แสดงบทความที่มีป้ายกำกับ ransomware แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ ransomware แสดงบทความทั้งหมด

17/09/2567

กลุ่ม RansomHub ใช้ Kaspersky TDSSKiller เพื่อปิดการทำงานของ Endpoint Detection and Response (EDR)


    กลุ่มแรนซัมแวร์ RansomHub ได้ใช้ TDSSKiller ซึ่งเป็นเครื่องมือจาก Kaspersky ที่มีความน่าเชื่อถือ มาใช้เพื่อปิดการทำงานในส่วนของ Endpoint detection and response บนระบบของเป้าหมาย
    หลังจากมีการปิดระบบป้องกันแล้ว กลุ่ม RansomHub จะมีการนำเครื่องมือ LaZagne credential-harvesting มาใช้ในการดึงข้อมูลการ logins จากฐานข้อมูลแอปพลิเคชันต่าง ๆ เพื่อเป็นตัวช่วยในการโจมตีต่อไปภายในเครือข่าย
TDSSKiller ถูกนำไปใช้โจมตีในรูปแบบ Ransomware
    Kaspersky สร้าง TDSSKiller ขึ้นมาเพื่อเป็นเครื่องมือในการสแกนเครือข่ายเพื่อค้นหา rootkits และ bootkits ซึ่งเป็น Malware 2 ประเภทที่ตรวจจับได้ยากเป็นพิเศษ และสามารถหลบเลี่ยงการตรวจจับจากอุปกรณ์ security ได้
    โดย EDR เป็นเทคโนโลยีขั้นสูงที่ทำงานตั้งแต่ระดับ kernel level เนื่องจากการทำงานของตัวอุปกรณ์จะมีการตรวจสอบ และควบคุมพฤติกรรมของระบบตั้งแต่ขั้นแรก เช่น การเข้าถึงไฟล์ และการสร้าง process รวมไปถึงการเชื่อมต่อภายในเครือข่าย ซึ่งทั้งหมดนี้จะเป็นการป้องกันการโจมตีในรูปแบบ real-time เช่น การโจมตีแบบ Ranomware
    บริษัทความปลอดภัยทางไซเบอร์อย่าง Malwarebytes ระบุว่า เมื่อเร็ว ๆ นี้ ได้สังเกตเห็นกลุ่ม RansomHub มีการใช้ TDSSKiller ในการสื่อสารกับ kernel-level services โดยใช้สคริปต์คำสั่ง หรือ batch file เพื่อปิดการทำงานของ Malwarebytes Anti-Malware Service (MBAMService) ที่กำลังทำงานอยู่บนเครื่อง


    เครื่องมือ TDSSKiller ถูกนำมาใช้หลังจากที่มีการรวบรวมข้อมูล การยกระดับสิทธิ์ และการถูกเรียกใช้จากไดเรกทอรีชั่วคราวในส่วนของ ('C:\Users\<User>\AppData\Local\Temp\') โดยมีการใช้ชื่อไฟล์ที่สร้างขึ้นแบบไดนามิก (‘{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe’)
    เนื่องจาก TDSSKiller เป็นเครื่องมือที่มี valid certificate ทำให้อุปกรณ์ Security มองว่าไม่มีความเสี่ยง และไม่เข้าข่ายการโจมตี จึงทำให้เมื่อเกิดการโจมตีจากกลุ่ม RansomHub ตัวอุปกรณ์อาจจะมีการหยุดการทำงาน
    จากนั้นกลุ่ม RansomHub จะใช้เครื่องมือ LaZagne ในการพยายามดึงข้อมูล credentials ที่ถูกจัดเก็บไว้ในฐานข้อมูล โดยทาง Malwarebytes ได้ตรวจสอบการโจมตีที่ใช้ LaZagne พบว่ามีการเขียนไฟล์ 60 รายการ ซึ่งน่าจะเป็น credentials ที่ถูกขโมยออกไป
โดยพฤติกรรมที่มีการลบไฟล์บนระบบอาจเป็นการกระทำของผู้โจมตีที่ต้องการปกปิดการโจมตี

การป้องกัน TDSSKiller
    อุปกรณ์ Security จะสามารถตรวจจับการทำงานของ LaZagne ได้ เนื่องจากถูกระบุว่าเป็น malicious แต่อุปกรณ์ Security จะไม่สามารถตรวจจับได้ หากมีการใช้ TDSSKiller เพื่อปิดการทำงานของอุปกรณ์ โดย TDSSKiller ถือว่าอยู่ในส่วนของ gray area ซึ่งเครื่องมือ security บางตัว เช่น ThreatDown ของ Malwarebytes ระบุว่าเป็น RiskWare ทำให้มีการแจ้งเตือนสำหรับผู้ใช้งาน
    บริษัทความปลอดภัยทางไซเบอร์ แนะนำให้เปิดใช้งานฟีเจอร์ tamper protection ในโซลูชัน EDR เพื่อให้แน่ใจว่าผู้โจมตีจะไม่สามารถปิดใช้งานโซลูชันดังกล่าวได้ด้วยเครื่องมือ เช่น TDSSKiller
นอกจากนี้ การตรวจสอบ ‘-dcsvc’ flag ซึ่งเป็นพารามิเตอร์เกี่ยวกับการปิดใช้งาน หรือการลบ services ก็เป็นอีกตัวช่วยหนึ่งในการตรวจจับ และบล็อกพฤติกรรมที่เป็นอันตรายได้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

12/07/2567

Avast ปล่อยเครื่องมือถอดรหัสฟรีสำหรับ Ransomware DoNex และเวอร์ชันก่อนหน้า


    Antivirus Avast ได้ค้นพบช่องโหว่ในโครงสร้างเข้ารหัสของ Ransomware DoNex และได้ปล่อยเครื่องมือถอดรหัสเพื่อให้เหยื่อสามารถกู้คืนไฟล์ได้ฟรี บริษัทระบุว่าได้ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายในการให้เครื่องมือถอดรหัสแก่เหยื่อของ Ransomware DoNex ตั้งแต่เดือนมีนาคม 2024 โดยบริษัทความปลอดภัยไซเบอร์จะแจกจ่ายเครื่องมือถอดรหัสในลักษณะนี้(ไม่บอกรายละเอียดของช่องโหว่) เพื่อป้องกันไม่ให้ผู้โจมตีทราบเกี่ยวกับช่องโหว่
    ช่องโหว่นี้ถูกเปิดเผยในงานประชุม Recon 2024 เมื่อเดือน มิถุนายน 2024 ดังนั้น Avast ตัดสินใจปล่อยเครื่องมือถอดรหัสออกมาเพื่อเป็นประโยชน์ต่อสาธารณะ

การถอดรหัส DoNex
 DoNex เป็นการรีแบรนด์ในปี 2024 ของกลุ่ม "DarkRace" ซึ่งเป็นการรีแบรนด์ในปี 2023 ของ Ransomware Muse ที่ถูกปล่อยออกมาในเดือนเมษายน 2022
    ช่องโหว่ที่ค้นพบโดย Avast มีอยู่ใน Ransomware ตระกูล DoNex และเวอร์ชันก่อนหน้าทั้งหมด รวมถึงเวอร์ชันปลอมที่ใช้แบรนด์ Lockbit 3.0 ที่ใช้จากกลุ่ม 'Muse' ในเดือนพฤศจิกายน 2022


    Avast ระบุว่าจากการตรวจสอบพบว่าการโจมตีล่าสุดของ DoNex มีเป้าหมายในสหรัฐอเมริกา, อิตาลี และเบลเยียม แต่ก็พบการแพร่กระจายไปทั่วโลกอีกเช่นกัน


ช่องโหว่ในระบบการเข้ารหัส
    ในระหว่างการดำเนินการของ DoNex Ransomware encryption key จะถูกสร้างขึ้นโดยใช้ฟังก์ชัน 'CryptGenRandom()' ซึ่งเป็นการเริ่มต้น ChaCha20 symmetric key ที่ใช้ในการเข้ารหัสไฟล์เป้าหมาย
หลังจากขั้นตอนการเข้ารหัสไฟล์ ChaCha20 key จะถูกเข้ารหัสโดยใช้ RSA-4096 และถูกเพิ่มลงในส่วนท้ายของแต่ละไฟล์
    Avast ยังไม่ได้อธิบายว่าช่องโหว่อยู่ที่ใด ดังนั้นอาจเป็นเรื่องของ key reuse, การสร้าง key ที่สามารถคาดเดาได้ หรือปัญหาอื่น ๆ
    สังเกตว่า DoNex ใช้การเข้ารหัสสลับสำหรับไฟล์ที่มีขนาดใหญ่กว่า 1MB วิธีการนี้เพิ่มความเร็วเมื่อเข้ารหัสไฟล์ แต่ทำให้เกิดช่องโหว่ที่สามารถใช้เพื่อกู้คืนข้อมูลที่เข้ารหัสได้โดยไม่ต้องจ่ายค่าไถ่
    เครื่องมือถอดรหัสของ Avast สำหรับ DoNex และเวอร์ชันก่อนหน้า สามารถดาวน์โหลดได้จาก decoded.avast.io แนะนำให้ผู้ใช้เลือกเวอร์ชัน 64-bit เนื่องจากขั้นตอนการแคร็กรหัสผ่านต้องการหน่วยความจำมากเครื่องมือถอดรหัสจำเป็นต้องดำเนินการโดยผู้ใช้ที่มีสิทธิ์เป็นผู้ดูแลระบบ โดยต้องมีไฟล์ที่เข้ารหัส และไฟล์ต้นฉบับ Avast แนะนำให้ผู้ใช้ทดสอบกับไฟล์ตัวอย่างที่มีขนาดใหญ่ที่สุดที่เป็นไปได้ เนื่องจากจะเป็นตัวกำหนดขนาดไฟล์สูงสุดที่สามารถถอดรหัสได้โดยใช้เครื่องมือดังกล่าว


    รวมถึงควรสำรองไฟล์ที่เข้ารหัสไว้ก่อนที่จะพยายามถอดรหัสโดยใช้เครื่องมือ เนื่องจากมีความเป็นไปได้ที่อาจเกิดความผิดพลาด และทำให้ไฟล์เหล่านั้นเสียหายเกินกว่าที่จะกู้คืนได้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

21/06/2567

กลุ่ม Black Basta ransomware กำลังโจมตีช่องโหว่ Zero-Day บน Windows


    ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec บริษัทด้านความปลอดภัยทางไซเบอร์ รายงานว่ากลุ่ม Black Basta ransomware มีความเกี่ยวข้องกับการที่มีการใช้ช่องโหว่แบบ Zero-Day ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์บน Windows โดยที่ช่องโหว่นี้มีเลข CVE เป็น
  • CVE-2024-26169 (คะแนนความรุนแรง CVSS 7.8/10 ระดับ High) เป็นช่องโหว่ใน Windows Error Reporting Service ที่ทำให้ Hacker สามารถยกระดับสิทธิ์เป็น SYSTEM ได้ โดยช่องโหว่นี้ได้ถูกแก้ไขไปแล้วใน Patch Tuesday update ประจำเดือนมีนาคม 2024
    โดยทาง Symantec ระบุว่าช่องโหว่ CVE-2024-26169 กำลังถูกใช้ในการโจมตีอย่างแพร่หลายจากกลุ่ม Cardinal (Storm-1811, UNC4394) ซึ่งเป็นปฏิบัติการของกลุ่ม Black Basta
    Black Basta เป็นกลุ่ม ransomware ที่มีความเชื่อมโยงกับกลุ่ม Conti ransomware ที่ปิดตัวลงไปก่อนหน้านี้ ซึ่งการโจมตีแสดงให้เห็นถึงความเชี่ยวชาญในการโจมตีโดยใช้ Windows tools และความเข้าใจเชิงลึกเกี่ยวกับแพลตฟอร์ม Windows
การโจมตีช่องโหว่ CVE-2024-26169
    Symantec ตรวจสอบการโจมตีด้วยแรนซัมแวร์โดยใช้ exploit tool สำหรับ CVE-2024-26169 หลังจากการโจมตีครั้งแรกก็จะทำการติดตั้ง DarkGate loader ซึ่งทาง Black Basta ได้นำมาใช้งานแทนที่ QakBot
ผู้เชี่ยวชาญด้านความปลอดภัยเชื่อว่าผู้โจมตีช่องโหว่มีความเชื่อมโยงกับกลุ่ม Black Basta เพราะพบการใช้สคริปต์ที่ปลอมแปลงเป็น software updates ที่ออกแบบมาเพื่อเรียกใช้คำสั่งที่เป็นอันตราย และฝังตัวอยู่ในระบบที่ถูกโจมตี ซึ่งเป็นกลยุทธ์ทั่วไปสำหรับกลุ่มผู้โจมตีกลุ่มนี้
    สามารถตรวจสอบการใช้ exploit tool ได้โดยการตรวจสอบจาก Windows file werkernel.sys ในส่วน security descriptor ที่มีค่า null เมื่อสร้าง registry keys โดย exploit tool จะสร้าง registry keys (HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WerFault.exe) และตั้งค่า "Debugger" ให้เป็น pathname ที่เรียกทำงานได้ด้วยตัวเอง ทำให้สามารถเปิด shell ด้วยสิทธิ์ SYSTEM ของระบบ


    การค้นพบ exploit tool ของ Symantec ถูกพบตั้งแต่วันที่ 27 กุมภาพันธ์ 2024 ในขณะที่อีกตัวอย่างถูกพบก่อนหน้านี้ในวันที่ 18 ธันวาคม 2023 หมายความว่าการโจมตีช่องโหว่ Zero-Day ดังกล่าวถูกใช้งานมามากกว่า 85 วันก่อนที่ Microsoft จะเปิดเผยช่องโหว่ดังกล่าว
    ในเดือนพฤษภาคม 2024 ทาง CISA และ FBI ได้แจ้งเตือนถึงการโจมตีของกลุ่ม Black Basta กว่า 500 ครั้งนับตั้งแต่เดือนเมษายน 2022 รวมถึงได้มีคำแนะนำการป้องกันโจมตีจากกลุ่ม Black Basta ผู้ดูแลระบบควรอัปเดตความปลอดภัยของ Windows อย่างสม่ำเสมอ และปฏิบัติตามแนวทางด้านความปลอดภัยของ CISA

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

07/06/2567

Ransomware Target Company เวอร์ชัน Linux มุ่งเป้าโจมตีไปที่ VMware ESXi

        


        นักวิจัยพบ Ransomware TargetCompany เวอร์ชันใหม่บนระบบ Linux ที่มุ่งโจมตี VMware ESXi โดยใช้ Shell Script เพื่อส่งผ่านข้อมูลและวางไฟล์ข้อมูลที่เครื่องเป้าหมาย

        ผู้ไม่ประสงค์ดีที่ใช้ Ransomware TargetCompany  โจมตีนั้นยังเป็นที่รู้จักในชื่อ  Mallox, FARGO  และ  Tohnichi  ปรากฏตัวขึ้นในเดือนมิถุนายน 2021 โดยมุ่งโจมตีฐานข้อมูล MySQL, Oracle, SQL Server ขององค์กรต่างๆ ในไต้หวัน เกาหลีใต้ ไทย และอินเดีย

        ในเดือนกุมภาพันธ์ 2022 บริษัทรักษาความปลอดภัย AvastAvast ประกาศแจกฟรีเครื่องมือถอดรหัสสำหรับ Ransomware เวอร์ชันต่างๆ ที่ออกก่อนหน้านั้น แต่ถึงเดือนกันยายน กลุ่มโจมตีก็กลับมาโจมตีอีกครั้ง มุ่งเป้าไปยังเซิร์ฟเวอร์ Microsoft SQL ที่มีช่องโหว่ และข่มขู่เหยื่อว่าจะปล่อยข้อมูลที่ขโมยไปผ่าน Telegram

Ransomware Target Company เวอร์ชันใหม่บน Linux

        บริษัทด้านความปลอดภัยไซเบอร์  Trend Micro  รายงานว่า Ransomware TargetCompany  เวอร์ชันใหม่บน  Linux  จะตรวจสอบสิทธิ์การเป็นผู้ดูแลระบบก่อนที่จะดำเนินการโจมตีต่อ ผู้ไม่หวังดีใช้เขียน Script ไฟล์เพื่อดาวน์โหลดและรันเพย์โหลดของ Ransomware โดย Script นี้ยังสามารถขโมยข้อมูลไปยังเซิร์ฟเวอร์แยกต่างหากสองเครื่อง เพื่อป้องกันกรณีมีปัญหาทางเทคนิคกับเครื่องเป้าหมาย หรือกรณีเครื่องเป้าหมายถูกโจมตี


        เมื่อเข้าสู่ระบบเป้าหมายแล้ว เพย์โหลดจะตรวจสอบว่ามีระบบ VMware ESXi หรือไม่ โดยใช้คำสั่ง uname และค้นหาคำว่า "vmkernel" จากนั้น จะสร้างไฟล์ "TargetInfo.txt" และส่งไปยังเซิร์ฟเวอร์ควบคุม (C2) ไฟล์นี้มีข้อมูลของเหยื่อ เช่น ชื่อโฮสต์, ที่อยู่ IP, รายละเอียดระบบปฏิบัติการ, ผู้ใช้ที่เข้าสู่ระบบและสิทธิ์, และรายละเอียดเกี่ยวกับไฟล์และไดเร็กทอรี่ที่ถูกเข้ารหัส

        Ransomware จะเข้ารหัสไฟล์ที่มีนามสกุลเกี่ยวข้องกับ VM (vmdk, vmem, vswp, vmx, vmsn, nvram) โดยจะต่อด้วยนามสกุล “.locked” กับไฟล์ที่ถูกเข้ารหัส

        สุดท้าย Ransomware จะวางไฟล์เรียกค่าไถ่ชื่อ “HOW TO DECRYPT.txt” ซึ่งมีคำแนะนำสำหรับเหยื่อเกี่ยวกับวิธีจ่ายค่าไถ่และรับคีย์ถอดรหัสที่ถูกต้อง หลังจากดำเนินการทั้งหมดเสร็จสิ้น สคริปต์เชลล์จะลบเพย์โหลดโดยใช้คำสั่ง rm -f x เพื่อลบร่องรอยทั้งหมดที่อาจใช้ในการตรวจสอบเหตุการณ์หลังการโจมตีออกจากเครื่องที่ได้รับผลกระทบ

 


ข้อมูลเพิ่มเติมจากนักวิเคราะห์ของ Trend Micro

        นักวิเคราะห์ของ  Trend Micro  เชื่อว่า การโจมตีด้วย  Ransomware TargetCompany สายพันธุ์  Linux  ใหม่นี้เป็นฝีมือของผู้ร่วมขบวนการชื่อ “vampire” ซึ่งน่าจะเป็นคนเดียวกับที่ปรากฏในรายงานของ Sekoia เมื่อเดือนที่แล้ว

        ที่อยู่ IP ที่ใช้สำหรับส่งเพย์โหลดและรับไฟล์ข้อความที่มีข้อมูลของเหยื่อนั้น ถูกติดตามไปยังผู้ให้บริการอินเทอร์เน็ต (ISP) ในประเทศจีน อย่างไรก็ตาม ข้อมูลนี้ยังไม่เพียงพอที่จะระบุแหล่งที่มาของผู้โจมตีได้อย่างแม่นยำ

        Ransomware TargetCompany มุ่งโจมตีเครื่อง Windows แต่การเปิดตัวสายพันธุ์ Linux และการเปลี่ยนไปโจมตีและเข้ารหัสเครื่อง VMware ESXi แสดงให้เห็นถึงวิวัฒนาการของกลุ่มโจมตี

คำแนะนำจาก Trend Micro

        Trend Micro แนะนำให้เปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA), สำรองข้อมูล, และอัปเดตระบบให้เป็นเวอร์ชันล่าสุด นักวิจัยยังให้รายการตัวบ่งชี้การรั่วไหล (Indicators of Compromise: IOC) พร้อมค่าแฮช (Hash) สำหรับ Ransomware เวอร์ชัน Linux, สคริปต์เชลล์แบบกำหนดเอง และตัวอย่างที่เกี่ยวข้องกับผู้ร่วมขบวนการ "vampire"


Ref: bleepingcomputer


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

13/12/2566

Toyota Financial Services แจ้งเตือนไปยัง Toyota ทั่วโลก ถึงเหตุการณ์ข้อมูลลูกค้ารั่วไหล กระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน



    Toyota Financial Services เป็นบริษัทในเครือของ Toyota Motor Corporation ได้ออกมาประกาศแจ้งเตือนถึงลูกค้าเรื่องข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน
    เหตุการณ์นี้เกิดขึ้นเมื่อเดือนที่ผ่านมา โดยบริษัทถูกเข้าถึงระบบบางส่วนในยุโรป และแอฟริกาโดยไม่ได้รับอนุญาต ภายหลังจากที่ Medusa ransomware อ้างว่าโจมตีแผนกผู้ผลิตรถยนต์ของญี่ปุ่นสําเร็จ โดยผู้โจมตีได้เรียกค่าไถ่จำนวน 8,000,000 ดอลลาร์ เพื่อลบข้อมูลที่ขโมยมา และให้เวลา Toyota 10 วันในการติดต่อกลับ
    โดย Toyota ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า เมื่อทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ทำการออฟไลน์ระบบบางระบบเพื่อปิดช่องโหว่ ทำให้ส่งผลกระทบต่อการบริการลูกค้า ทั้งนี้ สันนิษฐานว่า Toyota ยังไม่ได้มีการเจรจาการจ่ายค่าไถ่กับผู้โจมตี ทำให้ขณะนี้ข้อมูลทั้งหมดถูกปล่อยออกมาบนดาร์กเว็บ
    จากการที่ Toyota Kreditbank GmbH ในเยอรมนี ซึ่งเป็นหนึ่งในหน่วยงานที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ได้ออกมายอมรับว่าผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ส่งผลให้ข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป โดยสำนักข่าว Heise ของเยอรมนี ได้รับตัวอย่างแถลงการณ์ที่ Toyota ส่งถึงลูกค้าชาวเยอรมัน แจ้งว่าข้อมูลรั่วไหลประกอบด้วยข้อมูลดังต่อไปนี้

ข้อมูลที่รั่วไหลออกไป
  • ชื่อ
  • ที่อยู่
  • ข้อมูลสัญญา
  • รายละเอียดการเช่าซื้อ
  • IBAN (หมายเลขบัญชีธนาคารระหว่างประเทศ)
    โดยข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง การหลอกลวง และการทำธุรกรรมทางการเงิน รวมถึงการขโมยข้อมูลส่วนบุคคล ดังนั้นจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น
    อย่างไรก็ตามการตรวจสอบยังไม่เสร็จสิ้น และยังมีความเป็นไปได้ที่ผู้โจมตีจะสามารถเข้าถึงข้อมูลเพิ่มเติม โดยทาง Toyota กำลังดำเนินการตรวจสอบอย่างละเอียด และหากพบว่ามีการเปิดเผยข้อมูลเพิ่มเติม คาดว่าบริษัทจะรีบแจ้งให้ผู้ที่ได้รับผลกระทบทราบโดยทันที

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

15/09/2566

Cisco แจ้งเตือนช่องโหว่ Zero-day ใน VPN กำลังถูกใช้ในการโจมตีด้วย Ransomware


    Cisco แจ้งเตือนช่องโหว่ CVE-2023-20269 ซึ่งเป็นช่องโหว่ Zero-day ใน Cisco Adaptive Security Appliance (ASA) และ Cisco Firepower Threat Defense (FTD) กำลังถูกกลุ่ม Ransomware ใช้ในการโจมตีเพื่อเข้าถึงระบบเครือข่ายของเป้าหมาย
    CVE-2023-20269 (คะแนน CVSS 5/10 ความรุนแรงระดับกลาง) เป็นช่องโหว่ที่ส่งผลกระทบต่อฟีเจอร์ VPN ของ Cisco ASA และ Cisco FTD ทำให้ ผู้ไม่ประสงค์ดีสามารถทำการโจมตีแบบ Brute Force ด้วย Remote กับบัญชีที่มีอยู่ได้ ซึ่งหากโจมตีได้สำเร็จก็สามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กรที่เป็นเป้าหมาย ซึ่งเป็นขั้นตอนแรกในการเข้าถึงเครือข่าย ซึ่งอาจมีผลกระทบที่แตกต่างกันไป ขึ้นอยู่กับการตั้งค่าบนเครือข่าย
    โดยในเดือนสิงหาคม 2023 BleepingComputer รายงานว่ากลุ่ม Akira ransomware ได้ทำการโจมตีเครือข่ายองค์กรผ่านอุปกรณ์ VPN ของ Cisco โดย SentinelOne คาดการณ์ว่าอาจมาจากช่องโหว่ Zero-day ที่ยังไม่เป็นที่รู้จัก ต่อมา Rapid7 ได้รายงานว่าพบการโจมตีของกลุ่ม Lockbit ransomware ได้ทำการโจมตีเป้าหมายผ่านช่องโหว่ Zero-day ของ Cisco VPN เช่นเดียวกัน ซึ่งทาง Cisco ได้ออกคำเตือนว่าการโจมตีกล่าวเกิดขึ้นจากการโจมตีด้วยการ brute forcing credentials บนอุปกรณ์ที่ไม่ได้กำหนดค่า MFA
ซึ่งปัจจุบันทาง Cisco ได้ยืนยันการมีอยู่ของช่องโหว่แบบ Zero-day ที่กลุ่ม ransomware ใช้ในการโจมตี และได้ระบุวิธีการแก้ไขชั่วคราว แต่ยังไม่มีแพตซ์อัปเดตด้านความปลอดภัยสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว

รายละเอียดช่องโหว่
    ช่องโหว่ CVE-2023-20269 อยู่ภายใน web services interface ของอุปกรณ์ Cisco ASA และ Cisco FTD โดยเฉพาะฟังก์ชันที่เกี่ยวข้องกับฟังก์ชัน authentication, authorization และ accounting (AAA)
    ช่องโหว่ดังกล่าวเกิดจากการแยกฟังก์ชัน AAA และคุณลักษณะซอฟต์แวร์อื่น ๆ ไม่ถูกต้อง ทำให้ ผู้ไม่ประสงค์ดี สามารถส่งคำขอการ authentication ไปยัง web services interface ในการโจมตีดเพื่อให้ได้ authorization
    เนื่องจาก request เหล่านี้ไม่มีการจำกัดจำนวนครั้ง ผู้ไม่ประสงค์ดี จึงสามารถโจมตีแบบ brute force credentials โดยใช้ชื่อผู้ใช้ และรหัสผ่านจำนวนนับไม่ถ้วน โดยไม่ถูกจำกัด หรือถูกบล็อก โดยเพื่อให้สามารถโจมตีแบบ brute force credentials ได้ อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขต่อไปนี้:
  • ผู้ใช้อย่างน้อยหนึ่งรายได้รับการกำหนดค่าด้วยรหัสผ่านใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
  • เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ หรือเปิดใช้งาน IKEv2 VPN บน interface อย่างน้อยหนึ่งรายการ
  • หากอุปกรณ์ที่ถูกโจมตีใช้งาน Cisco ASA Software เวอร์ชัน 9.16 หรือเก่ากว่า ผู้ไม่ประสงค์ดี จะสามารถสร้างเซสชัน SSL VPN แบบ clientless บนเครือข่ายขององค์กร โดยไม่ต้องให้สิทธิ์อนุญาตเพิ่มเติมเมื่อ authentication ได้สำเร็จ
หากต้องการสร้างเซสชัน SSL VPN แบบ clientless อุปกรณ์ของ Cisco จะต้องตรงตามเงื่อนไขเหล่านี้:
  • ผู้ไม่ประสงค์ดี มีข้อมูล credential ที่ถูกต้องสำหรับผู้ใช้งานที่อยู่ใใน LOCAL database หรือ HTTPS management authentication ที่ชี้ไปยังเซิร์ฟเวอร์ AAA ที่ถูกต้อง
  • อุปกรณ์กำลังใช้งาน Cisco ASA Software เวอร์ชัน 16 หรือเก่ากว่า
  • เปิดใช้งาน SSL VPN บน interface อย่างน้อยหนึ่งรายการ
  • อนุญาตให้ใช้โปรโตคอล SSL VPN แบบ clientless ใน DfltGrpPolicy
แนวทางการแก้ไข
    Cisco มีแผนที่จะออกแพตซ์อัปเดตความปลอดภัยสำหรับช่องโหว่ CVE-2023-20269 แต่จนกว่าจะมีการแก้ไข ทาง Cisco ได้แนะนำให้ผู้ดูแลระบบดำเนินการต่อไปนี้:
  • ใช้ DAP (Dynamic Access Policies) เพื่อหยุดการทำงานของ VPN tunnels ด้วย DefaultADMINGroup หรือ DefaultL2LGroup
  • ปฏิเสธการเข้าถึงด้วย Default Group Policy โดยการปรับ vpn-simultaneous-logins สำหรับ DfltGrpPolicy ให้เป็นศูนย์ และตรวจสอบให้แน่ใจว่า VPN session profiles ทั้งหมดชี้ไปที่ custom policy
  • ใช้ข้อจำกัด LOCAL user database restrictions โดยการล็อคผู้ใช้งานบางรายให้อยู่ในโปรไฟล์เดียวด้วยตัวเลือก 'group-lock' และป้องกันการตั้งค่า VPN โดยการตั้งค่า 'vpn-simultaneous-logins' ให้เป็นศูนย์
    Cisco ยังแนะนำให้ใช้ Default Remote Access VPN profiles โดยชี้โปรไฟล์ที่ไม่ใช่ Default ทั้งหมดไปยัง sinkhole AAA server (dummy LDAP server) และเปิดใช้งานการ logging เพื่อตรวจจับเหตุการณ์การโจมตีที่อาจเกิดขึ้น รวมถึงการเปิด multi-factor authentication (MFA) ช่วยลดความเสี่ยงในการโจมตีได้ เนื่องจากการโจมตีแบบ brute force credentials จะทำให้ไม่สามารถเข้าถึงบัญชีที่มีการเปิดใช้งาน MFA ได้

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

29/06/2566

มีการตรวจพบ Akira Ransomware ในระบบปฏิบัติการแบบ Linux


   มีการตรวจพบการโจมตีจากกลุ่มผู้ไม่ประสงค์ดี ด้วยการใช้ Akira Ransomware โดยที่เป้าหมายการโจมตีเป็นกลุ่มของผู้ใช้งาน VMware ESXi และใช้ระบบปฏิบัติการ Linux
    Akira Ransomware ถูกพบครั้งแรกเมื่อเดือน มีนาคม 2023 โดยเป็นกลุ่มเป้าหมายที่ใช้ระบบปฏิบัติการ Windows ในธุรกิจอุตสาหกรรมต่าง ๆ รวมถึงวงการการศึกษา การเงิน อสังหาริมทรัพย์ การผลิต และการให้คำปรึกษา โดยที่ผู้ไม่ประสงค์ดีก็ยังคงใช้รูปแบบการโจมตีด้วยการขโมย ข้อมูลจากเครือข่ายที่มีช่องโหว่ และเข้าทำการล็อกไฟล์บนเครื่องเป้าหมายและทำการเรียกค่าไถ่ เป็นมูลค่าถึง ล้านดอลลาร์


    มิถุนายน 2023 Akira กลับมาอีกครั้ง โดยถูกตรวจสอบพบโดย ผู้เชี่ยวชาญด้านความปลอดภัยและวิเคราะห์ Malwar Rivitna การตรวจสอบทดสอบด้วยการวิเคราะห์ตัวเข้ารหัสบน Linux ซึ่งมีการตรวจพบเป็นลักษณะของไฟล์ที่มีชื่อว่า 'Esxi_Build_Esxi6' ตัวอย่างเช่น หนึ่งใน ไฟล์ซอร์สโค้ดของโปรเจ็กต์คือ  /mnt/d/vcprojects/Esxi_Build_Esxi6/argh.h ซึ่งเป็นการกำหนดมาเพื่อเป้าหมายที่เป็น VMware ESXi โดยเฉพาะ
    ในช่วงที่ผ่านมา กลุ่มผู้ไม่ประสงค์ดีได้มีการโจมตีไปทางฝั่งเครื่อง VMware บ้างแล้วเนื่องจากกลุ่มผู้ใช้งานในองค์กร ส่วนมาก หันไปใช้เครื่องเสมือนเพราะใช้งานง่ายและกำหนดค่ามีประสิทธิภาพมากกว่าการใช้เครื่องจริง แต่การใช้งาน Akira Ransomware ด้วยการที่พึ่งถูกพัฒนามาไม่นาน เลยทำให้ยังไม่น่ากลัวมากนัก แต่รูปแบบพื้นฐานของการโจมตีนั้นเป็นเพียง
การเข้ายึดได้นั้นคือ
  • -p --encryption_path (targeted file/folder paths)
  • -s --share_file (targeted network drive path)
  • - n --encryption_percent (percentage of encryption)
  • --fork (create a child process for encryption)


    ผู้เชี่ยวชาญของ Cyble ได้ออกมาพูดถึง Akira Ransomware บน Linux ว่ามีตัวเข้ารหัส RSA สาธารณะและใช้ประโยชน์จากอัลกอริธึมคีย์สมมาตรหลายตัวสำหรับการเข้ารหัสไฟล์ รวมถึง AES, CAMELLIA, IDEA-CB และ DES
    คีย์สมมาตรใช้เพื่อเข้ารหัสไฟล์ของเหยื่อ จากนั้นจึงเข้ารหัสด้วยคีย์สาธารณะ RSA วิธีนี้จะป้องกันการเข้าถึงคีย์ถอดรหัส เว้นแต่คุณจะมีคีย์ถอดรหัสส่วนตัว RSA ที่ผู้โจมตีถือครองไว้เท่านั้น


    ไฟล์ที่เข้ารหัสซึ่งถูกเปลี่ยนชื่อให้มี  นามสกุล .akira  และบันทึกค่าไถ่แบบฮาร์ดโค้ดชื่อ  akira_readme.txt  จะถูกสร้างขึ้นในแต่ละโฟลเดอร์บนอุปกรณ์ที่เข้ารหัส


    และหลังจากที่ Akira Ransomware บน Linux ออกมานั้น ยังไม่มีแนวทางในการป้องกันหรือ ยังไม่พบ ตัวถอดรหัส ใด ๆ

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

02/06/2566

พบ Malware Vidar Stealer, Laplas Clipper และ XMRig Miner บน YouTube Platform


เมื่อต้นเดือนที่ผ่านมา FortiGuard Labs พบการโจมตีที่ถูกใช้งานอยู่ซึ่งเป็นช่องทางก่อให้เกิดอันตรายต่อเป้าหมาย YouTube เนื่องจากพบช่อง YouTube ที่ได้รับการยืนยันว่ามีฐานสมาชิกจำนวนมาก ได้ใช้ประโยชน์จากช่องทางนี้เพื่ออัปโหลดวิดีโอที่ส่งเสริมการดาวน์โหลดSoftwareละเมิดลิขสิทธิ์ต่าง ๆ โดยผู้ที่ตกเป็นเหยื่อโดยไม่เจตนาจะถูกสร้าง ให้ติดตั้ง Malware หลายสายพันธุ์ซึ่งส่งผลให้เกิดการติดMalwareบนเครื่องของเหยื่อ รวมถึงการเก็บข้อมูล Credential , การทำ Cryptojacking และการขโมย Cryptocurrency
ผู้ไม่ประสงค์ดีอัปโหลดวิดีโอที่เป็นอันตราย มากกว่า 50 รายการภายในเวลา 8 ชั่วโมง โดยแต่ละรายการเป็นการชักชวนให้ใช้ Software ละเมิดลิขสิทธิ์หลายรายการ ซึ่งท้ายที่สุดแล้วจะนำเป้าหมายไปยัง URL เดียวกันดังรายละเอียดที่แสดงด้านล่างนี้

ผู้ไม่ประสงค์ดีจะใช้ URL และรหัสผ่าน ซึ่งโดยทั่วไปประกอบด้วยตัวเลข 4 หลัก จะวางไว้ในส่วนคำอธิบายและความคิดเห็นของวิดีโอเพื่อความสะดวก
เหยื่อจะถูกเปลี่ยนเส้นทางไปยังไฟล์ Archive ที่ป้องกันด้วยรหัสผ่าน เช่น “2O23-F1LES-S0ft.rar” ซึ่งโฮสต์บนแพลตฟอร์มบริการแชร์ไฟล์
ผู้ไม่ประสงค์ดีจะใช้ ไฟล์ RAR ที่ร้องขอผู้ที่อาจตกเป็นเหยื่อให้แยกข้อมูลโดยใช้รหัสผ่านที่ให้มาและเรียกใช้ไฟล์ .exe

Malware ที่เป็นอันตรายที่เกี่ยวข้องกับการโจมตีสรุปได้ดังนี้:
Launcher_S0FT-2O23.exe: นี่คือตัวขโมยข้อมูลของ Vidar ซึ่งใช้เทคนิคในรวมตัวเข้าไปกับไฟล์ที่ไม่มีขนาดมากกว่า 1GB วิธีนี้มีจุดประสงค์เพื่อหลีกเลี่ยงโปรแกรมป้องกันไวรัสและแซนด์บ็อกซ์ที่มีข้อจำกัดในการสแกนไฟล์ขนาดใหญ่เนื่องจากทรัพยากร CPU และ RAM ที่จำกัด

รูปแบบการโจมตีของ Vidar Stealer

  • Laplas Clipper: ตรวจสอบคลิปบอร์ดของ Windows อย่างต่อเนื่องเพื่อหาเนื้อหาที่ตรงกับรูปแบบเฉพาะที่เรียกค้นจากเซิร์ฟเวอร์ C2 Laplas Clipper แทนที่ที่อยู่กระเป๋าเงินเดิมของผู้รับเงินด้วยที่อยู่ของผู้กระทำการคุกคาม เพื่อโอนเงินไปยังการควบคุมของผู้โจมตี
  • Task32Main: นี่คือตัวติดตั้ง Monero Miner และสามารถคงความคงอยู่และหลีกเลี่ยงโปรแกรมป้องกันไวรัส

    รูปแบบการโจมตีนี้นำเสนอให้เห็นถึงอันตรายของการดาวน์โหลดสำเนาSoftwareละเมิดลิขสิทธิ์ เนื่องจากเป็นช่องทางสำหรับผู้ไม่ประสงค์ดีที่ใช้รวบรวมข้อมูลประจำตัว ข้อมูลที่สำคัญ และสกุลเงินดิจิตอล ยิ่งไปกว่านั้น เมื่อระบบถูกโจมตี ผู้ไม่ประสงค์ดีจะใช้มันเพื่อเข้ารหัสลับ ขอเตือนเป้าหมายว่าอย่าหลงเชื่อข้อเสนอSoftwareแคร็กบน YouTube หรือที่ใดก็ตาม

Ref : cyware
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

31/05/2566

BlackCat Ransomware ใช้ Windows Kernel Driver ที่เป็นอันตรายในการโจมตี


    BlackCat ใช้ Windows Kernel Driver ที่เป็นอันตรายเพื่อหลบเลี่ยงการตรวจจับจากซอฟต์แวร์รักษาความปลอดภัยระหว่างการโจมตี Driver ดังกล่าว เป็นของ Malware POORTRY ซึ่งถูกตรวจพบโดย Microsoft, Mandiant, Sophos และ SentinelOne
    Malware POORTRY เป็น Driver ที่ใช้ในการขโมยคีย์จากบัญชี Windows Hardware Developer Program ของ Microsoft โดยปกติซอฟต์แวร์รักษาความปลอดภัยจะได้รับการป้องกันจากการถูกหยุดกระบวนการหรือดัดแปลง แต่ Windows Kernel Driver ที่ทำงานด้วยสิทธิ์สูงสุดในระบบปฏิบัติการสามารถหยุดกระบวนการเกือบทุกชนิดได้


    Driver ที่ใช้ในการโจมตี คือ ktgn,sys ถูกปล่อยลงใน filesystem ของเหยื่อในโฟลเดอร์ %Temp% จากนั้นจะโหลดโปรแกรมชื่อ tjr.exe ทำให้ดำเนินการด้วยสิทธิ์ Windows Kernel ได้จากการวิเคราะห์ มีการใช้รหัส Device Input and Output Control (IOCTL) เพื่อปิดการทำงานของกระบวนการความปลอดภัยที่ติดตั้งอยู่บนระบบ
    ผู้ดูแลระบบควรตรวจสอบให้แน่ชัดว่าได้เปิดใช้งาน Driver Signature Enforcement ซึ่งจะบล็อกการติดตั้ง Driver ที่ไม่ที่ถูกต้อง

คำแนะนำ
  • หลีกเลี่ยง Website, link หรือ File ที่ไม่น่าไว้วางใจ
  • ติดตั้ง Antivirus และ Full Scan อยู่เสมอ
  • อัปเกรดระบบปฏิบัติการ และ ซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด
  • ทำการ Backup file สำคัญไว้หลายๆที่และควรสำรองข้อมูลแบบออฟไลน์ เช่น copy ไฟล์เก็บไว้ใน Harddisk หรือ Clound
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

16/03/2566

CISA เปิดตัวเครื่องมือในการประเมินช่องโหว่ที่เสี่ยงต่อ Ransomware สำหรับหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญในชื่อ RVWP

CISA now warns critical infrastructure of ransomware-vulnerable devices


    US Cybersecurity & Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์ของสหรัฐ ได้ประกาศเปิดตัวโครงการใหม่ที่จะช่วยประเมินช่องโหว่ที่เสี่ยงต่อการถูกโจมตีจาก Ransomware สำหรับหน่วยงานโครงสร้างพื้นฐานที่มีความสำคัญ Critical Infrastructure (CI) ในชื่อ Ransomware Vulnerability Warning Pilot (RVWP) ซึ่งได้เปิดตัวในวันที่ 30 มกราคม 2023 ที่ผ่านมา

โครงการ RVWP ได้มีเป้าหมาย 2 ประการคือ
  • เพื่อค้นหาช่องโหว่ในเครือข่ายของหน่วยงานโครงสร้างพื้นฐานที่สำคัญ (CI) ที่ได้มีการเปิดเชื่อมต่อกับอินเทอร์เน็ต ซึ่งเสี่ยงต่อการโจมตีจาก Ransomware
  • ให้การช่วยเหลือ หรือให้คำแนะนำหน่วยงานโครงสร้างพื้นฐานที่สำคัญ (CI) ในการแก้ไขช่องโหว่ก่อนที่จะถูกโจมตี
    โดยในโครงการ RVWP ทาง CISA จะนำแหล่งข้อมูลต่าง ๆ ในหน่วยงาน และเทคโนโลยีที่มีอยู่แล้ว นำมาวิเคราะห์ และระบุช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับการโจมตีของ Ransomware เมื่อสามารถระบุระบบที่ได้รับผลกระทบเหล่านี้แล้ว ทีมงานของ CISA จะแจ้งให้เจ้าของระบบทราบถึงช่องโหว่ด้านความปลอดภัย ซึ่งจะช่วยให้สามารถป้องกัน และแก้ไขได้ทันท่วงทีก่อนที่จะเกิดการโจมตี
    ซึ่งโครงการนี้ได้เกิดขึ้นหลังจากการรายงานว่า องค์กรโครงสร้างพื้นฐานที่สำคัญ และหน่วยงานรัฐบาลของสหรัฐฯ ได้ตกเป็นเป้าหมายของการโจมตีมากขึ้นเรื่อย ๆ เช่น Colonial Pipeline, JBS Foods และ Kaseya
โดยก่อนหน้านี้ในเดือนมิถุนายน 2021 ทาง CISA ได้เปิดตัว Ransomware Readiness Assessment (RRA) ซึ่งเป็นโมดูลใหม่สำหรับ Cyber ​​Security Evaluation Tool (CSET) ซึ่งช่วยให้องค์กรต่าง ๆ สามารถประเมินความพร้อมในการป้องกัน และกู้คืนจากการโจมตีของ Ransomware และสามารถปรับแต่งสำหรับระดับความปลอดภัยทางไซเบอร์ที่แตกต่างกันได้


    ต่อมาในเดือนสิงหาคม 2021 CISA ได้เผยแพร่คู่มือ How to Prevent Ransomware Data Breaches เพื่อให้คำแนะนำ และช่วยองค์กรภาครัฐ และเอกชนที่มีความเสี่ยงในการป้องกัน การละเมิดข้อมูล Ransomware และได้ประกาศความร่วมมือในการปกป้องโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ จาก Ransomware และภัยคุกคามทางไซเบอร์อื่น ๆ ในชื่อ *Joint Cyber ​​Defense Collaborative (JCDC) โดยได้รวบรวมหน่วยงาน รัฐบาลกลาง รัฐ และรัฐบาลท้องถิ่น เช่น กระทรวงกลาโหม NSA กระทรวงยุติธรรม เอฟบีไอ กองบัญชาการไซเบอร์สหรัฐ และสำนักงานทางผู้อำนวยการข่าวกรองแห่งชาติ และองค์กรภาคเอกชน เช่น Microsoft, Google Cloud, Amazon Web Services, AT&T, Crowdstrike, FireEye Mandiant, Lumen, Palo Alto Networks และ Verizon เพื่อสร้างแผนป้องกันทางไซเบอร์สำหรับกิจกรรมทางไซเบอร์ที่เป็นอันตรายซึ่งกำหนดเป้าหมายไปยังโครงสร้างพื้นฐานที่สำคัญ (CI)
    นอกจากนี้ทาง CISA ยังได้เปิดตัว “cisa.gov/stopransomware” โดยเป็นเว็บไซต์ที่รวบรวมข้อมูล และทรัพยากรทั้งหมดที่จำเป็นในการป้องกัน และหยุดการโจมตีของ Ransomware รวมถึงเครื่องมือที่จำเป็นในการรายงานเหตุการณ์ Ransomware รวมถึงช่องทางขอความช่วยเหลือด้านเทคนิคอีกด้วย

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

21/02/2566

ESXiArgs Ransomware ตัวใหม่ ปรากฏขึ้นหลังจาก CISA เปิดตัวเครื่องมือถอดรหัส ESXiArgs


  หลังจากสำนักงานความมั่นคงปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ CISA เปิดตัวเครื่องมือถอดรหัสเพื่อกู้คืนข้อมูล สำหรับเหยื่อที่ได้รับผลกระทบจากการโจมตีของ ESXiArgs Ransomware ก็มีการตรวจพบ ESXiArgs Ransomware ตัวใหม่อีก ชนิดหนึ่งโดยรายงานจากผู้ดูแลระบบในฟอรัมออนไลน์พบว่าไฟล์ที่มีขนาดใหญ่กว่า 128MB จะมีการเข้ารหัสข้อมูลแบบ 50% ทำให้กระบวนการกู้คืนมีความลำบากยิ่งขึ้นรวมถึงการลบที่อยู่ Bitcoin ออกจากบันทึกเรียกค่าไถ่ เพื่อให้เหยื่อติดต่อพวกเขาบน Tox แทน เพื่อรับข้อมูลสำหรับการชำระค่าไถ่เนื่องจากกลุ่ม Hacker รู้ว่าตนเองกำลังถูกติดตามอยู่ รวมถึงวิธีการโจมตีที่ใช้นั้นสามารถป้องกันได้อย่างง่ายดาย จึงได้มีการปรับปรุงรูปแบบการโจมตี

    Ransomwere แพลตฟอร์มรวบรวมข้อมูลสถิติได้เปิดเผยว่าจากการสำรวจในวันที่ 9 กุมภาพันธ์ 2566 พบว่ามี VMware ESXi มากถึง 1,252 เครื่องที่ติด ESXiArgs Ransomware เวอร์ชันใหม่ โดย 1,168 เครื่องเป็นเครื่องที่เคยโดนโจมตีมาก่อน โดยตั้งแต่เริ่มมีการระบาดของRansomware ดังกล่าวในต้นเดือนกุมภาพันธ์ พบ VMware ESXi กว่า 3,800 เครื่องถูกโจมตี
    นอกจากนี้ Rapid7 บริษัทด้านความปลอดภัยทางไซเบอร์ ยังได้พบ VMware ESXi กว่า 18,581 เครื่องที่เข้าถึงได้จากอินเทอร์เน็ตที่มีช่องโหว่ CVE-2021-21974 และยังพบว่ากลุ่ม RansomExx2 ได้กำหนดเป้าหมายการโจมตีไปยังเซิร์ฟเวอร์ VMware ESXi ที่มีความเสี่ยงเหล่านี้อีกด้วยโดยเครื่องมือในการเข้ารหัสข้อมูลของ ESXiArgs Ransomware เช่น Cheerscrypt และ PrideLocker มีพื้นฐานมาจาก Babuk locker ที่ได้มีการเผยแพร่ซอร์สโค้ดในเดือนกันยายน 2021 แต่ก็มีสิ่งที่ทำให้ ESXiArgs แตกต่างจาก Ransomware กลุ่มอื่น

    นั่นคือการที่ ESXiArgs ไม่ได้มีการสร้างเว็บไซต์ที่เผยแพร่ข้อมูลการโจมตี และข้อมูลของเหยื่อ ซึ่งบ่งชี้ได้ว่า ESXiArgs Ransomware นั้นไม่ได้เป็นลักษณะ ransomware-as-a-service (RaaS) โดย ESXiArgs จะทำการเรียกค่าไถ่ที่มากกว่าสองบิตคอยน์ (47,000 ดอลลาร์สหรัฐ) และเหยื่อจะมีเวลา 3 วันในการจ่ายเงินค่าไถ่
    VMware ระบุว่า แม้ว่าในตอนแรกจะสงสัยว่าการบุกรุกนั้นเกี่ยวข้องกับช่องโหว่ OpenSLP VMware ESXi (CVE-2021-21974) ซึ่งได้มีการออกแพตซ์อัปเดตเพื่อปิดช่องโหว่แล้ว แต่จนถึงปัจจุบันยังไม่พบหลักฐานบ่งชี้ว่ามีการใช้ช่องโหว่ดังกล่าวเพื่อแพร่กระจาย Ransomware ทำให้มีความเป็นไปได้ที่กลุ่ม Hackers อาจใช้ช่องโหว่อื่น ๆ ที่ได้รับการเปิดเผยออกมาหลายรายการใน VMware ESXi เพื่อโจมตีเป้าหมาย รวมไปถึงปัจจุบันยังไม่สามารถระบุได้ว่าการโจมตีของ ESXiArgs Ransomware มาจาก Hackers กลุ่มไหนกันแน่

    ดังนั้นสิ่งที่ผู้ดูแลระบบควรทำคือเร่งดำเนินการอัปเดตเพื่อป้องกันช่องโหว่โดยเร็วที่สุด เพื่อป้องกันการตกเป็นเป้าหมายในการโจมตี

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

26/12/2565

Play Ransomware ใช้ช่องโหว่บน Microsoft Exchange เพื่อเจาะเข้าถึงเซิร์ฟเวอร์


  CrowdStrike พบกลุ่ม Play Ransomware กำลังใช้เครื่องมือที่ใช้ในการโจมตีช่องโหว่บน Microsoft Exchange ที่ชื่อว่า ProxyNotShell ซึ่งเป็นช่องโหว่ที่ถูกพบในเดือนตุลาคมที่ผ่านมา เพื่อเรียกใช้งานคำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ที่มีช่องโหว่ผ่านทาง Outlook Web Access (OWA) และยังตรวจสอบ พบเครื่องมือที่ใช้ในการโจมตีช่องโหว่ดังกล่าวที่ชื่อว่า “OWASSRF” ขณะทำการวิเคราะห์วิธีการโจมตีของกลุ่ม Play Ransomware ซึ่งพบว่ามีการใช้เซิร์ฟเวอร์ Microsoft Exchange ที่ถูกควบคุมในการโจมตีไปยังระบบอื่น ๆ ของเป้าหมาย

วิธีการโจมตี
    เทคนิค OWASSRF คือการใช้ช่องโหว่ ProxyNotShell เพื่อเข้าถึง Remote PowerShell ของ Microsoft Exchange โดยใช้ช่องโหว่ CVE-2022-41082 รวมไปถึงใช้ช่องโหว่ CVE-2022-41040 ทำการปลอมแปลงค่า server-side request forgery (SSRF) ในการหลีกเลี่ยงการตรวจสอบ (Bypass) และใช้ช่องโหว่ CVE-2022-41080 Outlook Web Access (OWA) เพื่อยกระดับสิทธิ์ของผู้ใช้งาน (Privilege Escalation) บนเซิร์ฟเวอร์ Microsoft Exchange ของเป้าหมาย โดยสามารถโจมตีได้ทั้ง Exchange on-premises, Exchange Online และ Skype for Business Server เมื่อโจมตีได้สำเร็จ Hackers จะติดตั้งโปรแกรม Plink และ Any Desk เพื่อใช้ในการควบคุมจากระยะไกล รวมไปถึงการลบ Windows Event Logs ในเครื่องที่ถูกโจมตีเพื่อปกปิดร่องรอยการถูกโจมตี

  • CVE-2022-41080 (คะแนน CVSS v3: 9.8 ระดับความรุนแรงสูงมาก) เป็นช่องโหว่ที่โจมตีผ่าน Outlook Web Access (OWA) ทำให้สามารถยกระดับสิทธิ์ผู้ใช้งานได้ (Privilege Escalation)
  • CVE-2022-41040 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ใช้การปลอมแปลงค่า server-side request forgery (SSRF) ส่งผลให้สามารถหลีกเลี่ยงการยืนยันตัวตน และเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลได้ (RCE)
  • CVE-2022-41082 (คะแนน CVSS v3: 8.8 ระดับความรุนแรงสูง) เป็นช่องโหว่ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน Microsoft Exchange PowerShell
    รวมไปถึงทาง CrowdStrike ยังพบอีกว่า OWASSRF PoC ที่สามารถนำไปใช้ในการสร้าง payload การโจมตี ถูกปล่อยออกสู่สาธาณะแล้ว โดย Dray Agha นักวิจัยด้านภัยคุกคามจาก Huntress Labs เป็นผู้พบ PoC ดังกล่าวในวันที่ 14 ธันวาคมที่ผ่านมา ซึ่งทำให้เหล่า Hackers จะสามารถนำ OWASSRF PoC ไปใช้ในการโจมตีต่อได้

ผลิตภัณฑ์ที่ได้รับผลกระทบ
  • Microsoft Exchange Server 2013
  • Microsoft Exchange Server 2016
  • Microsoft Exchange Server 2019
    โดยขณะนี้ทาง Microsoft ได้ออกอัปเดตเพื่อปิดช่องโหว่เหล่านี้แล้ว แนะนำผู้ดูระบบให้รีบอัปเดตทันที

วิธีการป้องกัน
  • อัปเดต Microsoft Exchange Server ที่ได้รับผลกระทบเพื่อลดความเสี่ยงจากการถูกโจมตี
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

21/12/2565

Windows drivers ที่ถูก Signed โดย Microsoft ถูกนำมาใช้ในการโจมตีด้วย Ransomware


    Microsoft ได้เพิกถอนบัญชี Windows Hardware Developer หลายบัญชีหลังจากที่ไดรเวอร์ ที่ signed ผ่านโปรไฟล์ของพวกเขาถูกนำมาใช้ในการโจมตีทางไซเบอร์ รวมถึงการโจมตีจาก ransomware ข้อมูลดังกล่าวถูกเปิดเผยจากรายงานร่วมกันของ Mandiant, Sophos และ SentinelOne โดยนักวิจัยระบุว่าผู้โจมตีกำลังใช้ไดรเวอร์ hardware kernel-mode ที่เป็นอันตราย ซึ่งผ่านการตรวจสอบความน่าเชื่อถือด้วย Authenticode จากโปรแกรม Windows Hardware Developer ของ Microsoft
    Microsoft ระบุว่าได้รับแจ้งจากบริษัทด้านความปลอดภัยทางไซเบอร์ Mandiant, SentinelOne และ Sophos เมื่อวันที่ 19 ตุลาคม 2565 ว่าไดรเวอร์ที่ certified โดย Windows Hardware Developer ของ Microsoft ถูกนำไปใช้ในการโจมตี ซึ่งจากพฤติกรรมในการโจมตีครั้งนี้ ผู้โจมตีได้รับสิทธิ์ระดับผู้ดูแลระบบบนระบบที่ถูกโจมตีไปก่อนแล้วที่จะมีการใช้งานไดรเวอร์ดังกล่าว
    โดยจากการตรวจสอบเพิ่มเติมพบว่าบัญชีนักพัฒนาหลายบัญชีสำหรับ Microsoft Partner Center มีส่วนร่วมในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) จาก Microsoft และความพยายามในการส่งไดรเวอร์ที่เป็นอันตรายเพื่อขอรับการรับรอง (signed) ล่าสุดเมื่อวันที่ 29 กันยายน 2565 จึงนำไปสู่การระงับบัญชีของนักพัฒนาหลายรายในช่วงต้นเดือนตุลาคม
    เมื่อมีการโหลดไดรเวอร์ hardware ใน kernel-mode บน Windows ไดรเวอร์จะได้รับสิทธิ์ระดับสูงสุดบนระบบปฏิบัติการ รวมถึงสิทธิ์ในการอนุญาตให้ไดรเวอร์สามารถดำเนินการที่เป็นอันตรายต่าง ๆ ได้ ซึ่งโดยปกติแล้วจะไม่อนุญาตในแอปพลิเคชันของ user-mode ซึ่งสิทธิ์ดังกล่าวรวมไปถึงการสามารถหยุดการทำงานของซอฟต์แวร์ด้านความปลอดภัย การลบไฟล์ที่ได้รับการป้องกัน และการทำตัวเป็น rootkits เพื่อซ่อนพฤติกรรมของ process อื่น ๆ
    โดยตั้งแต่ Windows 10 เป็นต้นมา Microsoft ได้กำหนดให้ไดรเวอร์ฮาร์ดแวร์ใน kernel-mode ต้อง signed ผ่านโปรแกรม Windows Hardware Developer ของ Microsoft เท่านั้น
    เนื่องจากนักพัฒนาจำเป็นต้องซื้อใบรับรองสำหรับ Extended Validation (EV) ซึ่งต้องผ่านกระบวนการระบุตัวตน และส่งไดรเวอร์มาผ่านการตรวจสอบจาก Microsoft ด้วย จึงทำให้ซอฟต์แวร์ด้านความปลอดภัยจำนวนมากจึงเชื่อถือไดรเวอร์ที่ signed โดย Microsoft ผ่านโปรแกรมนี้โดยอัตโนมัติ


    นักวิจัยระบุว่าพบเครื่องมือที่ชื่อว่า STONESTOP (loader) และ POORTRY (kernel-mode driver) ที่ถูกนำมาใช้ในการโจมตีแบบที่เรียกว่า "Bring your vulnerable ไดรเวอร์" (BYOVD) ในครั้งนี้
 STONESTOP เป็นแอพพลิเคชั่นแบบ user-mode ที่พยายามหยุดการทำงานซอฟต์แวร์รักษาความปลอดภัยบนอุปกรณ์ รวมถึงความสามารถในการเขียนทับ และลบไฟล์ และทำหน้าที่เป็นทั้งตัวโหลด/ตัวติดตั้งสำหรับ POORTRY


ransomware และ SIM swapper
    โดย Sophos พบพฤติกรรมที่ผู้โจมตีซึ่งมีความเกี่ยวข้องกับกลุ่ม Cuba ransomware ใช้ BURNTCIGAR loader utility เพื่อติดตั้งไดรเวอร์ที่เป็นอันตราย ซึ่งถูก signed โดย Microsoft ส่วน SentinelOne พบชุดเครื่องมือที่ signed โดย Microsoft ซึ่งถูกนำมาใช้ในการโจมตีธุรกิจโทรคมนาคม, BPO, MSSP และธุรกิจบริการทางการเงิน และถูกใช้โดยการดำเนินการของ Hive Ransomware กับบริษัทในอุตสาหกรรมการแพทย์ ซึ่งแฮ็กเกอร์หลายรายที่สามารถเข้าถึงเครื่องมือในลักษณะที่คล้ายกันได้ ทางด้าน Mandiant พบกลุ่ม UNC3944 ซึ่งเป็นกลุ่มผู้โจมตีที่มีแรงจูงใจทางด้านการเงิน มีการใช้มัลแวร์ที่ได้รับการ signed โดย Microsoft เช่นเดียวกัน โดย Mandiant ยังสามารถระบุรายชื่อองค์กรที่ถูกใช้ในการส่งไดรเวอร์ไปเพื่อขอรับการรับรอง (signed) จาก Microsoft ได้ดังนี้
  • Qi Lijun
  • Luck Bigger Technology Co., Ltd
  • XinSing Network Service Co., Ltd
  • Hangzhou Shunwang Technology Co.,Ltd
  • Fuzhou Superman
  • Beijing Hongdao Changxing International Trade Co., Ltd.
  • Fujian Altron Interactive Entertainment Technology Co., Ltd.
  • Xiamen Hengxin Excellence Network Technology Co., Ltd.
  • Dalian Zongmeng Network Technology Co., Ltd.
Microsoft response
  • Microsoft ได้เผยแพร่การอัปเดตความปลอดภัยเพื่อเพิกถอน certificates ที่ใช้ไฟล์ที่เป็นอันตราย และได้ระงับบัญชีที่ใช้ในการส่งไดรเวอร์
  • Microsoft Defender เวอร์ชันใหม่ signatures (1.377.987.0) จะสามารถตรวจหาไดรเวอร์ที่ถึงแม้จะถูก signed อย่างถูกต้อง แต่มีส่วนเกี่ยวข้องกับการโจมตี
  • Microsoft Partner Center กำลังทำโซลูชันระยะยาวเพื่อจัดการกับพฤติกรรมเหล่านี้ และป้องกันผลกระทบของผู้ใช้งานในอนาคต

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

06/12/2565

Ransomware ใหม่ออกอาละวาดชื่อว่า Trigona

 

  ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona
 ซึ่งนอกจากการมีการเปิดตัวเว็ปไซต์เพื่อเจรจา กับเป้าหมายผ่าน Tor Browser อีกด้วยซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์และหมู่บ้านในเยอรมนี
ลักษณะการทำงาน
   ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้
  • /full
  • /!autorun
  • /test_cid
  • /test_vid
  • /path
  • /!local
  • /!lan
  • /autorun_only
  • /autorun_only
    การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc._locked จากนั้น     Ransomware จะฝังคีย์ถอดรหัสที่มีการเข้ารหัส, รหัสแคมเปญ และรหัสของเหยื่อ(ชื่อบริษัท) ไว้ในไฟล์ที่เข้ารหัส Note เรียกค่าไถ่จะมีชื่อว่า how_to_decrypt.hta โดยจะถูกสร้างขึ้นในแต่ละโฟลเดอร์ ภายใน Note จะแสดงถึงข้อมูลเกี่ยวกับการโจมตี ลิงก์ไปยังเว็บไซต์การเจรจาบน Tor Browser


   และลิงก์ที่ใช้สำหรับคัดลอกรหัสไปยังคลิปบอร์ดของ Windows ซึ่งจำเป็นต้องใช้ในการเข้าสู่เว็ปไซต์บน Tor Browser หลังจากลงชื่อเข้าใช้เว็ปไซต์บน Tor Browser เหยื่อจะพบข้อมูลเกี่ยวกับวิธีซื้อ Monero สำหรับจ่ายค่าไถ่ มีแชทที่ให้เหยื่อสามารถใช้เพื่อเจรจากับผู้โจมตีได้ นอกจากนี้เว็ปไซต์ยังมีฟีเจอร์ในการทดลองถอดรหัสไฟล์ได้จำนวน 5 ไฟล์ โดยแต่ละไฟล์มีขนาดสูงสุด 5MB ได้ฟรี


 เมื่อมีการจ่ายค่าไถ่ เหยื่อจะได้รับลิงก์ไปยังตัวถอดรหัส และไฟล์ keys.dat ซึ่งมีคีย์ถอดรหัส โดยตัวถอดรหัสสามารถถอดรหัสไฟล์ หรือโฟลเดอร์แต่ละรายการบนอุปกรณ์ภายในเครื่อง และเครือข่าย ผู้โจมตีได้บันทึกลงใน Note ว่ามีการขโมยข้อมูลออกไปด้วยระหว่างการโจมตีแต่ผู้เชี่ยวชาญจาก BleepingComputerยังไม่พบหลักฐานใด ๆ เกี่ยวกับเรื่องนี้ อย่างไรก็ตามการโจมตีของ Trigona กำลังเพิ่มปริมาณมากขึ้นทั่วโลกและมีแนวโน้มที่จะขยายการโจมตีต่อไปเรื่อย ๆ นอกจากนี้ในปัจจุบันยังไม่มีข้อมูลว่า Ransomware ถูกติดตั้ง ได้อย่างไร
ที่ 1 ความคิดเห็น:
ป้ายกำกับ: , ,

28/11/2565

พบการรั่วไหลของข้อมูลสายการบินที่ให้บริการในประเทศไทย 2 สายการบิน

    พบสายการบินที่ให้บริการในประเทศไทย 2 สายการบินถูกโจมตี และถูกขโมยข้อมูลภายในออกไปได้ โดยทั้ง 2 สายการบิน ถูกโจมตีโดย Ransomware คนละกลุ่ม


    โดยการโจมตีครั้งแรกพบเมื่อวันที่ 11 พฤศจิกายน 2565 จากกลุ่ม Daixin ransomware ได้โจมตีสายการบิน แห่งหนึ่ง(เป้าหมายแรก) ทำให้ได้ข้อมูลผู้โดยสารของสายการบินออกไปได้กว่า 5 ล้านรายการ รวมถึงข้อมูลพนักงานทั้งหมด ซึ่งจากการตรวจสอบบนไฟล์ CSV 2 ไฟล์ที่ถูกเผยแพร่ไว้บนเว็ปไซต์ของทางกลุ่ม พบว่าข้อมูลไฟล์ในไฟล์ส่วนของผู้โดยสารประกอบไปด้วย รหัสผู้โดยสาร ชื่อ รหัสการจอง ค่าตั๋วโดยสาร เป็นต้น
    และในส่วนของพนักงานสายการบินจะประกอบไปด้วยรูปถ่าย คำถามลับต่าง ๆ ข้อมูลการเกิด และสัญชาติ เป็นต้น ทั้งนี้ทางกลุ่มยังได้ระบุว่า พวกเขาได้หลีกเลี่ยงการเข้ารหัสข้อมูลสำคัญที่เชื่อมต่อกับอุปกรณ์การบินเพื่อหลีกเลี่ยงผลกระทบที่อาจทำให้เกิดอันตรายถึงชีวิตไว้ด้วย


    ต่อมาเมื่อวันที่ 20 พฤศจิกายน 2565 ที่ผ่านมา พบว่ามีการเผยแพร่ข้อมูลของสายการบิน อีกแห่งหนึ่ง(เป้าหมายที่สอง) อยู่บนเว็ปไซต์ของกลุ่ม ALPHV ซึ่งทางกลุ่มระบุว่าได้ทำการโจมตี และได้ข้อมูลออกมาแล้วกว่า 500 GB โดยข้อมูลที่ได้ออกมานั้น จะประกอบไปด้วย โฟลเดอร์ ไฟล์ และข้อมูลที่เก็บอยู่ในหลายโฟลเดอร์ ไฟล์เอกสาร สเปรดชีต และอื่นๆ โดยจากรูปที่กลุ่มผู้โจมตีเผยแพร่ออกมาจะ พบว่าไฟล์บางไฟล์ที่ชื่อว่า refund to customers.ink หรือ req invoice.pdf หรือ refund.xlsx และเอกสารอื่น ๆ เป็นต้น


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ:

07/09/2565

QNAP Warns of New DeadBolt Ransomware Attacks Exploiting Photo Station Flaw

 


QNAP เตือน DeadBolt ransomware ตัวใหม่ที่ใช้ประโยชน์จากช่องโหว่ของ Photo Station

    QNAP ได้ออกคำแนะนำใหม่ให้ผู้ใช้งานอุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) อัปเดตเป็น Photo Station เวอร์ชันล่าสุดหลังจากมีการโจมตีจาก DeadBolt ransomware อีกระลอกหนึ่งโดยใช้ช่องโหว่ Zero - day ในซอฟต์แวร์ บริษัทกล่าวว่าได้ตรวจพบการโจมตีเมื่อวันที่ 3 กันยายน โดยมุ่งเป้าไปที่อุปกรณ์ QNAP NAS ที่ใช้งาน Photo Station ซึ่งเวอร์ชันต่อไปนี้ได้รับการแก้ไขแล้ว
- QTS 5.0.1: Photo Station 6.1.2 and later
- QTS 5.0.0/4.5.x: Photo Station 6.0.22 and later
- QTS 4.3.6: Photo Station 5.7.18 and later
- QTS 4.3.3: Photo Station 5.4.15 and later
- QTS 4.2.6: Photo Station 5.2.14 and later

ณ ตอนนี้รายละเอียดของช่องโหว่ยังไม่ชัดเจน แต่บริษัทก็แนะนำให้ผู้ใช้งานปิดการใช้งานการส่งต่อพอร์ตบนเราเตอร์ เพื่อป้องกันไม่ให้อุปกรณ์ NAS เข้าถึงบนอินเทอร์เน็ต และอัพเกรดเฟิร์มแวร์ NAS โดยใช้รหัสผ่านที่รัดกุมสำหรับบัญชีผู้ใช้งาน และทำการสำรองข้อมูลเป็นประจำเพื่อป้องกันการสูญเสียข้อมูล

ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

06/09/2565

New ransomware hits Windows, Linux servers of Chile govt agency


หน่วยงานรัฐของประเทศชิลีถูก Ransomware ชนิดใหม่โจมตี เป้าหมายคือ Microsoft Server และ VMware ESXi Server

    ทีม Cyber Security Incident Response (CSIRT) ของชิลีได้ออกมารายงานว่าถูกโจมตีด้วย Ransomware ส่งผลกระทบต่อการดำเนินงานและ Online Service ของหน่วยงานรัฐบาลในประเทศ

รายละเอียดการโจมตี
  • การโจมตีเกิดขึ้นในวันพฤหัสบดีที่ 25 สิงหาคม 2565 โดยมีเป้าหมายคือ Microsoft Server และ VMware ESXi Server
  • บน ESXi Server แรนซัมแวร์เริ่มต้นโดยหยุดการทำงานของระบบที่เป็น VM ทั้งหมด จากนั้นใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัส โดยเป้าหมายคือไฟล์ประเภท log files (.log), executable files (.exe), dynamic library files (.dll), swap files (.vswp), virtual disks (. vmdk), snapshot (.vmsn) files, และ virtual machine memory (.vmem) files
  • เมื่อเข้ารหัสเรียบร้อยแล้ว ไฟล์นามสกุลจะถูกต่อท้ายด้วย ".crypt"
  • จากนั้นผู้โจมตีได้เสนอช่องทางให้รัฐบาลชิลีเพื่อชำระเงินค่าไถ่ โดยกำหนดเวลาไว้ที่ 3 วัน ก่อนมีการขายข้อมูลสู่ DarkWeb
  • ส่วนระบบปฏิบัติการ Windows มัลแวร์จะใช้ชื่อว่า SecurityUpdate โดยทำการเพิ่ม Reistry เพื่อให้ตัวมันทำงานทันทีหลังมีการเปิดเครื่อง

    จากเหตุการณ์ดังกล่าว CSIRT ไม่ได้ชี้แจงว่าถูกมัลแวร์ชนิดใดโจมตี เพียงระบุว่ามัลแวร์ที่พบครั้งนี้มีฟังก์ชันสำหรับขโมยข้อมูลประจำตัวจากเว็บเบราว์เซอร์, แสดงรายการ Removable devices ที่สามารถเข้ารหัส และหลบเลี่ยงการตรวจจับการป้องกันไวรัสโดยใช้การตั้ง Time Out ในการ Execute File
แต่จากพฤติกรรมของมัลแวร์ พบว่าตรงกับแรนซัมแวร์ 'RedAlert' (หรือที่รู้จักว่า "N13V") ที่เปิดตัวไปเมื่อเดือนกรกฎาคม พ.ศ. 2565 ซึ่งปกติ RedAlert จะใช้ extension ".crypt" ในการโจมตี เป้าหมายหลักๆของแรนซัมแวร์ชนิดนี้คือ Windows และ VMWare ESXi Server ส่วนลักษณะการทำงานก็ตรงกับที่รัฐบาลชิลีพบ คือจะหยุดการทำงานของระบบ VM ทั้งหมดก่อนที่จะเข้ารหัส นอกจากนี้ยังใช้อัลกอริทึม NTRUEncrypt public key ในการเข้ารหัสอย่างไรก็ตามผู้เชี่ยวชาญจาก BleepingComputer ได้ยืนยันจากข้อมูลที่ได้รับว่า Ransomware นี้ไม่มีการสร้างไฟล์เรียกค่าไถ่ขณะเข้ารหัส แต่ใช้การวางไฟล์ก่อนเข้ารหัสแทน คาดว่าเป็นวิธีการหนึ่งที่ใช้ในการปกปิดตัวตนของผู้โจมตี นอกจากนี้ยังใช้วิธีสร้างลิงก์ไปยังเว็บไซต์ที่ไม่ซ้ำกันในเครือข่าย Tor Browser และต้องระบุรหัสผ่านเพื่อเข้าสู่ระบบด้วย

แนวทางการป้องกัน
  • ตั้งค่า Policy บน Firewall และ Antivirus ให้เหมาะสม
  • Update Patch VMware และ Microsoft ให้เป็นเวอร์ชันล่าสุด
  • Backup ข้อมูลอยู่สม่ำเสมอ
  • สร้าง Awareness ให้กับพนักงาน
  • จำกัดการเข้าถึงเครือข่าย และกำหนดสิทธิ์การเข้าถึงระบบต่าง ๆ
ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

30/08/2565

LockBit ransomware gang gets aggressive with triple-extortion tactic

 

LockBit Ransomware ประกาศเพิ่มการโจมตีแบบ DDoS Attack

    กลุ่ม LockBit Ransomware ได้ออกมาประกาศเรื่องการปรับปรุงเว็บไซต์ของทางกลุ่ม หลังจากที่ถูกโจมตีแบบปฏิเสธการให้บริการ (DDoS) และเตรียมยกระดับการโจมตีของกลุ่มให้เป็นแบบ Triple Extortion

รายละเอียดเหตุการณ์
    เหตุการณ์ครั้งนี้เกิดขึ้นจากเมื่อวันที่ 18 มิถุนายน 2565 ที่ผ่านมา LockBit ได้ขโมยข้อมูลจำนวนกว่า 300 GB ของ Entrust บริษัทด้านความปลอดภัยทางดิจิทัล โดยเหตุการณ์ครั้งนี้ Entrust ยืนยันที่จะไม่ยอมจ่ายค่าไถ่ ทำให้ LockBit เริ่มประกาศจะเผยแพร่ข้อมูลของ Entrust ออกมาในวันที่ 19 สิงหาคม 2565 แต่ก็ไม่สามารถเผยแพร่ข้อมูลได้อย่างต่อเนื่อง เนื่องจาก LockBit อ้างว่าเว็บไซต์ของทางกลุ่มถูกบริษัท Entrust โจมตีด้วย DDoS attack เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่ LockBitอ้างว่าได้ขโมยออกมา จากเหตุการณ์ดังกล่าว LockBit ใช้บทเรียนครั้งนี้เป็นโอกาสที่จะเพิ่มผู้เชี่ยวชาญในการโจมตีด้วย DDoS เข้าสู่ทีม เพื่อยกระดับการโจมตีของตนให้เป็นแบบ Triple Extortion

ซึ่งประกอบไปด้วย
  • การเข้ารหัสไฟล์บนเครื่องเป้าหมาย
  • การเผยแพร่ข้อมูลของเป้าหมาย
  • การโจมตีแบบปฏิเสธการให้บริการ (DDoS) ไปยังเป้าหมาย

    นอกจากนี้โฆษาของ LockBit ยังยืนยันว่าจะแชร์ข้อมูลกว่า 300GB ที่ขโมยมาจาก Entrust ให้ได้ โดยเริ่มจากการส่งข้อมูลไปให้กับผู้ที่สนใจที่ติดต่อเข้ามาทาง Direct Message ผ่านทางไฟล์ Torrent ส่วนวิธีที่ LockBit นำมาใช้เพื่อป้องกันการโจมตีจาก DDoS คือการใช้ลิงก์ที่แตกต่างกันในไฟล์บันทึกค่าไถ่ของเหยื่อแต่ละราย จากนั้นจะเพิ่มจำนวนมิเรอร์ และเซิร์ฟเวอร์สำหรับเผยแพร่ข้อมูลที่แฮ็กมา และในอนาคตมีแผนที่จะเพิ่มความพร้อมใช้งานของข้อมูลที่ถูกขโมยโดยทำให้สามารถเข้าถึงได้ผ่าน clearnet ผ่านบริการจัดเก็บข้อมูลแบบ bulletproof

ข้อมูลเพิ่มเติมเกี่ยวกับ LockBit
    การดำเนินการของ LockBit ถูกพบมาตั้งแต่เดือนกันยายน 2562 โดยมีผู้ตกเป็นเหยื่อมากกว่า 700 รายและ Entrust ก็ถือเป็นหนึ่งในนั้น


ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)