แรนซัมแวร์ BianLian อ้างว่าได้โจมตีเครือข่ายแพทย์ด้านสุขภาพเด็กที่บอสตัน

กลุ่มแรนซัมแวร์ BianLian อ้างว่า ได้ทำการโจมตี Boston Children's Health Physicians (BCHP) และขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมา หากไม่มีการจ่ายค่าไถ่

BHCP เป็นเครือข่ายของแพทย์ และผู้เชี่ยวชาญด้านเด็กกว่า 300 คน ซึ่งเปิดให้บริการกว่า 60 แห่ง ในเขต Hudson Valley ของรัฐนิวยอร์ก และรัฐคอนเนตทิคัต โดยให้บริการดูแลผู้ป่วยในคลินิก โรงพยาบาลชุมชน และศูนย์สุขภาพที่ร่วมมือกับโรงพยาบาลเด็กบอสตัน

ตามประกาศที่ BHCP เผยแพร่บนเว็บไซต์ของตนเอง การโจมตีทางไซเบอร์เกิดขึ้นกับผู้ให้บริการทางด้าน IT ซึ่งถูกโจมตีเมื่อวันที่ 6 กันยายน 2024 และไม่กี่วันหลังจากนั้น BHCP ก็ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่าย

BHCP ระบุว่า ในวันที่ 6 กันยายน 2024 ผู้ให้บริการทางด้าน IT แจ้งให้ BHCP ทราบว่าพบพฤติกรรมที่ผิดปกติในระบบเครือข่าย และหลังจากนั้นในวันที่ 10 กันยายน 2024 BHCP ได้ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่ายของ BCHP บางส่วน และได้เริ่มใช้ incident response protocols ทันที รวมถึงทำการปิดระบบเพื่อเป็นมาตรการป้องกัน

การตรวจสอบ ซึ่งได้รับความช่วยเหลือจากผู้เชี่ยวชาญด้าน forensic expert ได้ยืนยันว่าผู้โจมตีสามารถเข้าถึงระบบเครือข่ายของ BHCP ได้บางส่วน และยังสามารถขโมยไฟล์ออกไปได้

ข้อมูลที่ถูกขโมยออกไปส่งผลกระทบต่อพนักงาน ผู้ป่วย และผู้ค้ำประกันทั้งในอดีต และปัจจุบัน โดยข้อมูลที่ถูกขโมยออกไปจะขึ้นอยู่กับข้อมูลที่ลูกค้าให้ไว้กับ BHCP เช่น

ชื่อ-นามสกุล
หมายเลขประกันสังคม
ที่อยู่
วันเกิด
หมายเลขใบขับขี่
เลขที่บันทึกทางการแพทย์
ข้อมูลประกันสุขภาพ
ข้อมูลการเรียกเก็บเงิน
ข้อมูลการรักษา (จำกัด)

BHCP ชี้แจงว่าการโจมตีทางไซเบอร์ไม่ได้ส่งผลกระทบต่อระบบอิเล็กทรอนิกส์บันทึกทางการแพทย์ เนื่องจากระบบเหล่านี้โฮสต์อยู่บนเครือข่ายที่แยกจากกัน

ผู้ที่ได้รับการยืนยันว่าได้รับผลกระทบจากเหตุการณ์ดังกล่าวจะได้รับจดหมายจาก BHCP ภายในวันที่ 25 ตุลาคม 2024 ผู้ที่มีหมายเลขประกันสังคม (SSN) และใบขับขี่ที่ถูกเปิดเผยจะได้รับการตรวจสอบ และป้องกันเครดิตด้วย

กลุ่ม BianLian อ้างการโจมตี

เมื่อต้นสัปดาห์นี้ กลุ่มแรนซัมแวร์ BianLian อ้างว่าได้โจมตี BHCP และได้เพิ่ม BHCP ลงในพอร์ทัลการเรียกค่าไถ่ของตนเอง

ผู้โจมตีอ้างว่า มีข้อมูลการเงิน, ข้อมูลทรัพยากรบุคคล, อีเมลการสนทนา, ฐานข้อมูล, ข้อมูลระบุตัวตน และข้อมูลทางด้านสุขภาพ รวมไปถึงข้อมูลที่เกี่ยวข้องกับเด็ก

ผู้โจมตียังไม่ได้เปิดเผยข้อมูลใดออกไป และยังไม่ได้กำหนดเวลาในการเปิดเผยข้อมูลที่ขโมยมา ซึ่งบ่งบอกว่าผู้โจมตีต้องการที่จะเจรจากับ BHCP อยู่

กลุ่มแรนซัมแวร์อ้างว่าพวกเขามักจะหลีกเลี่ยงการโจมตี และขโมยข้อมูลขององค์กรด้านการดูแลสุขภาพของเด็ก แต่ผู้โจมตีบางกลุ่มก็ไม่ได้สนใจในเรื่องของหลักจริยธรรมตรงส่วนนี้

เมื่อต้นปีนี้ กลุ่มแรนซัมแวร์ Rhysida เรียกร้องค่าไถ่จำนวน 3.6 ล้านดอลลาร์จากโรงพยาบาลเด็ก Lurie ในชิคาโก หลังจากขโมยข้อมูลสำคัญกว่า 600 GB จากระบบ และทำให้การปฏิบัติงานล่ม ซึ่งส่งผลให้การดูแลทางการแพทย์เกิดความล่าช้า

ที่มา : https://www.

F5 แจ้งเตือนช่องโหว่การยกระดับสิทธิ์บน BIG-IP

F5 เผยแพร่การพบช่องโหว่ในฟังก์ชัน BIG-IP monitor ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ที่มีสิทธิ์เป็น Manager role เป็นอย่างน้อย สามารถยกระดับสิทธิ์ หรือแก้ไขการกำหนดค่าได้

CVE-2024-45844 (คะแนน CVSS 7.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่การยกระดับสิทธิ์ (Privilege Escalation) ที่อนุญาตให้ Hacker ที่ผ่านการยืนยันตัวตน ซึ่งมีสิทธิ์ Manager role ขึ้นไป ที่มีสิทธิ์เข้าถึง Configuration utility หรือ TMOS Shell (tmsh) สามารถยกระดับสิทธิ์ของตน และโจมตีระบบ BIG-IP ได้ ทั้งนี้ช่องโหว่ดังกล่าวไม่เกี่ยวข้องกับ data plane แต่ส่งผลกระทบต่อ control plane เท่านั้น ถูกค้นพบโดย myst404 (@myst404_) นักวิจัยจาก Almond

CVE-2024-45844 ส่งผลกระทบต่อ BIG-IP เวอร์ชันดังต่อไปนี้ :

17.1.0 - 17.1.1 >> อัปเดตเป็นเวอร์ชัน 17.1.1.4

16.1.0 - 16.1.4 >>  อัปเดตเป็นเวอร์ชัน16.1.5

15.1.0 - 15.1.10 >> อัปเดตเป็นเวอร์ชัน15.1.10.5

การลดผลกระทบ

หากผู้ดูแลระบบยังไม่สามารถแก้ไขช่องโหว่ได้ในทันที ทาง F5 ได้แนะนำผู้ดูแลระบบทำการจำกัดสิทธิ์การเข้าถึง Configuration utility หรือ command line ผ่าน SSH เฉพาะผู้ที่ได้รับอนุญาติ หรือมีสิทธิ์เท่านั้น เพื่อป้องกันการถูกโจมตีจากช่องโหว่ จนกว่าจะสามารถทำการอัปเดตเพื่อแก้ไขช่องโหว่ได้

ที่มา : https://my.

แฮ็กเกอร์ชาวจีนถูกคาดว่าอยู่เบื้องหลังการโจมตีทางไซเบอร์ครั้งที่สองของแอร์อินเดีย

แม้ว่าข่าวข้อมูลรั่วไหลของสายการบินอินเดียจะเป็นที่สนใจเป็นอย่างมากในเดือนที่ผ่านมา แต่สายการบินแห่งขาติอินเดียนี้ยังถูกพบว่ามีการถูกโจมตีทางไซเบอร์อีกเหตุการณ์หนึ่ง เป็นระยะเวลาประมาณถึง 2 เดือนกับอีก 26 วัน โดยผู้เชี่ยวชาญมีความเชื่อมั่นพอสมควรว่าจากข้อมูลหลักฐานที่พบคาดว่าผู้ไม่หวังดีที่อยู่เบื้องหลังการโจมตีนี้คือกลุ่มแฮ็กเกอร์ชาวจีน ซึ่งถูกเรียกว่า APT41

Group-IB(บริษัทซึ่งเชี่ยวชาญทางด้าน Threat Hunting และ Cyber Intelligence ซึ่งมีสำนักงานใหญ่อยู่ที่ประเทศสิงคโปร์) เรียกแคมเปญที่ใช้ในการโจมตี Air India ในครั้งนี้ว่า "Colunm TK" โดยตั้งชื่อจากโดเมนของ command-and-control (C2) server ที่ถูกใช้สำหรับควบคุมเครื่องที่ถูก compromised

โดย Group-IB กล่าวอีกว่าจากข้อมูลที่ทาง Group-IB ตรวจพบ เหตุการณ์นี้อาจส่งผลกระทบกับทุกบริษัทสายการบิน หากสายการบินยังไม่รีบทำการตรวจสอบแคมเปญ "Colunm TK" นี้ในระบบเครือข่ายของตน

Group-IB อ้างว่าการโจมตีที่เกิดขึ้นนี้คือการโจมตีในรูปแบบ Supply-chain attack (การโจมตีไปที่บริษัท หรือ Software ที่บริษัทที่เป็นเป้าหมายจริงๆใช้บริการ หรือใช้งานอยู่ เหตุการณ์ที่เกิดขึ้นก่อนหน้านี้ที่เป็นที่รู้จักกันคือเคสการโจมตี SolarWinds เพื่อหวังผลในการโจมตีไปยังบริษัทอื่นๆที่มีการใช้งาน SolarWinds) โดยเป้าหมายคือ SITA (บริษัทจากประเทศสวิตเซอร์แลนด์ผู้ให้บริการทางด้าน IT กับสายการบินต่างๆทั่วโลก) แต่ทาง SITA ยืนยันกับทาง The Hacker News เมื่อวันที่ 11 มิถุนายนว่าเหตุการณ์ที่บริษัทถูกโจมตีที่ระบบ SITA PSS ก่อนหน้านี้ และเหตุการณ์การโจมตี Air India ที่ Group-IB อ้างถึงไม่มีความเกี่ยวข้องกัน

กลุ่มแฮ็กเกอร์ชาวจีน APT41 นี้ ยังถูกเรียกด้วยชื่ออื่นๆเช่น Winnti Umbrella, Axiom และ Barium โดยมีส่วนเกี่ยวข้องกับการโจมตี และขโมยข้อมูลของบริษัทที่เกี่ยวข้องกับสุขภาพ, เทคโนโลยี, การสื่อสาร, เกมส์, ท่องเที่ยว และสำนักข่าวต่างๆอีกด้วย โดยมีเป้าหมายคือการหาผลประโยชน์ทางการเงิน

ย้อนหลังไปเมื่อวันที่ 21 พฤษภาคมที่ผ่านมา Air India ออกมาเปิดเผยว่ามีข้อมูลรั่วไหลออกไปประมาณ 4.5 ล้านรายการ จากการถูกโจมตีของระบบ Passenger Service System (PSS) ของ SITA ในช่วงเดือนกุมภาพันธ์ โดยเป็นข้อมูลของลูกค้าสายการบินในระยะเวลาประมาณ 10 ปีที่ผ่านมา

ข้อมูลที่รั่วไหลออกไปประกอบไปด้วยข้อมูลส่วนบุคคลที่ลงทะเบียนตั้งแต่ 26 สิงหาคม 2011 ถึง 3 กุมภาพันธ์ 2021 รวมไปถึงชื่อ, วันเดือนปีเกิด, ข้อมูลการติดต่อ, ข้อมูล Passport, ข้อมูลการเดินทาง, ข้อมูลโปรแกรมสะสมไมล์ของ Star Alliance และ Air India รวมถึงข้อมูลบัตรเครดิตอีกด้วย

Mandiant ซึ่งเป็นบริษัทในเครือของ FireEye ซึ่งให้ความช่วยเหลือ SITA ในความพยายามจัดการกับการโจมตีที่เกิดขึ้น ได้ให้ข้อมูลว่าการโจมตีที่เกิดขึ้นกับ SITA มีความซับซ้อน และมีการใช้เทคนิคการโจมตีขั้นสูง โดยเป้าหมายจริงๆของผู้โจมตียังไม่แน่ชัด

การโจมตีครั้งใหม่กับสายการบินอินเดีย

ผลการวิเคราะห์ล่าสุดของ Group-IB ซึ่งเปิดเผยออกมาพบว่าอย่างน้อยตั้งแต่วันที่ 23 กุมภาพันธ์ เครื่องที่ถูกยึดครองโดยผู้ไม่หวังดีภายในระบบเครือข่ายของ Air India (ชื่อเครื่อง SITASERVER4) มีการติดต่อออกไปยังเซิร์ฟเวอร์ปลายทางที่มีการติดตั้ง Cobalt Strike payloads ไว้ตั้งแต่ 11 ธันวาคม 2020

หลังจากเครื่องนี้ถูกยึดเป็นเครื่องแรก ก็พบว่ามีการพยายามคงสถานะการยึดเครื่องไว้(Persistence) และใช้เครื่องมือเพื่อค้นหา Password สำหรับโจมตีไปยังเครื่องอื่นๆภายในระบบเครือข่าย โดยมีเป้าหมายเพื่อหาข้อมูลที่อยู่บนเครื่องต่างๆ

ผู้เชี่ยวชาญของ Group-IB Nikita Rostovcev กล่าวว่า โดยผู้โจมตีมีการใช้ mimikatz ในการค้นหา NTLM hashes และ passwords จากเครื่อง จึงทำให้มีเครื่องต่างๆที่ถูกยึดครองอีกไม่ต่ำกว่า 20 เครื่อง รวมไปถึงผู้โจมตียังพยายามยกระดับสิทธิ์ของ User โดยใช้ BadPotato malware อีกด้วย

สรุปว่าผู้โจมตีสามารถนำข้อมูลออกไปได้ประมาณ 233 MB จากทั้งหมด 5 เครื่องคือ SITASERVER4, AILCCUALHSV001, AILDELCCPOSCE01, AILDELCCPDB01 และ WEBSERVER3 โดยใช้เวลา 24 ชั่วโมง 5 นาทีในการกระจาย Cobalt Strike beacons ไปยังเครื่องต่างๆภายในระบบเครือข่ายของสายการบิน แต่จุดเริ่มต้นในตอนนี้ยังไม่แน่ชัด

โดยการเชื่อมต่อไปยัง C2 servers ของการโจมตีครั้งนี้ มีบางส่วนที่ตรงกับ C2 server ของ Barium (อีกชื่อหนึ่งของ APT41) ซึ่งเคยถูกตรวจพบในการโจมตีอื่นๆก่อนหน้านี้ และเทคนิคในการหยุดใช้ domains หลังจากการโจมตีเสร็จสิ้น ก็เป็นไปในลักษณะเดียวกัน รวมถึง File "install.

กลุ่มอาชญากรไซเบอร์อยู่เบื้องหลังการใช้แรนซัมแวร์ Babuk โจมตีและขู่เปิดเผยไฟล์ส่วนบุคคลของกรมตำรวจนครบาล (MPD) ในสหรัฐอเมริกา

กลุ่มผู้โจมตีได้ขโมยข้อมูลที่ไม่มีการเข้ารหัส จำนวน 20 ไฟล์ ขนาด 250 GB ซึ่งเป็นข้อมูล รายงานการสอบสวนการจับกุม การดำเนินการทางวินัย และสรุปข่าวกรองอื่น ๆ

โดยการโจมตีที่เกิดขึ้นมาจาก DarkSide Ransomware ซึ่งก็เช่นเดียวกันกับ Ransomware อื่นๆ ที่มีการพยายามข่มขู่ด้วยวิธีที่เรียกว่า “Double Extortion” เพื่อเรียกร้องให้จ่ายเงินแลกกับการปลดล็อกไฟล์และเซิร์ฟเวอร์ที่ถูกเข้ารหัส รวมถึงจะไม่มีการเผยแพร่ข้อมูลที่ขโมยมา

The Hacker News เปิดเผยว่ากลุ่มผู้โจมตีเรียกร้องให้จ่ายค่าไถ่อยู่ที่ 4 ล้านดอลลาร์ ซึ่งทางตำรวจ DC ยินยอมที่จะจ่ายเงินจำนวน 100,000 ดอลลาร์ เพื่อป้องกันการเปิดเผยข้อมูลที่ถูกขโมยออกไป ซึ่งหากข้อเสนอดังกล่าวไม่ได้รับการยอมรับ ก็มีความเป็นไปได้ที่กลุ่มผู้โจมตีจะเปิดเผยข้อมูลที่ขโมยไปทั้งหมดออกมา

ที่มา : thehackernews