Ryuk ransomware is the top threat for the healthcare sector

Ryuk ransomware เป็นภัยคุกคามอันดับต้นๆ สำหรับโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ

สำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (Cybersecurity and Infrastructure Security Agency - CISA), สำนักงานสอบสวนกลาง (Federal Bureau of Investigation - FBI) และกระทรวงสาธารณสุข (Department of Health and Human Services - HHS) ได้ออกเตือนถึงภัยคุกคามทางไซเบอร์ที่ใช้ประโยชน์จากการระบาดจากโรค COVID-19 พุ่งเป้าหมายโจมตีไปยังโรงพยาบาลและผู้ให้บริการด้านการดูแลสุขภาพ โดยคำแนะนำดังกล่าวมีวัตถุประสงค์เพื่อเตรียมองค์กรสำหรับการโจมตีด้วย Ryuk และ Conti แรนซัมแวร์ ซึ่งมีกลยุทธ์เทคนิคและขั้นตอน (Tactics, techniques, and procedures - TTP) เฉพาะสำหรับเหตุการณ์ที่เกิดขึ้นกับมัลแวร์สายพันธุ์เหล่านี้

สอดคล้องกับรายงานจาก Check Point บริษัทด้านความปลอดภัยทางไซเบอร์ที่พบว่ามีการโจมตีเพิ่มขึ้น 45% ในองค์กรด้านการดูแลสุขภาพทั่วโลกและมีการพุ่งสูงขึ้นมากกว่าสองเท่าของเหตุการณ์ที่เกิดขึ้นในภาคอุตสาหกรรมอื่นๆ ทั้งหมดในช่วงเวลาเดียวกัน โดยภัยคุกคามหลักการโจมตีหน่วยงานด้านการดูแลสุขภาพคือ Ryuk ตามด้วย REvil (Sodinokibi) แรนซัมแวร์

ตามข้อมูลที่ Check Point รวบรวมไว้พบว่าการโจมตีทางอินเทอร์เน็ตส่วนใหญ่ในช่วงสองเดือนที่ผ่านมาได้โจมตีองค์กรด้านการดูแลสุขภาพในยุโรปกลางโดยอัตราการการโจมตีพุ่งขึ้นถึงเกือบ 150% ในเดือนพฤศจิกายน สำหรับในเอเชียและตะวันออกพบการโจมตีเพิ่มขึ้น 137% ในโซนละตินอเมริกามีการเติบโต 112% สำหรับยุโรปและอเมริกาเหนือมีตัวเลขเพิ่มขึ้นน้อยที่สุดคือ 67% และ 37% ตามลำดับ

ด้วยจำนวนผู้ติดเชื้อ COVID-19 ที่เพิ่มสูงขึ้นทำให้ภัยคุกคามทางอินเทอร์เน็ตจึงมีแนวโน้มที่จะโจมตีองค์กรด้านการแพทย์ การอัปเดตระบบความปลอดภัยด้วยการแพตช์ซอฟต์แวร์ให้เป็นเวอร์ล่าสุด การตรวจสอบเครือข่ายสำหรับการเข้าถึงโดยไม่ได้รับอนุญาตและการให้ความรู้แก่พนักงานในองค์กร การระบุความพยายามของฟิชชิงเป็นวิธีที่ดีในการป้องกันการโจมตีจากผู้คุกคาม

ที่มา: bleepingcomputer

สัปดาห์แห่งการโจมตีโรงพยาบาล มัลแวร์เรียกค่าไถ่ Ryuk โจมตีโรงพยาบาลเพิ่มอีก 2 รายในสหรัฐฯ

กลุ่มมัลแวร์เรียกค่าไถ่ Ryuk ขยายปริมาณเหยื่อในกลุ่มโรงพยาบาลโดยการประกาศการโจมตีโรงพยาบาล Wyckoff Heights Medical Center ในบรูคลินและ University of Vermont Health Network นับเป็นเหยื่อรายที่ 8 และ 9 ในช่วงเดือนที่ผ่านมาของกลุ่มโรงพยาบาลซึ่งได้รับผลกระทบจากการโจมตีของกลุ่ม Ryuk

อ้างอิงข้อมูลจาก Charles Carmakal ซึ่งดำรงตำแหน่ง CTO ของ Mandiant ทาง Mandiant ระบุว่าพบข่าวกรองซึ่งทำให้สามารถเชื่อได้ว่ากลุ่มแฮกเกอร์ซึ่งมีถิ่นอาศัยอยู่ในโซนยุโรปตะวันออกชื่อ UNC1878 เป็นผู้อยู่เบื้องหลังการโจมตีในครั้งนี้ ทาง FireEye และ Mandiant ยังได้มีการเผยแพร่ TTP บางส่วนบนบล็อคของทางองค์กรด้วย (https://www.

มัลแวร์เรียกค่าไถ่ Conti (Ryuk) ออกเว็บไซต์สำหรับปล่อยข้อมูล

กลุ่มผู้อยู่เบื้องหลังมัลแวร์เรียกค่าไถ่หันมาขโมยข้อมูลก่อนที่จะปล่อยมัลแวร์เข้ารหัสไฟล์มากขึ้นเพื่อข่มขู่เหยื่อให้ยอมจ่ายค่าไถ่ ไม่อย่างนั้นจะปล่อยข้อมูลที่ขโมยมา โดยเทคนิคข่มขู่นี้เริ่มมาจาก Maze ransomware ในเดือนธันวาคม 2019 และมีกลุ่มที่ดำเนินรอยตามอีกมาก รวมไปถึงมัลแวร์เรียกค่าไถ่ตัวใหม่ Conti

มัลแวร์เรียกค่าไถ่ Conti พบครั้งแรกในช่วงเดือนมิถุนายน 2020 จากการวิเคราะห์พบว่ามัลแวร์นี้น่าจะมาจากกลุ่มทีเคยอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ Ryuk มาก่อน โดย Conti แพร่กระจายผ่าน TrickBot และมีโค้ดแบบเดียวกับ Ryuk ในวันที่ 25 สิงหาคม 2020 ที่ผ่านมามีนักวิจัยรายงานการค้นพบเว็บไซต์สำหรับปล่อยข้อมูลผู้ที่ตกเป็นเหยื่อ Conti ซึ่งมีข้อมูลของเหยื่อแล้วกว่า 26 ราย

ZDNet ระบุว่าเทรนด์การขโมยข้อมูลก่อนเรียกค่าไถ่นี้ทำให้องค์กรต้องเพิ่มความสามารถในการรับมือตรวจสอบภัยคุกคามมากขึ้นกว่าแค่กู้คืนระบบ ต้องมีการตรวจสอบหากมี backdoor หลงเหลืออยู่ในระบบ รวมถึงต้องมีการประกาศข้อมูลรั่วไหลหากพบว่าข้อมูลผู้ใช้งานหรือพนักงานถูกขโมยออกไป

ที่มา

bleepingcomputer.

Ryuk Ransomware Involved in Cyberattack Stopping Newspaper Distribution

มีรายงานถึงการโจมตีของ Ryuk ransomware ส่งผลกระทบต่อบริษัทที่ให้บริการพิมพ์และส่งหนังสือพิมพ์รายใหญ่ Tribune Publishing และ Los Angeles Times ในสหรัฐอเมริกา ซึ่งได้ให้บริการแก่ Wall Street Journal, New York Times, Los Angeles Times, Chicago Tribune, Baltimore Sun, Lake County News-Sun, Post-Tribune, Hartford Courant, Capital Gazette, และ Carroll County Times ส่งผลให้การส่งหนังสือพิมพ์ล่าช้าเมื่อวันเสาร์ที่ผ่านมา

Ryuk ransomware เป็นที่รู้จักในเดือน สิงหาคม 2018 สามารถเรียกค่าไถ่ได้มากกว่า $640,000 ลักษณะการทำงานของ Ryuk ransomware มีความคล้ายคลึงกับ ransomware ที่ถูกสร้างโดยกลุ่ม Lazarus ที่เชื่อว่ามีรัฐบาลเกาหลีเหนืออยู่เบื้องหลัง อย่างไรก็ตามยังเร็วไปที่จะยืนยันได้ว่า ransomware ดังกล่าวเกี่ยวข้องกับเกาหลีเหนือ โดยผู้ไม่หวังดีจะโจมตีเหยื่อโดยการทำ phishing หรืออาจจะผ่านทาง remote desktop

ทางสำนักพิมพ์ประกาศว่า จากการโจมตีดังกล่าวไม่พบว่ามีข้อมูลส่วนบุคคลของสมาชิกออนไลน์และลูกค้าโฆษณาได้รับผลกระทบจากการถูกโจมตีในครั้งนี้แต่อย่างใด

ที่มา: bleepingcomputer

Ryuk Ransomware Crew Makes $640,000 in Recent Activity Surge

นักวิจัยด้านความปลอดภัยจาก Malware Hunter ค้นพบ Ransomware ตัวใหม่ชื่อ Ryuk โดยสามารถทำรายได้ถึง 640,000 เหรียญ

จากการตรวจสอบนักวิจัยยังไม่สามารถยืนยันได้ว่า Ransomware ดังกล่าวแพร่กระจายหรือติดอย่างไร แต่คาดการณ์ว่า Ryuk Ransomware จะทำการโจมตีแบบมีการกำหนดเป้าหมาย(targeted attack) อาจจะผ่านทาง Spear-phishing email หรือ Internet-exposed และการเชื่อมต่อผ่าน Remote Desktop Protocol (RDP) ที่ไม่ปลอดภัย และทำการเข้ารหัสไฟล์พร้อมเรียกค่าไถ่เป็นสกุลเงิน Bitcoin

ทางด้านนักวิจัยของ Check Point คาดว่าผู้พัฒนา Ryuk Ransomware อาจเป็นผู้พัฒนาคนเดียวกันกับที่พัฒนา Hermes ransomware หรืออาจมีคนที่สามารถเข้าถึงซอร์สโค้ดของ Hermes ransomware ได้ เนื่องจากการตรวจสอบซอร์สโค้ดส่วนใหญ่ที่ Ransomware ทั้งสองตัวใช้มีความเหมือนกันอยู่ เช่น

- ฟังก์ชันที่เข้ารหัสไฟล์มีความคล้ายคลึงกัน
- Ryuk และ Hermes มีการใช้ตัวแปร file marker ในการเข้ารหัสไฟล์
- มีการตรวจสอบตัวแปร marker เหมือนกัน
- มีโฟลเดอร์ Whitelist ที่เหมือนกัน (เช่น "Ahnlab", "Microsoft", "$ Recycle.