Sophos เปิดเผยรายงานการป้องกันการโจมตีอุปกรณ์เครือข่ายจากกลุ่ม Hacker ชาวจีน นานกว่า 5 ปี

Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย

ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack (more…)

สรุปรายงานสถานะของ Ransomware ในปี 2024

Sophos บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ เผยแพร่รายงานสรุปเหตุการณ์ด้าน Ransomware ขององค์กร 5,000 แห่งทั่วโลก ตั้งแต่ต้นเหตุไปจนถึงความรุนแรงของการโจมตี ผลกระทบทางการเงิน และระยะเวลาในการกู้คืนระบบจากเหตุการณ์ที่เกิดขึ้น รวมถึงจากผลการสำรวจผู้นำด้านไอที/ความปลอดภัยทางไซเบอร์ใน 14 ประเทศ

ซึ่งรายงานประจำปีนี้ได้รวมข้อมูลเชิงลึกเกี่ยวกับการเรียกร้องค่าไถ่ และการชำระค่าไถ่ และให้ความกระจ่างเกี่ยวกับบทบาทของการบังคับใช้กฎหมายในการแก้ไขแรนซัมแวร์

อัตราการโจมตีลดลง แต่ค่าใช้จ่ายในการกู้คืนระบบเพิ่มขึ้น

พบว่าในปี 2024 มีองค์กรได้รับผลกระทบจาก Ransomware อยู่ที่ 59% ซึ่งลดลงจากในปี 2023 ซึ่งมีองค์กรได้รับผลกระทบจาก Ransomware ที่ 66% แต่ถึงแม้ว่าการโจมตีจะลดลง แต่พบว่าค่าใช้จ่ายในการกู้คืนระบบกลับเพิ่มสูงขึ้น (ไม่รวมการจ่ายค่าไถ่) โดยเพิ่มขึ้นเป็น 2.73 ล้านเหรียญสหรัฐ หรือ 50% จากที่รายงานในปี 2023 ที่ 1.82 ล้านเหรียญสหรัฐ

 

การเข้ารหัสเครื่องในระบบเครือข่ายทั้งหมดขององค์กรพบได้ยากขึ้น

พบว่าปัจจุบันมีเครื่องในระบบเครือข่ายได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์มีเพียงครึ่งหนึ่งขององค์กร (49%) ที่ถูกเข้ารหัส ทั้งนี้พบว่ามีเพียง 4% เท่านั้นที่องค์กรรายงานว่าอุปกรณ์ 91% ขึ้นไปได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์

 

 

เหยื่อเกิน 50% ยอมจ่ายเงินเรียกค่าไถ่

จากรายงานพบว่าในปี 2024 มีองค์กรที่ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ และถูกเข้ารหัสข้อมูลได้ยอมรับว่าจ่ายค่าไถ่เพื่อกู้คืนข้อมูลมากกว่าครึ่ง (56%) เมื่อเทียบกับการที่องค์กรได้ทำการกู้คืนข้อมูล backup กลับมา (68%) รวมถึงใช้วิธีการอื่น (68%) ในการกู้คืนข้อมูลที่ถูกโจมตี เช่น บังคับใช้กฎหมาย หรือการใช้ decryption keys ที่ถูกเปิดเผยต่อสาธารณะแล้ว

 

 

การจ่ายเงินเรียกค่าไถ่สูงขึ้น แต่เหยื่อไม่ได้จ่ายตามราคาที่ Hacker เรียกค่าไถ่

พบว่าในปี 2024 มีผู้ตอบแบบสอบถาม 1,097 ราย ที่ยอมรับว่าองค์กรยอมจ่ายค่าไถ่ ซึ่งเผยให้เห็นว่าการชำระเงินจ่ายค่าไถ่โดยเฉลี่ย (ค่ามัธยฐาน) เพิ่มขึ้น 5 เท่าจากปี 2023 จาก 400,000 ดอลลาร์เป็น 2 ล้านดอลลาร์

แม้ว่าอัตราการจ่ายค่าไถ่จะเพิ่มขึ้น แต่พบว่ามีเพียง 24% ของผู้ตอบแบบสอบถามที่บอกว่าการชำระเงินของพวกเขาตรงกับคำขอเรียกค่าไถ่แรก โดย 44% ได้จ่ายน้อยกว่าคำขอเรียกค่าไถ่แรก ในขณะที่ 31% จ่ายมากกว่าคำขอเรียกค่าไถ่แรก

 

 

หากต้องการข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการจ่ายค่าไถ่ และด้านอื่น ๆ สามารถดูเพิ่มเติมได้จากรายงานฉบับเต็ม

ที่มา : news.

Akira ransomware มุ่งเป้าการโจมตีโดยใช้ Cisco VPNs เพื่อเข้าถึงระบบของเหยื่อ

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยข้อมูลการพบกลุ่ม Akira ransomware มุ่งเป้าหมายการโจมตีโดยใช้ Cisco VPNs (virtual private network) product เพื่อเข้าถึงเครือข่ายขององค์กร ขโมยข้อมูล และเข้ารหัสข้อมูลในท้ายที่สุด

Akira ransomware เป็นกลุ่ม ransomware กลุ่มใหม่ ที่เปิดตัวในเดือนมีนาคม 2023 โดยก่อนหน้านี้ได้มีการเพิ่ม Linux encryptor เพื่อกำหนดเป้าหมายการโจมตีไปยัง VMware ESXi virtual machine

Cisco VPN solution ถูกนำมาใช้อย่างกว้างขวางในหลายอุตสาหกรรมเพื่อให้การรับส่งข้อมูลมีการเข้ารหัสที่ปลอดภัยระหว่างผู้ใช้งาน และเครือข่ายองค์กร ซึ่งโดยทั่วไปจะใช้โดยพนักงานที่ทำงานจากภายนอกเพื่อเข้าถึงเครือข่ายในองค์กร ซึ่งพบว่า Akira ransomware ได้ใช้บัญชี Cisco VPN ที่ถูกขโมยเพื่อเข้าถึงเครือข่ายองค์กรโดยไม่จำเป็นต้องทิ้งแบ็คดอร์เพิ่มเติม หรือแฝงตัวในระบบ

การมุ่งเป้าหมายการโจมตีไปยัง Cisco VPN
Sophos ได้พบการโจมตีของ Akira โดยใช้บัญชี VPN ที่ขโมยมาเป็นครั้งแรกในเดือนพฤษภาคม เมื่อนักวิจัยระบุว่า Akira ransomware สามารถเข้าถึงเครือข่ายโดยใช้ “Account VPN แบบ Single Factor authentication” รวมถึง นักวิจัยของ Aura ได้แชร์ข้อมูลเพิ่มเติมบน Twitter เกี่ยวกับวิธีที่ตอบสนองต่อเหตุการณ์การโจมตีของ Akira หลายครั้ง โดยพบว่าการโจมตีเกิดจากบัญชี Cisco VPN ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication ทั้งนี้ทาง Akira ยังไม่สามารถระบุได้ว่า กลุ่ม Akira ได้บัญชี Cisco VPN จากที่ใด เนื่องจากไม่พบ log ใน Cisco ASA จึงมีความเป็นไปได้ที่อาจจะได้บัญชี Cisco VPN มาจาก dark web หรือการโจมตี brute-forced VPN account

รวมถึงทาง SentinelOne ให้ข้อมูลว่ามีความเป็นไปได้ที่กลุ่ม Akira จะช่องโหว่ที่ยังไม่เป็นที่รู้จัก (Zero Day) ในซอฟต์แวร์ Cisco VPN ที่อาจสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ได้หากไม่มี MFA

นอกจากนี้ทาง SentinelOne ยังพบหลักฐานที่ Akira ใช้ Cisco VPN gateways ในการเข้าถึงระบบเหยื่อ บนหน้า leaked data ของกลุ่ม Akira ransomware มีความเกี่ยวข้องกับ Cisco VPN กว่า 8 เคส ทำให้มีความเป็นไปได้ที่ กลุ่ม Akira จะใช้ Cisco VPN เป็นหนึ่งในเครื่องมือการโจมตี

การเข้าถึงระยะไกลโดยใช้ RustDesk
นักวิเคราะห์ของ SentinelOne WatchTower พบว่ากลุ่ม Akira ransomware มีการใช้เครื่องมือการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส ในชื่อ RustDesk เพื่อเข้าถึงเครือข่ายที่ถูกโจมตี ซึ่งเป็น ransomware กลุ่มแรกที่ใช้ซอฟต์แวร์ดังกล่าวในทางที่ผิด เนื่องจาก RustDesk เป็นเครื่องมือที่ถูกต้องตามกฎหมาย การมีอยู่ของ RustDesk จึงไม่ถูกตรวจจับ ทำให้สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีจากระยะไกลอย่างลับ ๆ ได้
**

ความสามารถของ RustDesk ได้แก่:

การทำงาน Cross-platform บน Windows, macOS และ Linux ที่ครอบคลุมเป้าหมายทั้งหมดของ Akira
การเชื่อมต่อแบบ P2P จะได้รับการเข้ารหัส ดังนั้นจึงมีโอกาสน้อยที่จะถูกตรวจจับโดยเครื่องมือตรวจสอบการรับส่งข้อมูลเครือข่าย
รองรับการถ่ายโอนไฟล์ซึ่งสามารถอำนวยความสะดวกในการขโมยข้อมูล และปรับใช้ได้กับชุดเครื่องมือการโจมตีของ Akira

รวมถึงทาง SentinelOne ยังได้พบวิธีการโจมตีใหม่ ๆ ของ Akira อีกด้วย เช่น การเข้าถึง และการจัดการฐานข้อมูล SQL, การปิดใช้งานไฟร์วอลล์ และการเปิดใช้งาน RDP, การปิดใช้งานการป้องกัน LSA และการปิดใช้งาน Windows Defender โดยจะดำเนินการหลังจากที่สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้แล้ว

ในเดือนมิถุนายน 2023 ทาง Avast ได้ปล่อยตัวถอดรหัสฟรีสำหรับ Akira ransomware ซึ่งต่อมาทางกลุ่ม Akira ได้ทำการแก้ไขตัวเข้ารหัสใหม่ ทำให้เครื่องมือของ Avast สามารถถอดรหัสได้เฉพาะเหยื่อเวอร์ชันเก่าเท่านั้น

ทาง Cisco ได้ออกมาบอกว่าผลิตภัณฑ์ Cisco VPN สามารถรองรับ MFA (multi-factor authentication) จากผู้ให้บริการได้อย่างหลากหลาย รวมถึงผู้ใช้งานยังสามารถตั้งค่า/กำหนดค่าการบันทึก log บน Cisco ASA ได้ รวมถึงแนวทางที่แนะนำคือการส่งข้อมูลการบันทึกไปยัง remote syslog server เพื่อปรับปรุงการตรวจสอบเครือข่าย และเหตุการณ์ด้านความปลอดภัยในอุปกรณ์เครือข่ายต่าง ๆ

 

ที่มา : bleepingcomputer

Ransomware ** ใช้เวลาในการโจมตีลดลงเหลือ 5 วัน โดย RDP ยังเป็นช่องทางการโจมตีหลัก

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลสถิติ โดยพบว่าการโจมตีจาก Ransomware ใช้เวลาในการโจมตีเพื่อเข้าถึงระบบ ก่อนที่จะถูกตรวจจับได้น้อยลงกว่าเดิม โดยเฉลี่ยจาก 9 วัน ในปี 2022 เหลือ 5 วันในปัจจุบัน จากการเก็บข้อมูลสถิติการโจมตี Ransomware ช่วงครึ่งปีแรกของปี 2023 (more…)

Sophos ถูกแอบอ้างโดยแรนซัมแวร์ตัวใหม่ที่ชื่อว่า SophosEncrypt

Sophos ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ถูกแอบอ้างโดย ransomware-as-a-service ตัวใหม่ที่ชื่อว่า SophosEncrypt โดยผู้โจมตีแอบอ้างใช้ชื่อของบริษัทในการดำเนินการ

แรนซัมแวร์ดังกล่าวถูกพบโดย Malware Hunter Team เมื่อวันที่ 17 กรกฎาคม 2023 ที่ผ่านมา ซึ่งเบื้องต้นคาดว่าเป็นการทดสอบของ Red Team ของ Sophos เอง (more…)

พบ Hacker เริ่มใช้วิธีการ double DLL sideloading ในการหลบเลี่ยงการตรวจจับ [EndUser]

นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing

โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์

Double DLL sideloading

DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่

เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ

โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.

มัลแวร์ QBot แพร่กระจายผ่านไฟล์ Microsoft OneNote ในชื่อ “QakNote” [EndUser]

นักวิจัยจาก Sophos บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานการพบแคมเปญการแพร่กระจายมัลแวร์ QBot ตัวใหม่ที่ชื่อว่า "QakNote" โดยการใช้ไฟล์แนบ '.one' ของ Microsoft OneNote ที่เป็นอันตรายเพื่อโจมตีเป้าหมายด้วย QBot banking trojan ผ่านทาง Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตรายไว้

โดยแคมเปญดังกล่าวถูกค้นพบเมื่อเดือนมกราคม 2023 โดยสืบเนื่องจากการที่ Microsoft ได้ปิดการใช้งานการเรียกใช้คำสั่ง Macro ใน Microsoft Office เป็นค่าเริ่มต้น จึงทำให้เหล่า Hacker ต้องใช้วิธีการอื่นในการโจมตีเหยื่อ

ซึ่ง Hacker สามารถแนบไฟล์ได้เกือบทุกชนิดใน OneNote รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งทำให้เพย์โหลดที่เป็นอันตรายจะถูกเรียกใช้งาน เมื่อเหยื่อดับเบิลคลิกที่ไฟล์แนบที่อยู่ใน OneNote Notebook อย่างไรก็ตามเหยื่อยังจำเป็นต้องคลิกที่จุดใดจุดหนึ่งเพื่อเปิดไฟล์แนบที่ฝังไว้ ทำให้โดยปกติผู้โจมตีจะใช้ปุ่ม 'Double Click to View File' หรือใช้ข้อความอื่นล่อลวงให้เหยื่อกดปุ่ม

Qbot (หรือที่รู้จักกันในนาม QakBot) เป็น banking trojan ที่ได้ถูกพัฒนาจนกลายเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ได้หลากหลาย ทำให้ Hacker สามารถดาวน์โหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกโจมตี และขโมยข้อมูล รวมถึงติดตั้งแรนซัมแวร์ หรือการโจมตีอื่น ๆ ในเครือข่ายของเป้าหมายได้

QakNote campaign

นักวิจัยจาก Sophos ได้พบว่ากลุ่ม QBot ได้เริ่มโจมตีด้วยแคมเปญใหม่นี้ ตั้งแต่วันที่ 31 มกราคม 2023 ที่ผ่านมา โดยการใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML ที่ฝังไฟล์ HTA ซึ่งจะดาวน์โหลดเพย์โหลดของมัลแวร์ QBot เข้ามาในเครื่องเป้าหมาย เช่นเดียวกับนักวิจัยของ Cynet ที่ได้เผยแพร่การค้นพบ QakNote campaign บน Twitter เมื่อวันที่ 31 มกราคม 2023 เช่นเดียวกัน

โดยสคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.

ช่องโหว่ RCE ระดับ Critical บน Sophos Firewall กำลังถูกใช้ในการโจมตี

บริษัทด้านความปลอดภัยทางไซเบอร์ Sophos ประกาศแจ้งเตือนเมื่อวันจันทร์ที่ 28 มีนาคมที่ผ่านมาว่าตรวจพบช่องโหว่ด้านความปลอดภัยที่เพิ่งได้รับการแก้ไขในผลิตภัณฑ์ firewall ของตน กำลังถูกใช้ในการโจมตีอยู่ในปัจจุบัน

ช่องโหว่ CVE-2022-1040 ที่ได้รับ CVSS 9.8 ส่งผลกระทบต่อ Sophos Firewall เวอร์ชัน 18.5 MR3 (18.5.3) และเวอร์ชันที่เก่ากว่า ผลกระทบจากช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถ bypass การตรวจสอบการ authentication บน User Portal และ Webadmin interfaces ได้ ซึ่งหากโจมตีสำเร็จจะทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายได้

"Sophos พบว่าช่องโหว่เริ่มมีการถูกใช้ในการโจมตีไปยังองค์กรจำนวนหนึ่งในภูมิภาคเอเชียใต้ ซึ่งทาง Sophos ได้มีการแจ้งเตือนไปยังองค์กรเหล่านั้นโดยตรงแล้ว"

Sophos ระบุว่าช่องโหว่นี้ได้รับการแก้ไขด้วย hotfix ซึ่งจะติดตั้งอัตโนมัติสำหรับลูกค้าที่เปิดใช้งาน "Allow automatic installation of hotfixes" และเพื่อเป็นการแก้ปัญหาชั่วคราวสำหรับผู้ที่ยังไม่สามารถอัพเดทได้ Sophos แนะนำให้ผู้ใช้งานปิดการเข้าหน้า User Portal และ Webadmin interfaces จากภายนอกไปก่อน

นอกจากนี้ Sophos ได้แจ้งเวอร์ชันที่ end-of-life แล้ว ซึ่งจะไม่มีการ support การอัพเดทแพตซ์ เช่น 17.5 MR12 , MR15, 18.0 MR3 และ MR4 และ 18.5 GA จึงแนะนำให้ผู้ใช้งานรีบอัพเกรดเป็นเวอร์ชันใหม่เพื่อป้องกันผลกระทบที่อาจจะเกิดขึ้น

ที่มา : thehackernews

ช่องโหว่ของ Log4j ยังคงถูกใช้ในการโจมตีอย่างต่อเนื่องกับ VMware Horizon Servers

VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)

Sophos แจ้งลูกค้าให้ทราบถึงการรั่วไหลของข้อมูลหลังจากทำการคอนฟิกค่าฐานข้อมูลผิดพลาด

Sophos บริษัทด้านความปลอดภัยทางไซเบอร์และฮาร์ดแวร์ของประเทศอังกฤษออกแจ้งลูกค้าทางอีเมลเกี่ยวกับการละเมิดความปลอดภัยของบริษัท

เมื่อวันที่ 24 พฤศจิกายน 2020 ที่ผ่านมา Sophos ได้รับแจ้งถึงปัญหาสิทธิ์ในการเข้าถึงเครื่องมือที่ใช้ในการเก็บข้อมูลเกี่ยวกับลูกค้าที่บริการติดต่อ Sophos Support โดยบุคคลที่ไม่ได้รับอนุญาตหลังจากบริษัทได้ทำการตั้งค่าคอนฟิกค่าผิดพลาด ซึ่งข้อมูลที่รั่วไหลจะส่งผลกระทบกับรายละเอียดต่างๆ เช่น ชื่อ, นามสกุลของลูกค้า, อีเมลและหมายเลขโทรศัพท์

อย่างไรก็ดีโฆษกของ Sophos ได้ออกมากล่าวถึงผลกระทบว่ามีลูกค้าของบริษัทมีเพียง "กลุ่มเล็ก ๆ" เท่านั้นที่ได้รับผลกระทบ ทั้งนี้ Sophos ได้ทำการแก้ไขปัญหาที่ถูกรายงานทันที

ลูกค้า Sophos ควรทำกาตรวจสอบอีเมลและควรระมัดระวังผู้ประสงค์ร้ายใช้ข้อมูลที่ถูกรั่วไหลทำการฟิชชิงข้อมูล

ที่มา: zdnet.