กลุ่มมัลแวร์เรียกค่าไถ่ REvil ได้มีการครอบครองซอร์สโค้ดของโทรจันตัวใหม่ "KPOT 2.0" หลังจากชนะการประมูลในเว็บบอร์ดใต้ดินรัสเซีย โดยกลุ่ม REvil จ่ายค่าซอร์สโค้ดของมัลแวร์ตัวนี้ไปเป็นเงินกว่า 200,000 บาท

อ้างอิงจากแฮกเกอร์นิรนาม Pancak3 ซึ่งให้ข่าวกับทาง ZDNet การประมูลซอร์สโค้ดของมัลแวร์ KPOT เริ่มต้นขึ้นในช่วงกลางเดือนตุลาคมและสิ้นสุดไปในเดือนทีผ่านมา ในการประมูลนั้น ผู้ที่เข้าประมูลซอร์สโค้ดของมัลแวร์ KPOT ใช้ชื่อในเว็บบอร์ดใต้ดินว่า UNKN ซึ่งเป็นที่รู้จักกันว่าเป็นสมาชิกของกลุ่มมัลแวร์เรียกค่าไถ่ REvil (Sodinokibi) เพียงรายเดียวและได้รับซอร์สโค้ดไป Pancak3 มีความเห็นว่ากลุ่ม REvil มีแนวโน้มที่จะนำซอร์สโค้ดของมัลแวร์ตัวดังกล่าวไปพัฒนาต่อเพื่อนำมาใช้งานจริง

ในการประมูลแม้จะมีความเห็นจากสมาชิกในเว็บบอร์ดว่าซอร์สโค้ดของ KPOT มีราคาที่แพงเกินจริง แต่กลุ่มมัลแวร์เรียกค่าไถ่ REvil เป็นหนึ่งในกลุ่มซึ่งสามารถทำรายได้จากการเรียกค่าไถ่ได้ว่า 100 ล้านดอลลาร์สหรัฐฯ ดังนั้นการจ่ายเงินให้กับซอร์สโค้ดของมัลแวร์ที่สามารถเพิ่มมูลค่าให้กับการโจมตีจึงอาจเป็นการลงทุนที่คุ้มค่าสำหรับกลุ่มแฮกเกอร์ซึ่งไม่มีปัญหาด้านการเงิน

ที่มา: zdnet

ZDNet ได้ทำการเปิดเผยถึงการค้นพบข้อมูลที่มีรายละเอียดของลูกค้าของโรงแรม MGM จำนวนกว่า 142,479,937 ล้านคนบน Dark web ซึ่งถูกขายในราคาเพียง $2,900 หรือประมาณ 91,886 บาท

แฮกเกอร์อ้างว่าข้อมูลของโรงแรม MGM ที่ถูกวางขายนั้นได้รับข้อมูลมาหลังจากที่พวกเขาทำการโจมตีบริการ Data Viper ซึ่งเป็นบริการตรวจสอบการรั่วไหลของข้อมูลที่ให้บริการโดย Night Lion Security ซึ่ง Vinny Troia ผู้ก่อตั้ง Night Lion Security บอกกับทาง ZDNet ว่าบริษัทของเขาไม่เคยเป็นเจ้าของฐานข้อมูลโรงแรม MGM และแฮกเกอร์พยายามทำลายชื่อเสียงของบริษัทของเขา

อย่างไรก็ดีในปี 2019 ข้อมูลของโรงแรม MGM ได้มีการรั่วไหลจากการโจมตีจริง โดยแฮกเกอร์สามารถเข้าถึงเซิร์ฟเวอร์คลาวด์ของโรงแรมและขโมยข้อมูลเกี่ยวกับแขกของโรงแรมในที่เคยมาใช้บริการ โดยข้อมูลที่ถูกขโมยไปนั้นคือข้อมูลการติดต่อซึ่งประกอบไปด้วย ชื่อ, ที่อยู่ทางไปรษณีย์และอีเมล เเค่นั้นยังไม่พอแฮกเกอร์ยังสามารถทำการขโมยข้อมูลทางการเงินซึ่งประกอบไปด้วย หมายเลขประจำตัวประชาชนหรือหมายเลขประกันสังคมและรายละเอียดการจองห้องพัก ทั้งนี้ข้อมูลที่ถูกขโมยไปนี้มีจำนวน 10.6 ล้านคน

Irina Nesterovsky หัวหน้าฝ่ายวิจัยของ KELA ได้กล่าวว่าข้อมูลของโรงแรม MGM นั้นถูกเผยแพร่และถูกขายใน Dark web อย่างน้อยตั้งแต่กรกฎาคม 2562 โดยถูกขายบนฟอรัมแฮกของแฮกเกอร์รัสเซียและคาดว่าข้อมูลของ MGM เป็นข้อมูลที่เกี่ยวข้องกับแขกที่มาใช้บริการของโรงเเรมมากว่า 200 ล้านคน

ที่มา: zdnet

กลุ่มเเฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐหลายกลุ่มกำลังแฮกเซิร์ฟเวอร์ Microsoft Exchange

กลุ่มที่ได้รับการสนับสนุนจากรัฐบาลหรือที่เรียกกันว่า Advanced Persistent Threat (APT) กำลังโจมตีช่องโหว่ CVE-2020-0688 ที่เพิ่งได้รับการแก้ไขในเซิร์ฟเวอร์อีเมล Microsoft Exchange ความพยายามในการโจมตีช่องโหว่ได้ถูกพบครั้งแรกโดย Volexity บริษัทรักษาความปลอดภัยในโลกไซเบอร์แห่งสหราชอาณาจักร และถูกยืนยันในเวลาต่อมาต่อ ZDNet โดยแหล่งข่าวใน DOD โดย Volexity ไม่ได้เปิดเผยชื่อของกลุ่มแฮกเกอร์ที่ใช้ช่องโหว่ของ Exchange นี้ รวมถึงแหล่งข่าวใน DOD เองก็ไม่ได้ระบุชื่อกลุ่ม เพียงแต่ระบุว่าเป็นกลุ่มที่เป็นที่โด่งดังในด้านนี้อยู่แล้ว
กลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐเหล่านี้กำลังโจมตีช่องโหว่ในเซิร์ฟเวอร์อีเมล Microsoft Exchange ที่ Microsoft ได้ทำการแก้ไขในแพตช์เดือนกุมภาพันธ์ 2020
ช่องโหว่ดังกล่าวมีการติดตามภายใต้ตัวรหัส CVE-2020-0688 ด้านล่างนี้เป็นบทสรุปของรายละเอียดทางเทคนิคของช่องโหว่
ระหว่างการติดตั้งเซิร์ฟเวอร์ Microsoft Exchange ไม่สามารถสร้างคีย์การเข้ารหัสลับเฉพาะสำหรับ Exchange control panel ซึ่งหมายความว่าเซิร์ฟเวอร์อีเมล Microsoft Exchange ทั้งหมดที่เปิดตัวในช่วง 10 ปีที่ผ่านมา ใช้คีย์การเข้ารหัสที่เหมือนกันทั้ง validationKey และ decryptionKey สำหรับ Exchange control panel
ผู้โจมตีสามารถส่งคำขอที่มีรูปแบบไม่ถูกต้องและมีข้อมูลที่เป็นอันตรายไปยังแผงควบคุม Exchange อย่างต่อเนื่อง เนื่องจากแฮกเกอร์รู้จักคีย์การเข้ารหัสของแผงควบคุม พวกเขาสามารถมั่นใจได้ว่าข้อมูลที่ส่งไปจะไม่ได้รับการตรวจสอบ ทำให้โค้ดอันตรายทำงานได้ด้วยสิทธิ์ของ SYSTEM ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ได้อย่างสมบูรณ์
Volexity อธิบายว่าการสแกนเซิร์ฟเวอร์ Exchange ได้กลายเป็นการโจมตีที่เกิดขึ้นจริงเเล้ว CVE-2020-0688 เป็น bug ที่ถูกเรียกว่า post-authentication แฮกเกอร์ต้องเข้าสู่ระบบก่อน จากนั้นจึงเรียกใช้เพย์โหลดที่เป็นอันตราย ซึ่งสามารถ hijacks เซิร์ฟเวอร์อีเมลของเหยื่อได้
APT และผู้โจมตีด้วย ransomware มักเริ่มต้นการโจมตีด้วยการทำแคมเปญฟิชชิ่ง เพื่อหลอกเอาข้อมูล หลังจากที่พวกเขาได้รับข้อมูลประจำตัวอีเมลสำหรับพนักงานของบริษัทเเล้ว หากองค์กรบังคับใช้การรับรองความถูกต้องด้วย two-factor authentication (2FA) สำหรับบัญชีอีเมล ข้อมูลประจำตัวเหล่านั้นก็ไร้ประโยชน์ เนื่องจากแฮกเกอร์ไม่สามารถ bypass 2FA ได้
Bug CVE-2020-0688 ทำให้ APT สามารถตั้งจุดมุ่งหมายสำหรับบัญชีที่มีการป้องกัน 2FA ที่เก่ากว่า ซึ่งพวกเขาเคยทำฟิชชิงเมื่อหลายเดือนก่อน พวกเขาสามารถใช้ข้อมูลประจำตัวเก่า ๆ เหล่านี้เป็นส่วนหนึ่งของการโจมตีช่องโหว่ CVE-2020-0688 โดยไม่จำเป็นต้อง bypass 2FA แต่ยังคงใช้เซิร์ฟเวอร์ Exchange ของเหยื่อ องค์กรที่สนใจระวังภัยคุกคามจากควรอัปเดตเซิร์ฟเวอร์อีเมล Exchange ด้วยการอัปเดตความปลอดภัยกุมภาพันธ์ 2020 โดยเร็วที่สุด
เซิร์ฟเวอร์ Microsoft Exchange ทั้งหมดได้รับการพิจารณาว่ามีความเสี่ยง แม้แต่รุ่นที่หมดอายุการใช้งาน (EoL) อย่างรุ่น 2008 ซึ่งไม่ถูกพูดถึงในรายงานคำแนะนำจากไมโครซอฟต์ว่าได้รับผลกระทบหรือไม่ ซึ่งสำหรับรุ่น EoL องค์กรควรตรวจสอบการอัปเดตเป็น Exchange เวอร์ชันที่ใหม่กว่า หากการอัปเดตเซิร์ฟเวอร์ Exchange ไม่ใช่ตัวเลือก บริษัทต่างๆ ควรบังคับให้รีเซ็ตรหัสผ่านสำหรับบัญชี Exchange ทั้งหมด

ที่มา : zdnet

 

Microsoft แพตซ์ช่องโหว่ด้านความปลอดภัยบน Office ซึ่งพบว่าถูกใช้ในการโจมตีกลุ่มเป้าหมายที่เป็นผู้ใช้ภาษารัสเซีย โดยมีจุดมุ่งหมายเพื่อลง spyware สำหรับสอดแนมที่ชื่อว่า "FinSpy"
นักวิจัย FireEye พบช่องโหว่ zero-day ที่ส่งผลให้มัลแวร์แพร่กระจายโดยไฟล์เอกสาร Microsoft Office RTF เมื่อเปิดเอกสาร ทำให้เครื่องคอมพิวเตอร์เป้าหมายโดนติดตั้ง spyware ที่ชื่อว่า "FinSpy" ซึ่งเป็นซอฟต์แวร์สอดแนมของบริษัทในเครือ Gamma Group ซึ่งเป็นบริษัทที่ขายโปรแกรมสอดแนมให้กับรัฐบาลทั่วโลก
ในปี 2014 WikiLeaks เคยเปิดเผยข้อมูลว่ารัฐบาลใหญ่ ๆ หลายแห่งอยู่ในรายชื่อลูกค้าที่ใช้งาน "FinFisher" ซึ่งเป็น spyware เช่นเดียวกับ "FinSpy" โดย FireEye ไม่สามารถระบุได้อย่างชัดเจนว่าใครเป็นผู้โจมตี แต่คาดว่าน่าจะเป็นบุคคลจากรัฐบาลประเทศใดสักแห่ง และเหตุการณ์อาจเริ่มตั้งแต่ช่วงต้นเดือนกรกฎาคม แต่เพิ่งจะถูกตรวจพบ
Microsoft ได้จัดให้ช่องโหว่ดังกล่าวอยู่ในระดับ "important" โดยล่าสุด Microsoft ได้มีการปล่อยให้อัพเดท เพื่อแก้ไขช่องโหว่ล่าสุดทั้งหมด 81 รายการ ใน Tuesday Patch ประจำเดือนกันยายน ซึ่งรวมช่องโหว่นี้ด้วย

ที่มา : zdnet