คลังเก็บป้ายกำกับ: LockBit

โม้อีกแล้ว! Thales สืบสวนพบว่าไม่ได้ถูกโจมตีอย่างที่ LockBit กล่าวอ้าง

จากการสืบสวนของบริษัท Thales ไม่พบหลักฐานว่าแรนซั่มแวร์ LockBit สามารถโจมตีบริษัทได้เป็นผลสำเร็จ หลังจากที่กลุ่มแรนซั่มแวร์นี้ทำทีโพสต์ว่ามีข้อมูลที่จารกรรมมาได้จาก Thales ตามเว็บบอร์ดแฮ็กเกอร์และตลาดมืดต่างๆ

โดยเมื่อวันอังคารที่ผ่่านมา บริษัทข้ามชาติจากฝรั่งเศสนี้ได้ออกประกาศเป็นทางการว่า จากที่เห็นโพสต์ต่างๆ บนเว็บมืดที่มาจากกลุ่มแรนซั่มแวร์ LockBit 3.0 อ้างว่าได้ข้อมูลที่ดูดมาจาก Thales พร้อมขู่จะโพสต์เปิดเผยสาธารณะในวันที่ 7 พฤศจิกายนที่จะถึงนี้นั้น

ทางบริษัทได้รีบแจ้งทางสำนักความปลอดภัยของข้อมูลแห่งฝรั่งเศสหรือ ANSII พร้อมร่วมดำเนินการสืบสวนภายในทันที อย่างไรก็ตาม ผลการสืบสวนพบว่า ไม่เจอหลักฐานร่องรอยของการจารกรรมข้อมูลแต่อย่างใด หรือแม้แต่ร่องรอยการบุกรุกเข้าระบบของบริษัท

และจนถึงตอนนี้ กลุ่มดังกล่าวก็ยังไม่ได้โพสต์อะไรที่เป็นหลักฐานชี้ว่าแฮ็ก Thales ได้เลย ที่สำคัญ บริษัทก็ไม่ได้รับการแจ้งให้จ่ายค่าไถ่โดยตรงเลยด้วย ซึ่งอาจจะเหมือนกรณีเมื่อมิถุนายนที่กลุ่มนี้อ้างว่าเจาะ Mandiant ได้ แต่ก็ไม่มีหลักฐานหรือโพสต์ข้อมูลหลุดเมื่อถึงเดดไลน์แต่อย่างใด

อ่านเพิ่มเติมที่นี่

from:https://www.enterpriseitpro.net/lockbit-repeats-pr-stunt-as-thales-ransomware-investigation/

แก๊ง LockBit ประกาศแก้แค้นด้วยการเพิ่มเทคนิดรีดไถเป็น 3 ชั้น

กลุ่มที่อยู่เบื้องหลังแรนซั่มแวร์ LockBit ประกาศว่าได้เพิ่มมาตรการป้องกันการโจมตีแบบ DDoS ที่เว็บตัวเองโดนเล่นงานก่อนหน้าไว้แล้ว พร้อมทั้งจะเอาคืนด้วยเทคนิคโจมตีและบีบคอให้จ่ายค่าไถ่แบบใหม่ แบบ 3 ชั้นด้วยกัน

ทั้งนี้เนื่องจากเว็บของแก๊งนี้เพิ่งโดนยิง DDoS จนคนเข้าไปส่องข้อมูลที่ดูดมาเผยแพร่ไม่ได้ ซึ่งคาดว่าน่าจะเป็นฝีมือของบริษัทยักษ์ใหญ่ด้านความปลอดภัย Entrust ที่เพิ่งโดนแรนซั่มแวร์ของแก๊งค์นี้เล่นงานจนดูดข้อมูลบริษัทออกไปได้

แหล่งข่าวของ BleepingComputer ระบุว่าข้อมูลถูกจารกรรมจาก Entrust ไปเมื่อวันที่ 18 มิถุนายน ซึ่ง Entrust เองก็ออกมายืนยันว่าโดนเล่นงานจริง แต่ไม่ยอมจ่ายค่าไถ่ให้ LockBit แม้จะโดนขู่ว่าจะเปิดเผยข้อมูลที่จิ๊กมาได้นี้ในวันที่ 19 สิงหาคม

ซึ่งพอถึงวันดังกล่าว เว็บของ LockBit ก็โดนยิง DDoS จนล่มรัวๆ ไม่ได้ผุดได้เกิด ล่าสุดเมื่อต้นสัปดาห์ ทาง LockBitSupp ที่เป็นตัวแทนออกสื่อของแก๊ง ได้ประกาศว่าตัวเองกู้สถานการณ์กลับมาได้แล้ว ด้วยระบบใหม่ที่ใหญ่กว่า แข็งแกร่งกว่า แถมบอกว่าได้ไอเดียจะเอาการโจมตี DDoS มาเป็นตัวขู่เรียกค่าไถ่เพิ่มนอกจากการล็อกข้อมูล และการขู่เอาข้อมูลออกไปแฉด้วย

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/lockbit-ransomware-gang-gets-aggressive/

แรนซั่มแวร์ LockBit อาศัย Windows Defender โหลดตัว Cobalt Strike

ผู้โจมตีที่เกี่ยวข้องกับขบวนการแรนซั่มแวร์ LockBit 3.0 ได้ใช้ทูลคอมมานด์ไลน์ของ Windows Defender เพื่อโหลดตัว Cobalt Strike บนระบบที่ตกเป็นเหยื่อ แบบที่สามารถหลบเลี่ยงการตรวจจับปกติของซอฟต์แวร์ด้านความปลอดภัยได้

Cobalt Strike เป็นชุดโปรแกรมทดสอบการเจาะระบบที่ถูกกฎหมาย มาพร้อมฟีเจอร์มากมายจนได้รับความนิยมในหมู่ผู้ไม่ประสงค์ดีสำหรับใช้แอบสแกนตรวจช่องโหว่บนเครือข่าย และเคลื่อนย้ายตัวเองบนระบบก่อนจะจารกรรมและเข้ารหัสข้อมูล

แต่เนื่องจากโซลูชั่นความปลอดภัยใหม่ๆ สามารถตรวจจับพฤติกรรมของ Cobalt Strike ได้แล้ว ผู้โจมตีจึงพยายามพัฒนาวิธีใหม่ในการติดตั้งชุดทูลดังกล่าว โดยล่าสุดทาง Sentinel Labs พบการใช้ทูลคอมมานด์ไลน์ของ Microsoft Defender

เป็นตัวที่ชื่อ “MpCmdRun.exe” ที่ถูกวายร้ายมาใช้โหลด DLL อันตรายแบบคู่ขนาน (Side-Load) ที่จะนำมาถอดรหัสและติดตั้งตัว Cobalt Strike อีกทีหนึ่ง ซึ่งการเจาะเครือข่ายครั้งแรกนี้ทำได้โดยใช้ช่องโหว่ Log4j บนเซิร์ฟเวอร์ Horizon ของ VMware ในการรันโค้ดพาวเวอร์เชลล์

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

from:https://www.enterpriseitpro.net/lockbit-ransomware-abuses-windows-defender/

แรนซั่มแวร์ LockBit 2.0 ซ่อนตัวในรูปไฟล์ PDF เพื่อโจมตีผ่านอีเมล

นักวิจัยจากเกาหลีพบมีผู้โจมตีบริษัทต่างๆ ด้วยอีเมล์ที่อ้างว่าโดนละเมิดลิขสิทธิ์ พร้อมไฟล์แนบที่มีแรนซั่มแวร์ โดยทางศูนย์รับมือฉุกเฉินด้านความปลอดภัยของ AhnLab หรือ ASEC ได้รวบรวมหลักฐานอีเมล์ที่ส่งไปยังบริษัทต่างๆ ไว้

ในอีเมล์เหล่านี้จะมีไฟล์แนบที่บีบอัดพร้อมใส่รหัสล็อกไว้ ข้างในมีแรนซั่มแวร์ LockBit 2.0 ที่แฝงตัวภายใต้ไอคอนที่ดูเหมือนไฟล์ PDF แม้จะพบความเคลื่อนไหวในเกาหลี แต่ด้วยธรรมชาติการแพร่กระจายของ Lockbit 2.0 แสดงว่าน่าจะพบการโจมตีรูปแบบเดียวกันในยุโรปและสหรัฐฯ ด้วยในไม่ช้า

สำหรับการโจมตีนี้ อีเมล์ที่ใช้มักมาพร้อมไฟล์ที่ดูเหมือนมีภาพของคอนเทนต์ที่อ้างว่าละเมิดลิขสิทธิ์ อาจจะมีชื่อของศิลปินที่มีตัวตนจริงเพื่อสร้างความน่าเชื่อถือ ถ้าผู้ใช้เปิดไฟล์แนบซึ่งทำไอคอนให้ดูเหมือนไฟล์เอกสาร PDF ทั่วไป

แต่จริงๆ เป็นไฟล์รันตัว Lockbit ที่จะรันโปรเซสต่างๆ เพื่อป้องกันการกู้คืนไฟล์ รวมทั้งฝังใส่ข้อมูลในรีจิสตรี้เพื่อให้ระบบรันตัวมัลแวร์อยู่ตลอด จากนั้นผู้ใช้จะพบกับอาการที่โปรเซสที่ทำงานอยู่ถูกปิดไปเฉยๆ ไฟล์ที่แก้ไขก็เปิดไม่ขึ้น รวมทั้งถูกเปลี่ยนไอคอนเป็นรูปตัวอักษร “B” สีแดง

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/%e0%b9%81%e0%b8%a3%e0%b8%99%e0%b8%8b%e0%b8%b1%e0%b9%88%e0%b8%a1%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-lockbit-2-0-%e0%b8%8b%e0%b9%88%e0%b8%ad%e0%b8%99%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%99/

แรนซั่มแวร์ LockBit 2.0 ซ่อนตัวในรูปไฟล์ PDF เพื่อโจมตีผ่านอีเมล

นักวิจัยจากเกาหลีพบมีผู้โจมตีบริษัทต่างๆ ด้วยอีเมล์ที่อ้างว่าโดนละเมิดลิขสิทธิ์ พร้อมไฟล์แนบที่มีแรนซั่มแวร์ โดยทางศูนย์รับมือฉุกเฉินด้านความปลอดภัยของ AhnLab หรือ ASEC ได้รวบรวมหลักฐานอีเมล์ที่ส่งไปยังบริษัทต่างๆ ไว้

ในอีเมล์เหล่านี้จะมีไฟล์แนบที่บีบอัดพร้อมใส่รหัสล็อกไว้ ข้างในมีแรนซั่มแวร์ LockBit 2.0 ที่แฝงตัวภายใต้ไอคอนที่ดูเหมือนไฟล์ PDF แม้จะพบความเคลื่อนไหวในเกาหลี แต่ด้วยธรรมชาติการแพร่กระจายของ Lockbit 2.0 แสดงว่าน่าจะพบการโจมตีรูปแบบเดียวกันในยุโรปและสหรัฐฯ ด้วยในไม่ช้า

สำหรับการโจมตีนี้ อีเมล์ที่ใช้มักมาพร้อมไฟล์ที่ดูเหมือนมีภาพของคอนเทนต์ที่อ้างว่าละเมิดลิขสิทธิ์ อาจจะมีชื่อของศิลปินที่มีตัวตนจริงเพื่อสร้างความน่าเชื่อถือ ถ้าผู้ใช้เปิดไฟล์แนบซึ่งทำไอคอนให้ดูเหมือนไฟล์เอกสาร PDF ทั่วไป

แต่จริงๆ เป็นไฟล์รันตัว Lockbit ที่จะรันโปรเซสต่างๆ เพื่อป้องกันการกู้คืนไฟล์ รวมทั้งฝังใส่ข้อมูลในรีจิสตรี้เพื่อให้ระบบรันตัวมัลแวร์อยู่ตลอด จากนั้นผู้ใช้จะพบกับอาการที่โปรเซสที่ทำงานอยู่ถูกปิดไปเฉยๆ ไฟล์ที่แก้ไขก็เปิดไม่ขึ้น รวมทั้งถูกเปลี่ยนไอคอนเป็นรูปตัวอักษร “B” สีแดง

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/ransomware-lockbit-2-0/

5 Ransomware ที่โดดเด่นมากที่สุด ในช่วงไตรมาสแรก 2565

ถึงแม้ว่าจำนวนเหยื่อทั่วไปที่ถูกโจมตีจาก Ransomware ลดลง นี่อาจจะเป็นเพราะการเปลี่ยนเป้าหมายความสนใจไปที่ภาคส่วนการเงินมากขึ้นกว่าปกติ
 

Credit: 4-Artie Medvedev/ShutterStock.com
KELA บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้เปิดเผยข้อมูลรายงานเกี่ยวกับเหยื่อของ Ransomware มีปริมาณลดลง 40% ที่จำนวน 698 ครั้งในช่วงไตรมาสที่ 1 ของปี 2565 โดยเฉลี่ย 232 ครั้งต่อเดือน โดยย้อนกลับไปเปรียบเทียบข้อมูลเดิมในช่วงไตรมาสที่ 4 ของปี 2564 นั้น มีจำนวนมากถึง 982 ครั้ง
5 Ransomware ที่โดดเด่นมากที่สุด
 
  1. LockBit ในช่วงไตรมาสที่ 1 ได้ถูกบันทึกสถิติการโจมตีเหยื่อไว้ที่ 226 ราย เป้าหมายไปที่ภาคการผลิต เทคโนโลยี ภาครัฐ และภาคการเงินที่มีจำนวนการโจมตีเพิ่มขึ้น
  2. Conti เป็น Ransomware ที่นักวิจัยประนามไร้ซึ่งเกียรติที่สุด จากการมุ่งเป้าหมายไปที่โรงพยาบาลเพื่อเข้ารหัสระบบและเรียกเงินค่าแบล็คเมล์
  3. Alphv/Blackcat ผู้เล่นรายใหม่ในฐานะภัยคุกคามที่เริ่มมีกระแสความสนใจอย่างมากในช่วงเดือนธันวาคม ปี 2564 และเมื่อผ่านช่วงไตรมาสแรกของปี 2565 ถูกดันขึ้นมาติดอันดับ Top-5 ถึงขั้น FBI ออกมาแจ้งเตือนระดับองค์กรถึงความร้ายกาจ
  4. Hive ใช้วิธีทีในการเข้าถึงเครือข่ายของเป้าหมายเพื่อส่ง Phishing mail พร้อมกับแนบไฟล์ที่เป็นอันตรายเป็นตัวเบิกทางในการเข้าโจมตีผ่านช่องทาง Remote Desktop Protocol หวังขโมยข้อมูลที่มีความสำคัญออกไป ก่อนที่จะทำการเข้ารหัสไฟล์สำหรับนำไปเรียกค่าไถ่
  5. Karakurt คาตาคุต เป็นแก๊งที่เน้นการขโมยข้อมูลสำคัญทางธุรกิจจากบริษัทต่างๆ และบังคับให้พวกเขาจ่ายค่าไถ่โดยขู่ว่าจะเผยแพร่ข้อมูลสู่สาธารณะ
 
5 อันดับเหยื่อของ Ransomware
 
ส่วนใหญ่จะเป็น ภาคการผลิต ภาคอุตสาหกรรม ภาคบริการระดับมืออาชีพ และภาคเทคโนโลยี อันดับที่ 5 คือ ภาคการเงิน มาจากการโจมตีของ LockBit มากถึง 40% ในช่วงไตรมาสแรกจนพาตัวเองขึ้นไปติดอันดับที่ 1 ใน 5 อันดับแรก
 
นักวิจัยยังมีข้อสงสัยสำหรับ Alphv, AvosLocker, Hive และ HelloKitty ว่าเป็นกลุ่มก้อน Ransomware แก็งเดียวกันหรือไม่ โดยมักจะโจมตีเหยื่อรายเดียวกัน หรือเป็นแค่เรื่องบังเอิญ
 
 
 
 
 

from:https://www.techtalkthai.com/5-ransomware-active-in-q1-2565/

Accenture ยอมรับว่ามีข้อมูลรั่วไหลหลังโดนแรนซั่มแวร์โจมตีเมื่อสิงหาคมที่ผ่านมา

ยักษ์ใหญ่ ผู้ให้คำปรึกษาด้านไอทีระดับโลก Accenture ได้ออกมายอมรับแล้วว่า ผู้ที่อยู่เบื้องหลังแรนซั่มแวร์ LockBit ได้จารกรรมข้อมูลจากระบบบริษัทระหว่างที่มีการโจมตีในช่วงเดือนสิงหาคมที่ผ่านมา โดยระบุเรื่องนี้ไว้ในรายงานผลประกอบการประจำไตรมาส 4 ที่สิ้นสุดไปเมื่อวันที่ 31 สิงหาคม

ทาง Accenture กล่าวว่า “ในช่วงไตรมาสที่ 4 ของปีงบประมาณ 2021 เราพบกิจกรรมผิดปกติบนระบบหนึ่งของเรา มีทั้งการดูดข้อมูลความลับทางการค้าไปให้บุคคลภายนอก รวมทั้งมีการนำข้อมูลไปเปิดเผยต่อสาธารณะ แม้แต่ลูกค้าบริการคลาวด์ของเราเองก็โดนไปด้วย”

แก๊งแรนซั่มแวร์ LockBit ออกมาอ้างว่าได้จารกรรมข้อมูลปริมาณมากถึง 6 เทอราไบต์จากเครือข่ายของ Accenture และเรียกค่าไถ่เป็นเงินกว่า 50 ล้านดอลลาร์สหรัฐฯ สำนักข่าว BleepingComputer เองก็ได้ข่าววงในด้วยว่าการโจมตีดังกล่าวอาจไม่ใช่ครั้งเดียวที่บริษัทนี้โดน

จนถึงตอนนี้ Accenture ยังไม่ได้ประกาศรายละเอียดของเรื่องข้อมูลรั่วไหลนี้แก่สาธารณะอย่างเป็นทางการเลย นอกจากที่เขียนไว้ในรายงานต่อตลาดหลักทรัพย์ หรือในจดหมายที่แจ้งไปถึงหน่วยงานภาครัฐที่ดูแลตามกฎหมาย

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/accenture-hacked-lockbit/

รู้จัก LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย

นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า “ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก 

โดยเมื่อเร็วๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซัมแวร์ LockBit ก็ได้ประกาศผลงานร้ายและอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB”

แรนซัมแวร์ LockBit ถูกค้นพบในเดือนกันยายน 2019 ซึ่งเดิมมีชื่อว่าแรนซัมแวร์ “ABCD” ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ อาชญากรไซเบอร์ปรับใช้แรนซัมแวร์นี้บนตัวควบคุมโดเมนของเหยื่อ จากนั้นจะแพร่กระจายการติดเชื้อโดยอัตโนมัติ และเข้ารหัสระบบคอมพิวเตอร์ที่เข้าถึงได้ทั้งหมดบนเครือข่าย

แรนซัมแวร์นี้ใช้ในการโจมตีที่กำหนดเป้าหมายประเภทเอ็นเทอร์ไพรซ์และองค์กรอื่นๆ เป้าหมายในอดีตที่โดดเด่น ได้แก่ องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)

Kaspersky

LockBit 2.0 และการแพร่กระจาย

LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) ซึ่งให้บริการโครงสร้างพื้นฐานและมัลแวร์แก่ผู้โจมตี และรับส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมา LockBit มีเทคโนโลยีที่โดดเด่นและสามารถแพร่กระจายแรนซัมแวร์ได้ทั่วทั้งเครือข่าย

เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนได้ก็จะเรียกใช้งานมัลแวร์เพื่อสร้างนโยบายกลุ่มใหม่สำหรับผู้ใช้ ซึ่งจะถูกส่งต่อไปยังอุปกรณ์แต่ละเครื่องบนเครือข่ายโดยอัตโนมัติ นโยบายนี้จะปิดใช้งานเทคโนโลยีความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นนโยบายอื่นๆ จะสร้างงานที่กำหนดไว้แล้วบนเครื่อง Windows ทั้งหมดเพื่อเรียกใช้โปรแกรมเรียกค่าไถ่

การลบและถอดรหัส LockBit

ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Kaspersky Endpoint Security for Business

หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซัมแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ “กุญแจ” เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ

วิธีป้องกันแรนซัมแวร์ LockBit

คุณจะต้องตั้งค่ามาตรการป้องกันเพื่อให้องค์กรของคุณสามารถเตรียมการและปรับตัวต่อการเปลี่ยนแปลงที่เกิดจากแรนซัมแวร์หรือการโจมตีอื่นที่เป็นอันตราย แนวทางปฏิบัติบางประการที่สามารถช่วยในการเตรียมตัว มีดังนี้

ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ

ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร

อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่

เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด

สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน

ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิคและขั้นตอนต่างๆ อยู่เสมอ

ใช้โซลูชั่นด้านความปลอดภัย เช่น Kaspersky Endpoint Detection and Response และ Kaspersky Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่นๆ

ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร Kaspersky Automated Security Awareness Platform

ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตรายและเรียกคืนระบบได้ โซลูชั่น Kaspersky Endpoint Security for Business มีกลไกป้องกันตัวเองซึ่งสามารถป้องกันการเอาออกโดยอาชญากรไซเบอร์ เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ Kaspersky Security Solutions for Enterpriseเพื่อการปกป้องธุรกิจและอุปกรณ์ขององค์กร

ผลิตภัณฑ์ของแคสเปอร์สกี้ ซึ่งรวมถึง Kaspersky Endpoint Security และ Kaspersky Endpoint Detection and Response Optimum สามารถตรวจจับและบล็อกแรนซัมแวร์ LockBit ซึ่งมีชื่อการตรวจจับที่แตกต่างกันดังนี้

  • Trojan-Ransom.Win32.Lockbit
  • HEUR:Trojan-Ransom.Win32.Generic
  • PDM:Trojan.Win32.Generic (ด้วยเทคโนโลยี Behavior Detection)

บริการ Kaspersky Endpoint Detection and Response Expert ช่วยตรวจจับกิจกรรมของอาชญากรไซเบอร์ที่น่าสงสัยในระยะแรก วิเคราะห์และตอบสนองต่อการโจมตี จึงป้องกันการเข้ารหัสแรนซัมแวร์ที่อาจเกิดขึ้นได้

สำหรับบริการ Kaspersky Managed Detection and Response ของแคสเปอร์สกี้นั้น ผู้เชี่ยวชาญ SOC ของแคสเปอร์สกี้ซึ่งมีความเชี่ยวชาญอย่างลึกซึ้งในการตรวจจับและตรวจสอบการโจมตีของแรนซัมแวร์ (รวมถึงการโจมตีแรนซัมแวร์ LockBit ล่าสุด) จะช่วยตรวจจับกิจกรรมที่น่าสงสัยในเครือข่าย วิเคราะห์และติดต่อคุณเมื่อเกิดเหตุ

.fb-background-color {
background: #ffffff !important;
}
.fb_iframe_widget_fluid_desktop iframe {
width: 100% !important;
}

from:https://www.mobileocta.com/know-about-lockbit-ransomware-attacks-thai-airlines/?utm_source=rss&utm_medium=rss&utm_campaign=know-about-lockbit-ransomware-attacks-thai-airlines

รู้จัก LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย และทางแก้ไขป้องกันจาก Kaspersky

LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย

แรนซัมแวร์ LockBit ถูกค้นพบตั้งแต่ในเดือนกันยายน ปี 2019 ซึ่งเดิมมันมีชื่อว่า แรนซัมแวร์ “ABCD” ถูกออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์ของเป้าหมายเพื่อแลกกับการเรียกค่าไถ่ โดยเหล่าอาชญากรไซเบอร์ได้ใช้แรนซัมแวร์ตัวนี้ควบคุมโดเมนของเหยื่อ จากนั้นมันจะแพร่กระจายการติดเชื้อออกไปโดยอัตโนมัติ และทำการเข้ารหัสระบบคอมพิวเตอร์ที่มันเข้าถึงได้ทั้งหมดบนเครือข่ายนั้นๆ

LockBit ดำเนินการในรูปแบบ Ransomware as a Service (RaaS) เป็นบริการโครงสร้างพื้นฐานให้แก่ผู้ที่ต้องการใช้มัลแวร์เพื่อโจมตี และรับรายได้เป็นส่วนแบ่งค่าไถ่ การบุกเข้าไปในเครือข่ายของเหยื่อเป็นหน้าที่ของผู้รับเหมาเหมือนการทำงานร่วมกัน

LockBit มีเทคโนโลยีที่โดดเด่นด้วยความสามารถแพร่กระจายแรนซัมแวร์ออกไปได้ทั่วทั้งเครือข่ายที่มันเข้าถึง เมื่อผู้โจมตีเข้าถึงเครือข่ายและตัวควบคุมโดเมนของเป้าหมายได้แล้ว ก็จะทำการเข้าไปเรียกใช้มัลแวร์ มันจะเข้าไปปิดการใช้งานเทคโนโลยีด้านความปลอดภัยในตัวของระบบปฏิบัติการก่อน จากนั้นก็จะดำเนินการสร้างงานที่กำหนดไว้บนเครื่อง Windows เพื่อเรียกใช้โปรแกรมเรียกค่าไถ่ เป็นการปิดกั้นการเข้าถึงระบบคอมพ์ทั้งหมดของเจ้าของเครื่อง และมันยังจะถูกส่งต่อไปยังอุปกรณ์อื่นๆ แต่ละเครื่องบนเครือข่ายได้อีกด้วย

ด้วยความสามารถในการแพร่กระจาย แรนซัมแวร์นี้จึงมักถูกใช้ในการโจมตีที่กำหนดเป้าหมายเป็นประเภทบริษัทใหญ่ เอ็นเทอร์ไพรซ์และองค์กรอื่นๆ ตัวอย่างเป้าหมายในอดีตได้แก่องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส สหราชอาณาจักร เยอรมนี)

ข้อมูลล่าสุด จาก นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ของแคสเปอร์สกี้ กล่าวว่า “ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก โดยเมื่อเร็วๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ ในขณะเดียวกันกลุ่มแรนซัมแวร์ LockBit ก็ได้ประกาศผลงานร้ายและอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB” 

การลบและถอดรหัส LockBit โดยเครื่องมือของ Kaspersky

ด้วยปัญหาทั้งหมดที่ LockBit สร้างขึ้น อุปกรณ์เอ็นด์พอยต์จำเป็นต้องมีมาตรฐานการป้องกันที่ครอบคลุมทั่วทั้งองค์กร ขั้นแรกคือการมีโซลูชันการรักษาความปลอดภัยเอ็นด์พอยต์ที่ครอบคลุม เช่น Kaspersky Endpoint Security for Business

หากองค์กรของคุณติดเชื้อเรียบร้อยแล้ว การลบแรนซัมแวร์ LockBit เพียงอย่างเดียวไม่ได้ทำให้คุณเข้าถึงไฟล์ได้ คุณจะต้องใช้เครื่องมือในการกู้คืนระบบ เนื่องจากการเข้ารหัสต้องใช้ “กุญแจ” เพื่อปลดล็อก อีกวิธีหนึ่ง หากคุณได้สร้างอิมเมจสำรองไว้ก่อนการติดเชื้อ คุณอาจสามารถกู้คืนระบบได้โดยการรีอิมเมจ

วิธีป้องกันแรนซัมแวร์ LockBit

คุณจะต้องตั้งค่ามาตรการป้องกันเพื่อให้องค์กรของคุณสามารถเตรียมการและปรับตัวต่อการเปลี่ยนแปลงที่เกิดจากแรนซัมแวร์หรือการโจมตีอื่นที่เป็นอันตราย แนวทางปฏิบัติบางประการที่สามารถช่วยในการเตรียมตัว มีดังนี้

  • ห้ามการเชื่อมต่อที่ไม่จำเป็นกับบริการเดสก์ท็อประยะไกล (เช่น RDP) จากเครือข่ายสาธารณะ และใช้รหัสผ่านที่คาดเดายากสำหรับบริการดังกล่าวเสมอ
  • ติดตั้งแพตช์ที่มีทั้งหมดสำหรับโซลูชั่น VPN ที่ใช้เพื่อเชื่อมต่อผู้ที่ปฏิบัติงานระยะไกลเข้ากับเครือข่ายขององค์กร
  • อัปเดตซอฟต์แวร์บนอุปกรณ์ที่เชื่อมต่อทั้งหมด เพื่อป้องกันการใช้ประโยชน์จากช่องโหว่
  • เน้นกลยุทธ์การป้องกันในการตรวจจับโดยรอบเครือข่ายและการขุดเจาะขโมยข้อมูล โดยให้ความสนใจเป็นพิเศษกับการรับส่งข้อมูลขาออกทั้งหมด
  • สำรองข้อมูลเป็นประจำ และตรวจสอบให้แน่ใจว่าผู้ใช้งานพร้อมที่จะเข้าถึงข้อมูลสำรองในกรณีฉุกเฉิน
  • ใช้ประโยชน์จากคลังข้อมูลภัยคุกคาม (threat intelligence) เพื่อมีข้อมูลอัปเดตเกี่ยวกับกลยุทธ์การโจมตีเทคนิคและขั้นตอนต่างๆ อยู่เสมอ
  • ใช้โซลูชั่นด้านความปลอดภัย เช่น Kaspersky Endpoint Detection and Response และ Kaspersky Managed Detection and Response ที่ช่วยหยุดการโจมตีได้ตั้งแต่เนิ่นๆ
  • ฝึกอบรมพนักงานให้คำนึงถึงความปลอดภัยของสภาพแวดล้อมขององค์กร Kaspersky Automated Security Awareness Platform
  • ใช้โซลูชั่นที่เชื่อถือได้สำหรับการป้องกันเอ็นด์พอยต์ ซึ่งป้องกันการใช้ประโยชน์และตรวจจับพฤติกรรมที่ผิดปกติ สามารถย้อนการเปลี่ยนแปลงที่เป็นอันตรายและเรียกคืนระบบได้ โซลูชั่น Kaspersky Endpoint Security for Business มีกลไกป้องกันตัวเองซึ่งสามารถป้องกันการเอาออกโดยอาชญากรไซเบอร์ เรียนรู้ข้อมูลเพิ่มเติมเกี่ยวกับ Kaspersky Security Solutions for Enterpriseเพื่อการปกป้องธุรกิจและอุปกรณ์ขององค์กร

ผลิตภัณฑ์ของแคสเปอร์สกี้ ซึ่งรวมถึง Kaspersky Endpoint Security และ Kaspersky Endpoint Detection and Response Optimum สามารถตรวจจับและบล็อกแรนซัมแวร์ LockBit ซึ่งมีชื่อการตรวจจับที่แตกต่างกันดังนี้

  • Trojan-Ransom.Win32.Lockbit
  • HEUR:Trojan-Ransom.Win32.Generic
  • PDM:Trojan.Win32.Generic (ด้วยเทคโนโลยี Behavior Detection)

บริการ Kaspersky Endpoint Detection and Response Expert ช่วยตรวจจับกิจกรรมของอาชญากรไซเบอร์ที่น่าสงสัยในระยะแรก วิเคราะห์และตอบสนองต่อการโจมตี จึงป้องกันการเข้ารหัสแรนซัมแวร์ที่อาจเกิดขึ้นได้

สำหรับบริการ Kaspersky Managed Detection and Response ของแคสเปอร์สกี้นั้น ผู้เชี่ยวชาญ SOC ของแคสเปอร์สกี้ซึ่งมีความเชี่ยวชาญอย่างลึกซึ้งในการตรวจจับและตรวจสอบการโจมตีของแรนซัมแวร์ (รวมถึงการโจมตีแรนซัมแวร์ LockBit ล่าสุด) จะช่วยตรวจจับกิจกรรมที่น่าสงสัยในเครือข่าย วิเคราะห์และติดต่อคุณเมื่อเกิดเหตุ

ข่าว: รู้จัก LockBit แรนซัมแวร์ตัวร้ายโจมตีสายการบินในไทย และทางแก้ไขป้องกันจาก Kaspersky มีที่มาจาก: แอพดิสคัส.
from:https://www.appdisqus.com/known-lockbit-ransomware-culprit/

ข้อมูลลูกค้า Bangkok Airways หลุดกว่า 200GB หลังบริษัทฯ ปฏิเสธจ่ายค่าไถ่ให้กลุ่มแฮคเกอร์ LockBit

หลังจาก Bangkok Airways ได้ออกมาแจ้งเตือนลูกค้าให้รีบเปลี่ยนรหัสผ่าน และติดต่อกับผู้ให้บริการบัตรเครดิตและเดบิตอย่างเร่งด่วน กรณีโดนกลุ่มแฮคเกอร์ LockBit โจมตีทางไซเบอร์ด้วย Ransomeware เหมือนสัปดาห์ที่ผ่านมา ล่าสุดตอนนี้ข้อมูลทั้งหมดกว่า 200GB ก็ได้หลุดมาว่อนอินเทอร์เน็ตเป็นที่เรียบร้อยแล้ว หลังบริษัทฯ ปฏิเสธที่จะจ่ายเงินค่าไถ่ตามที่กลุ่ม LockBit เรียกร้อง

สำหรับไฟล์ข้อมูลกว่า 200GB ที่หลุดออกมาของลูกค้า Bangkok Airways ส่วนมากเป็นเอกสารเกี่ยวกับธุรกิจทั้งสิ้น แต่ก็มีข้อมูลส่วนตัวของผู้โดยสารที่เคยใช้บริการหลุดออกมาด้วย ไม่ว่าจะเป็น ชื่อจริงนามสกุล สัญชาติ เพศ เบอร์โทรศัพท์ อีเมล์ ที่อยู่ ข้อมูลหนังสือเดินทาง ประวัติการเดินทาง เลขบัตรเครดิตบางส่วน ฯลฯ ตามที่เคยรายงานข่าวไปก่อนหน้านี้

แต่ทาง Bangkok Airways ก็ออกมายืนยันว่า ระบบการทำงานและรักษาความปลอดภัย ไม่ได้รับผลกระทบจากการโจมีทางไซเบอร์โดยกลุ่ม Lockbit ในครั้งนี้ 

โดยส่วนมาก กลุ่ม LockBit มักจะมุ่งเป้าโจมตีองค์กรใหญ่ๆ อย่าง Bangkok Airways หรือรัฐบาลชาติต่าง ๆ เพราะโอกาสที่กลุ่มนั้นจะจ่ายค่าไถ่มีสูงมาก ๆ เนื่องจากข้อมูลที่ได้มาถือว่าเซนซิทีฟต่อองค์กรและผู้ใช้งานแบบสุด ๆ

 

ที่มา: The Register

from:https://droidsans.com/bangkok-airways-data-leak-following-ransomeware-hack-lockbit/