พบช่องโหว่ RCE ระดับ Critical ของ Veeam กำลังถูกกลุ่ม Frag Ransomware นำไปใช้โจมตีเป้าหมาย

    Florian Hauser ผู้เชี่ยวชาญด้านความปลอดภัยของ Code White พบช่องโหว่ CVE-2024-40711 บน Veeam Backup & Replication (VBR) ซึ่งถูกกลุ่ม Frag Ransomware นำไปใช้ในการโจมตีหลังจากที่ก่อนหน้านี้ได้พบว่ากลุ่ม Akira และ Fog Ransomware ได้โจมตีช่องโหว่ดังกล่าวเช่นเดียวกัน

    CVE-2024-40711 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ Deserialization ของข้อมูลที่ไม่น่าเชื่อถือ ซึ่งทำให้ผู้ไม่ประสงค์ดีที่ไม่ผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) บน Veeam VBR servers ได้

    watchTowr Labs ซึ่งเผยแพร่รายงานการวิเคราะห์ทางเทคนิคเกี่ยวกับช่องโหว่ CVE-2024-40711 เมื่อวันที่ 9 กันยายน 2024 ได้เลื่อนการเผยแพร่ชุดสาธิตการโจมตีช่องโหว่ (Proof-of-Concept (PoC)) ออกไปจนถึงวันที่ 15 กันยายน 2024 เพื่อให้ผู้ดูแลระบบมีเวลาเพียงพอในการอัปเดตแพตซ์ด้านความปลอดภัยที่ออกโดย Veeam เมื่อวันที่ 4 กันยายน 2024

    การเลื่อนเวลาเผยแพร่ข้อมูลช่องโหว่ออกไป เกิดจากซอฟต์แวร์ VBR ของ Veeam เป็นเป้าหมายยอดนิยมของผู้ไม่ประสงค์ดีที่ต้องการเข้าถึงข้อมูลสำรองของบริษัทอย่างรวดเร็ว เนื่องจากธุรกิจหลายแห่งใช้ซอฟต์แวร์นี้เป็นโซลูชันการกู้คืนระบบจากเหตุฉุกเฉิน และการปกป้องข้อมูลเพื่อสำรองข้อมูล, กู้คืน และจำลองเครื่องเสมือน, เครื่องจริง และคลาวด์

    ทั้งนี้ทีม Sophos X-Ops incident responder ระบุว่า การเลื่อนการเผยแพร่ชุดสาธิตการโจมตีช่องโหว่ ลดผลกระทบได้เพียงเล็กน้อยเท่านั้น โดยพบว่ากลุ่ม Akira และ Fog Ransomware ได้เริ่มโจมตีเป้าหมายด้วยช่องโหว่ RCE ร่วมกับข้อมูล VPN gateway credentials ที่ขโมยมาเพื่อเพิ่มบัญชีปลอมในกลุ่ม local Administrators และกลุ่ม Remote Desktop Users บนเซิร์ฟเวอร์ที่ยังไม่ได้อัปเดตแพตซ์ และเปิดให้เข้าถึงได้จากอินเทอร์เน็ต

    ล่าสุด Sophos X-Ops incident responder ยังค้นพบอีกว่ามีกลุ่มผู้ไม่ประสงค์ดี"STAC 5881" ได้ใช้ช่องโหว่ CVE-2024-40711 ในการโจมตีเป้าหมาย ซึ่งนำไปสู่การเรียกใช้ Frag Ransomware บนเครือข่ายที่ถูกโจมตี

    บริษัท Agger Labs ซึ่งเป็นบริษัทด้านการรักษาความปลอดภัยไซเบอร์ของอังกฤษระบุว่า กลุ่ม Frag Ransomware ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้ ได้ใช้ไฟล์ไบนารี Living Off The Land (LOLBins) ในการโจมตี ซึ่งเป็นซอฟต์แวร์ปกติที่มีให้ใช้อยู่แล้วในระบบที่ถูกโจมตี ทำให้มีความท้าทายมากยิ่งขึ้นในการตรวจจับการโจมตี

    รวมถึงยังมีวิธีการโจมตีที่คล้ายกับกลุ่ม Akira และ Fog Ransomware โดยมุ่งเป้าไปที่ช่องโหว่ที่ยังไม่ได้รับการแก้ไข และการกำหนดค่าที่ไม่ถูกต้องในโซลูชันการสำรองข้อมูล และการจัดเก็บข้อมูลระหว่างการโจมตี

    ในเดือนมีนาคม 2023 Veeam ได้แก้ไขช่องโหว่ VBR ที่มีระดับความรุนแรงสูงอีกช่องโหว่หนึ่ง (CVE-2023-27532) ที่ทำให้ผู้ไม่ประสงค์ดีสามารถเจาะระบบโครงสร้างพื้นฐานการสำรองข้อมูลได้ ต่อมาช่องโหว่ดังกล่าว ก็ได้ถูกใช้ในการโจมตีที่เชื่อมโยงกับกลุ่ม FIN7 รวมถึงได้ถูกนำไปใช้ในการโจมตีด้วย Cuba ransomware ที่กำหนดเป้าหมายไปยังองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา

Ref : bleepingcomputer.com

Sophos เปิดเผยรายงานการป้องกันการโจมตีอุปกรณ์เครือข่ายจากกลุ่มผู้ไม่ประสงค์ดีชาวจีนมานานกว่า 5 ปี

    Sophos เปิดเผยรายงานที่เรียกว่า "Pacific Rim" ซึ่งให้รายละเอียดว่า Sophos ได้ติดตาม และป้องกันการโจมตีของกลุ่มผู้ไม่ประสงค์ดีชาวจีน มาเป็นเวลากว่า 5 ปีแล้ว โดยกลุ่มผู้ไม่ประสงค์ดีได้กำหนดเป้าหมายการโจมตีไปยังอุปกรณ์เครือข่ายทั่วโลกเพิ่มมากขึ้น รวมถึงอุปกรณ์จาก Sophos ด้วย

    ทั้งนี้ Sophos ได้แจ้งเตือนบริษัทต่าง ๆ ว่า กลุ่มผู้ไม่ประสงค์ดีชาวจีน ได้ใช้ช่องโหว่ในอุปกรณ์เครือข่าย เพื่อติดตั้งมัลแวร์ที่ปรับแต่งมาโดยเฉพาะ ซึ่งทำให้สามารถติดตามการสื่อสารบนเครือข่าย, ขโมยข้อมูล credentials หรือทำหน้าที่เป็น proxy server สำหรับการโจมตีแบบ Relay Attack

    การโจมตีเหล่านี้ได้มุ่งเป้าหมายไปยังผู้ให้บริการที่มีชื่อเสียง เช่น Fortinet, Barracuda, SonicWall, Check Point, D-Link, Cisco, Juniper, NetGear, Sophos และอื่น ๆ อีกมากมาย

Sophos ระบุว่า กลุ่มผู้ไม่ประสงค์ดีชาวจีนหลายรายที่รู้จักกันในชื่อ Volt Typhoon, APT31 และ APT41/Winnti ซึ่งกลุ่มผู้ไม่ประสงค์ดีเหล่านี้เคยโจมตีอุปกรณ์เครือข่ายจำนวนมากมาแล้วในอดีต

Sophos ได้อธิบายในรายงานว่า "เป็นเวลากว่า 5 ปีแล้วที่ Sophos ได้ทำการสืบสวนกลุ่มผู้ไม่ประสงค์ดีต่าง ๆ มากมายในประเทศจีนที่โจมตี Firewall ของ Sophos ด้วย Botnet รวมถึงช่องโหว่ใหม่ ๆ และมัลแวร์แบบเฉพาะทาง"

    Sophos ระบุว่า พวกเขาได้เริ่มติดตาม และป้องกันกลุ่มผู้ไม่ประสงค์ดีมาตั้งแต่ปี 2018 ในเหตุการณ์การโจมตีสำนักงานใหญ่ของ Cyberoam ซึ่งเป็นบริษัทในเครือ Sophos ที่ตั้งอยู่ในอินเดีย ซึ่งนักวิจัยเชื่อว่าเป็นช่วงเวลาที่กลุ่มผู้ไม่ประสงค์ดีอยู่ในช่วงเริ่มต้นค้นคว้าเกี่ยวกับการโจมตีอุปกรณ์เครือข่าย

หลังจากนั้นกลุ่มผู้ไม่ประสงค์ดีก็ได้ใช้ช่องโหว่แบบ zero-day และช่องโหว่ที่ถูกเปิดเผยในการโจมตีอุปกรณ์เครือข่าย

    Sophos เชื่อว่าช่องโหว่ zero-day จำนวนมากที่ใช้โจมตี ได้รับการพัฒนาโดยนักวิจัยชาวจีน ซึ่งไม่เพียงแต่แบ่งปันช่องโหว่เหล่านี้ไปยังผู้ให้บริการเท่านั้น แต่ยังรวมถึงรัฐบาลจีน และกลุ่มผู้ไม่ประสงค์ดีที่ได้รับการสนับสนุนจากรัฐบาลด้วย

    ในช่วงหลายปีที่ผ่านมา กลุ่มผู้ไม่ประสงค์ดีชาวจีนได้พัฒนากลยุทธ์ของตนเพื่อใช้ memory-only malware รวมถึงเทคนิคการแฝงตัว (persistence) และการใช้อุปกรณ์เครือข่ายที่ถูกโจมตีเป็น operational relay box (ORBs) proxy networks เพื่อหลีกเลี่ยงการตรวจจับ

หากต้องการอ่านรายงานเพิ่มเติมสามารถอ่านได้จาก ที่นี่

Ref : bleepingcomputer.com

กลุ่ม Fog Ransomware มุ่งโจมตีช่องโหว่ SonicWall VPN เพื่อเข้าถึงเครือข่ายของเป้าหมาย

    ผู้เชี่ยวชาญด้านความปลอดภัยของ Arctic Wolf ได้ออกมาเดเผลถึงการมีอยู่ของกลุ่ม Fog และ Akira ransomware ที่มุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)

    โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว

    Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ

Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว

    ผู้เชี่ยวชาญรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้

    แม้ว่าผู้เชี่ยวชาญจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข

ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง

    Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย

    ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว

    ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files

Ref : bleepingcomputer.com

กลุ่ม Ransomware Black Basta ปลอมตัวเป็นฝ่ายสนับสนุน IT บน Microsoft Teams เพื่อเข้าถึงเครือข่าย

    การโจมตีของกลุ่มผู้ไม่ประสงค์ดีทำการใช้ Ransomware BlackBasta ได้เปลี่ยนรูปแบบการโจมตีโดยใช้ Microsoft Teams โดยปลอมตัวเป็นฝ่ายช่วยเหลือของบริษัทที่ติดต่อพนักงานเพื่อช่วยเหลือเกี่ยวกับการโจมตีด้วยสแปมที่กำลังดำเนินอยู่

    Black Basta เป็นกลุ่มมัลแวร์เรียกค่าไถ่ที่เปิดดำเนินการตั้งแต่เดือนเมษายน 2022 และมีส่วนรับผิดชอบต่อการโจมตีหลายร้อยครั้งทั่วโลก

    หลังจากที่กลุ่มอาชญากรรมไซเบอร์ Conti ถูกปิดตัวลงในเดือนมิถุนายน 2022 เนื่องจากการรั่วไหลข้อมูลที่น่าอับอาย กลุ่มนี้ได้แยกตัวออกเป็นหลายกลุ่ม โดยหนึ่งในกลุ่มเหล่านั้นเชื่อว่าเป็น Black Basta

สมาชิกของ Black Basta บุกรุกเครือข่ายผ่านวิธีการต่างๆ รวมถึงการใช้ช่องโหว่ การร่วมมือกับบ็อตเน็ตที่เป็นมัลแวร์ และการหลอกลวงทางสังคม

    ในเดือนพฤษภาคม Rapid7 และ ReliaQuest ได้เผยแพร่คำเตือนเกี่ยวกับแคมเปญการหลอกลวงทางสังคมใหม่ของ Black Basta ซึ่งส่งอีเมลไปยังพนักงานที่ถูกเป้าหมายมากมาย ซึ่งมีจำนวนถึงพันฉบับ อีเมลเหล่านี้ไม่ใช่อีเมลที่เป็นอันตราย ส่วนใหญ่ประกอบด้วยจดหมายข่าว การยืนยันการลงทะเบียน และการตรวจสอบอีเมล แต่ทำให้กล่องจดหมายของผู้ใช้เต็มอย่างรวดเร็ว

    จากนั้น ผู้โจมตีจะโทรหาพนักงานที่รู้สึกท่วมท้น โดยปลอมตัวเป็นฝ่ายช่วยเหลือ IT ของบริษัทเพื่อช่วยพวกเขาในปัญหาสแปม

    ในระหว่างการโจมตีทางการพูดนี้ ผู้โจมตีจะหลอกลวงบุคคลนั้นให้ติดตั้งเครื่องมือสนับสนุนระยะไกล AnyDesk หรือให้การเข้าถึงระยะไกลกับอุปกรณ์ Windows ของพวกเขาโดยการเปิดใช้งานเครื่องมือควบคุมระยะไกลและแชร์หน้าจอ Windows Quick Assist

    จากนั้น ผู้โจมตีจะเรียกใช้สคริปต์ที่ติดตั้งเพย์โหลดต่างๆ เช่น ScreenConnect, NetSupport Manager และ Cobalt Strike ซึ่งให้การเข้าถึงระยะยาวต่ออุปกรณ์ของบริษัทของผู้ใช้

    เมื่อ Black Basta ได้เข้าถึงเครือข่ายของบริษัทแล้ว พวกเขาจะแพร่กระจายไปยังอุปกรณ์อื่นๆ ในขณะที่ยกระดับสิทธิ์ ขโมยข้อมูล และท้ายที่สุดจะทำการติดตั้งตัวเข้ารหัสมัลแวร์เรียกค่าไถ่

ในรายงานใหม่โดย ReliaQuest นักวิจัยสังเกตเห็นว่าผู้เกี่ยวข้องกับ Black Basta กำลังพัฒนากลยุทธ์ของตนในเดือนตุลาคมโดยเริ่มใช้ Microsoft Teams

    เช่นเดียวกับการโจมตีครั้งก่อน ผู้โจมตีจะเริ่มต้นด้วยการทำให้กล่องจดหมายของพนักงานเต็มไปด้วยอีเมล

    อย่างไรก็ตาม แทนที่จะโทรหาพวกเขา ผู้โจมตีจะติดต่อพนักงานผ่าน Microsoft Teams ในฐานะผู้ใช้ภายนอก โดยปลอมตัวเป็นฝ่ายช่วยเหลือ IT ของบริษัทที่ติดต่อพนักงานเพื่อช่วยแก้ปัญหาสแปมของพวกเขา

บัญชีเหล่านี้ถูกสร้างขึ้นภายใต้ Entra ID tenants ที่มีชื่อให้ดูเหมือนเป็นฝ่ายช่วยเหลือ เช่น:

• securityadminhelper.onmicrosoft[.]com
• supportserviceadmin.onmicrosoft[.]com
• supportadministrator.onmicrosoft[.]com
• cybersecurityadmin.onmicrosoft[.]com

    ผู้ใช้ภายนอกเหล่านี้ตั้งค่าชื่อโปรไฟล์ของตนเป็น 'DisplayName' ที่ออกแบบมาให้ผู้ใช้เป้าหมายคิดว่าพวกเขากำลังสื่อสารกับบัญชีฝ่ายช่วยเหลือ" รายงานใหม่จาก ReliaQuest อธิบาย

    "ในเกือบทุกกรณีที่เราได้สังเกต ผู้แสดงชื่อจะรวมถึงสตริง 'Help Desk' ซึ่งมักจะมีอักขระเว้นว่างล้อมรอบ ซึ่งอาจทำให้ชื่ออยู่ตรงกลางในแชท นอกจากนี้ เรายังสังเกตเห็นว่ามักจะมีการเพิ่มผู้ใช้เป้าหมายไปยังแชท 'OneOnOne'"

    ReliaQuest กล่าวว่า พวกเขายังเห็นผู้โจมตีส่ง QR โค้ดในแชท ซึ่งนำไปยังโดเมนอย่าง qr-s1[.]com อย่างไรก็ตาม พวกเขาไม่สามารถระบุได้ว่า QR โค้ดเหล่านี้ใช้ทำอะไร

ผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าผู้ใช้ Microsoft Teams ภายนอกมาจากรัสเซีย โดยข้อมูลเขตเวลามักจะมาจากมอสโก

    เป้าหมายคือการหลอกลวงเป้าหมายให้ติดตั้ง AnyDesk หรือเปิดใช้งาน Quick Assist เพื่อให้ผู้โจมตีสามารถเข้าถึงอุปกรณ์ของพวกเขาได้ทางระยะไกล

เมื่อเชื่อมต่อแล้ว ผู้โจมตีได้ติดตั้งเพย์โหลดที่ชื่อว่า "AntispamAccount.exe," "AntispamUpdate.exe," และ "AntispamConnectUS.exe"

    ผู้เชี่ยวชาญด้านความปลอดภัยคนอื่นๆ ได้ตั้งสัญญาณเตือนเกี่ยวกับ AntispamConnectUS.exe ใน VirusTotal ว่าเป็น SystemBC ซึ่งเป็นมัลแวร์พร็อกซีที่ Black Basta ใช้ในอดีต

สุดท้าย Cobalt Strike จะถูกติดตั้ง ซึ่งให้การเข้าถึงเต็มรูปแบบไปยังอุปกรณ์ที่ถูกบุกรุกเพื่อทำหน้าที่เป็นจุดกระโดดในการเจาะเข้าไปในเครือข่าย

    ReliaQuest แนะนำให้องค์กรจำกัดการสื่อสารจากผู้ใช้ภายนอกใน Microsoft Teams และหากจำเป็น ให้อนุญาตเฉพาะจากโดเมนที่เชื่อถือได้เท่านั้น ควรเปิดใช้งานการบันทึกด้วย โดยเฉพาะสำหรับเหตุการณ์ ChatCreated เพื่อค้นหาการแชทที่น่าสงสัย

Ref : bleepingcomputer.com

กลุ่มผู้ไม่ประสงค์ดี (Ransomware Gang) ปล่อยมัลแวร์ใหม่เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัย

    กลุ่มผู้ไม่ประสงค์ดี RansomHub กำลังใช้มัลแวร์ตัวใหม่เพื่อปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัย Endpoint Detection and Response (EDR) ในการโจมตีแบบ Bring Your Own Vulnerable Driver (BYOVD)

    มัลแวร์นี้ถูกตั้งชื่อว่า EDRKillShifter โดยทีมผู้เชี่ยวชาญด้านความปลอดภัยจาก Sophos ซึ่งค้นพบในระหว่างการสอบสวนแรนซัมแวร์ในเดือนพฤษภาคม 2024 มัลแวร์นี้จะติดตั้งไดรเวอร์ที่ถูกต้องตามกฎหมายแต่มีช่องโหว่ในอุปกรณ์ที่เป็นเป้าหมาย เพื่อยกระดับสิทธิ์ ปิดการทำงานของโซลูชันด้านความปลอดภัย และควบคุมระบบ

    เทคนิคนี้ได้รับความนิยมอย่างมากในหมู่ผู้ไม่หวังดีที่มีแรงจูงใจทางการเงินตั้งแต่กลุ่มผู้ไม่ประสงค์ดีไปจนถึงกลุ่มที่ได้รับการสนับสนุนจากรัฐ

    "ในระหว่างเหตุการณ์ในเดือนพฤษภาคม ผู้โจมตี — ซึ่งเราประเมินด้วยความมั่นใจในระดับปานกลางว่าเครื่องมือนี้ถูกใช้โดยผู้โจมตีหลายกลุ่ม — พยายามใช้ EDRKillShifter เพื่อยุติการป้องกันของ Sophos บนคอมพิวเตอร์ที่เป็นเป้าหมาย แต่เครื่องมือนี้ล้มเหลว" Andreas Klopsch ทีมผู้เชี่ยวชาญด้านความปลอดภัยภัยคุกคามจาก Sophos กล่าว

    "จากนั้นพวกเขาพยายามเรียกใช้ไฟล์รันแซมแวร์บนเครื่องที่พวกเขาควบคุมอยู่ แต่ก็ล้มเหลวอีกครั้งเมื่อฟีเจอร์ CryptoGuard ของเอเจนต์ปลายทางถูกเรียกใช้งาน"

    ในระหว่างการสืบสวน Sophos พบตัวอย่างที่แตกต่างกันสองตัวอย่าง โดยทั้งสองมีการใช้ช่องโหว่ในแนวคิดจาก GitHub: หนึ่งตัวอย่างใช้ประโยชน์จากไดรเวอร์ที่มีช่องโหว่ที่รู้จักกันในชื่อ RentDrv2 และอีกตัวอย่างใช้ประโยชน์จากไดรเวอร์ที่เรียกว่า ThreatFireMonitor ซึ่งเป็นส่วนประกอบของแพ็กเกจการตรวจสอบระบบที่เลิกใช้แล้ว

    Sophos ยังพบว่า EDRKillShifter สามารถส่งโหลดไดรเวอร์ต่างๆ ได้ตามความต้องการของผู้โจมตี และคุณสมบัติด้านภาษาของมัลแวร์นี้บ่งชี้ว่าถูกคอมไพล์บนคอมพิวเตอร์ที่มีการตั้งค่าภาษาเป็นภาษารัสเซีย

    การทำงานของตัวโหลดประกอบด้วยสามขั้นตอน: ขั้นแรก ผู้โจมตีจะเรียกใช้ไบนารี EDRKillShifter พร้อมกับสตริงรหัสผ่านเพื่อถอดรหัสและเรียกใช้ทรัพยากรฝังตัวที่ชื่อว่า BIN ในหน่วยความจำ โค้ดนี้จะทำการขยายและเรียกใช้เพย์โหลดสุดท้าย ซึ่งจะติดตั้งและใช้ประโยชน์จากไดรเวอร์ที่ถูกต้องตามกฎหมายแต่มีช่องโหว่เพื่อยกระดับสิทธิ์และปิดการทำงานของกระบวนการและบริการ EDR ที่กำลังทำงานอยู่

    "หลังจากมัลแวร์สร้างบริการใหม่สำหรับไดรเวอร์ เริ่มต้นบริการ และโหลดไดรเวอร์แล้ว มันจะเข้าสู่วงจรที่ไม่มีวันสิ้นสุดที่ทำการระบุชื่อกระบวนการที่กำลังทำงานอย่างต่อเนื่อง โดยจะยุติกระบวนการหากชื่อปรากฏในรายการเป้าหมายที่ถูกเข้ารหัสไว้ในโค้ด" Klopsch กล่าวเสริม

    "สิ่งที่ควรสังเกตอีกประการคือ ทั้งสองเวอร์ชันนี้ใช้ประโยชน์จากไดรเวอร์ที่ถูกต้องตามกฎหมาย (แม้จะมีช่องโหว่) โดยใช้ช่องโหว่แนวคิดจาก GitHub เราสงสัยว่าผู้โจมตีคัดลอกบางส่วนของช่องโหว่แนวคิดเหล่านี้ ดัดแปลง และนำโค้ดมาใช้กับภาษา Go"

    Sophos แนะนำให้เปิดใช้งานการป้องกันการแก้ไขในการรักษาความปลอดภัยของผลิตภัณฑ์ปลายทาง รักษาการแยกระหว่างสิทธิ์ผู้ใช้และผู้ดูแลระบบเพื่อป้องกันไม่ให้ผู้โจมตีโหลดไดรเวอร์ที่มีช่องโหว่ และอัปเดตระบบอย่างสม่ำเสมอ เนื่องจาก Microsoft ยังคงเพิกถอนการรับรองไดรเวอร์ที่ลงชื่อซึ่งทราบว่าถูกนำไปใช้ในทางที่ผิดในการโจมตีก่อนหน้านี้

    เมื่อปีที่แล้ว Sophos พบมัลแวร์ตัวอื่นที่ฆ่า EDR ชื่อว่า AuKill ซึ่งใช้ประโยชน์จากไดรเวอร์ Process Explorer ที่มีช่องโหว่ในการโจมตี Medusa Locker และ LockBit ransomware AuKill มีความคล้ายคลึงกับเครื่องมือโอเพ่นซอร์สที่รู้จักกันในชื่อ Backstab ซึ่งใช้ประโยชน์จากไดรเวอร์ Process Explorer ที่มีช่องโหว่และถูกใช้โดยกลุ่ม LockBit อย่างน้อยหนึ่งครั้งในการโจมตีที่ Sophos X-Ops สังเกตเห็น

Ref: bleepingcomputer

Ransomware Gang ใช้ประโยชน์จากช่องโหว่ในการเลี่ยงตรวจสอบสิทธิ์บน VMware ESXi

    ไมโครซอฟท์ออกคำเตือนพบกลุ่มแรนซัมแวร์กำลังมุ่งเป้าโจมตีช่องโหว่ Authentication Bypass บน VMware ESXi

    ช่องโหว่นี้มีรหัส CVE-2024-37085 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยของไมโครซอฟท์ และได้รับการแก้ไขในเวอร์ชัน ESXi 8.0 U3

    เมื่อวันที่ 25 มิถุนายนที่ผ่านมา ช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถเพิ่มผู้ใช้ใหม่เข้าไปในกลุ่ม ‘ESX Admins’

ซึ่งจะได้รับสิทธิ์ผู้ดูแลระบบเต็มรูปแบบบน ESXi hypervisor โดยอัตโนมัติ

ทาง Microsoft ได้ระบุพฤติกรรมของการใช้ช่องโหว่ CVE-2024-37085 เบื้องต้น

1. เพิ่ม Group "ESX Admins" ลงไปใน Domain และทำาร เพิ่มผู้ใช้งาน
2. เปลี่ยชื่อกลุ่มใด ๆ ให้เป็น Domain "ESX Admins" และเพิ่มผู้ใช้เข้ากลุ่มหรือใช้สมาชิกในกลุ่มนั้น
3. Refresh สิทธิ์ของ EsXi hypervisor

    จนถึงขณะนี้ ช่องโหว่ดังกล่าวถูกใช้ประโยชน์โดย Ransomware Gang Storm-0506, Storm-1175, Octo Tempest และ Manatee Tempest ในการโจมตีที่นำไปสู่การใช้งานแรนซัมแวร์ Akira และ Black Basta

    ยกตัวอย่างเช่นกลุ่ม Storm-0506 ได้ใช้งาน Black Basta Ransomwre โจมตีไปบน VMware ESXi ของบริษัทแห่งหนึ่งใน อเมริกาเหนือ หลังจากนั้นใช้ประโยชน์จากช่องโหว่ CVE-2024-37085 เพื่อยกระดับสิทธิ์

    องค์กรต่าง ๆ จึงควรอัปเดตระบบ VMware ESXi ให้เป็นเวอร์ชันล่าสุด และใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อป้องกันการโจมตีที่อาจเกิดขึ้น เนื่องจากการโจมตีระบบ ESXi hypervisor มีการเพิ่มขึ้นมากกว่าสองเท่าภายในช่วงสามปีที่ผ่านมา

Ref: bleepingcomputer

CISA สั่งหน่วยงานที่ได้รับผลกระทบจากการถูกโจมตีของ Microsoft ทำการแก้ไขโดยด่วน

    หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ออกคำสั่งฉุกเฉินใหม่ เพื่อสั่งให้หน่วยงานรัฐบาลกลางของสหรัฐอเมริกาเร่งแก้ไข ความเสี่ยงที่เกิดขึ้นจากการโจมตี Microsoft corporate email หลายบัญชีโดยกลุ่ม APT29 ของรัสเซีย

   คำสั่งฉุกเฉิน 24-02 ได้ออกให้กับหน่วยงาน Federal Civilian Executive Branch (FCEB) เมื่อวันที่ 2 เมษายน 2024 โดยกำหนดให้หน่วยงานรัฐบาลกลางตรวจสอบอีเมลที่อาจได้รับผลกระทบจากการโจมตี ทำการรีเซ็ตข้อมูลบัญชีที่ถูกโจมตี และใช้มาตรการเพื่อรักษาความปลอดภัยบัญชี Microsoft Azure ที่ได้รับสิทธิ์สูง

  CISA ระบุว่า ขณะนี้หน่วยข่าวกรองต่างประเทศของรัสเซีย (SVR) ได้ใช้ข้อมูลที่ขโมยมาจากระบบ Microsoft corporate email รวมถึงรายละเอียดการตรวจสอบสิทธิ์ที่ใช้ร่วมกันระหว่าง Microsoft และลูกค้าทางอีเมล์ เพื่อเข้าถึงระบบลูกค้าบางระบบ

การโจมตีอีเมลของหน่วยงานรัฐบาลกลาง

    Microsoft และหน่วยงานรักษาความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา ได้แจ้งหน่วยงานรัฐบาลกลางทั้งหมดทันทีหลังจากตรวจพบว่า Microsoft Exchange ได้ถูก Hacker ชาวรัสเซียโจมตี และขโมยข้อมูล

   ซึ่งคำสั่งฉุกเฉินฉบับใหม่ของ CISA ถือว่าเป็นครั้งแรกที่รัฐบาลสหรัฐฯ ได้ออกมายืนยันว่าอีเมลของหน่วยงานรัฐบาลกลางถูกโจมตี และขโมยข้อมูลจาก Microsoft Exchange ในเดือนมกราคม 2024

ปัจจุบัน CISA ได้สั่งให้หน่วยงานที่ได้รับผลกระทบจากการโจมตี ทำการระบุเนื้อหาทั้งหมดของการติดต่อกับบัญชี Microsoft ที่ถูกโจมตี และดำเนินการวิเคราะห์ผลกระทบด้านความปลอดภัยทางไซเบอร์ภายในวันที่ 30 เมษายน 2024

หากตรวจพบสัญญาณของถูกโจมตีจะต้องดำเนินการตามขั้นตอนดังนี้ :

    ดำเนินการแก้ไขทันทีสำหรับ token, passwords, API keys หรือข้อมูลรับรองการตรวจสอบสิทธิ์อื่น ๆ ที่ทราบ หรือสงสัยว่าจะถูกบุกรุก

  สำหรับการละเมิดการรับรองความถูกต้องที่น่าสงสัยใด ๆ ที่ผ่านการดำเนินการที่ 1 ภายในวันที่ 30 เมษายน 2024

    Reset ข้อมูล credentials ในแอปพลิเคชันที่เกี่ยวข้อง และปิดใช้งานแอปพลิเคชันที่เกี่ยวข้องซึ่งไม่ได้มีการใช้งานอีกต่อไป

   ตรวจสอบการลงชื่อเข้าใช้ การออกโทเค็น และบันทึกพฤติกรรมบัญชีอื่น ๆ สำหรับผู้ใช้ และบริการที่สงสัยว่าข้อมูลประจำตัวถูกบุกรุก หรือพบว่าถูกบุกรุกจากพฤติกรรมที่อาจเป็นอันตราย

    แม้ว่าข้อกำหนด ED 24-02 จะมีผลกับหน่วยงาน FCEB โดยเฉพาะ แต่การขโมยข้อมูลของ Microsoft corporate account อาจส่งผลกระทบต่อองค์กรอื่น ๆ จึงแนะนำให้ทำการป้องกันการโจมตีตามคำแนะนำของ Microsoft account teams

    รวมถึงการนำมาตรการรักษาความปลอดภัยที่เข้มงวดมาใช้งาน เช่น การใช้รหัสผ่านที่รัดกุม, การเปิดใช้งานการยืนยันตัวตนหลายปัจจัย (MFA) ทุกครั้งที่เป็นไปได้ และยกเว้นจากการแบ่งปันข้อมูลที่ความสำคัญผ่านช่องทางที่ไม่ปลอดภัย

การโจมตี Microsoft ของกลุ่ม APT 29

    ในเดือนมกราคม 2024 ทาง Microsoft เปิดเผยว่ากลุ่ม APT 29 (หรือในชื่อ Midnight Blizzard และ NOBELIUM) ได้ทำการโจมตี corporate email server ด้วยวิธี password spray attack ทำให้สามารถเข้าถึงบัญชีสำหรับทดสอบที่เป็น non-production ได้ เนื่องจากบัญชีดังกล่าวไม่ได้เปิดใช้งาน MFA จึงทำให้ถูกโจมตีเข้าถึงระบบของ Microsoft ได้สำเร็จ

    หลังจากนั้นผู้ไม่ประสงค์ดีทำการเข้าถึงแอปพลิเคชัน OAuth พร้อมการเข้าถึงระบบอื่น ๆ ของ Microsoft ในระดับที่สูงขึ้น ซึ่งช่วยให้ผู้ Hacker สามารถเข้าถึง และขโมยข้อมูลจาก mailbox ขององค์กรได้ ซึ่งบัญชีอีเมลเหล่านี้เป็นของสมาชิกระดับสูงของ Microsoft และพนักงานในแผนกความปลอดภัยทางไซเบอร์ และกฎหมายของบริษัท

    กลุ่ม APT29 เป็นที่รู้จักหลังจากการโจมตีแบบ supply chain attack ของ SolarWinds ในปี 2020 ซึ่งส่งผลกระทบต่อเนื่องไปยังหน่วยงานรัฐบาลกลางของสหรัฐอเมริกา และบริษัทหลายแห่งรวมถึง Microsoft ทำให้สามารถขโมย source code บางส่วนของ Azure, Intune และ Exchange ต่อมาในปี 2021 กลุ่ม APT29 ได้โจมตี Microsoft อีกครั้ง ซึ่งการโจมตีดังกล่าวทำให้สามารถเข้าถึง customer support tool ได้

Ref : bleepingcomputer

Toyota Financial Services แจ้งเตือนไปยัง Toyota ทั่วโลก ถึงเหตุการณ์ข้อมูลลูกค้ารั่วไหล กระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

    Toyota Financial Services เป็นบริษัทในเครือของ Toyota Motor Corporation ได้ออกมาประกาศแจ้งเตือนถึงลูกค้าเรื่องข้อมูลรั่วไหล ซึ่งส่งผลกระทบต่อข้อมูลส่วนบุคคล และข้อมูลทางการเงิน

    เหตุการณ์นี้เกิดขึ้นเมื่อเดือนที่ผ่านมา โดยบริษัทถูกเข้าถึงระบบบางส่วนในยุโรป และแอฟริกาโดยไม่ได้รับอนุญาต ภายหลังจากที่ Medusa ransomware อ้างว่าโจมตีแผนกผู้ผลิตรถยนต์ของญี่ปุ่นสําเร็จ โดยผู้โจมตีได้เรียกค่าไถ่จำนวน 8,000,000 ดอลลาร์ เพื่อลบข้อมูลที่ขโมยมา และให้เวลา Toyota 10 วันในการติดต่อกลับ

    โดย Toyota ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า เมื่อทราบถึงเหตุการณ์ดังกล่าว บริษัทได้ทำการออฟไลน์ระบบบางระบบเพื่อปิดช่องโหว่ ทำให้ส่งผลกระทบต่อการบริการลูกค้า ทั้งนี้ สันนิษฐานว่า Toyota ยังไม่ได้มีการเจรจาการจ่ายค่าไถ่กับผู้โจมตี ทำให้ขณะนี้ข้อมูลทั้งหมดถูกปล่อยออกมาบนดาร์กเว็บ

    จากการที่ Toyota Kreditbank GmbH ในเยอรมนี ซึ่งเป็นหนึ่งในหน่วยงานที่ได้รับผลกระทบจากเหตุการณ์ในครั้งนี้ ได้ออกมายอมรับว่าผู้ไม่ประสงค์ดีสามารถเข้าถึงข้อมูลส่วนบุคคลของลูกค้า ส่งผลให้ข้อมูลของลูกค้าจำนวนหนึ่งถูกขโมยออกไป โดยสำนักข่าว Heise ของเยอรมนี ได้รับตัวอย่างแถลงการณ์ที่ Toyota ส่งถึงลูกค้าชาวเยอรมัน แจ้งว่าข้อมูลรั่วไหลประกอบด้วยข้อมูลดังต่อไปนี้

ข้อมูลที่รั่วไหลออกไป

• ชื่อ
• ที่อยู่
• ข้อมูลสัญญา
• รายละเอียดการเช่าซื้อ
• IBAN (หมายเลขบัญชีธนาคารระหว่างประเทศ)

    โดยข้อมูลที่ถูกขโมยไปเพียงพอสำหรับการนำมาใช้โจมตีแบบฟิชชิ่ง การหลอกลวง และการทำธุรกรรมทางการเงิน รวมถึงการขโมยข้อมูลส่วนบุคคล ดังนั้นจึงควรระมัดระวังความผิดปกติที่อาจจะเกิดขึ้น

    อย่างไรก็ตามการตรวจสอบยังไม่เสร็จสิ้น และยังมีความเป็นไปได้ที่ผู้โจมตีจะสามารถเข้าถึงข้อมูลเพิ่มเติม โดยทาง Toyota กำลังดำเนินการตรวจสอบอย่างละเอียด และหากพบว่ามีการเปิดเผยข้อมูลเพิ่มเติม คาดว่าบริษัทจะรีบแจ้งให้ผู้ที่ได้รับผลกระทบทราบโดยทันที

Ref : bleepingcomputer

Ransomware ใหม่ออกอาละวาดชื่อว่า Trigona

 

  ในช่วงต้นปีที่ผ่านมา ทีมงาน MalwareHunterTeam ค้นพบ Ransomware ชนิดใหม่ที่ยังไม่มีการระบุชื่อในช่วงแรกมีการใช้อีเมลเพื่อการเจรจาต่อรองกับเหยื่อ แต่ในปัจจุบันมีการรีแบรนด์ใหม่โดยใช้ชื่อว่า Trigona

 ซึ่งนอกจากการมีการเปิดตัวเว็ปไซต์เพื่อเจรจา กับเป้าหมายผ่าน Tor Browser อีกด้วยซึ่งในปัจจุบันมีเหยื่อหลายรายที่ตกเป็นเป้าหมายของ Ransomware ชนิดนี้ มีทั้งบริษัทอสังหาริมทรัพย์และหมู่บ้านในเยอรมนี

ลักษณะการทำงาน

   ผู้เชี่ยวชาญจาก BleepingComputer วิเคราะห์ตัวอย่างล่าสุดของ Trigona พบว่ามีการใช้ Command Line ดังต่อไปนี้

• /full
• /!autorun
• /test_cid
• /test_vid
• /path
• /!local
• /!lan
• /autorun_only
• /autorun_only
  

    การเข้ารหัสไฟล์ Trigona จะทำการเข้ารหัสไฟล์ทั้งหมดบนอุปกรณ์ ยกเว้นไฟล์ที่อยู่ใน Folder เฉพาะ เช่น Windows และ Program Files หลังจากเข้ารหัสเรียบร้อย Ransomware จะเปลี่ยนชื่อไฟล์ที่เข้ารหัสเพื่อใช้นามสกุล ._locked ตัวอย่างเช่น ไฟล์ 1.doc จะถูกเข้ารหัสและเปลี่ยนชื่อเป็น 1.doc._locked จากนั้น     Ransomware จะฝังคีย์ถอดรหัสที่มีการเข้ารหัส, รหัสแคมเปญ และรหัสของเหยื่อ(ชื่อบริษัท) ไว้ในไฟล์ที่เข้ารหัส Note เรียกค่าไถ่จะมีชื่อว่า how_to_decrypt.hta โดยจะถูกสร้างขึ้นในแต่ละโฟลเดอร์ ภายใน Note จะแสดงถึงข้อมูลเกี่ยวกับการโจมตี ลิงก์ไปยังเว็บไซต์การเจรจาบน Tor Browser

   และลิงก์ที่ใช้สำหรับคัดลอกรหัสไปยังคลิปบอร์ดของ Windows ซึ่งจำเป็นต้องใช้ในการเข้าสู่เว็ปไซต์บน Tor Browser หลังจากลงชื่อเข้าใช้เว็ปไซต์บน Tor Browser เหยื่อจะพบข้อมูลเกี่ยวกับวิธีซื้อ Monero สำหรับจ่ายค่าไถ่ มีแชทที่ให้เหยื่อสามารถใช้เพื่อเจรจากับผู้โจมตีได้ นอกจากนี้เว็ปไซต์ยังมีฟีเจอร์ในการทดลองถอดรหัสไฟล์ได้จำนวน 5 ไฟล์ โดยแต่ละไฟล์มีขนาดสูงสุด 5MB ได้ฟรี

 เมื่อมีการจ่ายค่าไถ่ เหยื่อจะได้รับลิงก์ไปยังตัวถอดรหัส และไฟล์ keys.dat ซึ่งมีคีย์ถอดรหัส โดยตัวถอดรหัสสามารถถอดรหัสไฟล์ หรือโฟลเดอร์แต่ละรายการบนอุปกรณ์ภายในเครื่อง และเครือข่าย ผู้โจมตีได้บันทึกลงใน Note ว่ามีการขโมยข้อมูลออกไปด้วยระหว่างการโจมตีแต่ผู้เชี่ยวชาญจาก BleepingComputerยังไม่พบหลักฐานใด ๆ เกี่ยวกับเรื่องนี้ อย่างไรก็ตามการโจมตีของ Trigona กำลังเพิ่มปริมาณมากขึ้นทั่วโลกและมีแนวโน้มที่จะขยายการโจมตีต่อไปเรื่อย ๆ นอกจากนี้ในปัจจุบันยังไม่มีข้อมูลว่า Ransomware ถูกติดตั้ง ได้อย่างไร

Ransomware Gang "Donut extortion" กำหนดเป้าหมายในการโจมตีด้วย Ransomware อีกครั้งหนึ่ง

    มีการยืนยันแล้วว่า Ransomware Gang Donut extortion ถึงการโจมตีของพวกเขาว่าได้กำหนดการโจมตีที่เป้าหมายเป็น องค์กร ด้วย ransomware

    BleepingComputer ได้มีการรายงานเกี่ยวกับ Donut extortion เมื่อเดือนสิงหาคม ว่าพวกเขามีความเกี่ยวข้องกับ การโจมตี บริษัทแก๊ซธรรมชาติของกรีก ในชื่อ DESFA บริษัทก่อสร้างแห่งหนึ่งในสหราชอาณาจักร ในชื่อ Sheppard Robson และบริษัทก่อสร้างข้ามชาติ ในชื่อ Sando

    น่าแปลกใจที่ข้อมูลของ Sando และ DESFA ถูกนำไปไปโพสต์ในกลุ่มปฏิบัติการ Ransomware หลายแห่ง ข้อมูลของที่ได้จากการโจมตี Sanda ถูกอ้างโดย Hive ransomware และข้อมูลของ DESFA ถูกอ้างโดย Ragnar Locker ผู้เชี่ยวชาญด้านความปลอดภัยจาก 42 Doel Santos ได้ออกมาเผยว่า TOX ID ที่ตรวจพบใน Log ของ Directory เป็นลักษณะคล้ายกับ HelloXD Ransomware การโพสต์ข้อมูลที่ถูกขโมยข้ามกันไปมาและมีการร่วมมือกัน ทำให้เชื่อว่าเบื้องหลังการโจมตีของ Donut Leak เป็นการร่วมมือกันหลายกลุ่ม

เพื่อพยายามที่จะทำเงินจากข้อมูลจากการกระทำของพวกเขา

The Donut Ransomware

    BleepingComputer ได้ตรวจสอบพบโดย VirusTotal ถึงการโจมตีด้วยการเข้ารหัสของ Donut ได้แสดงให้เห็นว่ากลุ่มนี้ได้ทำการปรับแต่ง ransomware แบบ Custome เพื่อเป็นการขโมยข้อมูลแบบการเรียกค่าไถ่แบบ 2 ขั้น Ransomware นี้เมื่อมีการแตกไฟล์ มันจะสแกนหาไฟล์ที่มีนามสกุลเฉพาะเพื่อที่จะเข้ารหัสไฟล์ที่มีนามสกุลที่แปลกไป เมื่อเข้ารหัสไฟล์แล้ว ransomware จะหลีกเลี่ยงไฟล์และโฟเดอร์ ที่มีอักษรตามนี้

• Edge
• ntldr
• Opera
• Bootsect.bak
• Chrom
• BOOTSTAT.DAT
• boot.ini
• AllUsers
• Chromium
• bootmgr
• Windows
• thumbs.db
• ntuser.ini
• ntuser.dat
• desktop.ini
• bootmgr.efi
• autorun.inf

    เมื่อไฟล์ถูกเข้ารหัส Donut ransomware จะสร้าง .d0nut เพิ่มที่ไฟล์ที่ถูกเข้ารหัส ตัวอย่างเช่น 1.jpg เมื่อถูกเข้ารหัส จะถูกเปลี่ยนเป็น 1.jpg.d0nut

    กลุ่ม Donut Leaks มีการเพิ่มความน่าสนใจในการใช้การแสดงภาพนี่น่าสนใจ และเสนอการสร้างช่องทางของการใช้งานการแสดงภาพศิลปะเป็นโดนัทหมุนโชว์บน ransom notes

    Ranson note จะทำให้สับสนมากขึ้นเพื่อเลี่ยงการตรวจจับ โดยจะมีการเข้ารหัสตัวอักษรทั้งหมด และจะถอดรหัส JavaScript ransomware notes พวกนี้ยังให้ช่องต่างติดต่อที่แต่ต่างกันออกไป เช่น TOX และ Tor ในการติดต่อ

    Donut ransomware จะมีตัว "builder" ในแหล่งที่มีการรั่วไหลของข้อมูล ซึ่งจะมีองค์ประกอบของ a bash script (Commands ที่จะเขียนอยู่ในไฟล์ โดยจะถูกอ่านทีละบรรทัด) เพื่อสร้าง Windows, Linux Electron app (เป็นframwork ไว้สร้าง desktop application) โดยจะพ่วงมาด้วย กับ Tor เพื่อที่จะได้เข้าถึงแหล่งที่ข้อมูลรั่วไหล

    อย่างไรก็ตาม นี่เป็นกลุ่มที่ที่น่าจับตามอง ไม่ใช่เพียงแค่มีความสามารถที่โดดเด่น แต่ยังมีความสามารถในการสร้างตลาดซื้อขายของพวกเขาเอง

Ref : bleepingcomputer

Over 45,000 VMware ESXi servers just reached end-of-life

 Ref: Bleepingcomputer

VMware ESXi กว่า 45,000 เครื่อง จะถูกห้ามใช้งานหลังจาก EOL

    เครื่อง Server VMware ESXi กว่า 45,000 เครื่องที่เป็นของทาง Lansweeper ที่ EOL โดยที่ WMware จะถอดการให้บริการออกจากระบบทันทีและจะไม่สนับสนุนในการอัพเดททั้ง Software และ ระบบ Security อีก เว้นแต่ว่าผู้ใช้งานที่ทำการซื้อสัญญาการสนับสนุน

   Lansweeper ทีมพัฒนา asset management and discovery software ได้ออกมาเตือนถึงการยกเลิกให้บริการแบบ Opensource ทันทีสำหรับผู้ใช้งานบนผลิตภัณฑ์ของทางทีมอยู่นั้น หลังจากวันที่ 15 ตุลาคม พ.ศ. 2565 บน VMware ESXi 6.5 และ VMware ESXi 6.7 สิ้นสุดอายุการใช้งานและจะได้รับการสนับสนุนด้านเทคนิคเท่านั้นแต่จะไม่ได้รับการอัปเดตด้านความปลอดภัยอาจจะทำให้ซอฟต์แวร์มีความเสี่ยงต่อช่องโหว่และจากทางทีมพัฒนาทำการคำนวนผู้ใช้งานมีจำนวนถึง 6,000 กว่าราย และพบServer VMware ESXi ที่ติดตั้งแล้ว 79,000 เครื่องจากผลการสำรวจของ Lansweeper เป็นเรื่องน่าตกใจอย่างยิ่งเพราะนอกจาก 57% ที่เข้าสู่ช่วงที่มีความเสี่ยงสูงแล้ว ยังมีการติดตั้งอีก 15.8% ที่ทำงานแม้กระทั่ง Version ที่เก่ากว่า ตั้งแต่ 3.5.0 ถึง 5.5.0 ซึ่งถึงกำหนด EOL เมื่อไม่นานมานี้

สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวันที่ EOL ของผลิตภัณฑ์ซอฟต์แวร์ VMware ทั้งหมดสามารถตรวจสอบได้ที่ lifecyclevmware

  เมื่อผลิตภัณฑ์ถึงกำหนดวันที่หมดอายุ ผลิตภัณฑ์จะหยุดรับการอัปเดตความปลอดภัยตามปกติ ซึ่งหมายความว่าผู้ดูแลระบบควรวางแผนล่วงหน้าและอัปเกรดการปรับใช้ทั้งหมดเป็นรุ่นที่ใหม่กว่า แม้ไม่น่าจะเป็นไปได้ที่ VMware จะยังคงออก Patch ความปลอดภัยที่สำคัญสำหรับ Version เก่าเหล่านี้ แต่ก็ไม่รับประกันและอาจจะไม่ปล่อย Patch สำหรับช่องโหว่ใหม่ทั้งหมดที่ถูกค้นพบอย่างแน่นอน

    เมื่อเซิร์ฟเวอร์ ESXi ที่ไม่ได้รับการสนับสนุนทำงานต่อไปเป็นเวลานานโดยไม่มี Patch  เซิร์ฟเวอร์ดังกล่าวจะสะสมช่องโหว่ด้านความปลอดภัยจำนวนมากจนผู้ไม่ประสงค์ดีมีหลายวิธีในการเจาะข้อมูลการโจมตีเซิร์ฟเวอร์อาจทำให้การดำเนินธุรกิจหยุดชะงักอย่างรุนแรงและเป็นวงกว้าง 

    ซึ่งเป็นเหตุให้ Ransomware Gang มุ่งเป้าไปที่การกำหนดเป้าหมาย เช่นตัวอย่างในปีนี้ ESXi VM ตกเป็นเป้าหมายของ Black Basta , RedAlert , GwisinLocker , Hive และ Ransomware Gang ของ Cheers

ไม่นานมานี้ Mandiant ค้นพบว่าผู้ไม่ประสงค์ดีพบ  วิธีการใหม่ ในการ  สร้างความคงอยู่ของไฮเปอร์ไวเซอร์ VMware ESXi ที่ช่วยให้พวกเขาสามารถควบคุมเซิร์ฟเวอร์และโฮสต์ VM โดยไม่ถูกตรวจจับ

    จากทั้งหมดที่กล่าวมา ESXi ได้รับความสนใจอย่างมากจากผู้คุกคาม ดังนั้นการใช้ซอฟต์แวร์ Version ที่ล้าสมัยและมีช่องโหว่ย่อมเป็นความคิดที่แย่มากอย่างไม่ต้องสงสัย

LockBit ransomware gang gets aggressive with triple-extortion tactic

 

LockBit Ransomware ประกาศเพิ่มการโจมตีแบบ DDoS Attack

    กลุ่ม LockBit Ransomware ได้ออกมาประกาศเรื่องการปรับปรุงเว็บไซต์ของทางกลุ่ม หลังจากที่ถูกโจมตีแบบปฏิเสธการให้บริการ (DDoS) และเตรียมยกระดับการโจมตีของกลุ่มให้เป็นแบบ Triple Extortion

รายละเอียดเหตุการณ์

    เหตุการณ์ครั้งนี้เกิดขึ้นจากเมื่อวันที่ 18 มิถุนายน 2565 ที่ผ่านมา LockBit ได้ขโมยข้อมูลจำนวนกว่า 300 GB ของ Entrust บริษัทด้านความปลอดภัยทางดิจิทัล โดยเหตุการณ์ครั้งนี้ Entrust ยืนยันที่จะไม่ยอมจ่ายค่าไถ่ ทำให้ LockBit เริ่มประกาศจะเผยแพร่ข้อมูลของ Entrust ออกมาในวันที่ 19 สิงหาคม 2565 แต่ก็ไม่สามารถเผยแพร่ข้อมูลได้อย่างต่อเนื่อง เนื่องจาก LockBit อ้างว่าเว็บไซต์ของทางกลุ่มถูกบริษัท Entrust โจมตีด้วย DDoS attack เพื่อป้องกันไม่ให้มีการเข้าถึงข้อมูลที่ LockBitอ้างว่าได้ขโมยออกมา จากเหตุการณ์ดังกล่าว LockBit ใช้บทเรียนครั้งนี้เป็นโอกาสที่จะเพิ่มผู้เชี่ยวชาญในการโจมตีด้วย DDoS เข้าสู่ทีม เพื่อยกระดับการโจมตีของตนให้เป็นแบบ Triple Extortion

ซึ่งประกอบไปด้วย

• การเข้ารหัสไฟล์บนเครื่องเป้าหมาย
• การเผยแพร่ข้อมูลของเป้าหมาย
• การโจมตีแบบปฏิเสธการให้บริการ (DDoS) ไปยังเป้าหมาย

    นอกจากนี้โฆษาของ LockBit ยังยืนยันว่าจะแชร์ข้อมูลกว่า 300GB ที่ขโมยมาจาก Entrust ให้ได้ โดยเริ่มจากการส่งข้อมูลไปให้กับผู้ที่สนใจที่ติดต่อเข้ามาทาง Direct Message ผ่านทางไฟล์ Torrent ส่วนวิธีที่ LockBit นำมาใช้เพื่อป้องกันการโจมตีจาก DDoS คือการใช้ลิงก์ที่แตกต่างกันในไฟล์บันทึกค่าไถ่ของเหยื่อแต่ละราย จากนั้นจะเพิ่มจำนวนมิเรอร์ และเซิร์ฟเวอร์สำหรับเผยแพร่ข้อมูลที่แฮ็กมา และในอนาคตมีแผนที่จะเพิ่มความพร้อมใช้งานของข้อมูลที่ถูกขโมยโดยทำให้สามารถเข้าถึงได้ผ่าน clearnet ผ่านบริการจัดเก็บข้อมูลแบบ bulletproof

ข้อมูลเพิ่มเติมเกี่ยวกับ LockBit

    การดำเนินการของ LockBit ถูกพบมาตั้งแต่เดือนกันยายน 2562 โดยมีผู้ตกเป็นเหยื่อมากกว่า 700 รายและ Entrust ก็ถือเป็นหนึ่งในนั้น

LockBit ransomware gang gets aggressive with triple-extortion tactic