แฮ็กเกอร์ผู้พัฒนา REvil ransomware-as-a-service (RaaS) กลับมามีปฏิบัติการอีกครั้งหลังจากหายไปถึง 2 เดือน จากครั้งล่าสุดที่มีการโจมตีผู้ให้บริการทางด้านเทคโนโลยีรายใหญ่อย่างบริษัท Kaseya เมื่อวันที่ 4 กรกฎาคมที่ผ่านมา

Portals ของ Dark Web สองแห่ง รวมถึง "Happy Blog" เว็ปไซต์ที่ใช้สำหรับแจ้งข้อมูลที่รั่วไหลออกมา เว็ปไซต์การชำระเงิน และเจรจาค่าไถ่ได้กลับมาออนไลน์อีกครั้ง โดยมีข้อมูลผู้เคราะห์ร้ายรายล่าสุดเมื่อวันที่ 8 กรกฎาคม ซึ่งเป็น 5 วันก่อนที่ไซต์ดังกล่าวจะปิดตัวลงอย่างลึกลับในวันที่ 13 กรกฎาคม และยังไม่แน่ชัดว่า REvil กลับมาในปฏิบัติการ หรือว่าจะเปิดตัวการโจมตีครั้งใหม่

"โชคไม่ดีเลยที่ Happy Blog กลับมาออนไลน์แล้ว" นักวิจัยด้านภัยคุกคามของ Emsisoft นาม Erett Callow ทวีตไว้เมื่อวันอังคารที่ผ่านมา

ความเคลื่อนไหวล่าสุดเกิดขึ้นในช่วง 2 เดือนต่อมาหลังจากการโจมตีด้วย Ransomware ด้วยวิธีการ Supply Chain Attack โดยมุ่งเป้าไปที่ Kaseya ซึ่งเห็นกลุ่มผู้โจมตีเข้ารหัสผู้ให้บริการ (MSPs) ราว 60 ราย และธุรกิจที่เกี่ยวข้องอีกกว่า 1500 แห่งโดยใช้ช่องโหว่ zero-day ในซอฟต์แวร์การจัดการระยะไกล Kaseya VSA

ในปลายเดือนพฤษาคม REvil ยังเป็นผู้นำในการโจมตี JBS ผู้ผลิตเนื้อสัตว์รายใหญ่ที่สุดของโลกด้วย ทำให้บริษัทต้องจ่ายเงินค่าไถ่ 11 ล้านดอลลาร์ให้กับผู้โจมตีเพื่อฟื้นฟูความเสียหายจากเหตุการณ์ดังกล่าว

หลังเหตุการณ์การถูกโจมตี มีการตรวจสอบ และกดดันอย่างหนักจากหลายๆหน่วยงานทั่วโลกเพื่อจัดการกับวิกฤต ramsomware กลุ่มแฮ็กเกอร์ได้ปิดตัว Dark Web ลง ซึ่งคาดว่าอาจจะหยุดดำเนินการชั่วคราวโดยมีเป้าหมายเพื่อรีแบรนด์ภายใต้ตัวตนใหม่เพื่อทำให้เป็นที่สนใจน้อยลง

REvil หรือที่รู้จักกันในนาม Sodinokibi กลายเป็น ransomware สายพันธุ์ที่พบการรายงานบ่อยที่สุดอันดับ 5 ในไตรมาสที่ 1 ปี 2564 ซึ่งคิดเป็น 4.60% ของการโจมตีทั้งหมดในไตรมาสนี้ ตามสถิติที่รวบรวมโดย Emsisoft

ทีมา : thehackernews.

พบ Ransomware ตัวใหม่ที่มีการอ้างว่าได้ทำการโจมตีองค์กรต่าง ๆ สำเร็จไปแล้วกว่า 30 แห่ง

Unit 42 จาก Palo Alto Networks ได้ให้รายละเอียดเกี่ยวกับ Ransomware ตัวใหม่ที่มีชื่อว่า Prometheus ว่าน่าจะมีความเกี่ยวข้องกับ Thanos Ransomware

Prometheus Ransomware ปรากฏตัวครั้งแรกในเดือนกุมภาพันธ์ที่ผ่านมา โดยนอกจากการเข้ารหัสเครือข่ายและเรียกค่าไถ่สำหรับคีย์ที่ใช้ในการถอดรหัสแล้ว พวกเขายังขู่ว่าจะทำการปล่อยข้อมูลของเหยื่อ หากไม่ยอมจ่ายค่าไถ่ให้กับตน โดยจ่ายเป็นสกุลเงิน Monero cryptocurrency (more…)

นักวิจัยด้านความปลอดภัย "3xp0rt" ได้เปิดเผยถึงพฤติกรรมของกลุ่ม REvil ransomware ซึ่งได้ประกาศถึงการนำกลยุทธ์ใหม่ที่ใช้บริษัทภายในเครือของผู้ที่ติดแรนซัมแวร์เพื่อกดดันผู้ที่ตกเป็นเหยื่อโดยใช้การโจมตี DDoS และการโทรไปยังนักข่าวและพันธมิตรทางธุรกิจของเหยื่อเพื่อให้ข้อมูลเกี่ยวกับการโจมตีที่เกิดขึ้น เพื่อกดดันให้เหยื่อยอมจ่ายเงิน

กลุ่ม REvil ransomware หรือที่เรียกว่า Sodinokibi เป็นกลุ่มผู้ให้บริการแรนซัมแวร์หรือ Ransomware-as-a-service (RaaS) ซึ่งภายในกลุ่มจะมีบริษัทที่รับให้บริการบุกรุกเครือข่ายขององค์กรที่ตกเป็นเป้าหมายและทำการติดตั้งแรนซัมแวร์ลงไปภายในเครือข่ายเพื่อทำการเรียกค่าไถ่ผู้ที่ตกเป็นเหยื่อ

กลุ่ม REvil ransomware ได้มีการประกาศในเว็บบอร์ดใต้ดินเพื่อหาผู้ที่สามารถทำการโจมตีแบบ DDoS ได้เพื่อเข้าร่วมทีมขู่กรรโชก รวมไปถึงผู้ที่จะทำหน้าที่ติดต่อ เปิดเผยและข่มขู่หากบริษัทซึ่งโดนแรนซัมแวร์ไม่ยอมออกมายอมรับและจ่ายค่าไถ่

นอกจากการโทรเพื่อกดดันเหยื่อแล้ว REvil ยังให้ทำการโจมตี DDoS ไปยัง Layer 3 และ Layer 7 ของบริษัทที่ตกเป็นเหยื่อเพื่อสร้างแรงกดดัน โดยทั่วไปการโจมตี DDoS Layer 3 มักใช้เพื่อจำกัดการเชื่อมต่ออินเทอร์เน็ตของบริษัทที่ตกเป็นเหยื่อ แต่ในทางตรงกันข้ามกลุ่มแรนซัมแวร์จะใช้การโจมตี DDoS แบบ Layer 7 เพื่อทำให้แอปพลิเคชันของเหยื่อที่สามารถเข้าถึงได้จากสาธารณะเช่นเว็บเซิร์ฟเวอร์หยุดให้บริการ

ทั้งนี้ผู้ใช้ควรมีความระมัดระวังในการใช้งานอีเมลหรือการใช้งานการเข้าเยื่ยมชมเว็บไซต์ที่ไม่รู้จักและไม่ควรทำการดาวน์โหลดไฟล์ใด ๆ จากอีเมล์หรือเว็บไซต์ที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของแรนซัมแวร์

ที่มา: bleepingcomputer

กลุ่มมัลแวร์เรียกค่าไถ่ REvil ได้มีการครอบครองซอร์สโค้ดของโทรจันตัวใหม่ "KPOT 2.0" หลังจากชนะการประมูลในเว็บบอร์ดใต้ดินรัสเซีย โดยกลุ่ม REvil จ่ายค่าซอร์สโค้ดของมัลแวร์ตัวนี้ไปเป็นเงินกว่า 200,000 บาท

อ้างอิงจากแฮกเกอร์นิรนาม Pancak3 ซึ่งให้ข่าวกับทาง ZDNet การประมูลซอร์สโค้ดของมัลแวร์ KPOT เริ่มต้นขึ้นในช่วงกลางเดือนตุลาคมและสิ้นสุดไปในเดือนทีผ่านมา ในการประมูลนั้น ผู้ที่เข้าประมูลซอร์สโค้ดของมัลแวร์ KPOT ใช้ชื่อในเว็บบอร์ดใต้ดินว่า UNKN ซึ่งเป็นที่รู้จักกันว่าเป็นสมาชิกของกลุ่มมัลแวร์เรียกค่าไถ่ REvil (Sodinokibi) เพียงรายเดียวและได้รับซอร์สโค้ดไป Pancak3 มีความเห็นว่ากลุ่ม REvil มีแนวโน้มที่จะนำซอร์สโค้ดของมัลแวร์ตัวดังกล่าวไปพัฒนาต่อเพื่อนำมาใช้งานจริง

ในการประมูลแม้จะมีความเห็นจากสมาชิกในเว็บบอร์ดว่าซอร์สโค้ดของ KPOT มีราคาที่แพงเกินจริง แต่กลุ่มมัลแวร์เรียกค่าไถ่ REvil เป็นหนึ่งในกลุ่มซึ่งสามารถทำรายได้จากการเรียกค่าไถ่ได้ว่า 100 ล้านดอลลาร์สหรัฐฯ ดังนั้นการจ่ายเงินให้กับซอร์สโค้ดของมัลแวร์ที่สามารถเพิ่มมูลค่าให้กับการโจมตีจึงอาจเป็นการลงทุนที่คุ้มค่าสำหรับกลุ่มแฮกเกอร์ซึ่งไม่มีปัญหาด้านการเงิน

ที่มา: zdnet

บริษัทด้านความปลอดภัย Coveware ออกรายงานเกี่ยวกับ Ransomware ประจำ Q3 2020 เมื่อวานที่ผ่านมา โดยหนึ่งในประเด็นของรายงานที่น่าสนใจนั้นคือสถิติเกี่ยวกับกลุ่มมัลแวร์เรียกค่าไถ่ที่ไม่รักษาคำพูดกับเหยื่อ ตัวอย่างการโป้ปดที่น่าสนใจมีดังนี้

กลุ่ม REvil หรือ Sodinokibi มีการเรียกค่าเหยื่อรายเดิมซ้ำอีกครั้งหลังจากเหยื่อจ่ายเงินค่าไถ่ไปแล้วหนึ่งอาทิตย์ โดยการใช้ข้อมูลจากข้อมูลชุดเดิม
กลุ่ม Netwalker และ Mespinoza มีการปล่อยข้อมูลของเหยื่อแม้ว่าเหยื่อจะมีการจ่ายค่าไถ่เพื่อไม่ให้มีการปล่อยข้อมูล
กลุ่ม Conti มีการลบไฟล์ปลอมโชว์เหยื่อหลังจากที่เหยื่อจ่ายค่าไถ่แล้ว โดยเก็บไฟล์จริงเอาไว้

ด้วยพฤติกรรมดังกล่าว Coveware จึงมีการเพิ่มคำแนะนำเพิ่มเติมเพื่อแจ้งให้ผู้ที่อาจตกเป็นเหยื่อหรือเป็นเหยื่อของกลุ่มมัลแวร์เรียกค่าไถ่ ดังนี้

ข้อมูลที่ถูกนำไปโดยผู้โจมตีอาจไม่สามารถพิสูจน์ได้ว่าถูกลบจริงหลังจากมีการจ่ายค่าไถ่แล้ว พึงระลึกไว้เสมอว่ากลุ่มมัลแวร์เรียกค่าไถ่อาจมีการแลกเปลี่ยน นำไปขายต่อหรือถือครองข้อมูลเดิมไว้เพื่อเรียกค่าไถ่ซ้ำ
ข้อมูลที่ถูกขโมยไปอาจถูกถือครองโดยบุคคลหลายกลุ่มและอาจไม่ได้รับความปลอดภัยอย่างเหมาะสม แม้กลุ่มมัลแวร์เรียกค่าไถ่จะลบข้อมูลไปแล้วจริง ก็อาจมีการลักลอบเข้าถึงและทำสำเนาข้อมูลเก็บเอาไว้ได้โดยบุคคลที่สาม
ข้อมูลที่ถูกขโมยไปอาจถูกโพสต์หรือถูกปล่อยสู่สาธารณะไม่ว่าจะได้ความตั้งใจหรือไม่ก็ตาม ในบางครั้งกลุ่มมัลแวร์เรียกค่าไถ่อาจตั้งใจโพสต์ก่อนที่จะมีการเรียกค่าไถ่ด้วย

ไอ-ซีเคียวขอแนะนำให้ผู้อ่านพิจารณาข้อเท็จจริงด้านบนเพื่อนำไปใช้ปรับปรุงแผนและแนวทางเพื่อรับมือและตอบสนองเหตุการณ์ความปลอดภัยจากมัลแวร์เรียกค่าไถ่ให้มีประสิทธิภาพมากยิ่งขึ้น

ที่มา: bleepingcomputer

ธนาคาร BancoEstado หนึ่งในสามธนาคารที่ใหญ่ที่สุดของชิลีได้ประกาศปิดทำการทุกสาขาของธนาคารเนื่องจากระบบเครือข่ายของธนาคารถูกโจมตีด้วยแรนซัมแวร์

รายงานการโจมตีที่ถูกเผยเเพร่ผ่าน ZDNet ระบุว่าเครือข่ายภายในของธนาคารนั้นถูกโจมตีด้วย REvil ransomware หรือ Sodinokibi ต้นกำเนิดของการโจมตีนั้นมาจากพนักงานในธนาคารได้รับเอกสารและทำการเปิดเอกสาร Office ที่เป็นอันตรายและมีแบ็คดอร์แฝงอยู่จึงทำให้แฮกเกอร์ใช้แบ็คดอร์นี้เพื่อเข้าถึงเครือข่ายของธนาคารและติดตั้งแรนซัมแวร์บนเครือข่าย

ตามที่ธนาคารระบุว่าเว็บไซต์พอร์ทัลของธนาคาร, แอพมือถือและเครือข่าย ATM ไม่ได้รับผลกระทบเนื่องจากการออกแบบโครงสร้างพื้นฐานของธนาคารซึ่งได้แบ่งกลุ่มการใช้งานเครือข่ายภายในของธนาคารไว้

REvil ransomware เป็น Ransomware-as-a-Service ซึ่งได้พุ่งเป้าการโจมตีด้วยแรนซัมแวร์ไปยังกลุ่มอุสาหกรรมต่างๆ และมีผู้ตกเป็นเหยือจำนวนมาก ผู้ใช้ควรทำการตรวจสอบไฟล์ทุกครั้งที่ทำการเปิดและควรใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อจากการโจมตี

ที่มา:zdnet.

มัลแวร์เรียกค่าไถ่ Sodinokibi วางแผนแจ้งตลาดหุ้นหลังจากทำการโจมตี

มัลแวร์เรียกค่าไถ่ Sodinokibi หรือ REvil เป็นมัลแวร์เรียกค่าไถ่ที่ดำเนินการในลักษณะของการให้เช่ามัลแวร์เพื่อโจมตี (Ransomware-as-a-Service) โดยเงินที่ได้จากการเรียกค่าไถ่จะถูกแบ่งกันระหว่างผู้เช่าและผู้ให้เช่ามัลแวร์ โดยเน้นโจมตีองค์กรและยังไม่มีตัวถอดรหัสที่สามารถถอดรหัสได้ฟรีโดยไม่เสียเงินค่าไถ่

ในช่วงที่ผ่านมากลุ่มเบื้องหลัง Sodinokibi มีการพัฒนาไปอีกขั้นด้วยการสนับสนุนให้ผู้เช่ามัลแวร์ขโมยข้อมูลออกมาก่อนจะทำการปล่อยมัลแวร์ให้เข้ารหัส เพื่อในกรณีที่องค์กรตัดสินใจไม่ยอมจ่ายค่าไถ่กู้คืนไฟล์จะข่มขู่เพื่อปล่อยข้อมูลเพิ่มเติม ทำให้กลายเป็นเหตุการณ์ข้อมูลหลุดซึ่งอาจจะนำไปสู่การผิดกฏหมายคุ้มครองข้อมูลส่วนบุคคลอย่าง GDPR หรือกฏหมายในลักษณะเดียวกัน ซึ่งอาจนำไปสู่การปรับเงินที่สูงกว่าค่าไถ่มาก กดดันให้องค์กรตัดสินใจจ่ายค่าไถ่แทน

จากข้อมูลล่าสุดที่ BleepingComputer รวบรวมมานี้พบว่ากลุ่มเบื้องหลัง Sodinokibi มีการวางแผนเพิ่มว่าจะทำการส่งอีเมลแจ้งไปยังตลาดหุ้นอย่างดัชนี NASDAQ เพื่อให้การเทขายหุ้นจนราคาตก ทั้งนี้ในปี 2017 บริษัท Centrify ได้ทำการสำรวจผลกระทบที่เกิดจากการโจมตีทางด้านไซเบอร์กับราคาหุ้นของบริษัทที่ถูกโจมตี พบว่าในวันที่มีการประกาศข่าวร้ายดังกล่าวจะเกิดการเทขายทำให้หุ้นตกเฉลี่ย 5% ของราคาเดิม

บริษัท Coveware สรุปสถิติของ Q4 ปี 2019 ไว้ว่าค่าเฉลี่ยของค่าไถ่จากมัลแวร์เรียกค่าไถ่อยู่ที่ 84,116 ดอลลาร์สหรัฐ (ประมาณ 2 ล้านหกแสนบาท) พบการโจมตีจาก Sodinokibi ถึง 29.4% จากการโจมตีทั้งหมด และการติดมัลแวร์เรียกค่าไถ่ส่วนใหญ่ (57.4%) เกิดจากการโจมตีผ่าน RDP

ที่มา: bleepingcomputer

พบการโจมตีช่องโหว่ระดับวิกฤติใน Oracle WebLogic

เมื่อวันที่ 21 เมษายน 2019 ทีม KnownSec 404 จาก ZoomEye ประกาศการค้นพบช่องโหว่ระดับวิกฤติใน Oracle WebLogic ได้รับ CVE-2019-2725 ช่องโหว่ดังกล่าวกระทบ Oracle WebLogic Server รุ่น 10.3.6.0 และรุ่น 12.1.3.0 ด้วยความร้ายแรงของช่องโหว่นี้ทำให้ Oracle ได้ออกแพตช์เฉพาะกิจมาเพื่อแก้ไขช่องโหว่ดังกล่าวในวันที่ 26 เมษายน 2019 โดยสามารถอ่านรายละเอียดของแพตช์ดังกล่าวได้จาก [https://www.