Conti ransomware ยุติปฏิบัติการ เพื่อรีแบรนด์กลุ่มให้เล็กลง

กลุ่ม Conti ransomware ที่โด่งดังได้ยุติปฏิบัติการอย่างเป็นทางการแล้ว โดยหัวหน้าของกลุ่ม Conti แจ้งว่าจะไม่มีการใช้ชื่อ Conti อีกต่อไป

ข้อมูลนี้มาจาก Yelisey Boguslavskiy จากบริษัท Advanced Intel ซึ่งทวิตว่าระบบที่ใช้ในปฏิบัติการของกลุ่ม Conti ได้ปิดตัวลงแล้ว ในขณะที่เว็บไซต์ที่เข้าถึงได้จากสาธาณะอย่าง 'Conti News' และเว็บไซต์สำหรับการเจรจาเรียกค่าไถ่ยังคงออนไลน์อยู่ แต่ Boguslavskiy บอกกับ BleepingComputer ว่า Tor admin panels ที่สมาชิกใช้ในการพูดคุย และเผยแพร่ข่าวการรั่วไหลของข้อมูลนั้นออฟไลน์อยู่ นอกจากนี้ BleepingComputer ยังได้รับแจ้งว่าบริการภายในอื่นๆ เช่น rocket chat servers กำลังจะถูกยกเลิกการใช้งาน

แม้ว่าจะค่อนข้างแปลกที่ปฏิบัติการของกลุ่ม Conti จะปิดตัวลง ทั้งที่ยังอยู่ระหว่างการโจมตีรัฐบาล Costa Rica แต่ Boguslavskiy เชื่อว่าการโจมตีนี้มีขึ้นเพื่อถ่วงเวลาให้สมาชิกของกลุ่มค่อยๆย้ายการปฏิบัติการไปยังชื่อกลุ่มใหม่ที่เล็กลงกว่าเดิม

ซึ่งการค้นพบของ AdvIntel นำไปสู่ข้อสรุปคือ “เป้าหมายเดียวที่ Conti ต้องการในการโจมตีครั้งสุดท้ายคือการใช้แพลตฟอร์มในการประชาสัมพันธ์ว่าจะยุติปฏิบัติการ และกลับมาใหม่ในรูปแบบที่ดีขึ้นกว่าเดิม”

(more…)

แจ้งเตือน Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ไปยังอุปกรณ์ต่าง ๆ บน LAN ได้

หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศส หรือ ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) ได้เปิดเผยถึงการค้นพบ Ryuk ransomware รูปแบบใหม่ที่มีความสามารถในการเเพร่กระจายตัวที่มีลักษณะแบบ Worm ซึ่งจะสามารถแพร่กระจายไปยังอุปกรณ์อื่น ๆ บน Local network ของผู้ที่ตกเป็นเหยื่อได้

ความสามารถใหม่ของ Ryuk ransomware ที่หน่วยงานความปลอดภัยทางไซเบอร์แห่งชาติของฝรั่งเศสพบจากการตรวจสอบการโจมตีเมื่อต้นปี 2021 คือ Ryuk ransomware ที่ทำการเเพร่กระจายตัวเองไปยัง Local network โดยการใช้ ARP cache และตัว Ryuk ยังมีแพ็คเกจที่สามารถส่ง Wake-on-LAN (WOL) ไปยังอุปกรณ์ที่ค้นพบและเมื่อแรนซัมแวร์ทำการเชื่อมต่อกับอุปกรณ์ที่พบในเครือข่ายตัวแรนซัมแวร์จะสามารถเข้ารหัสเนื้อหาทั้งหมดบนเครื่อง

นอกจากนี้ความสามารถในการเเพร่กระจายตัวไปยังเครือข่ายในลักษณะแบบ Worm แล้ว Ryuk ransomware ยังสามารถดำเนินการเองได้จากระยะไกลโดยใช้ Scheduled tasks ที่สร้างขึ้นในแต่ละโฮสต์ที่ถูกบุกรุกภายในเครือข่ายด้วยเครื่องมือ schtasks.

Ryuk ransomware is the top threat for the healthcare sector

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

กลุ่มแรนซัมแวร์เพิ่มกลยุทธ์การเรียกค่าไถ่ โดยการใช้บริการคอลเซ็นเตอร์โทรกดดันหาเหยื่อที่ถูกแฮก

Evgueni Erchov หัวหน้าทีม IR & Cyber ​​Threat Intelligence จาก Arete Incident Response ได้เปิดเผยถึงพฤติกรรมของกลุ่มแรนซัมแวร์ที่ได้ใช้กลยุทธ์ใหม่ในการกดดันและเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อ โดยใช้บริการคอลเซ็นเตอร์โทรหาเหยื่อที่ถูกแฮกและอาจพยายามกู้คืนระบบจากการสำรองข้อมูลและหลีกเลี่ยงการจ่ายค่าไถ่

พฤติกรรมดังกล่าวยังสอดคล้องตามรายงานของ Emsisoft และ Coveware ที่ได้เห็นเเนวโน้มกลยุทธ์ใหม่ในการเรียกค่าไถ่จากผู้ที่ตกเป็นเหยื่อตั้งแต่อย่างน้อยเมื่อเดือนสิงหาคมที่ผ่านมา โดยกลุ่มแรนซัมแวร์ที่เคยโทรหาเหยื่อเพื่อข่มขู่เหยื่อในอดีตได้แก่กลุ่ม Sekhmet Ransomware, Maze Ransomware, Conti Ransomware และ Ryuk Ransomware

ตามรายงานของบริษัททั้ง 3 พบว่ากลุ่มคอลเซ็นเตอร์ที่โทรข่มขู่เหยื่อที่หลีกเลี่ยงการจ่ายค่าไถ่นั้นเป็นกลุ่มเดียวกับที่ทำงานให้กับกลุ่มแรนซัมแวร์ เนื่องจากมีเทมเพลตและสคริปต์ที่ใช้ในการติดต่อที่เหมือนกัน

ทั้งนี้บริษัทหรือองค์กรต่างๆ ควรทำการตรวจสอบระบบความปลอดภัยภายในเครือข่ายและทำการอัปเดตซอฟต์แวร์ที่ใช้อยู่สม่ำเสมอ เพื่อเป็นการป้องกันกการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: zdnet

 

กลุ่ม Ryuk Ransomware เรียกค่าไถ่จากเหยื่อเป็นจำนวนเงิน 34 ล้านดอลลาร์เพื่อแลกกับคีย์ถอดรหัสที่ปลดล็อกระบบ

ตามข้อมูลการรายงานของ Vitali Kremez จาก Advanced Intelligence ได้รายงานถึงกลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “one” ซึ่งตั้งเป้าหมายการโจมตีไปยังบริษัทยักษ์ใหญ่ ด้วย Ryuk ransomware และเพิ่งสามารถข่มขู่เหยื่อรายหนึ่งให้จ่ายเงินเป็นจำนวน 34 ล้านดอลลาร์เพื่อแลกกับคีย์ถอดรหัสที่ใช้ในการปลดล็อกระบบของเหยื่อ

Kremez กล่าวว่ากลุ่มแฮกเกอร์ที่เรียกตัวเองว่า “one” ซึ่งได้ข้อมูลระบุตัวตนของกลุ่มจากบอตเน็ต Trickbot ที่ถูกใช้อำนวยความสะดวกในการบุกรุกเครือข่ายของเหยื่อร่วมกับการใช้ Ryuk ransomware โดยเหยื่อรายล่าสุดของกลุ่ม “one” ได้แก่บริษัทในด้านเทคโนโลยี, การดูแลสุขภาพ, พลังงาน, บริการทางการเงินและภาครัฐ ซึ่งได้ทำการจ่ายเงินค่าไถ่เป็นจำนวนเงิน 2,200 bitcoins ซึ่งขณะนี้มีมูลค่าเกือบ 34 ล้านดอลลาร์ โดยกลุ่มเเฮกเกอร์ไม่มีการเจรจาและไม่มีการผ่อนปรนใดๆ สำหรับค่าไถ่

จากการวิเคราะห์ขั้นตอนของการโจมตีและตั้งข้อสังเกตพบว่ากลุ่ม “one” ใช้ 15 ขั้นตอนในการค้นหาและบุกรุกเหยื่อ โดยใช้เครื่องมือซึ่งเป็นซอฟต์แวร์โอเพนซอร์สอย่างเช่น Mimikatz, PowerShell PowerSploit, LaZagne, AdFind, Bloodhound และ PsExec ในการบุกรุกและจะใช้ Ryuk ransomware เป็นขั้นตอนสุดท้ายในกระบวนการ

มัลแวร์ Trickbot ที่ใช้เป็นจุดเริ่มต้นของการบุกรุกเริ่มแพร่กระจาย BazarLoader ซึ่งเป็น backdoor ที่จะเปิดทางให้กลุ่มเเฮกเกอร์ใช้กลับเข้าไปในเครือข่ายตั้งแต่เมษายน 2020 ที่ผ่านมา ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเว็บไซต์และไฟล์ทุกครั้งที่ทำการโหลด ไม่เข้าเว็บไซต์จากเเหล่งที่ไม่รู้จัก เพื่อเป็นการป้องกันการตกเป็นเหยื่อของ Ryuk ransomware สำหรับผู้ที่สนใจรายละเอียดขั้นตอนการโจมตีสามารถดูได้ที่เเหล่งที่มา

ที่มา: bleepingcomputer.

Ryuk Ransomware Gang Uses Zerologon Bug for Lightning-Fast Attack

กลุ่ม Ryuk Ransomware นำช่องโหว่ Zerologon มาปรับใช้เพื่อทำการโจมตีระบบแล้ว

นักวิจัยจาก @TheDFIRReport ออกรายงานพบการโจมตีรูปแบบใหม่ของกลุ่ม Ryuk Ransomware ที่ได้นำช่องโหว่ Zerologon (CVE-2020-1472) มาปรับใช้ในการโจมตี ซึ่งทำให้กลุ่ม Ryuk Ransomware สามารถใช้เวลาในการเข้ารหัสทั้งโดเมนที่ถูกบุกรุกได้ในเวลาเพียงห้าชั่วโมง

นักวิจัยกล่าวว่าการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่มีมัลแวร์ Bazar loader จากนั้นผู้โจมตีจะทำการสำรวจระบบด้วยการใช้เครื่องมือ built-in ภายใน Windows เพื่อสำรวจระบบ จากนั้นจะใช้ประโยชน์จากช่องโหว่ของ Zerologon (CVE-2020-1472) เพื่อใช้ในการรีเซ็ตรหัสผ่านเครื่องของโดเมนคอนโทรลเลอร์ จากนั้นผู้โจมตีจะทำการเคลื่อนย้ายไปยังคอนโทรลเลอร์รองภายในระบบด้วย Server Message Block (SMB) และ Windows Management Instrumentation (WMI) ด้วยเครื่องมือ Cobalt Strike ซึ่งในขั้นตอนสุดท้ายของการโจมตีกลุ่ม Ryuk Ransomware ได้ติดตั้งแรนซัมแวร์ลงบนเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ที่เก็บข้อมูลสำรอง ตามด้วยเครื่องที่เหลือทั้งหมด

นักวิจัยยังกล่าวว่าผู้โจมตีสามารถบรรลุวัตถุประสงค์ของพวกเขาได้ในระยะเวลาอันสั้น โดยเหตุการณ์นับจากการโจมตีขั้นแรกด้วยการที่ผู้ใช้งานหลงกลอีเมลฟิชชิงทำให้ Bazar loader ทำงานจนถึงการปล่อยแรนซัมแวร์ใช้เวลาทั้งหมด 5 ชั่วโมงเท่านั้น ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตซ์ความปลอดภัยเพื่อเเก้ไขช่องโหว่ Zerologon เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

โดยผู้ที่สนใจรายงานดังกล่าวสามารถอ่านรายละเอียดได้จาก : thedfirreport 

ที่มา : threatpost

Hackers now abuse BaseCamp for free malware hosting

แฮกเกอร์เริ่มแคมเปญฟิชชิ่งใหม่ที่ใช้ Basecamp ในการเเพร่กระจายมัลแวร์ไปยังผู้ใช้ทั่วไป

นักวิจัยด้านความปลอดภัยจาก MalwareHunterTeam และนักวิจัยอิสระ James ได้พบถึงพฤติกรรมของกลุ่มผู้ประสงค์ร้ายที่กำลังเริ่มแคมเปญฟิชชิ่งใหม่ที่ใช้ Basecamp ในการเผยเเพร่ไฟล์ที่เป็นอันตรายซึ่งแอบเเฝงมัลแวร์ไว้เพื่อการเเพร่กระจายและทำการขโมยข้อมูล credential ของเหยื่อ

Basecamp เป็นโปรเจ็กต์ในการพัฒนา web-based management ที่ช่วยให้ผู้ใช้สามารถทำงานร่วมกัน, สนทนากัน, สร้างเอกสารและแชร์ไฟล์กันได้ โดยนักวิจัยพบว่ามีผู้ประสงค์ร้ายกำลังพยายามแจกจ่ายไฟล์ปฏิบัติการที่ชื่อว่า BazarLoader ด้วยการใช้ลิงก์ดาวน์โหลด Basecamp แบบสาธารณะ ซึ่งเมื่อทำการตรวจสอบไฟล์ BazarLoader พบว่าเป็นโทรจันที่เชี่อมโยงไปยังมัลแวร์ TrickBot และเมื่อทำการติดตั้งแล้ว BazarLoader แล้วตัวมัลแวร์จะทำการปรับใช้บีคอน Cobalt Strike ที่จะอนุญาตให้ผู้ประสงค์ร้ายเข้าถึงเครือข่ายและจะทำให้ผู้ประสงค์ร้ายสามารถนำ Ryuk ransomware เข้าไปรันในเครือข่ายหรือระบบได้ในท้ายที่สุด

เนื่องจาก Basecamp เป็นบริการที่มีความเชื่อถือได้ ทำให้ผู้ใช้ไม่รู้สึกผิดสังเกตถึงการพยายามในการเเพร่กระจายมัลแวร์ ทั้งนี้ผู้ใช้งานควรต้องใช้ความระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์และควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันเครื่องของผู้ใช้และระบบของผู้ใช้

ที่มา: bleepingcomputer

โรงพยาบาลในเครือข่าย UHS ของสหรัฐฯ ถูกโจมตีด้วย Ryuk ransomware

Universal Health Services (UHS) เครือข่ายโรงพยาบาลในสหรัฐฯ และสหราชอาณาจักรได้ประกาศว่าถูกแรนซัมแวร์โจมตีจนทำให้ระบบไอทีต่างๆ ของโรงพยาบาลไม่สามารถใช้งานได้ โดยโรงพยาบาลได้ทำการเปลี่ยนเส้นทางรถพยาบาลและย้ายผู้ป่วยที่ต้องการการรักษาฉุกเฉินไปยังโรงพยาบาลใกล้เคียงอื่นๆ

ตามเเหล่งข่าวภายในที่เปิดเผยกับ BleepingComputer ระบุว่าเครือข่ายของ UHS เริ่มถูกปฏิบัติการโจมตีในช่วงกลางคืนเพื่อหลีกเลี่ยงการตรวจจับ โดยในระหว่างการโจมตีพบว่ามีคอมพิวเตอร์ที่ได้รับผลกระทบถูกเข้ารหัสไฟล์และมีการเปลื่ยนชื่อไฟล์ให้มีนามสกุล. ryk นอกจากนี้ยังมีพนักงานพบว่าหน้าจอคอมพิวเตอร์ที่ได้รับผลกระทบมีโน๊ตเรียกค่าไถ่ที่มีข้อความว่า ‘Shadow of the Univerese’ ซึ่งคล้ายกับคำลงท้ายในไฟล์เรียกค่าไถ่ของ Ryuk ransomware ซึ่งหลังเกิดเหตุเจ้าหน้าที่ไม่สามารถเข้าถึงระบบต่างๆ ได้เนื่องจากมีการบังคับให้ปิดระบบทั้งหมดเพื่อป้องกันการแพร่กระจายไปยังอุปกรณ์ในเครือข่ายส่วนอื่นๆ

Vitali Kremez ผู้เชี่ยวชาญด้านความปลอดภัยจาก Advanced Intel ได้มีข้อสันนิษฐานถึงการโจมตีระบบของ UHS ซึ่งน่าจะเริ่มต้นด้วยการโจมตีแบบฟิชชิ่ง เนื่องจากทางบริษัทตรวจพบว่ามัลแวร์ Emotet และ TrickBot โจมตีระบบของ UHS ตลอดช่วงปี 2020โดยพบการโจมตีล่าสุดในเดือนกันยายน 2020 โดย Emotet สามารถแพร่กระจายผ่านทางอีเมลฟิชชิ่งโดยการแนบไฟล์ที่เป็นอันตรายและเมื่อผู้ใช้ทำการเปิดเอกสารมัลแวร์จะทำการติดตั้งในคอมพิวเตอร์ของเหยื่อ ทั้งนี้เมื่อมัลแวร์ทำการติดตั้งในครื่องของเหยื่อแล้วมัลแวร์จะทำการเปิด reverse shell เพื่อเปิดทางให้ผู้ทำปฏิบัติการ Ryuk ransomware เข้ามาบุกรุกเครือข่ายเพื่อทำการรวบรวม Credential ที่เกี่ยวข้องกับระบบและทำการเข้ารหัสเครื่องที่อยู่ในระบบของเหยื่อเพื่อทำการหาประโยชน์จากการเรียกค่าไถ่ต่อไป

ปัจจุบันทีมงานไอทีของโรงพยาบาลยังคงเร่งกู้คืนระบบอยู่พร้อมกับให้ข้อมูลว่าไม่มีข้อมูลผู้ป่วยหรือพนักงานถูกเข้าถึงโดยผู้โจมตี ทั้งนี้ผู้ใช้งานและผู้ดูแลระบบควรมีความระมัดระวังอย่างมากในการเปิดไฟล์ที่ถูกแนบมากับอีเมลและไม่ควรทำการโหลดไฟล์จากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อ

ที่มา: bleepingcomputer.

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.