กลุ่มผู้โจมตีทางไซเบอร์ที่มีความเชื่อมโยงกับจีน ที่ถูกติดตามภายใต้ชื่อ 'Bronze Butler' (Tick) ได้โจมตีโดยใช้ช่องโหว่ zero-day ของ Motex Lanscope Endpoint Manager เพื่อติดตั้งมัลแวร์ Gokcpdoor เวอร์ชันอัปเดตของพวกเขา

(more…)

Sophos ได้แก้ไขช่องโหว่ authentication bypass ในอุปกรณ์ AP6 Series Wireless Access Points ซึ่งอาจทำให้ผู้โจมตีได้รับสิทธิ์ระดับผู้ดูแลระบบได้

บริษัทพบช่องโหว่นี้ระหว่างการทดสอบความปลอดภัยภายใน และได้เผยแพร่การอัปเดตเฟิร์มแวร์เพื่อแก้ไขช่องโหว่นี้แล้ว

(more…)

Sophos และ SonicWall แจ้งเตือนผู้ใช้งานเกี่ยวกับช่องโหว่ด้านความปลอดภัยระดับ Critical ในอุปกรณ์ Sophos Firewall และ Secure Mobile Access (SMA) 100 Series ที่อาจถูกใช้โจมตีโดยผู้ไม่หวังดีเพื่อเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

(more…)

Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่ม Hacker ชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่ม Hacker ได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย

ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่ม Hacker ชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack (more…)

Sophos บริษัทด้านการรักษาความปลอดภัยทางไซเบอร์ เผยแพร่รายงานสรุปเหตุการณ์ด้าน Ransomware ขององค์กร 5,000 แห่งทั่วโลก ตั้งแต่ต้นเหตุไปจนถึงความรุนแรงของการโจมตี ผลกระทบทางการเงิน และระยะเวลาในการกู้คืนระบบจากเหตุการณ์ที่เกิดขึ้น รวมถึงจากผลการสำรวจผู้นำด้านไอที/ความปลอดภัยทางไซเบอร์ใน 14 ประเทศ

ซึ่งรายงานประจำปีนี้ได้รวมข้อมูลเชิงลึกเกี่ยวกับการเรียกร้องค่าไถ่ และการชำระค่าไถ่ และให้ความกระจ่างเกี่ยวกับบทบาทของการบังคับใช้กฎหมายในการแก้ไขแรนซัมแวร์

อัตราการโจมตีลดลง แต่ค่าใช้จ่ายในการกู้คืนระบบเพิ่มขึ้น

พบว่าในปี 2024 มีองค์กรได้รับผลกระทบจาก Ransomware อยู่ที่ 59% ซึ่งลดลงจากในปี 2023 ซึ่งมีองค์กรได้รับผลกระทบจาก Ransomware ที่ 66% แต่ถึงแม้ว่าการโจมตีจะลดลง แต่พบว่าค่าใช้จ่ายในการกู้คืนระบบกลับเพิ่มสูงขึ้น (ไม่รวมการจ่ายค่าไถ่) โดยเพิ่มขึ้นเป็น 2.73 ล้านเหรียญสหรัฐ หรือ 50% จากที่รายงานในปี 2023 ที่ 1.82 ล้านเหรียญสหรัฐ

 

การเข้ารหัสเครื่องในระบบเครือข่ายทั้งหมดขององค์กรพบได้ยากขึ้น

พบว่าปัจจุบันมีเครื่องในระบบเครือข่ายได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์มีเพียงครึ่งหนึ่งขององค์กร (49%) ที่ถูกเข้ารหัส ทั้งนี้พบว่ามีเพียง 4% เท่านั้นที่องค์กรรายงานว่าอุปกรณ์ 91% ขึ้นไปได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์

 

 

เหยื่อเกิน 50% ยอมจ่ายเงินเรียกค่าไถ่

จากรายงานพบว่าในปี 2024 มีองค์กรที่ได้รับผลกระทบจากการโจมตีด้วยแรนซัมแวร์ และถูกเข้ารหัสข้อมูลได้ยอมรับว่าจ่ายค่าไถ่เพื่อกู้คืนข้อมูลมากกว่าครึ่ง (56%) เมื่อเทียบกับการที่องค์กรได้ทำการกู้คืนข้อมูล backup กลับมา (68%) รวมถึงใช้วิธีการอื่น (68%) ในการกู้คืนข้อมูลที่ถูกโจมตี เช่น บังคับใช้กฎหมาย หรือการใช้ decryption keys ที่ถูกเปิดเผยต่อสาธารณะแล้ว

 

 

การจ่ายเงินเรียกค่าไถ่สูงขึ้น แต่เหยื่อไม่ได้จ่ายตามราคาที่ Hacker เรียกค่าไถ่

พบว่าในปี 2024 มีผู้ตอบแบบสอบถาม 1,097 ราย ที่ยอมรับว่าองค์กรยอมจ่ายค่าไถ่ ซึ่งเผยให้เห็นว่าการชำระเงินจ่ายค่าไถ่โดยเฉลี่ย (ค่ามัธยฐาน) เพิ่มขึ้น 5 เท่าจากปี 2023 จาก 400,000 ดอลลาร์เป็น 2 ล้านดอลลาร์

แม้ว่าอัตราการจ่ายค่าไถ่จะเพิ่มขึ้น แต่พบว่ามีเพียง 24% ของผู้ตอบแบบสอบถามที่บอกว่าการชำระเงินของพวกเขาตรงกับคำขอเรียกค่าไถ่แรก โดย 44% ได้จ่ายน้อยกว่าคำขอเรียกค่าไถ่แรก ในขณะที่ 31% จ่ายมากกว่าคำขอเรียกค่าไถ่แรก

 

 

หากต้องการข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการจ่ายค่าไถ่ และด้านอื่น ๆ สามารถดูเพิ่มเติมได้จากรายงานฉบับเต็ม

ที่มา : news.

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ เปิดเผยข้อมูลการพบกลุ่ม Akira ransomware มุ่งเป้าหมายการโจมตีโดยใช้ Cisco VPNs (virtual private network) product เพื่อเข้าถึงเครือข่ายขององค์กร ขโมยข้อมูล และเข้ารหัสข้อมูลในท้ายที่สุด

Akira ransomware เป็นกลุ่ม ransomware กลุ่มใหม่ ที่เปิดตัวในเดือนมีนาคม 2023 โดยก่อนหน้านี้ได้มีการเพิ่ม Linux encryptor เพื่อกำหนดเป้าหมายการโจมตีไปยัง VMware ESXi virtual machine

Cisco VPN solution ถูกนำมาใช้อย่างกว้างขวางในหลายอุตสาหกรรมเพื่อให้การรับส่งข้อมูลมีการเข้ารหัสที่ปลอดภัยระหว่างผู้ใช้งาน และเครือข่ายองค์กร ซึ่งโดยทั่วไปจะใช้โดยพนักงานที่ทำงานจากภายนอกเพื่อเข้าถึงเครือข่ายในองค์กร ซึ่งพบว่า Akira ransomware ได้ใช้บัญชี Cisco VPN ที่ถูกขโมยเพื่อเข้าถึงเครือข่ายองค์กรโดยไม่จำเป็นต้องทิ้งแบ็คดอร์เพิ่มเติม หรือแฝงตัวในระบบ

การมุ่งเป้าหมายการโจมตีไปยัง Cisco VPN
Sophos ได้พบการโจมตีของ Akira โดยใช้บัญชี VPN ที่ขโมยมาเป็นครั้งแรกในเดือนพฤษภาคม เมื่อนักวิจัยระบุว่า Akira ransomware สามารถเข้าถึงเครือข่ายโดยใช้ “Account VPN แบบ Single Factor authentication” รวมถึง นักวิจัยของ Aura ได้แชร์ข้อมูลเพิ่มเติมบน Twitter เกี่ยวกับวิธีที่ตอบสนองต่อเหตุการณ์การโจมตีของ Akira หลายครั้ง โดยพบว่าการโจมตีเกิดจากบัญชี Cisco VPN ที่ไม่ได้มีการเปิดใช้งาน multi-factor authentication ทั้งนี้ทาง Akira ยังไม่สามารถระบุได้ว่า กลุ่ม Akira ได้บัญชี Cisco VPN จากที่ใด เนื่องจากไม่พบ log ใน Cisco ASA จึงมีความเป็นไปได้ที่อาจจะได้บัญชี Cisco VPN มาจาก dark web หรือการโจมตี brute-forced VPN account

รวมถึงทาง SentinelOne ให้ข้อมูลว่ามีความเป็นไปได้ที่กลุ่ม Akira จะช่องโหว่ที่ยังไม่เป็นที่รู้จัก (Zero Day) ในซอฟต์แวร์ Cisco VPN ที่อาจสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ได้หากไม่มี MFA

นอกจากนี้ทาง SentinelOne ยังพบหลักฐานที่ Akira ใช้ Cisco VPN gateways ในการเข้าถึงระบบเหยื่อ บนหน้า leaked data ของกลุ่ม Akira ransomware มีความเกี่ยวข้องกับ Cisco VPN กว่า 8 เคส ทำให้มีความเป็นไปได้ที่ กลุ่ม Akira จะใช้ Cisco VPN เป็นหนึ่งในเครื่องมือการโจมตี

การเข้าถึงระยะไกลโดยใช้ RustDesk
นักวิเคราะห์ของ SentinelOne WatchTower พบว่ากลุ่ม Akira ransomware มีการใช้เครื่องมือการเข้าถึงระยะไกลแบบโอเพ่นซอร์ส ในชื่อ RustDesk เพื่อเข้าถึงเครือข่ายที่ถูกโจมตี ซึ่งเป็น ransomware กลุ่มแรกที่ใช้ซอฟต์แวร์ดังกล่าวในทางที่ผิด เนื่องจาก RustDesk เป็นเครื่องมือที่ถูกต้องตามกฎหมาย การมีอยู่ของ RustDesk จึงไม่ถูกตรวจจับ ทำให้สามารถเข้าถึงคอมพิวเตอร์ที่ถูกโจมตีจากระยะไกลอย่างลับ ๆ ได้
**

ความสามารถของ RustDesk ได้แก่:

การทำงาน Cross-platform บน Windows, macOS และ Linux ที่ครอบคลุมเป้าหมายทั้งหมดของ Akira
การเชื่อมต่อแบบ P2P จะได้รับการเข้ารหัส ดังนั้นจึงมีโอกาสน้อยที่จะถูกตรวจจับโดยเครื่องมือตรวจสอบการรับส่งข้อมูลเครือข่าย
รองรับการถ่ายโอนไฟล์ซึ่งสามารถอำนวยความสะดวกในการขโมยข้อมูล และปรับใช้ได้กับชุดเครื่องมือการโจมตีของ Akira

รวมถึงทาง SentinelOne ยังได้พบวิธีการโจมตีใหม่ ๆ ของ Akira อีกด้วย เช่น การเข้าถึง และการจัดการฐานข้อมูล SQL, การปิดใช้งานไฟร์วอลล์ และการเปิดใช้งาน RDP, การปิดใช้งานการป้องกัน LSA และการปิดใช้งาน Windows Defender โดยจะดำเนินการหลังจากที่สามารถเข้าถึงระบบเครือข่ายของเป้าหมายได้แล้ว

ในเดือนมิถุนายน 2023 ทาง Avast ได้ปล่อยตัวถอดรหัสฟรีสำหรับ Akira ransomware ซึ่งต่อมาทางกลุ่ม Akira ได้ทำการแก้ไขตัวเข้ารหัสใหม่ ทำให้เครื่องมือของ Avast สามารถถอดรหัสได้เฉพาะเหยื่อเวอร์ชันเก่าเท่านั้น

ทาง Cisco ได้ออกมาบอกว่าผลิตภัณฑ์ Cisco VPN สามารถรองรับ MFA (multi-factor authentication) จากผู้ให้บริการได้อย่างหลากหลาย รวมถึงผู้ใช้งานยังสามารถตั้งค่า/กำหนดค่าการบันทึก log บน Cisco ASA ได้ รวมถึงแนวทางที่แนะนำคือการส่งข้อมูลการบันทึกไปยัง remote syslog server เพื่อปรับปรุงการตรวจสอบเครือข่าย และเหตุการณ์ด้านความปลอดภัยในอุปกรณ์เครือข่ายต่าง ๆ

 

ที่มา : bleepingcomputer

Sophos บริษัทรักษาความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลสถิติ โดยพบว่าการโจมตีจาก Ransomware ใช้เวลาในการโจมตีเพื่อเข้าถึงระบบ ก่อนที่จะถูกตรวจจับได้น้อยลงกว่าเดิม โดยเฉลี่ยจาก 9 วัน ในปี 2022 เหลือ 5 วันในปัจจุบัน จากการเก็บข้อมูลสถิติการโจมตี Ransomware ช่วงครึ่งปีแรกของปี 2023 (more…)

Sophos ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ถูกแอบอ้างโดย ransomware-as-a-service ตัวใหม่ที่ชื่อว่า SophosEncrypt โดยผู้โจมตีแอบอ้างใช้ชื่อของบริษัทในการดำเนินการ

แรนซัมแวร์ดังกล่าวถูกพบโดย Malware Hunter Team เมื่อวันที่ 17 กรกฎาคม 2023 ที่ผ่านมา ซึ่งเบื้องต้นคาดว่าเป็นการทดสอบของ Red Team ของ Sophos เอง (more…)

นักวิจัยด้านความปลอดภัยจาก Sophos พบว่ากลุ่ม APT (Advanced Persistent Threat) ในชื่อ "Dragon Breath," "Golden Eye Dog" หรือ "APT-Q-27" ได้ใช้เทคนิคการโจมตีแบบ DLL sideloading ที่ซับซ้อนมากขึ้นในการหลบเลี่ยงการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย

โดยการโจมตีส่วนใหญ่เริ่มต้นจากการใช้แอปพลิเคชันที่ดูปกติเช่น Telegram ที่จะเรียกใช้งาน payload ขั้นที่สอง ซึ่งในบางครั้งก็ยังเป็นการใช้งานตามปกติอยู่ แล้วจึงใช้วิธีการโหลด DLL ที่เป็นอันตรายในขั้นตอนถัดไป โดยแอปที่มักถูกนำมาใช้ในการโจมตีได้แก่ Telegram, LetsVPN, WhatsApp ทั้งใน Android, iOS หรือ Windows ซึ่ง support ภาษาจีน โดยคาดว่าแอปพลิเคชันที่ถูกฝังโทรจันน่าจะมาจากโฆษณาที่ถูกโปรโมตโดย BlackSEO หรือ Malvertizing

โดยเป้าหมายหลักของการโจมตีอยู่ในกลุ่มผู้ใช้งาน Windows ที่ใช้ภาษาจีนในประเทศจีน, ญี่ปุ่น, ไต้หวัน, สิงคโปร์, ฮ่องกง และฟิลิปปินส์

Double DLL sideloading

DLL sideloading เป็นการเทคนิคการโจมตีที่ถูกพบตั้งแต่ปี 2010 ซึ่งโจมตีไปยัง Windows โดยการโหลดไฟล์ DLL (Dynamic Link Library) ที่เป็นอันตราย โดยใช้ประโยชน์จากกลไกในลำดับการค้นหา และเรียกใช้งาน DLL ไฟล์บน Windows เพื่อวางไฟล์ DLL ที่เป็นอันตรายด้วยชื่อเดียวกันกับไฟล์ DLL ที่ถูกต้อง เพื่อทำให้เมื่อแอปพลิเคชันพยายามโหลดไฟล์ DLL แอปพลิเคชันจะโหลดไฟล์ DLL ที่เป็นอันตรายไปแทน ซึ่ง DLL ที่เป็นอันตราย สามารถให้สิทธิ์สูงแก่ Hacker หรือเรียกใช้คำสั่งบนเครื่องโฮสต์ โดยใช้แอปพลิเคชันที่กำลังรันคำสั่งอยู่

เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชันอันตรายสำเร็จ มัลแวร์ก็จะทำการทิ้งส่วนประกอบต่าง ๆ ลงในระบบ และสร้าง shortcut บนเดสก์ท็อป และ startup ระบบ ซึ่งเมื่อเหยื่อทำการเรียกใช้ desktop shortcut แอปดังกล่าว คำสั่งต่อไปนี้จะถูกดำเนินการบนระบบ

โดยคำสั่งจะเรียกใช้ไฟล์ที่เปลี่ยนชื่อมาจาก 'regsvr32.exe' ที่ชื่อว่า 'appR.exe' เพื่อดำเนินการรันไฟล์ที่เปลี่ยนชื่อมาจาก 'scrobj.

นักวิจัยจาก Sophos บริษัทด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่รายงานการพบแคมเปญการแพร่กระจายมัลแวร์ QBot ตัวใหม่ที่ชื่อว่า "QakNote" โดยการใช้ไฟล์แนบ '.one' ของ Microsoft OneNote ที่เป็นอันตรายเพื่อโจมตีเป้าหมายด้วย QBot banking trojan ผ่านทาง Phishing Email ที่แนบไฟล์ OneNote ที่เป็นอันตรายไว้

โดยแคมเปญดังกล่าวถูกค้นพบเมื่อเดือนมกราคม 2023 โดยสืบเนื่องจากการที่ Microsoft ได้ปิดการใช้งานการเรียกใช้คำสั่ง Macro ใน Microsoft Office เป็นค่าเริ่มต้น จึงทำให้เหล่า Hacker ต้องใช้วิธีการอื่นในการโจมตีเหยื่อ

ซึ่ง Hacker สามารถแนบไฟล์ได้เกือบทุกชนิดใน OneNote รวมถึงไฟล์แนบ VBS หรือไฟล์ LNK ซึ่งทำให้เพย์โหลดที่เป็นอันตรายจะถูกเรียกใช้งาน เมื่อเหยื่อดับเบิลคลิกที่ไฟล์แนบที่อยู่ใน OneNote Notebook อย่างไรก็ตามเหยื่อยังจำเป็นต้องคลิกที่จุดใดจุดหนึ่งเพื่อเปิดไฟล์แนบที่ฝังไว้ ทำให้โดยปกติผู้โจมตีจะใช้ปุ่ม 'Double Click to View File' หรือใช้ข้อความอื่นล่อลวงให้เหยื่อกดปุ่ม

Qbot (หรือที่รู้จักกันในนาม QakBot) เป็น banking trojan ที่ได้ถูกพัฒนาจนกลายเป็นมัลแวร์ที่เชี่ยวชาญในการเข้าถึงอุปกรณ์ได้หลากหลาย ทำให้ Hacker สามารถดาวน์โหลดมัลแวร์เพิ่มเติมในเครื่องที่ถูกโจมตี และขโมยข้อมูล รวมถึงติดตั้งแรนซัมแวร์ หรือการโจมตีอื่น ๆ ในเครือข่ายของเป้าหมายได้

QakNote campaign

นักวิจัยจาก Sophos ได้พบว่ากลุ่ม QBot ได้เริ่มโจมตีด้วยแคมเปญใหม่นี้ ตั้งแต่วันที่ 31 มกราคม 2023 ที่ผ่านมา โดยการใช้ไฟล์ OneNote ที่มีแอปพลิเคชัน HTML ที่ฝังไฟล์ HTA ซึ่งจะดาวน์โหลดเพย์โหลดของมัลแวร์ QBot เข้ามาในเครื่องเป้าหมาย เช่นเดียวกับนักวิจัยของ Cynet ที่ได้เผยแพร่การค้นพบ QakNote campaign บน Twitter เมื่อวันที่ 31 มกราคม 2023 เช่นเดียวกัน

โดยสคริปต์ในไฟล์ HTA จะใช้แอปพลิเคชัน curl.