คณะกรรมการคุ้มครองข้อมูลส่วนบุคคลของเกาหลีใต้ สั่งปรับ McDonald's, British American Tobacco และ Samsung สำหรับเหตุการณ์การละเมิดข้อมูลส่วนบุคคล

McDonald's ถูกปรับเป็นจำนวนเงิน 696 ล้านวอน (530,000 ดอลลาร์) สำหรับการจัดเก็บไฟล์สำรองข้อมูลที่มีผู้ใช้บริการ McDelivery อยู่ใน Server Message Block (SMB) ซึ่งเปิดการใช้ (more…)

กลุ่ม Ryuk Ransomware นำช่องโหว่ Zerologon มาปรับใช้เพื่อทำการโจมตีระบบแล้ว

นักวิจัยจาก @TheDFIRReport ออกรายงานพบการโจมตีรูปแบบใหม่ของกลุ่ม Ryuk Ransomware ที่ได้นำช่องโหว่ Zerologon (CVE-2020-1472) มาปรับใช้ในการโจมตี ซึ่งทำให้กลุ่ม Ryuk Ransomware สามารถใช้เวลาในการเข้ารหัสทั้งโดเมนที่ถูกบุกรุกได้ในเวลาเพียงห้าชั่วโมง

นักวิจัยกล่าวว่าการโจมตีเริ่มต้นด้วยอีเมลฟิชชิงที่มีมัลแวร์ Bazar loader จากนั้นผู้โจมตีจะทำการสำรวจระบบด้วยการใช้เครื่องมือ built-in ภายใน Windows เพื่อสำรวจระบบ จากนั้นจะใช้ประโยชน์จากช่องโหว่ของ Zerologon (CVE-2020-1472) เพื่อใช้ในการรีเซ็ตรหัสผ่านเครื่องของโดเมนคอนโทรลเลอร์ จากนั้นผู้โจมตีจะทำการเคลื่อนย้ายไปยังคอนโทรลเลอร์รองภายในระบบด้วย Server Message Block (SMB) และ Windows Management Instrumentation (WMI) ด้วยเครื่องมือ Cobalt Strike ซึ่งในขั้นตอนสุดท้ายของการโจมตีกลุ่ม Ryuk Ransomware ได้ติดตั้งแรนซัมแวร์ลงบนเซิร์ฟเวอร์หลักและเซิร์ฟเวอร์ที่เก็บข้อมูลสำรอง ตามด้วยเครื่องที่เหลือทั้งหมด

นักวิจัยยังกล่าวว่าผู้โจมตีสามารถบรรลุวัตถุประสงค์ของพวกเขาได้ในระยะเวลาอันสั้น โดยเหตุการณ์นับจากการโจมตีขั้นแรกด้วยการที่ผู้ใช้งานหลงกลอีเมลฟิชชิงทำให้ Bazar loader ทำงานจนถึงการปล่อยแรนซัมแวร์ใช้เวลาทั้งหมด 5 ชั่วโมงเท่านั้น ทั้งนี้ผู้ดูแลระบบควรรีบทำการอัปเดตเเพตซ์ความปลอดภัยเพื่อเเก้ไขช่องโหว่ Zerologon เป็นการด่วนเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

โดยผู้ที่สนใจรายงานดังกล่าวสามารถอ่านรายละเอียดได้จาก : thedfirreport 

ที่มา : threatpost