โรงงานผลิตชิ้นส่วนเครื่องบินโบอิ้ง 77 ในนอร์ทชาร์ลสตันของโบอิ้ง (Boeing) บริษัทผู้ผลิตเครื่องบินรายใหญ่ที่สุดของโลกติดมัลแวร์ถูกโจมตีด้วยมัลแวร์ WannaCry

จากการแถลงการณ์ล่าสุดของโบอิ้ง โบอิ้งกล่าวว่าระบบที่มีการแพร่กระจายของ WannaCry เป็นระบบที่ไม่ได้รับการแพตช์ยังสมบูรณ์ทำให้ยังคงมีช่องโหว่ที่สามารถใช้เพื่อแพร่กระจายได้อยู่ อย่างไรก็ตามระบบที่ได้รับผลกระทบนั้นต่างเป็นระบบส่วนที่ไม่ได้กระทบกับกระบวนการผลิตของบริษัท

อย่างที่ทราบกันดีเมื่อวันที่ 12 พฤษภาคม 2560 WannaCry ransomware ถือเป็นการโจมตีที่รุนแรงที่สุด ซึ่งเริ่มต้นโจมตีจากระบบเครือข่ายของ National Health Service (NHS) ในสหราชอาณาจักร การโจมตีดังกล่าวใช้เครื่องมือที่รั่วไหลจาก NSA อย่าง EternalBlue และ DoublePulsar และใช้ประโยชน์จากช่องโหว่ SMB ที่ติดตั้งอยู่ในเครื่อง Windows รุ่นเก่า (MS17-010) ทำให้การโจมตีจาก WannaCry ransomware แพร่กระจายไปยัง 150 ประเทศและกำหนดเป้าหมายไปยังคอมพิวเตอร์มากกว่า 200,000 เครื่อง

การกลับมาของ WannaCry ไม่น่าแปลกใจมากนัก เนื่องจากปัจจุบันพบการโจมตีของมัลแวร์เพิ่มขึ้นอย่างมากจนทำให้บริการต่างๆขัดข้องและผู้ใช้ไม่สามารถเข้าถึงคอมพิวเตอร์ได้ ซึ่งเมื่อเดือนที่แล้วบริษัท Colorado DOT ถูกโจมตีจาก SamSam ransomware ทำให้เครื่องคอมพิวเตอร์กว่า 2,000 เครื่องติด Ransomware ในขณะที่บริษัทด้านความปลอดภัยเทคโนโลยีสารสนเทศยักษ์ใหญ่อย่าง Avast ได้ทำการบล็อคการโจมตี WannaCry จำนวน 1.7 ล้านรายในอินโดนีเซีย, 1.2 ล้านรายในอินเดียและ 1.1 ล้านรายในบราซิล

ที่มา : hackread

Shadow Brokers, กลุ่ม hacker ชื่อดังที่เคยเป็นข่าวจากการปล่อยเครื่องมือชื่อว่า EternalBlue ที่ต่อมานำไปใช้สร้าง Wannacry ransomware ที่แพร่ระบาดอย่างหนักอยู่ช่วงหนึ่ง ล่าสุดได้ทำการปล่อยเครื่องมือที่ใช้ในการ hack ของ NSA ออกมาอีกครั้ง โดยมีชื่อว่า “UNITEDRAKE” ซึ่งกลไกหลักคือทำหน้าที่เก็บรวบรวมข้อมูลจากเครื่องเหยื่อโดยควบคุมจากระยะไกล (Remotely access control) มาพร้อมกับส่วนเสริมอีกจำนวนหนึ่งเพื่อช่วยให้สามารถ remote เข้าควบคุมเครื่องได้อย่างเต็มตัว นอกจากนี้ยังมีการปล่อยไฟล์ที่ไม่ได้เข้ารหัส ซึ่งก็คือคู่มือการใช้งาน UNITEDRAKE ที่พัฒนาขึ้นมาโดย NSA ข้อมูลในคู่มือระบุว่า UNITEDRAKE เป็น malware ปรับแต่งที่มีความสามารถในการ ดักจับภาพจาก webcam และเสียงจาก microphone, จดจำแป้นที่ถูกใช้พิมพ์ (log keystrokes), การเข้าถึงข้อมูลบน external drives เพื่อสอดแนมเป้าหมาย
UNITEDRAKE ประกอบไปด้วย 5 ส่วนหลักคือ server, system management interface (SMI), database (ใช้เก็บข้อมูลที่ขโมยมาได้), plug-in modules (ใช้ปรับแต่งระบบเพื่อเพิ่มความสามารถ), client (เครื่องของเหยื่อ) UNITEDRAKE เป็นที่รู้จักครั้งแรกเมื่อปี 2014 โดยเป็นส่วนหนึ่งของข้อมูลที่รั่วไหลออกมาจากผู้ทำสัญญาเก่าของ NSA ที่ชื่อว่า Edward Snowden เนื้อหาในเอกสารที่รั่วไหลของ Edward Snowden ระบุถึงเครื่องมืออื่นๆ ที่ทาง NSA ใช้ในการสอดแนมเช่น CAPTIVATEDAUDIENCE, GUMFISH, FOGGYBOTTOM, GROK, และ SALVAGERABBIT ทาง Shadow Brokers มีข้อเรียกร้องที่เปลี่ยนไปคือให้จ่ายเงินในหน่วย ZCash (ZEC) จากเดิมที่ใช้ Monero โดยในเดือนมิถุนายนค่าข้อมูลจะอยู่ที่ 100 ZEC แต่ปัจจุบัน กลุ่ม hacker ได้เรียกร้องเพิ่มเติมเป็น 16,000 ZEC หากต้องการเข้าถึงข้อมูลดังกล่าว โดยปัจจุบัน Zcash มีอัตราแลกเปลี่ยนที่ $248 ต่อหน่วย

ที่มา : thehackernews

Hacker ที่อยู่เบื้องหลัง WannaCry Ransomware ถอนเงิน 143,000 เหรียญจากกระเป๋าเงิน Bitcoin

ผ่านมาเกือบ 3 เดือนแล้วที่ WannaCry Ransomware ระบาด และได้ทำให้ระบบของโรงพยาบาล การบริการโทรคมนาคม และธรุกิจจำนวนมากทั่วโลกกว่า 150 ประเทศไม่สามารถใช้งานได้ โดยเรียกเงินจากเหยื่อประมาณ 300-600 เหรียญ เพื่อแลกกับ Key ในการถอดรหัส โดยรวม Hacker ที่อยู่เบื้องหลัง WannaCry ได้เงินจากผู้ที่ตกเป็นเหยื่อเป็นจำนวนกว่า 140,000 เหรียญ แต่เกือบสามเดือนที่ผ่านมานี้ไม่มีการแตะต้องกระเป๋าเงิน Bitcoins เหล่านั้นเลย จนกระทั่งเมื่อวันพุธที่ 2 สิงหาคม เงินจำนวนดังกล่าวถูกถอนออก 7 ครั้งภายใน 15 นาที

ทั้งนี้ยังคงระบุไม่ได้ว่าใครคือผู้ที่อยู่เบื้องหลัง WannaCry Ransomware ตัวนี้ แม้ว่านักวิจัยบางกลุ่มได้สืบค้นไปจนถึงกลุ่ม Hacker ที่ชื่อว่า Lazarus ในเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐ ในขณะที่นักวิจัยอื่นๆ เชื่อว่าเป็นการกระทำจากประเทศจีน

ที่มา : thehackernews

แฝงตัวในเงา มัลแวร์เรียกค่าไถ่ FakeCry โจมตีระบบในยูเครนในช่วงเวลาเดียวกับ ExPetr/Petya

นักวิจัยด้านความปลอดภัยของ Kaspersky ได้เปิดเผยผลการวิเคราะห์มัลแวร์เรียกค่าไถ่ FakeCry ซึ่งใช้โอกาสในการแพร่กระจายของ ExPetr/Petya แพร่กระจายโจมตีระบบในยูเครน
แต่เดิมนั้น ExPetr/Petya ใช้วิธีการแพร่กระจายในหลายช่องทางซึ่งมีทั้งการแพร่กระจายด้วยลักษณะของการโจมตีแบบ watering hole และการแฝงตัวเข้าไปในอัพเดตของโปรแกรม MeDoc ทีมของ Kaspersky ตรวจพบว่าตามช่องทางการอัพเดตของโปรแกรม MeDoc นั้น ซอฟต์แวร์ของ Kaspersky ยังตรวจพบมัลแวร์อีกประเภทหนึ่งนอกจาก ExPetr/Petya

มัลแวร์อีกชนิดหนึ่งที่ถูกตรวจพบนั้นยังคงเป็นมัลแวร์เรียกค่าไถ่ทีมีลักษณะใกล้เคียงกับ WannaCry แต่ถูกพัฒนาโดยใช้ .NET ทีมจาก Kaspersky ยังคงหาความสัมพันธ์อื่นระหว่างมัลแวร์ตัวนี้ซึ่งภายหลังถูกเรียกว่า FakeCry กับ ExPetr/Petya ไม่ได้ว่ามีความเกี่ยวข้องกันอย่างไร หลักฐานเพียงอย่างเดียวคือการแพร่กระจายในช่วงเวลาที่ใกล้เคียงกันและในช่องทางเดียวกัน

ที่มา: securelist

WannaCry ransomware ยังไม่จบ! ล่าสุดพบการระบาดของ ransomware ตัวใหม่ ชื่อ "Petyawrap ransomware" หรือที่มีความหมายเดียวกับ Petya

กำลังแพร่กระจายไปยังองค์กรต่างๆ ทั่วโลกอย่างรวดเร็ว เช่น ธนาคารต่างๆ ทั่วรัสเซีย ยูเครน สเปน ฝรั่งเศส สหราชอาณาจักร อินเดียและยุโรป โดนเรียกค่าไถ่ 300 ดอลลาร์สหรัฐ

Petya ทำงานแตกต่างจาก ransomware อื่น ๆ โดยไม่เข้ารหัสไฟล์บนเครื่องเหยื่อแบบเดิม แต่ Petya จะทำการรีบูตเครื่องคอมพิวเตอร์ของหยื่อและเข้ารหัส master file table (MFT) และ master boot record (MBR) จากนั้น Petya จะแทนที่ MBR ด้วย code อันตรายที่แสดงการเรียกค่าไถ่ ทำให้คอมพิวเตอร์ไม่สามารถ boot ได้ ซึ่งเป็นการยึดเครื่องโดยสมบูรณ์รวมทั้งข้อมูลไฟล์ต่างๆ บนเครื่อง ซึ่ง Petyawrap ก็อาจจะมีพฤติกรรมเช่นเดียวกัน

ที่มา : thehackernews

ก่อนหน้านี้มีข่าวช่องโหว่ของ Samba ไปแล้ว ซึ่งแน่นอนว่ามีคนไปเปรียบเทียบกับช่องโหว่ MS17-010 ใน SMB Service ซึ่งคล้ายคลึงกันมาก จนกระทั่งให้ชื่อช่องโหว่นี้ว่า SambaCry
ล่าสุดเมื่อคืนวันที่ 7/6/2017 ที่ผ่านมามีคนพบ Malware ใน Linux ที่ใช้ช่องโหว่ CVE-2017-7494 ของ Samba ซึ่งเป็น port 445 ในการกระจายตัวเช่นเดียวกับ WannaCry เลย จนมีหลายๆคนให้ชื่อ Malware ตัวนี้ว่า SambaCry ไปเลย แต่ที่ส่วนที่แตกต่างกันคือ SambaCry จะมีการโจมตีเพื่อฝังตัวขุด Crypto Currency แทน (พฤติกรรมจะคล้ายๆกับ adylkuzz) ซึ่งนั่นทำให้หาก User นั้นติดก็จะแทบไม่รู้เรื่องเลยว่าติด malware และหากทำการนำไฟล์ malware ดังกล่าวไปตรวจใน Virustotal.

Kaspersky ประกาศสิ่งที่น่าสนใจในเรื่องของ WannaCry ขึ้นมาว่า การทำงานบางส่วนของ WannaCry อาจทำงานไม่สมบูรณ์และทำให้มีความเป็นไปได้ที่จะกู้ไฟล์กลับมาได้โดยไม่ต้องจ่ายเงินแต่อย่างใด
Kaspersky พบว่าเมื่อ WannaCry เริ่มทำการเข้ารหัสมันจะทำการอ่านไฟล์ต้นฉบับ แล้วเริ่มทำการเข้ารหัสเนื้อหาของไฟล์และ save เป็นไฟล์นามสกุล ".WNCRYT" หลังจากทำการเข้ารหัสจะเปลี่ยนจาก ".WNCRYT" ไปเป็น ".WNCRY" และลบไฟล์ต้นฉบับทิ้ง ซึ่งการกระทำนี้ขึ้นอยู่กับตำแหน่งและคุณสมบัติไฟล์ของเหยื่อด้วย

ถ้าโปรแกรมมองว่า folder ที่จะทำการเข้ารหัสเป็น folder "ที่สำคัญ" เช่น Desktop และ Documents เป็นต้น จากนั้นไฟล์หลักจะถูกเขียนทับด้วยข้อมูลแบบ random ก่อนจะลบทิ้ง ซึ่งหากเป็นแบบนั้น จะไม่สามารถกู้ไฟล์ใดๆได้เลย แต่ถ้าไม่ใช่ตำแหน่งที่โปรแกรมที่คิดว่าสำคัญ โปรแกรมต้นฉบับจะถูกย้ายไปที่ %TEMP%\%d.WNCRYT โดย %d จะเป็นตัวเลข ไฟล์เหล่านี้จะมีข้อมูลต้นฉบับอยู่และไฟล์ดังกล่าวก็ไม่ได้ถูกเขียนทับด้วย ตัว WannaCry จะทำการลบไฟล์ไปเฉยๆ นั่นหมายความว่าเราสามารถมีโอกาสที่จะกู้ไฟล์เหล่านี้ขึ้นมาได้ด้วยโปรแกรม recovery ต่างๆ
อีกทั้งหากไฟล์ไม่ได้อยู่ใน drive file-system เช่น D:\ เป็นต้น, WannaCry จะทำการสร้าง folder $RECYCLE folder แล้ว set hidden+system (ทำตัวเป็น folder system และซ่อนไว้) หลังจากไฟล์ถูกเข้ารหัส WannaCry จะโยนไฟล์ต้นฉบับเข้าไปใน folder ดังกล่าว

แต่อย่างไรก็ตามด้วยการทำงานผิดพลาดไม่ว่าจะด้วยเหตุผลใดๆก็ตาม ไฟล์เหล่านั้นจะไม่ได้ถูกโยนเข้า $RECYCLE ทำให้ไฟล์ต้นฉบับจะถูกลบทิ้งในรูปแบบที่ไม่ปลอดภัย ทำให้สามารถ restore ไฟล์ต้นฉบับเหล่านั้นด้วย software การกู้ไฟล์เช่นกัน และ Kaspersky ยังพบอีกว่าหากมีไฟล์ที่เป็น read-only file (อ่านได้อย่างเดียว) อยู่ในเครื่อง ตัวโปรแกรมจะไม่เข้ารหัสไฟล์เหล่านั้น จะแค่ทำการเข้ารหัสไฟล์ที่ copy มาจากไฟล์เหล่านั้นอีกทีแทน ส่วนไฟล์ที่เป็น read-only ก็จะกลายเป็นถูกซ่อน(เปลี่ยนสถานะของไฟล์เป็น hidden)แทนที่จะลบทิ้ง ซึ่งทำให้ง่ายที่จะได้ไฟล์เหล่านั้นคืนมา

ที่มา: securelist

ข่าว update เพิ่มเติมจากการที่พบวิธีการถอดรหัสไฟล์ใน Windows XP โดยการหาค่า prime number ที่นำไปใช้สร้าง private key สำหรับการถอดรหัสไฟล์ ตอนนี้มีการทดสอบเพิ่มเติมพบว่าสามารถทำใน Windows 7, Windows 2003 , Vista, 2008 และ 2008 R2 ได้อีกด้วย

หลังจากที่นาย Andrien ได้ทำการสร้างเครื่องมือสำหรับการหาค่า prime number ที่ถูกใช้ทำการสร้าง RSA key ในการเข้ารหัสของ WannaCry จาก memory ออกมาได้สำเร็จ และปล่อยเครื่องมือที่ชื่อว่า WannaKey ออกมา ก็ได้มี security researcher ทำตามหลายๆคนด้วยกัน ล่าสุดนาย Benjamin Delpy (@gentilkiwi) ได้พัฒนา application ที่หลักการเดียวกับ WannaKey แต่มีการปรับ format output ให้เข้ากับโปรแกรม WannaDecrypt ของนาย Benjamin เอง จากนั้นจึงรวมเข้าด้วยกันกลายเป็น Wanakiwi ซึ่งเป็นแบบ all-in-one คือทำทุกอย่างจบด้วยตัวเอง ไม่ว่าจะเป็นการหา prime number, การสร้าง private key จนกระทั่งไปถึงการไล่ decrypt ไฟล์ทั้งหมดที่ถูกเข้ารหัสโดย WannaCry

ซึ่งทางนาย Matt Suiche ได้ทำการทดสอบแล้วผลปรากฏว่าใช้ได้ทั้งใน Windows XP, Windows 7, Windows 2003 , Vista, 2008 และ 2008 R2 เลยทีเดียว แต่เงื่อนไขสำคัญยังเหมือนเดิมคือ "ห้ามปิดหรือ restart เครื่องหลังจากติด WannaCry แล้วโดยเด็ดขาด" อีกทั้งห้ามปล่อยเวลาให้ผ่านนานเกินไป ไม่งั้น memory ส่วนที่เก็บค่า prime number นั้นอาจถูกลบหรือถูกเขียนทับโดย process อื่นไปแล้วก็เป็นได้

วิธีการใช้งานคือ

1. Download Wanakiwi
https://github.

คล้ายๆกับการดูหนัง series ก็ว่าได้ เมื่อมีการเปิดเผยจาก Proofpoint ว่าเจอ malware ที่โจมตีโดยใช้
MS17-010 ไม่มีผิด แต่เป็นการฝังตัวของ Application เพื่อขุดเงิน cryptocurrency (ประมาณ Bitcoin) ให้กับ Hacker ก่อนที่จะเริ่มมีการระบาด WannaCry ด้วยซำ้ โดย malware ตัวนั้นมีชื่อว่า Adylkuzz

Adylkuzz เป็น Malware ที่โจมตีและแพร่กระจายตัวเหมือนกับ WannaCry คือการโจมตีไปเป็น MS17-010 แต่แตกต่างกันที่ Adylkuzz จะไม่ได้มีการเข้ารหัสไฟล์ในเครื่องแต่อย่างใด แต่จะเน้นเรื่องการแอบรันโปรแกรมขุดเงิน cryptocurrency แบบเงียบๆในเครื่องของเหยื่อแทน โดย Proofpoint เชื่อว่า Adylkuzz เริ่มกระจายตัวตั้งแต่วันที่ 2 พค. 2017 เผลอๆอาจจะเป็นวันที่ 24 เมษายน 2017 ซึ่งก่อน WannaCry แพร่กระจายถึง 2 สัปดาห์
การพบ Adylkuzz ถือเป็นเรื่องบังเอิญด้วยซ้ำ หลังจากที่ WannaCry เริ่มแพร่กระจาย, Proofpoint พยายามตั้ง Honeypot ดักล่อ WannaCry เพื่อนำมาวิเคราะห์แต่กลับกลายเป็นได้ Malware ที่พฤติกรรมการแพร่กระจายคล้ายๆกับ WannaCry แทน ซึ่งนั่นก็คือ Adylkuzz

เมื่อ Adylkuzz ถูกติดตั้งลงไปในเครื่องของเหยื่อเรียบร้อยแล้วก็จะติดต่อไปยังเครื่อง C&C ของ Hacker เพื่อดึงตัวเครื่องมือขุด cryptocurrency และดึงขั้นตอนการขุดมา โดยในตัวอย่างที่พบจะเป็นการขุด cryptocurrency ที่ชื่อว่า Monero (คล้ายๆกับ Bitcoin) โดย ณ เวลาตอนนี้ 7.58 Monero จะมีค่าประมาณ 205$

ซึ่งบ่งบอกว่า ไม่ใช่แค่มี WannaCry เท่านั้นที่พยายามโจมตีและแพร่กระจายไปย้ง 445 (SMBv1) ดังนั้นหากเป็นไปได้ก็รีบ patch รีบป้องกันให้เร็วที่สุดเท่าที่จะได้ทำได้นะครับ

ที่มา: proofpoint

พบความเกี่ยวโยงระหว่าง WannaCry และ Malware ที่ถูกสร้างโดยเกาหลีเหนือ
Neel Mehta ซึ่งเป็นหนึ่งในบุคคลแรกๆ ของโลก(เป็น Google Researcher)ที่ทำการวิจัยและวิเคราะ Ransomware ที่ดังที่สุดในโลกในขณะนี้ นั่นคือ WannaCry นั่นเอง โดย Neel พบว่ามีโค้ดบางส่วนของ WannaCry คล้ายกับ Malware ที่ชื่อว่า Contopee ซึ่งถูกพบตั้งแต่ปี 2015 และกลุ่มที่อยู่เบื้องหลัง Contopee ก็คือ Lazarus Group ซึ่งคือกลุ่มที่เชื่อว่าเป็นกลุ่มของเกาหลีเหนือและอยู่เบื้องหลังการโจมตีเกาหลีใต้มาตั้งแต่ปี 2007 นั่นเอง
Neel Mehta พบความน่าสงสัยเกี่ยวกับ WannaCry ว่ามีส่วนฟังก์ชั่นการทำงานที่ค่อนข้างคล้ายคลึงกับ Contopee ซึ่งทั้งทาง Kaspersky และ Symantec ก็ให้ความเห็นไปในทางเดียวกันว่าน่าจะเป็นการนำฟังก์ชั่นของ Contopee มาใช้งาน
ซึ่งหากไม่ใช่กลุ่มพัฒนาเดียวกัน ก็น่าจะเป็นไปได้ยากที่โค้ดจะเหมือนกันขนาดนี้ และหากเป็นจริง WannaCry จะถือว่าเป็น Ransomware ตัวแรกที่ได้รับการสนับสนุนที่เป็นอาวุธการโจมตี Cyber ของประเทศใดๆตัวแรกของโลกเลยทีเดียว

ที่มา: blog.