CISA และ FBI เตือนแก๊งค์แรนซั่มแวร์ Royal อาจเปลี่ยนชื่อเป็น ‘BlackSuit’ ขู่ให้เหยื่อ 350 รายจ่ายค่าไถ่เป็นเงิน 275 ล้านดอลลาร์

หน่วยงานรักษาความปลอดภัยทางไซเบอร์ชั้นนำในสหรัฐอเมริกาเปิดเผยข้อมูลใหม่ที่น่าตกใจเกี่ยวกับแก๊งค์แรนซัมแวร์ Royal เมื่อวันจันทร์ ซึ่งเป็นการยืนยันรายงานก่อนหน้านี้ว่าแก๊งค์อาจกำลังเตรียมการสำหรับการเปลี่ยนชื่อ ในเดือนมิถุนายน BleepingComputer รายงานว่า Royal ransomware กำลังทดสอบตัวเข้ารหัสใหม่ที่ชื่อ BlackSuit ซึ่งมีความคล้ายคลึงกันกับตัวเข้ารหัสตามปกติของการดำเนินการ ซึ่งสอดคล้องกับรายงานจาก TrendMicro และนักวิจัยด้านความปลอดภัยทางไซเบอร์อื่น ๆ ว่าแก๊งค์กำลังเตรียมการเปลี่ยนชื่อแบรนด์ใหม่หลังจากการตรวจสอบการบังคับใช้กฎหมายที่เพิ่มขึ้นหลังจากการโจมตีที่เมืองดัลลัส   ในการอัปเดตคำแนะนำเดือนมีนาคมเมื่อวันจันทร์ FBI และ Cybersecurity และ Infrastructure Security Agency (CISA) ยืนยันว่าพวกเขาก็เชื่อเช่นกันว่า Royal กำลังเตรียมการเปลี่ยนชื่อ หน่วยงานกล่าวว่า “ตั้งแต่เดือนกันยายน 2565 Royal ได้กำหนดเป้าหมายเหยื่อกว่า 350 รายทั่วโลก และเรียกร้องค่าไถ่จำนวนมากกว่า 275 ล้านเหรียญสหรัฐ Royal ดำเนินการขโมยข้อมูลและการขู่กรรโชกก่อนการเข้ารหัส จากนั้นเผยแพร่ข้อมูลของเหยื่อไปยังไซต์ที่รั่วไหลหากไม่มีการจ่ายค่าไถ่” ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์หลายคนเชื่อว่า Royal ransomware นั้นเป็นภาคแยกของแก๊งแรนซัมแวร์ Conti ซึ่งปิดตัวลงเมื่อปีที่แล้วหลังจากการโจมตีอย่างรุนแรงต่อรัฐบาลคอสตาริกา   Royal มีการดำเนินงานที่ประสบความสำเร็จ โดยบริษัทประกันภัยทางไซเบอร์แห่งหนึ่งกล่าวในเดือนกันยายนว่ากลุ่มนี้ควบคู่ไปกับ BlackCat และ…

แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ของ Looney Tunables Linux ขโมยข้อมูล Cloud credentials

ผู้โจมตีที่ใช้มัลแวร์ Kinsing กำหนดเป้าหมายเข้ามาผ่านช่องโหว่ของ “Looney Tunables” ซึ่งเป็นปัญหาด้านความปลอดภัยของ Linux ที่ระบุว่าเป็น CVE-2023-4911 ซึ่งช่วยให้ผู้โจมตีได้รับสิทธิ์รูทบนระบบ Looney Tunables เป็นบัฟเฟอร์ล้นในตัวโหลดเดอร์แบบไดนามิกของ glibc (ld.so) ที่เปิดตัวใน glibc 2.34 ในเดือนเมษายน 2021 แต่เปิดเผยในต้นเดือนตุลาคม 2023 ไม่กี่วันหลังจากการเปิดเผย การหาประโยชน์จาก Proof-of-Concept (PoC) ก็เปิดเผยต่อสาธารณะ ในรายงานจากบริษัทรักษาความปลอดภัยบนคลาวด์ Aqua Nautilus นักวิจัยอธิบายถึงการโจมตีของมัลแวร์ Kinsing โดยที่ผู้คุกคามใช้ประโยชน์จาก CVE-2023-4911 เพื่อยกระดับสิทธิ์ในเครื่องที่ถูกบุกรุก   Kinsing เป็นที่รู้จักในเรื่องการละเมิดระบบและแอปพลิเคชันบนคลาวด์ (เช่น Kubernetes, Docker APIs, Redis และ Jenkins) เพื่อปรับใช้ซอฟต์แวร์การขุด crypto เมื่อเร็วๆ นี้ Microsoft สังเกตเห็นว่าพวกเขากำหนดเป้าหมายคลัสเตอร์ Kubernetes ผ่านคอนเทนเนอร์ PostgreSQL ที่กำหนดค่าไม่ถูกต้อง…

อุปกรณ์ Cisco กว่า 10,000 เครื่องถูกแฮ็กจากการโจมตี IOS XE zero-day attacks

ผู้โจมตีใช้ประโยชน์จากช่องโหว่ Zero-day โจมตีและทำให้อุปกรณ์ Cisco IOS XE มากกว่า 10,000 เครื่องถูกแฮ็กและควบคุมเครื่องได้เต็มรูปแบบ   รายการผลิตภัณฑ์ที่ใช้ซอฟต์แวร์ Cisco IOS XE ประกอบด้วยสวิตช์ระดับองค์กร เราเตอร์แบบรวมกลุ่มและอุตสาหกรรม จุดเข้าใช้งาน ตัวควบคุมไร้สาย และอื่นๆ ตามรายงานของบริษัทข่าวกรองภัยคุกคาม VulnCheck ช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2023-20198) ได้ถูกนำไปใช้อย่างกว้างขวางในการโจมตีเป้าหมายระบบ Cisco IOS XE ที่เปิดใช้งานฟีเจอร์ Web User Interface (Web UI) ซึ่งมีฟีเจอร์ HTTP หรือ HTTPS Server โดยเบื้องต้นยังไม่มีแพตช์ และ Cisco แนะนำให้ลูกค้าปิดฟีเจอร์ HTTP Server ไปก่อน   Shodan search สำหรับอุปกรณ์ Cisco ที่เปิดใช้งาน Web UI (ข้อมูลจาก Aves…

ซอร์สโค้ดของ Ransomware “HelloKitty” รั่วไหลบน Hacking forum

ผู้ก่อภัยคุกคามได้ปล่อยซอร์สโค้ดทั้งหมดของ HelloKitty ransomware เวอร์ชันแรกใน Hacking forum ภาษารัสเซีย โดยอ้างว่ากำลังพัฒนาตัวเข้ารหัสตัวใหม่ที่แข็งแกร่งยิ่งขึ้น ข้อมูลที่รั่วไหลนี้ถูกค้นพบครั้งแรกโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ 3xp0rt ซึ่งพบภัยคุกคามชื่อ ‘kapuchin0’ ปล่อย “สาขาแรก” ของตัวเข้ารหัสแรนซัมแวร์ HelloKitty โพสต์ในฟอรัมรั่วไหลตัวเข้ารหัส HelloKitty ที่มา: 3xp0rt ในขณะที่ซอร์สโค้ดถูกเผยแพร่โดยบุคคลที่ชื่อ ‘kapuchin0’ 3xp0rt บอกกับ BleepingComputer ว่าผู้คุกคามยังใช้นามแฝง ‘Gookee’ ก่อนหน้านี้ผู้คุกคามชื่อ Gookee เคยเกี่ยวข้องกับมัลแวร์และการแฮ็ก โดยพยายามขายการเข้าถึง Sony Network Japan ในปี 2020 เชื่อมโยงกับการดำเนินการ Ransomware-as-a-Service ที่เรียกว่า ‘Gookee Ransomware’ และพยายามขายซอร์สโค้ดของมัลแวร์ ในฟอรัมแฮ็กเกอร์   3xp0rt เชื่อว่า kapuchin0/Gookee เป็นผู้พัฒนาแรนซัมแวร์ HelloKitty ซึ่งขณะนี้กล่าวว่า “เรากำลังเตรียมผลิตภัณฑ์ใหม่และน่าสนใจมากกว่า Lockbit มาก” ไฟล์ Archive…

มัลแวร์ Bumblebee กลับมาโจมตีครั้งใหม่ผ่านทางโฟลเดอร์ WebDAV

มัลแวร์ ‘Bumblebee’ ได้หยุดการโจมตีไปสองเดือนและกลับมาโจมตีใหม่โดยใช้เทคนิคแบบใหม่ที่โจมตีผ่านบริการ 4shared WebDAV  WebDAV (Web Distributed Authoring and Versioning) เป็นส่วนขยายของโปรโตคอล HTTP ที่ช่วยให้ไคลเอ็นต์ดำเนินการ เช่น การสร้าง การเข้าถึง การอัปเดต และการลบเนื้อหาเว็บเซิร์ฟเวอร์ นักวิจัยของ Intel471 รายงานว่าแคมเปญล่าสุดของ Bumblebee ซึ่งเริ่มในวันที่ 7 กันยายน 2023 ใช้บริการ 4shared WebDAV เพื่อกระจายโหลดเดอร์ ด้วยการโจมตีแบบลูกโซ่ ดำเนินการหลายอย่างหลังติดเชื้อ Spam emails แคมเปญ Bumblebee ปัจจุบันอาศัย Malspam email ที่แสร้งทำเป็นสแกน ใบแจ้งหนี้ และการแจ้งเตือนเพื่อหลอกล่อให้ผู้รับดาวน์โหลดไฟล์แนบที่เป็นอันตราย ไฟล์แนบส่วนใหญ่เป็นไฟล์ ลิงค์ชอร์ทคัท (LNK) ของ Windows แต่ก็มีไฟล์ ZIP บางไฟล์ที่มีไฟล์ LNK ซึ่งอาจเป็นสัญญาณว่าตัว Bumblebee กำลังทดลองเพื่อพิจารณาว่าไฟล์ใดทำงานได้ดีที่สุด…

มัลแวร์ Python เวอร์ชันใหม่ Chaes มุ่งเป้าโจมตีธุรกิจธนาคารและโลจิสติกส์

ธุรกิจธนาคารและโลจิสติกส์ตกอยู่ภายใต้การโจมตีของมัลแวร์ที่ถูกปรับแต่งใหม่มีชื่อว่า Chaes  “Chaes ได้รับการยกเครื่องครั้งใหญ่: จากการเขียนใหม่ทั้งหมดในภาษา Python ซึ่งส่งผลให้อัตราการตรวจจับลดลงโดยระบบการป้องกันแบบเดิม ไปจนถึงการออกแบบใหม่ที่ครอบคลุมและโปรโตคอลการสื่อสารได้รับการปรับปรุง” Morphisec กล่าวในบทความทางเทคนิคโดยละเอียดที่แบ่งปันกับ The Hacker News   Chaes ซึ่งเปิดตัวครั้งแรกในปี 2020 มันกำหนดเป้าหมายเป็นลูกค้าอีคอมเมิร์ซในละตินอเมริกา โดยเฉพาะบราซิล เพื่อขโมยข้อมูลทางการเงิน การวิเคราะห์ในภายหลังจาก Avast เมื่อต้นปี 2022 พบว่าผู้คุกคามที่อยู่เบื้องหลังปฏิบัติการ ซึ่งเรียกตัวเองว่าลูซิเฟอร์ ได้ละเมิดเว็บไซต์ WordPress มากกว่า 800 เว็บไซต์เพื่อส่ง Chaes ให้กับ User Banco do Brasil, Loja Integrada, Mercado Bitcoin, Mercado Livre และ Mercado Pago   ตรวจพบการอัปเดตเพิ่มเติมในเดือนธันวาคม 2022 เมื่อบริษัทรักษาความปลอดภัยทางไซเบอร์ของบราซิล Tempest Security Intelligence เปิดเผยการใช้ Windows…

MalDoc ในรูปแบบ PDF: การเลี่ยงการตรวจจับโดยการฝังไฟล์ Word ที่เป็นอันตรายลงในไฟล์ PDF

Japan’s computer emergency response team (JPCERT) เผยแพร่วิธีการโจมตีใหม่ด้วย ‘MalDoc ในรูปแบบ PDF’ ที่ตรวจพบในเดือนกรกฎาคม 2023 ซึ่งเลี่ยงการตรวจจับโดยการฝังไฟล์ Word ที่เป็นอันตรายลงใน PDF   ไฟล์ตัวอย่างจาก JPCERT เป็น Polyglots ซึ่งเครื่องมือการสแกนส่วนใหญ่ให้การยอมรับไฟล์ รู้จักในรูปแบบ PDF และแอปพลิเคชัน Office ก็สามารถเปิดเป็นเอกสาร Word ทั่วไป (.doc) ได้ Polyglots เป็นไฟล์ที่มีรูปแบบไฟล์ที่แตกต่างกันสองรูปแบบ ซึ่งสามารถตีความและดำเนินการเป็นไฟล์ได้มากกว่าหนึ่งประเภท ขึ้นอยู่กับแอปพลิเคชันที่อ่าน/เปิดไฟล์เหล่านั้น   ตัวอย่างเช่น เอกสารอันตรายในแคมเปญนี้เป็นการผสมผสานระหว่างเอกสาร PDF และ Word ซึ่งสามารถเปิดเป็นรูปแบบไฟล์ใดก็ได้ โดยทั่วไปแล้ว ผู้คุกคามจะใช้ Polyglots เพื่อหลบเลี่ยงการตรวจจับหรือสร้างความสับสนให้กับเครื่องมือวิเคราะห์ความปลอดภัย เนื่องจากไฟล์เหล่านี้อาจดูไม่เป็นอันตรายในรูปแบบหนึ่งในขณะที่ซ่อนโค้ดที่เป็นอันตรายในอีกรูปแบบหนึ่ง ในกรณีนี้ เอกสาร PDF จะมีเอกสาร Word ที่มีมาโคร VBS เพื่อดาวน์โหลดและติดตั้งไฟล์มัลแวร์…

Interpol ปฏิบัติการกำจัดแพลตฟอร์ม 16shop phishing-as-a-service

ปฏิบัติการร่วมกันระหว่าง INTERPOL และบริษัทด้านความปลอดภัยทางไซเบอร์ได้นำไปสู่การจับกุมและปิดแพลตฟอร์ม 16shop phishing-as-a-service (PhaaS) ที่มีชื่อเสียงโด่งดัง   แพลตฟอร์ม Phishing-as-a-service ช่วยให้อาชญากรไซเบอร์สามารถทำการโจมตีแบบฟิชชิง โดยทั่วไปแล้ว แพลตฟอร์มเหล่านี้มีทุกสิ่งที่คุณต้องการ รวมถึงการกระจายอีเมล ชุดฟิชชิ่งสำเร็จรูปสำหรับแบรนด์ที่มีชื่อเสียง โฮสติ้ง พร็อกซีข้อมูล แดชบอร์ดภาพรวมของเหยื่อ และเครื่องมืออื่นๆ ที่ช่วยเพิ่มความสำเร็จของการโจมตี แพลตฟอร์มนี้ทำให้การโจมตีจากผู้ไม่หวังดี สะดวกมากขึ้นและมีค่าใช้จ่ายต่ำให้กับผู้ไม่มีประสบการณ์ในการโจมตี สามารถโจมตีเป้าหมายได้อย่างง่ายดายแค่ไม่กี่คลิก   Group-IB ซึ่งช่วยเหลือ INTERPOL ในการดำเนินการลบเนื้อหา รายงานว่าแพลตฟอร์ม 16shop เสนอชุดฟิชชิ่งที่กำหนดเป้าหมายบัญชี Apple, PayPal, American Express, Amazon และ Cash App เป็นต้น ข้อมูลเชิงสถิติจาก Group-IB ระบุว่า 16shop ได้สร้างหน้าเว็บปลอมจำนวน 150,000 หน้าเว็บ โดยเป้าหมายเป็นคนจากประเทศต่างๆ เช่น เยอรมัน ญี่ปุ่น ฝรั่งเศส สหรัฐอเมริกา และสหราชอาณาจักร  …

หน่วยงานรัฐบาลสหรัฐฯ ถูกโจมตีทางไซเบอร์เข้าถึงอีเมลโดยแฮ็กเกอร์ที่เชื่อมโยงกับจีน

หน่วยงาน Federal Civilian Executive Branch (FCEB) ในสหรัฐอเมริกาตรวจพบกิจกรรมอีเมลที่ผิดปกติในช่วงกลางเดือนมิถุนายน 2023 ซึ่งนำไปสู่การค้นพบของ Microsoft ในการจารกรรมใหม่ที่เชื่อมโยงกับจีนโดยกำหนดเป้าหมายในหลายองค์กร   รายละเอียดดังกล่าวมาจากคำแนะนำร่วมกันด้านความปลอดภัยทางไซเบอร์ที่ออกโดยสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐ (CISA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) เมื่อวันที่ 12 กรกฎาคม 2023   “ในเดือนมิถุนายน 2023 หน่วยงาน Federal Civilian Executive Branch (FCEB) ตรวจพบกิจกรรมที่น่าสงสัยใน Cloud environment Microsoft 365 (M365)” เจ้าหน้าที่กล่าว “Microsoft ระบุว่าตัวแสดงภัยคุกคามขั้นสูงแบบถาวร (APT) เข้าถึงและกรองข้อมูล Exchange Online Outlook ที่ไม่ได้จัดประเภท”   แม้จะไม่มีการเปิดเผยชื่อหน่วยงานรัฐบาล แต่ CNN และ Washington Post รายงานว่าเป็นกรมการต่างประเทศของสหรัฐฯ โดยอ้างถึงบุคคลที่รู้จักเกี่ยวกับเรื่องนี้ นอกจากนี้ยังมีการโจมตีกรมพาณิชย์และบัญชีอีเมลของผู้ช่วยสมาชิกสภา ผู้สนับสนุนสิทธิมนุษยชนของสหรัฐฯ…

เบี้ยประกันภัยทางไซเบอร์เพิ่มขึ้น 50% เนื่องจากการโจมตีที่มากขึ้นของแรนซัมแวร์

เบี้ยประกันไซเบอร์ของสหรัฐพุ่งขึ้น 50% ในปี 2565 เนื่องจากการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้นและการค้าออนไลน์ทำให้ความต้องการความคุ้มครองเพิ่มขึ้น   บริษัทจัดอันดับ AM Best กล่าวว่าเบี้ยประกันที่เรียกเก็บจากบริษัทประกันสูงถึง 7.2 พันล้านดอลลาร์ในปี 2565 และเพิ่มขึ้นสามเท่าในช่วงสามปีที่ผ่านมา “ความเสี่ยงเชิงระบบเป็นเรื่องที่น่ากังวลอย่างต่อเนื่อง” Fred Eslami ผู้อำนวยการร่วมของ AM Best กล่าวในแถลงการณ์ “โดยรวมแล้ว การคุ้มครองที่ให้กับผู้เอาประกันอาจถูกตัดสินใจโดยความพร้อมที่จะรับความเสี่ยงของบริษัทประกัน และบางครั้งอาจขึ้นอยู่กับการคุ้มครองที่บริษัทประกันภัยเตรียมให้”   การโจมตีด้วยแรนซัมแวร์เพิ่มสูงขึ้นในปีที่แล้ว ผลักดันความต้องการความคุ้มครองหลังจากยุคการทำงานแบบ Work From Home ที่เกิดจากโรคระบาด ทำให้พนักงานทำงานทางไกลมีความเสี่ยงต่อการโจมตีทางดิจิทัลมากขึ้น การโจมตีเหล่านั้นยังกระตุ้นให้บริษัทและบุคคลหันมาใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งมากขึ้น   AM Best กล่าวว่าอัตราส่วนขาดทุนสำหรับกรมธรรม์แบบสแตนด์อโลนและแบบแพ็คเกจตกลงไปที่ 43% และ 48% ซึ่งเป็นสัญญาณของการฟื้นตัวของอุตสาหกรรมหลังจากความสูญเสียที่เกิดขึ้นเพิ่มขึ้นในปี 2563 และ 2564 บริษัทประกันส่วนเกินซึ่งแก้ไขความเสี่ยงเฉพาะที่พบในกรมธรรม์ปกติก็ได้รับความนิยมขึ้นเช่นกัน “บริษัทประกันที่ป้องกันความเสี่ยงได้รับธุรกิจใหม่ๆ และตอนนี้คิดเป็นส่วนใหญ่ของเบี้ยประกันภัยไซเบอร์”   คริสโตเฟอร์ เกรแฮม นักวิเคราะห์อุตสาหกรรมอาวุโสของ AM Best กล่าวในแถลงการณ์ เทคโนโลยี…