที่มีความสำคัญเพื่อการเรียกค่าไถ่ ตลอดจนเพื่อให้แน่ใจว่าการโจมตีจะประสบความสำเร็จ แม้ว่าจะมีเพย์โหลดใดเพย์โหลดหนึ่งถูกบล็อกโดยซอฟต์แวร์รักษาความปลอดภัย
มัลแวร์ Xaro นอกเหนือจากการสร้างอินสแตนซ์ของ Vidar infostealer ยังสามารถเข้ารหัสไฟล์ในโฮสต์ที่ติดมัลแวร์ ก่อนที่จะทิ้งไฟล์เพื่อเรียกค่าไถ่ โดยจะขู่ให้เหยื่อติดต่อกลับในการจ่ายค่าไถ่เพื่อรับคีย์สำหรับถอดรหัสในราคา $980 ซึ่งจะลดลง 50% เป็น $490 หากติดต่อกลับภายใน 72 ชั่วโมง
เหตุการณ์นี้แสดงให้เห็นถึงความเสี่ยงของการดาวน์โหลดฟรีซอฟแวร์จากแหล่งที่มาที่ไม่น่าเชื่อถือ เช่น แคมเปญของ FakeUpdateRU ที่ใช้การแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมเพื่อติดตั้ง RedLine Stealer
โดยผู้โจมตีมักใช้ฟรีซอฟแวร์ปลอม เพื่อเป็นช่องทางในการแพร่กระจายมัลแวร์อย่างลับ ๆ และองค์กรควรเข้าใจถึงผลกระทบที่อาจเกิดขึ้นอย่างรวดเร็ว และกว้างขวางจากการติดมัลแวร์ และการปกป้องข้อมูล
ที่มา: thehackernews
หน่วยงานตุลาการของรัฐแคนซัสเผยแพร่แถลงการณ์อัปเดตเกี่ยวกับเหตุการณ์การโจมตีทางไซเบอร์ที่เกิดขึ้นเมื่อเดือนที่แล้ว โดยยืนยันว่าแฮ็กเกอร์สามารถขโมยไฟล์ที่มีความสำคัญที่เป็นความลับขององค์กรออกไป
ในช่วงกลางเดือนตุลาคม 2023 หน่วยงานของศาลแคนซัสได้เปิดเผยเหตุการณ์ด้านความปลอดภัยที่ส่งผลกระทบต่อความพร้อมใช้งานของระบบต่าง ๆ รวมถึงระบบ e-Filing ของทนายความในการยื่นเอกสาร ระบบการชำระเงินทางอิเล็กทรอนิกส์ และระบบการจัดการคดีที่ศาลแขวง และศาลอุทธรณ์ใช้
หลังจากนั้นประมาณหนึ่งเดือน สถานะของระบบก็ยังไม่มีการเปลี่ยนแปลง โดยบริการเหล่านี้ยังคงขึ้นสถานะเป็นออฟไลน์
Marina Bay Sands (MBS) รีสอร์ท และคาสิโนหรูในสิงคโปร์ได้เปิดเผยการละเมิดข้อมูล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคลของลูกค้า 665,000 คน
ตามแถลงการณ์ เหตุการณ์การโจมตีเกิดขึ้นในวันที่ 20 ตุลาคม และผู้ไม่หวังดีสามารถเข้าถึงข้อมูลของสมาชิก MBS loyalty ได้
โดยแถลงการณ์ระบุว่า “Marina Bay Sands ได้รับทราบเกี่ยวกับเหตุการณ์ด้านความปลอดภัยของข้อมูลในวันที่ 20 ตุลาคม 2023 โดยพบว่าผู้ไม่หวังดีสามารถเข้าถึงข้อมูลสมาชิกโปรแกรมสะสมแต้มของลูกค้าบางส่วนประมาณ 665,000 คนในวันที่ 19 และ 20 ตุลาคม 2023”
ประเภทของข้อมูลที่เปิดเผยในการละเมิดข้อมูลมีดังต่อไปนี้:
ชื่อ
ที่อยู่อีเมล
หมายเลขโทรศัพท์มือถือ
หมายเลขโทรศัพท์
ประเทศที่อยู่อาศัย
หมายเลขสมาชิก และระดับ
ข้อมูลดังกล่าวอาจช่วยให้ผู้โจมตีสามารถกำหนดเป้าหมายลูกค้า MBS ในการหลอกลวงประเภทต่าง ๆ เช่น การฟิชชิง และการโจมตีแบบ social engineering
โดยบริษัทระบุว่าจากหลักฐานในปัจจุบันคาดว่าสมาชิกคาสิโน (Sands Rewards Club) ไม่ได้รับผลกระทบจากเหตุการณ์นี้ โดยลูกค้า MBS ที่ข้อมูลส่วนบุคคลของตนรั่วไหลจะได้รับแจ้งเกี่ยวกับการละเมิด และผลกระทบเป็นรายบุคคล
โดยหลังจากการพบเหตุการณ์นี้ MBS ได้รายงานต่อเจ้าหน้าที่ในสิงคโปร์ และประเทศอื่น ๆ ที่เกี่ยวข้อง
แม้ว่าขอบเขตของการโจมตีจะไม่ได้รับการชี้แจงต่อสาธารณะ แต่การโจมตีอาจเกี่ยวข้องกับการโจมตีด้วย ransomware ซึ่งผู้ไม่หวังดีมักขโมยข้อมูลจากเครือข่ายของบริษัทจากนั้นจึงพยายามขู่กรรโชกทรัพย์จากเหยื่อ
อย่างไรก็ตาม ยังไม่มีกลุ่ม ransomware รายใดที่ออกมาอ้างความรับผิดชอบว่าเป็นผู้โจมตี Marina Bay Sands
BleepingComputer ได้ติดต่อ MBS เพื่อขอข้อมูลเพิ่มเติมเกี่ยวกับเหตุการณ์ที่เกิดขึ้น แต่ทาง MBS ปฏิเสธที่จะให้ความเห็นเพิ่มเติมจากรายละเอียดในแถลงการณ์อย่างเป็นทางการ
ที่มา: bleepingcomputer
ICBC ธนาคารพาณิชย์ยักษ์ใหญ่จากประเทศจีน ออกประกาศยืนยันการถูกโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบทำให้ระบบหยุดชะงักในวันพุธที่ 8 พฤศจิกายน 2023
The Industrial & Commercial Bank of China (ICBC) เป็นธนาคารที่ใหญ่ที่สุดของจีน และเป็นธนาคารพาณิชย์ที่ใหญ่ที่สุดในโลกเมื่อวัดตามรายรับ โดยมีรายได้ 214.7 พันล้านดอลลาร์สหรัฐ และผลกำไร 53.5 พันล้านดอลลาร์จากรายงานในปี 2022 ตามรายงานของ Fortune ธนาคาร ICBC มีลูกค้าระดับองค์กร 10.7 ล้านราย และลูกค้ารายบุคคล 720 ล้านราย โดยมีสาขาในประเทศจำนวน 17,000 แห่ง และมีสาขาใน 41 ประเทศ รวมถึง 13 สาขาทั่วชายฝั่งตะวันออก และตะวันตกของสหรัฐอเมริกา
อัปเดต 10 พฤศจิกายน 2023
ICBC ประกาศยืนยันข้อมูลว่า ในวันที่ 8 พฤศจิกายน 2023 U.S. Eastern Time (9 พฤศจิกายน 2023 ตามเวลาปักกิ่ง) ICBC Financial Services (FS) ได้ถูกโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ระบบ FS บางระบบหยุดชะงัก ทันทีที่พบเหตุการณ์ ICBC FS ก็ตัดการเชื่อมต่อทั้งหมด และแยกระบบที่ถูกโจมตีออกเพื่อควบคุมเหตุการณ์
โดย ICBC FS ได้ดำเนินการสอบสวนอย่างละเอียด และกำลังดำเนินการกู้คืนระบบด้วยการสนับสนุนจากทีมงานผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ICBC FS ยังได้รายงานเหตุการณ์นี้ต่อหน่วยงานบังคับใช้กฎหมายด้วย รวมถึงได้ดำเนินการเคลียร์การซื้อขายในกระทรวงการคลังของสหรัฐฯ ที่ดำเนินการเมื่อวันพุธ (08/11/23) และ Repo financing trades เสร็จสิ้นในวันพฤหัสบดี (09/11/23)
นอกจากนี้ทาง ICBC ระบุว่าระบบธุรกิจ และอีเมลของบริษัททำงานโดยอัตโนมัติจากกลุ่ม ICBC และเหตุการณ์ดังกล่าวไม่ได้ส่งผลกระทบต่อระบบของ ICBC สาขานิวยอร์ก, สำนักงานใหญ่ของ ICBC และสถาบันในเครืออื่น ๆ ทั้งใน และต่างประเทศ
การโจมตีได้รับการยืนยันแหล่งข่าว
ก่อนที่ทาง ICBC จะออกมาประกาศยืนยันว่าได้ถูกโจมตีด้วยแรนซัมแวร์นั้น ทาง BleepingComputer ได้รับข้อมูลยืนยันจากแหล่งข่าวหลายแห่งว่า ICBC ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์
โดยผู้เชี่ยวชาญด้านความปลอดภัย Kevin Beaumont ระบุว่าพบ ICBC Citrix server ที่มีช่องโหว่ครั้งล่าสุดเมื่อวันจันทร์ที่ผ่านมา (06/11/23) และยังไม่ได้มีการอัปเดตเพื่อแก้ไขช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องที่มีชื่อว่า 'Citrix Bleed' ซึ่งช่องโหว่ดังกล่าวทำให้สามารถหลีกเลี่ยงการ authentication ทุกรูปแบบได้อย่างสมบูรณ์ และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ในการโจมตีอย่างต่อเนื่อง รวมทั้งสามารถใช้งาน Remote Desktop PC ได้อย่างสมบูรณ์ไปยัง Citrix server ที่มีช่องโหว่
ที่มา : bleepingcomputer