ICBC ธนาคารพาณิชย์ยักษ์ใหญ่จากประเทศจีน ออกประกาศยืนยันการถูกโจมตีด้วยแรนซัมแวร์ที่ส่งผลกระทบทำให้ระบบหยุดชะงักในวันพุธที่ 8 พฤศจิกายน 2023

The Industrial & Commercial Bank of China (ICBC) เป็นธนาคารที่ใหญ่ที่สุดของจีน และเป็นธนาคารพาณิชย์ที่ใหญ่ที่สุดในโลกเมื่อวัดตามรายรับ โดยมีรายได้ 214.7 พันล้านดอลลาร์สหรัฐ และผลกำไร 53.5 พันล้านดอลลาร์จากรายงานในปี 2022 ตามรายงานของ Fortune ธนาคาร ICBC มีลูกค้าระดับองค์กร 10.7 ล้านราย และลูกค้ารายบุคคล 720 ล้านราย โดยมีสาขาในประเทศจำนวน 17,000 แห่ง และมีสาขาใน 41 ประเทศ รวมถึง 13 สาขาทั่วชายฝั่งตะวันออก และตะวันตกของสหรัฐอเมริกา

อัปเดต 10 พฤศจิกายน 2023

ICBC ประกาศยืนยันข้อมูลว่า ในวันที่ 8 พฤศจิกายน 2023 U.S. Eastern Time (9 พฤศจิกายน 2023 ตามเวลาปักกิ่ง) ICBC Financial Services (FS) ได้ถูกโจมตีด้วยแรนซัมแวร์ ซึ่งส่งผลให้ระบบ FS บางระบบหยุดชะงัก ทันทีที่พบเหตุการณ์ ICBC FS ก็ตัดการเชื่อมต่อทั้งหมด และแยกระบบที่ถูกโจมตีออกเพื่อควบคุมเหตุการณ์

โดย ICBC FS ได้ดำเนินการสอบสวนอย่างละเอียด และกำลังดำเนินการกู้คืนระบบด้วยการสนับสนุนจากทีมงานผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล ICBC FS ยังได้รายงานเหตุการณ์นี้ต่อหน่วยงานบังคับใช้กฎหมายด้วย รวมถึงได้ดำเนินการเคลียร์การซื้อขายในกระทรวงการคลังของสหรัฐฯ ที่ดำเนินการเมื่อวันพุธ (08/11/23) และ Repo financing trades เสร็จสิ้นในวันพฤหัสบดี (09/11/23)

นอกจากนี้ทาง ICBC ระบุว่าระบบธุรกิจ และอีเมลของบริษัททำงานโดยอัตโนมัติจากกลุ่ม ICBC และเหตุการณ์ดังกล่าวไม่ได้ส่งผลกระทบต่อระบบของ ICBC สาขานิวยอร์ก, สำนักงานใหญ่ของ ICBC และสถาบันในเครืออื่น ๆ ทั้งใน และต่างประเทศ

การโจมตีได้รับการยืนยันแหล่งข่าว

ก่อนที่ทาง ICBC จะออกมาประกาศยืนยันว่าได้ถูกโจมตีด้วยแรนซัมแวร์นั้น ทาง BleepingComputer ได้รับข้อมูลยืนยันจากแหล่งข่าวหลายแห่งว่า ICBC ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์

โดยผู้เชี่ยวชาญด้านความปลอดภัย Kevin Beaumont ระบุว่าพบ ICBC Citrix server ที่มีช่องโหว่ครั้งล่าสุดเมื่อวันจันทร์ที่ผ่านมา (06/11/23) และยังไม่ได้มีการอัปเดตเพื่อแก้ไขช่องโหว่ที่กำลังถูกใช้ในการโจมตีอย่างต่อเนื่องที่มีชื่อว่า 'Citrix Bleed' ซึ่งช่องโหว่ดังกล่าวทำให้สามารถหลีกเลี่ยงการ authentication ทุกรูปแบบได้อย่างสมบูรณ์ และง่ายดาย และกำลังถูกกลุ่มแรนซัมแวร์ใช้ในการโจมตีอย่างต่อเนื่อง รวมทั้งสามารถใช้งาน Remote Desktop PC ได้อย่างสมบูรณ์ไปยัง Citrix server ที่มีช่องโหว่

ที่มา : bleepingcomputer

นักวิจัยด้านความปลอดภัย Matt Dunn จาก Raxis ได้เปิดเผยปัญหา Timing attack ใน Remote Desktop (RD) Web Access ของไมโครซอฟต์ซึ่งเป็นเว็บแอปสำหรับฟีเจอร์ Remote desktop ปัญหาดังกล่าวถูกเรียกว่า Timing attack ที่ส่งผลให้ผู้โจมตีสามารถคาดเดาชื่อบัญชีผู้ใช้งานได้

ปัญหาดังกล่าวนั้นเกิดขึ้นในขั้นตอนของการพิสูจน์ตัวตน หากมีการพยายามพิสูจน์ตัวตนด้วยบัญชีผู้ใช้งานที่ไม่มีอยู่จริง ระบบเบื้องหลังของ RD Web Access จะใช้เวลาประมวลผลประมาณ 4000 มิลลิวินาที ในขณะเดียวกันหากมีการใช้ชื่อบัญชีที่มีอยู่จริงแต่รหัสผ่านผิด ระบบเบื้องหลังจะตอบกลับมาโดยใช้เวลาเพียงแค่ประมาณ 232 มิลลิวินาทีเท่านั้น อัตราส่วนความแตกต่างของเวลาในการตอบกลับทำให้ผู้โจมตีสามารถใช้ปัจจัยดังกล่าวในการระบุหาชื่อบัญชีผู้ใช้งานได้ หากผู้โจมตีทราบชื่อของโดเมน Active Directory

ปัญหานี้เกิดขึ้นกับ Windows Server 2016 และ 2019 และมีการพัฒนาโมดูลของ Metasploit ขึ้นมาเพื่อใช้โจมตีแล้วที่ตำแหน่ง auxiliary/scanner/http/rdp_web_login

Raxis ได้มีการรายงานปัญหาดังกล่าวไปยังไมโครซอฟต์ อย่างไรก็ตามอ้างอิงจากไทม์ไลน์การแจ้งช่องโหว่ Microsoft ปฏิเสธที่จะสนับสนุนและแก้ไขปัญหาด้านความปลอดภัยนี้

เราขอแนะนำให้ผู้ดูแลระบบตั้งค่าการเข้าถึง RD Web Access ผ่าน VPN เพื่อให้สามารถควบคุมการเข้าถึงได้, เปิดใช้ ISA หรือเซอร์วิส Microsoft Federation และบังคับให้ RD Web Access ต้องวิ่งผ่านเพื่อลดผลกระทบจากการโจมตี รวมไปถึงเปิดใช้ Multi factor authentication ด้วย

ที่มาFebruary: raxis

พบช่องโหว่ RDP ใหม่ ผู้โจมตีสามารถขโมย Session ได้

พบช่องโหว่ที่ยังไม่แก้ไขใน Microsoft Windows Remote Desktop Protocol (RDP) โดยผู้โจมตีสามารถผ่านหน้า Lock Screen ของฝั่งผู้ใช้งานที่เชื่อมต่ออยู่ได้ ได้รับ CVE-2019-9510 กระทบ Windows 10 ตั้งแต่เวอร์ชัน 1803 และ Windows Server 2019 ในการโจมตีนี้ทำให้ผู้โจมตีสามารถขโมย session แม้ว่าหน้าจอของผู้ใช้งานถูกล็อกอยู่ โดยเกิดจากฟังก์ชั่น Network Level Authentication (NLA) ที่ทำงานไม่ใช่อย่างที่ควรจะเป็น
ช่องโหว่นี้ถูกค้นพบโดย Joe Tammariello จาก Carnegie Mellon University Software Engineering Institute (SEI) โดยทีม CERT/CC ของ Carnegie Mellon University ได้อธิบายขั้นตอนในการโจมตีดังต่อไปนี้
1. User ใช้เครื่องคอมพิวเตอร์ต้นทางเชื่อมต่อกับเครื่องคอมพิวเตอร์ปลายทางที่เป็น Windows 10 เวอร์ชั่น 1803 หรือ Server 2019 ผ่าน RDP
2. User ล็อก Remote Desktop Sessions
3. User เดินไปทำอย่างอื่นโดยปล่อยให้เครื่องต้นทางยังเชื่อมต่อกับเครื่องปลายทาง (เครื่องต้นทางยังเป็น RDP client)
ผู้โจมตีที่สามารถเข้าถึงเครื่องต้นทางที่ไม่มีคนดูแลจะสามารถโจมตีช่องโหว่ดังกล่าวได้ โดยผู้โจมตีต้องทำให้การเชื่อมต่ออินเตอร์เน็ตของเครื่องต้นทางสะดุดเพื่อให้เกิดการ reconnect RDP ไปยังเครื่องคอมพิวเตอร์ปลายทาง ซึ่งเมื่อ reconnect แล้ว ผู้โจมตีจะสามารถควบคุมเครื่องปลายทางได้แม้กว่าเครื่องปลายทางจะถูกล็อกอยู่
โดย Joe Tammariello ได้มีการแจ้งให้กับ Microsoft ทราบถึงปัญหานี้ในวันที่ 19 เมษายน แต่ทางบริษัทก็ยังไม่มีแผนที่จะแก้ไขในเร็ว ๆ นี้
อย่างไรก็ตามผู้ใช้สามารถป้องกันตัวเองได้โดยทำการตัดการเชื่อมต่อ Remote Desktop Sessions จากเครื่องปลายทางก่อนไปทำอย่างอื่น
ทั้งนี้ NLA สามารถใช้เพื่อป้องกันช่วงโหว่ RDP อีกช่องโหว่หนึ่ง คือช่องโหว่ BlueKeep บน Windows 7 และ Windows Server 2008 ได้

bleepingcomputer.

ค้นพบ Matrix Ransomware รูปแบบใหม่ เปลี่ยนชื่อไฟล์ที่เข้ารหัสและแก้ไขนามสกุลเป็น .FOX สิ่งที่น่าสนใจสำหรับ ransomware ตัวนี้คือมีการตรวจสอบว่าไฟล์มีการใช้งานอยู่หรือไม่เพื่อทำการเข้ารหัส

Ransomware ตัวนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam โดยจะติดตั้งผ่านคอมพิวเตอร์ที่มีการเปิด Remote Desktop ผ่านการเชื่อมต่อกับอินเทอร์เน็ตจากภายนอก ผู้โจมตีจะสแกน ranges ของ IP เพื่อค้นหาเครื่องเป้าหมายและพยายามสุ่มรหัสผ่าน เมื่อสามารถเข้าถึงคอมพิวเตอร์ได้ จะทำการติดตั้ง ransomware

Fox Ransomware ถูกพัฒนามาจาก Matrix Ransomware ที่จะมีการติดต่อกับ C&C server และแสดงคอนโซลอัพเดตสถานะในการเข้ารหัส มีการวาง batch ไฟล์เพื่อปิดไฟล์ที่เปิดอยู่ทั้งหมดเพื่อทำการเข้ารหัส โดยเริ่มจากการลบ attributes ทั้งหมดออกจากไฟล์, เปลี่ยนแปลงสิทธิ์การเป็นเจ้าของและสุดท้ายใช้ Handle.

Rapid 7 เปิดเผยรายงาน ระบบกว่า 7 ล้านระบบยังมีการตั้งค่าโปรโตคอล RDP (Remote Desktop) ที่ไม่ปลอดภัย

โปรโตคอล RDP (Remote Desktop Protocol) ซึ่งให้บริการอยู่ที่พอร์ต TCP 3389 นั้นเป็นเป้าหมายสำคัญที่ผู้โจมตีมักใช้ในการเข้าถึงระบบรวมถึงแพร่กระจายมัลแวร์ เพราะเป็นช่องทางสำคัญที่ผู้โจมตีสามารถควบคุมระบบได้อย่างเบ็ดเสร็จโดยไม่จำเป็นต้องมีการโจมตีที่ซับซ้อน

Rapid 7 เปิดเผยรายงานว่า ระบบทั่วโลกกว่า 7.2 ล้านระบบ ยังคงมีการตั้งค่าการใช้งานโปรโตคอล RDP ที่ไม่ปลอดภัย หลังจากได้มีการทดสอบโดยการสแกนแบบกวาดเมื่อช่วงต้นปี 2017 ที่ผ่านมา ซึ่งหมายความว่ายังคงมีระบบที่เปิดให้ใครก็ได้สามารถพยายาม brute force และเข้าควบคุมได้อีกเป็นจำนวนมาก

อย่างไรก็ตาม Rapid 7 ยังเปิดเผยว่าระบบที่ตรวจพบว่ามีการเปิดใช้งาน RDP นั้นโดยส่วนมากกว่า 83% มีการใช้งานขั้นตอนการพิสูจน์ตัวตนที่ค่อนข้างปลอดภัย โดยมีเพียง 15% เท่านั้นที่ขั้นตอนการพิสูจน์ตัวตนยังไม่มีการเข้ารหัสและ/หรือใช้โปรโตคอลในรุ่นเก่า

อีกปัจจัยหนึ่งที่สำคัญคือการตั้งพาสเวิร์ดที่ระบบส่วนมากยังคงตั้งรหัสผ่านที่มีความแข็งแกร่งน้อยทำให้ง่ายต่อการเข้าถึงระบบ

ที่มา : bleepingcomputer