คลังเก็บป้ายกำกับ: RANSOMWARE

แก๊งค์แรนซั่มแวร์ Daixin จารกรรมข้อมูลลูกค้าและพนักงาน AirAsia ไปมากถึง 5 ล้านรายการ

กลุ่มอาชญากรไซเบอร์ชื่อ Daixin Team ได้ปล่อยตัวอย่างข้อมูลที่เป็นของบริษัทแอร์เอเชีย สายการบินโลว์คอสสัญชาติมาเลเซียที่เรารู้จักกันดี บนพอทัลเว็บมืดของตัวเอง หลังจากที่บริษัทตกเป็นเหยื่อแรนซั่มแวร์เมื่อประมาณวันที่ 11 – 12 พฤศจิกายน อ้างอิงตาม DataBreaches.net

กลุ่มนี้อ้างว่าได้ข้อมูลส่วนตัวของผู้โดยสารและพนักงานบริษัทมากกว่า 5 ล้านคน ซึ่งตัวอย่างข้อมูลหลุดที่อัพโหลดขึ้นมานั้นเป็นรายละเอียดของผู้โดยสารพร้อมรหัสบุ๊กกิ้ง รวมทั้งข้อมูลส่วนตัวที่เกี่ยวข้องกับเจ้าหน้าที่แอร์เอเชียด้วย

ประเด็นคือนางจั่วหัวว่า AirAsia Group (MY, ID, “TH”) ที่ส่อว่าน่าจะมีข้อมูลของไทยด้วยสิ ทั้งนี้โฆษกของแก๊งค์ไดซินได้ให้ข่าวกับ DataBreaches.net ว่าสามารถเจาะระบบได้ง่ายๆ เพราะระบบแอร์เอเชียไม่ได้รัดกุม

และ “เป็นเครือข่ายองค์กรที่ยุ่งเหยิง ไม่เป็นระบบ” สำหรับกลุ่ม Daixin Team นี้กำลังเป็นที่หมายตาของหน่วยงานด้านข่าวกรองและความมั่นคงทางไซเบอร์ของสหรัฐฯ จากการออกประกาศเตือนการโจมตีโดยเฉพาะในกลุ่มบริการทางการแพทย์

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/daixin-ransomware-gang-steals-5-million-airasia-passengers/

Medibank ปฏิเสธจ่ายค่าไถ่ ยอมให้ข้อมูลลูกค้า 9.7 ล้านรายถูกแก๊งแรนซั่มแวร์เปิดเผย

บริษัทประกันสุขภาพสัญชาติออสเตรเลีย Medibank ออกมายอมรับว่า ข้อมูลส่วนตัวของลูกค้าทั้งในอดีตและปัจจุบันรวมกันกว่า 9.7 ล้านรายการได้ถูกเข้าถึงหลังจากโดนโจมตีด้วยแรนซั่มแวร์ ที่บริษัทอ้างว่าตรวจพบความเคลื่อนไหวบนเครือข่ายเมื่อวันที่ 12 ตุลาคม

แม้จะรีบแยกส่วนระบบดังกล่าว แต่ผู้โจมตีก็สามารถดึงข้อมูลออกไปก่อนหน้าแล้ว โดยแบ่งเป็นข้อมูลลูกค้า Medibank เองกว่า 5.1 ล้านรายการ ข้อมูลลูกค้า ahm 2.8 ล้านรายการ และอีกกว่า 1.8 ล้านรายการเป็นของลูกค้าในประเทศอื่นๆ ทั่วโลก

ข้อมูลเหล่านี้ประกอบด้วยชื่อ วันเดือนปีเกิด ที่อยู่ เบอร์โทรศัพท์ และอีเมล รวมทั้งเลขสมาชิก Medicare สำหรับลูกค้า ahm และเลขพาสปอร์ต (ไม่รวมวันหมดอายุ) และข้อมูลเกี่ยวกับวีซ่าสำหรับลูกค้าที่เป็นนักศึกษาต่างชาติ แต่ไม่รวมข้อมูลทางการเงิน และข้อมูลเอกสารยืนยันตนอย่างใบขับขี่

อีกทั้งไม่พบความเคลื่อนไหวที่ผิดปกติบนเครือข่ายหลังวันที่ 12 ตุลาคม ในคำแถลงการณ์ถึงนักลงทุนล่าสุด ทางบริษัทจึงระบุว่า ตนเองจะไม่จ่ายค่าไถ่ใดๆ แก่ผู้โจมตี เพื่อไม่ให้เป็นการส่งเสริมให้ผู้ไม่หวังดีรีดไถจากลูกค้าต่อ แพร่กระจายจนทำให้ออสเตรเลียกลายเป็นประเทศเป้าหมายของการโจมตีลักษณะนี้

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/medibank-refuses-to-pay-ransom-after-9-7-million-customers-exposed-in-ransomware-hack/

TechTalk Webinar : หยุดการจ่ายค่าไถ่จาก Ransomware ด้วย Arcserve OneXafe Immutable Storage และนวัตกรรมการสำรองข้อมูลแบบ 3-2-1-1

TechTalkThai ขอเรียนเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ ” หยุดการจ่ายค่าไถ่จาก Ransomware ด้วย Arcserve OneXafe Immutable Storage และนวัตกรรมการสำรองข้อมูลแบบ 3-2-1-1” โดยทุกท่านจะได้รับฟังระบบจัดเก็บและระบบสำรองข้อมูล ของ Arcserve OneXafe – Immutable Storage และเทคโนโลยีการสำรองข้อมูลแบบ 3-2-1-1 สามารถป้องกันการทำลายข้อมูลได้อย่างสมบูรณ์ และช่วยให้คุณไม่ต้องจ่ายค่าไถ่อีกต่อไป โดยงานจะจัดขึ้นในวันศุกร์ที่ 25 พฤศจิกายน 2565 เวลา 14.00 – 15.30น. มีกำหนดการดังต่อไปนี้

รายละเอียดการบรรยาย

หัวข้อ : หยุดการจ่ายค่าไถ่จาก Ransomware ด้วย Arcserve OneXafe Immutable Storage และนวัตกรรมการสำรองข้อมูลแบบ 3-2-1-1

ผู้บรรยาย : คุณอรรณพ จิตซื่อตรง | Sr. Presales Engineer , Arcserve Thailand

วันเวลา : วันศุกร์ที่ 25 พฤศจิกายน 2565 เวลา 14.00 – 15.30น.

ลิงก์ลงทะเบียน : https://us06web.zoom.us/webinar/register/WN_4zCrc_1BQx2-IQLsqNSGtA

Arcserve มีเทคโนโลยีและโซลูชั่นที่สามารถรวมทุกความต้องการของลูกค้าเข้ามาไว้ในที่เดียวกันทั้งในด้านการจัดเก็บและกู้คืนข้อมูล, ระบบสำรองข้อมูล Cloud, ระบบ Immutable Storage, ระบบ Air-Gapped และระบบการสำรองข้อมูลแบบต่อเนื่อง (Continuous Data Protection) ในโซลูชั่นเดียว

ในด้านการป้องกันการโจมตี Arcserve มีระบบตรวจสอบและป้องกันการโจมตีบุกรุก (Intrusion Detection and Prevention) ซึ่งมีระบบ Deep Learning Neural Net ในการวิเคราะห์ตรวจสอบและป้องกันในตัว, ระบบป้องกันการ Ransomware Encryption และระบบ Multifactor Authentication (MFA) พร้อมใช้งานในโซลูชันแล้ว

Arcserve สามารถตอบโจทย์ให้กับองค์กรไม่ว่าจะเป็น โซลูชันในการสำรองข้อมูล (Arcserve UDP), เทคโนโลยีการตรวจจับ Ransomware (Sophos intercept x) และการรวมถึงการเก็บข้อมูลที่ไม่เปลี่ยนแปลง (Arcserve OneXafe Immutable Storage)

Agenda

  • Arcserve OneXafe – Immutable Storage ระบบจัดเก็บข้อมูลที่ไม่มีวันถูกทำลาย
  • เทคโนโลยีการสำรองข้อมูลแบบ 3-2-1-1 ด้วย OneXafe
  • Live Demo and Q&A
  • Lucky Draw

from:https://www.techtalkthai.com/arcserve-onexafe-immutable-storage-webinar-by-digital-distribution/

ไมโครซอฟท์ระบุ “มันยากไป” ที่พวกเราจะล้มล้างขบวนการแรนซั่มแวร์ให้เกลี้ยง

ผู้บริหารระดับสูงด้านความปลอดภัยของไมโครซอฟท์ออกมากล่าวว่า ความพยายามของหน่วยงานภาครัฐทั้งหลายที่พยายามไล่จับไล่ปราบปรามแก๊งแรนซั่มแวร์ทั้งหลายนั้น ยังไม่เพียงพอที่จะสามารถสกัดกั้นภัยมืดที่มาแรงนี้ได้จริง

โดย Tom Burt ตำแหน่ง CVP ด้านความปลอดภัยและความเชื่อมั่นลูกค้าของไมโครซอฟท์จะยกย่องความร่วมมือที่ดีเยี่ยมที่ผ่านมาในการไล่จัดการกับขบวนการเหล่านี้อย่างเช่น REvil ในช่วงไม่กี่ปีก่อน แต่ปริมาณและความเข้มข้นของการไล่จับก็ยังไม่พอจะหยุดภัยนี้ได้

เขาได้ให้สัมภาษณ์ในงานแถลงข่าวเมื่อปลายสัปดาห์ก่อนระหว่างการเปิดตัวรายงานด้านการป้องกันภัยคุกคามทางดิจิตอลประจำปีของไมโครซอฟท์ว่า “เป็นเพราะธรรมชาติการโจมตีที่เป็นแบบข้ามชาติ จนพ้นขอบเขตการบังคับใช้กฎหมายของประเทศใดประเทศหนึ่ง”

แถมเทคนิคปัจจุบันอัพเกรดขึ้นเป็นแบบรีดไถสามชั้น (Triple Extortion) เมื่อพิจารณาถึงหลักการโจมตีในแง่กลยุทธ์ เทคนิค และวิธีการหรือ TTP แล้ว ตอนนี้กำลังพัฒนาเรื่องหลบเลี่ยงการตรวจจับดีขึ้นอย่างต่อเนื่อง โดยเฉพาะกับบริการรับจ้างอย่าง Ransomware as a Service (RaaS) ที่ได้รับความนิยมอย่างต่อเนื่อง

อ่านเพิ่มเติมที่นี่ 

from:https://www.enterpriseitpro.net/microsoft-says-its-just-too-difficult-to-effectively-disrupt-ransomware/

Emotet Botnet กลับมาเริ่มโจมตีอีกครั้ง

Emotet Botnet กลับมาเริ่มโจมตีอีกครั้ง หลังจากหยุดไปนานกว่า 5 เดือน

Credit: solarseven/ShutterStock.com

Emotet เป็นมัลแวร์ที่พยายามกระจายตัวผ่านทาง Phishing Campaign ด้วยการส่งไฟล์ Excel หรือ Word ให้ผู้ใช้งานเปิดอ่าน โดยจะทำการเข้าสู่เครื่องเป้าหมายผ่านทางการเปิดใช้งาน Macro หลังจากนั้นจะฝังตัวอยู่ในเครื่องเพื่อค้นหาไฟล์และอีเมลเพื่อใช้ในการส่งสแปมเมลต่อไป หรือแม้กระทั่งติดตั้งแรนซัมแวร์ลงในเครื่องของเหยื่อ

ล่าสุดผู้เชี่ยวชาญทางด้านความปลอดภัยตรวจพบการเคลื่อนไหวของ Emotet อีกครั้ง หลังจากที่หยุดการโจมตีไปกว่า 5 เดือน มีการเริ่มส่งสแปมเมลกระจายออกไปทั่วโลก พร้อมแนบไฟล์ Excel และตั้งชื่อไฟล์ในหลายรูปแบบ เช่น Invoice, Scan และ Electronic Form เพื่อหลอกล่อให้เหยื่อเปิดไฟล์ หลังจากนั้นจะแสดงวิธีการปิด Microsoft Protect View ให้เหยื่อทำตาม และหากเปิดไฟล์สำเร็จ จะทำการใช้งาน Macro เพื่อดาวน์โหลดไฟล์ DLL มาติดตั้งและทำงานภายในเครื่อง โดยจะรอรับคำสั่งจาก Command and Control Server เพื่อใช้ในการโจมตีต่อไป

ผู้ใช้งานจึงควรเพิ่มความระมัดระวังในการเปิดอ่านอีเมลหรือดาวน์โหลดไฟล์จากแหล่งต่างๆ ที่ผ่านมา Emotet ถูกใช้เป็นช่องทางในการติดตั้ง TrickBot malware และ Cobalt Strike beacons รวมถึงเป็นช่องทางให้ Ryuk และ Conti Ransomware ทำการโจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/emotet-botnet-starts-blasting-malware-again-after-5-month-break/

from:https://www.techtalkthai.com/emotet-botnet-reattack-after-5-months-break/

แรนซั่มแวร์ FARGO กำลังจ้องช่องโหว่ของ Microsoft SQL ในการโจมตีระลอกใหม่

นักวิจัยด้านความปลอดภัยจาก AhnLab Security Emergency Response Center (ASEC) ออกโรงเตือนว่า เซิร์ฟเวอร์ Microsoft SQL ทั่วโลกกำลังเผชิญกับการโจมตีของแรนซั่มแวร์ FARGO นอกจากตัวที่ระบาดอยู่ก่อนแล้วอย่าง GlobeImposter

โดยจากข้อมูลทางสถิติที่อิงตามรหัสของแรนซั่มแวร์แล้ว พบว่า FARGO มีอัตราการเติบโตที่สูงมาก สายพันธุ์นี้เคยมีโค้ดเนมชื่อ “Mallox” จากการเข้ารหัสไฟล์เป็นสกุล .mallox นอกจากนี้ บริษัทแอนตี้ไวรัสอย่าง Avast ก็เคยพบตัวนี้มาก่อน

ซึ่งครั้งนั้นออกรายงานการพบช่วงเดือนกุมภาพันธ์ที่ผ่านมา พร้อมตั้งชื่อว่า TargetCompany รวมถึงมีการออกยูทิลิตี้ถอดรหัสไฟล์เหยื่อที่โดนล็อกให้ด้วย ประเด็นคือทูลปลดล็อกของ Avast ก็ยังมีข้อจำกัดอยู่หลายอย่าง

ครั้งนี้ทาง ASEC ระบุว่า FARGO จะโหลดโค้ด .NET อันตรายโดยใช้คำสั่ง cmd.exe และ powershell.exe แล้วสร้างไฟล์ .BAT สำหรับรันเพื่อปิดโปรเซสและเซอร์วิสต่างๆ ในโฟลเดอร์ %temp% จากนั้นฝังตัวใน AppService.exe ลบรีจิสตรี้ของระบบป้องกันต่างๆ ต่อไป

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/%e0%b9%81%e0%b8%a3%e0%b8%99%e0%b8%8b%e0%b8%b1%e0%b9%88%e0%b8%a1%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-fargo-%e0%b8%81%e0%b8%b3%e0%b8%a5%e0%b8%b1%e0%b8%87%e0%b8%88%e0%b9%89%e0%b8%ad%e0%b8%87%e0%b8%8a/

ปกป้องข้อมูลธุรกิจของคุณให้ปลอดภัยจากแรนซัมแวร์ด้วย Commvault

แรนซัมแวร์เป็นหนึ่งในภัยคุกคามที่สร้างความเสียหายให้แก่องค์กรอยู่สม่ำเสมอ หลายปีที่ผ่านมาแนวโน้มภัยคุกคามของแรนซัมแวร์ยังคงเพิ่มขึ้นอย่างต่อเนื่อง ยืนยันจากสถิติปี 2020 พบว่ามีเหตุการถูกโจมตีจากแรนซัมแวร์เพิ่มขึ้นกว่า 435% และ 60% ขององค์กรประสบกับการโจมตีด้วยแรนซัมแวร์ในช่วง 1 ปีที่ผ่านมา ความสูญเสียจากแรนซัมแวร์มีหลายระดับทั้งในเรื่องของผลกระทบต่อการดำเนินธุรกิจที่อาจหยุดชะงัก ประสบการณ์แย่ๆต่อลูกค้า และภาพลักษณ์ของแบรนด์ ซึ่งความเสียหายเหล่านี้อาจต้องใช้เวลาเยียวยาหลายปี อีกเรื่องหนึ่งที่สำคัญและกระทบโดยตรงคือการกู้คืนข้อมูลอาจใช้เวลาถึงหลายเดือนหรืออาจทำไม่ได้เลย แม้โดยเฉลี่ยแล้วค่าไถ่จะอยู่ที่ 154,000 เหรียญสหรัฐฯ แต่ก็เคยมีเคสที่เหยื่อยอมจ่ายค่าไถ่สูงถึง 71 ล้านเหรียญสหรัฐฯ นั่นชี้ให้เห็นว่าข้อมูลมีความสำคัญแค่ไหน ดังนั้นองค์กรจึงควรมีโซลูชันการปกป้อง ตรวจจับ และกู้คืนข้อมูลจากแรนซัมแวร์

Commvault สามารถช่วยองค์กรให้พร้อมรับมือภัยจากแรนซัมแวร์ด้วยความสามารถต่างๆ โดยการลดพื้นผิวการโจมตี (Attack Surface) ด้วยฟีเจอร์ Immutable ที่ไม่ยึดติดกับฮาร์ดแวร์ใดๆ หรือการทำ Air Gapping รวมถึงมีกลไกด้าน AI และ Honeypot เพื่อตรวจสอบพฤติกรรมที่ต้องสงสัยต่างๆให้คุณจำกัดความเสียหายได้แต่เนิ่นๆ มองเห็นภาพรวมของข้อมูล ทำให้บังคับใช้ Policy เป็นไปได้ในทิศทางในเกณฑ์เดียวกัน พร้อมตอบสนองกู้คืนข้อมูลได้อย่างฉับไว ซึ่งสอดคล้องกับแนวทางปฏิบัติสากลด้านความปลอดภัยทางไซเบอร์ตามมาตรฐานของ NIST ด้วยหลักการดังนี้

               1) Identify – ประเมินค้นหาภัยคุกคามและลดความเสี่ยง ด้วยการควบคุมการเข้าถึงข้อมูลที่สามารถรองรับการทำ Multi-Factor Authentication (MFA) ที่หลากหลาย การจัดการสิทธิ์ใช้งานข้อมูลด้ายการกำหนด Role based security รวมไปถึงการทำ Encryption Data และ Audit report เพื่อติดตามและตรวจสอบย้อนหลัง

               2) Protect – ปกป้องข้อมูลด้วยการทำ Air Gap Solution สำหรับการจัดเก็บข้อมูลสำรองไว้ใน Isolating Networks รวมไปถึงการทำ Immutable สำหรับป้องกันการลบและแก้ไขข้อมูล

               3) Monitor – ตรวจสอบ Activity ที่มีความผิดปกติและการแจ้งเตือนด้วย feature Ransomware Detection and Protection ผ่าน Single Dashboard Management

               4) Respond – วิเคราะห์ข้อมูลและตอบสนองดูแลการปฏิบัติการอย่างเป็นระบบ

               5) Recover – ความสามารถในการกู้คืนข้อมูลและระบบได้อย่างรวดเร็ว เช่นการกู้คืนข้อมูลสำรองจาก Isolating Networks, Commvault Cloud DR ซึ่งเป็น free service ในสำรองข้อมูลเก็บไว้ที่ Cloud ของ Commvault เป็นต้น

นอกจาก Commvault จะช่วยตอบโจทย์ในด้านการป้องกันข้อมูลจากแรนซัมแวร์แล้ว Commvault ยังมีโซลูชันการปกป้องข้อมูลที่มีประสิทธิภาพที่ครอบคลุมไปถึงเรื่องการทำ Disaster Recovery ที่สามารถลดปริมาณงานของผู้ดูแลระบบ, ลดความซ้ำซ้อนของเครื่องมือ, ประหยัดการลงทุน และช่วยลดข้อผิดพลาดที่เกิดขึ้นจาก Human Error ได้อีกด้วย

ท่านใดสนใจติดต่อขอข้อมูลเพิ่มเติมเกี่ยวกับโซลูชัน Commvault ได้ที่

บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด โทร. 02-311-6881 #7151, 7158 หรือ Email : cu_mkt@cu.co.th

ทั้งนี้ทางคอมพิวเตอร์ยูเนี่ยนมีทีม CU as-a-Service ที่มีผู้เชี่ยวชาญเฉพาะด้านที่สามารถให้คำแนะนำและปรึกษาด้านการออกแบบและดีไซน์โซลูชัน รวมถึงการให้บริการ POC และติดตั้งใช้งาน โดยสามารถดูข้อมูลเพิ่มเติมได้ที่ https://www.cu.co.th/distributor/service/ หรือแสกน QR Code

from:https://www.techtalkthai.com/protect-your-business-data-from-ransomware-with-commvault/

[Guest Post] รายงานภัยคุกคามจากฟอร์ติการ์ดแล็บส์ พบแรนซัมแวร์ขยายสายพันธุ์มากขึ้นเกือบ 2 เท่าใน 6 เดือนแรกของปีนี้

แนวโน้มภัย Exploit แสดงให้เห็นว่าอุปกรณ์ปลายทางยังคงเป็นเป้าหมาย จากความนิยมในโมเดลการทำงานจากที่ใดก็ได้

เดอริค มันคี หัวหน้าสายงาน Security Insights และรองประธานกลุ่ม Global Threat Alliances แห่งฟอร์ติการ์ดแล็บส์รายงานว่า “อาชญากรทางไซเบอร์กำลังเร่งพัฒนาเพลย์บุ๊กของตนเองให้สามารถหลบเลี่ยงการถูกพบจากระบบป้องกันภัย ขยายความร่วมมือในเครือข่ายพันธมิตรร้าย ใช้กลยุทธ์ในเชิงรุก เช่น การขู่กรรโชกหรือการล้างข้อมูลของเหยื่อ เน้นใช้กลยุทธ์การลาดตระเวนก่อนการโจมตีเพื่อให้แน่ใจว่าการคุกคามครั้งนั้นจะให้ผลตอบแทนที่ดีขึ้น ทั้งนี้ ในการต่อสู้กับการโจมตีขั้นสูงและซับซ้อน องค์กรต้องการโซลูชันการรักษาความปลอดภัยแบบบูรณาการที่สามารถประมวลข้อมูลข่าวกรองภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ ตรวจจับรูปแบบภัยคุกคาม และเปรียบเทียบกับข้อมูลจำนวนมหาศาลได้แบบเรียลไทม์  เพื่อให้สามารถตรวจจับหาความผิดปกติ และเริ่มโต้ตอบภัยได้อย่างสอดประสานและอย่างอัตโนมัติในเครือข่ายไฮบริด”

ฟอร์ติเน็ต (Fortinet®) ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจรถึงรายงานรายครึ่งปี FortiGuard Labs Global Threat Landscape Report จากฟอร์ติการ์ดแล็บส์ที่จัดทำขึ้นสำหรับครึ่งปีแรกของปีพ.ศ. 2565 ล่าสุด โดยมีประเด็นสำคัญ ดังนี้:

  1. Ransomware-as-a-Service (RaaS) เป็นบริการที่ส่งให้ภัยคุกคามแรนซัมแวร์ยังคงขยายสายพันธุ์ได้มากขึ้นต่อไป
  2. อาชญากรทางไซเบอร์ยังคงมุ่งไปที่อุปกรณ์ปลายทางของผู้ใช้งานในวิถีการทำงานจากทุกที่ (Work from anywhere: WFA) เพื่อใช้เป็นทางเข้าถึงเครือข่ายขององค์กร นอกจากนี้ สภาพแวดล้อมของเทคโนโลยีปฏิบัติการ (โอที) ที่กำลังหลอมรวมเข้ากับเทคโนโลยีสารสนเทศ (ไอที) เปิดโอกาสให้เป็นเป้าหมายในการโจมตีมากขึ้น
  3. ภัยคุกคามที่มุ่งทำลายล้างข้อมูลยังคงเป็นเทรนด์ต่อไป ดังที่ได้พบว่ามัลแวร์ไวเปอร์ที่ผู้ประสงค์ร้ายใช้เป็นเครื่องมือนั้นแพร่กระจายมากขึ้น

ศัตรูทางไซเบอร์ใช้เทคนิคการสอดแนมและเทคนิคหลบเลี่ยงการถูกตรวจพบและการป้องกันมากขึ้น เพื่อเพิ่มความแม่นยำและความรุนแรงในการทำลายล้างตลอดห่วงโซ่การโจมตีทางไซเบอร์ให้มากขึ้น

1. เทรนด์วิวัฒนาการของระบบนิเวศอาชญากรรมร้ายส่งให้แรนซัมแวร์ขยายสายพันธุ์ได้อย่างรวดเร็ว: แรนซัมแวร์ยังคงเป็นภัยคุกคามอันดับต้นๆ และอาชญากรทางไซเบอร์ยังคงลงทุนทรัพยากรมากมาย เพื่อสร้างเทคนิคการโจมตีใหม่ๆ โดยที่ในช่วง 6 เดือนแรกของต้นปีนี้ ฟอร์ติการ์ดแล็บส์พบแรนซัมแวร์ทั้งหมด 10,666 สายพันธุ์เทียบกับ 5,400 สายพันธุ์ในช่วง 6 เดือนหลังของปีที่แล้ว หมายถึงการเติบโตเกือบ 100% ในระยะเพียง 6 เดือน โดย RaaS อันเป็นที่นิยมในเว็บมืดยังคงหนุนหลังอุตสาหกรรมอาชญากร ส่งผลให้องค์กรต่างๆ จำเป็นต้องคำนึงถึงการคุกคามของแรนซัมแวร์ ทั้งนี้ ในการป้องกันแรนซัมแวร์ องค์กรในทุกอุตสาหกรรมในทุกขนาดจำเป็นต้องมีแนวนโยบายเชิงรุก สิ่งที่สำคัญคือควรมีศักยภาพในการมองเห็น การป้องกันและการแก้ไขแบบเรียลไทม์ควบคู่ไปกับโครงสร้างประเภทที่มีความวางใจเป็นศูนย์ (ZTNA) พร้อมการตรวจจับและตอบสนองปลายทางขั้นสูง (EDR)

ภาพที่ 1: ปริมาณแรนซัมแวร์รายสัปดาห์ในช่วง 12 เดือนที่ผ่านมา

2. เทรนด์ของภัย Exploit ชี้ว่าอุปกรณ์ปลายทางและอุปกรณ์ประเภทโอทียังคงเป็นเป้าหมายที่หลีกเลี่ยงไม่ได้: การหลอมรวมกันทางดิจิทัลของไอทีและโอทีรวมทั้งอุปกรณ์ปลายทางของการใช้งานแบบ WFA ยังคงเป็นจุดอ่อนให้ถูกโจมตี ผู้ประสงค์ร้ายได้ใช้วิธีเจาะระบบผ่านช่องโหว่ (Exploit) ที่มีอยู่จำนวนมากที่พบในอุปกรณ์ปลายทาง เมื่อพบการใช้ที่ไม่ได้รับอนุญาตเข้าถึงระบบโดยมีเป้าหมายในการเคลื่อนย้ายไปมาเพื่อเจาะลึกเข้าไปในเครือข่ายขององค์กร เช่น ช่องโหว่การปลอมแปลง (CVE 2022-26925) ซึ่งพบว่ามีปริมาณมาก เช่นเดียวกับช่องโหว่การเรียกใช้โค้ดจากระยะไกล (CVE 2022-26937) นอกจากนี้ เมื่อวิเคราะห์จุดอ่อนทางตามปริมาณและการตรวจจับของอุปกรณ์ปลายเผยให้เห็นเส้นทางที่ผู้ประสงค์ร้ายพยายามเข้าถึงระบบอย่างต่อเนื่องโดยรุกที่ช่องโหว่ทั้งเก่าและใหม่ให้มากสุด ยิ่งไปกว่านั้น เมื่อมองไปที่เทรนด์ช่องโหว่ในระบบโอที พบว่าอุปกรณ์และแพลตฟอร์มหลากหลายประเภทถูกเจาะโดยอาศัยช่องโหว่ของระบบด้วยเช่นกัน ซึ่งแสดงให้เห็นถึงความเป็นจริงที่ว่าการหลอมรวมกันของไอทีและโอทีที่มีเพิ่มขึ้น จะเป็นเป้าหมายถูกคุกคามมากขึ้น ทั้งนี้ เทคโนโลยีที่ป้องกันอุปกรณ์ปลายทางขั้นสูงจะสามารถช่วยบรรเทาและแก้ไขอุปกรณ์ที่ติดไวรัสได้อย่างมีประสิทธิภาพในช่วงเริ่มต้นของการคุกคาม นอกจากนี้ องค์กรสามารถใช้บริการต่างๆ เช่น บริการป้องกันความเสี่ยงทางดิจิทัล (Digital risk protection service: DRPS) ช่วยประเมินภัยคุกคามที่เกิดภายนอก ค้นหาและแก้ไขปัญหาด้านความปลอดภัย และช่วยให้ได้รับข้อมูลภัยคุกคามที่กำลังเกิดขึ้นและที่กำลังจะเกิดขึ้นในเชิงลึกได้ดีอีกด้วย|

3. เทรนด์ของภัยคุกคามที่มุ่งล้างข้อมูลในระบบเพิ่มมากขึ้นจากการเพิ่มจำนวนของมัลแวร์ไวเปอร์: มัลแวร์ไวเปอร์คือภัยที่มุ่งทำลายล้างข้อมูลให้หมดกำลังใช้ซอฟต์แวร์พัฒนาเทคนิคการโจมตีที่ทำลายล้างและมีกระบวนการซับซ้อนมากขึ้น พบว่าสงครามในยูเครนทำให้มัลแวร์ประเภทล้างข้อมูลดิสก์เพิ่มขึ้นอย่างมากในหมู่ผู้คุกคามที่กำหนดเป้าหมายไปยังโครงสร้างพื้นฐานที่สำคัญ ทั้งนี้ ฟอร์ติการ์ตแล็ปส์ได้ระบุสายพันธุ์ไวเปอร์ใหม่อย่างน้อย 7 แบบในช่วงหกเดือนแรกของปีพ.ศ. 2565 ที่ถูกนำไปใช้ในการต่อต้านองค์กรภาครัฐ กองทัพ และเอกชนต่างๆ ซึ่งตัวเลขนี้มีความสำคัญเนื่องจากใกล้เคียงกับจำนวนของมัลแวร์ไวเปอร์ที่ตรวจพบเมื่อ 10 ปีที่แล้วคือตั้งแต่ปีพ.ศ. 2555 เป็นต้นมา นอกจากนี้ ไม่ได้พบมัลแวร์ไวเปอร์ในที่แห่งเดียว แต่ตรวจพบและประกาศให้สาธารณะทราบในอีก 24 ประเทศนอกเหนือจากยูเครน ดังนั้น องค์กรต่างๆ จึงต้องการกระบวนการตรวจสอบในเครือข่ายและการตอบสนองภัย (Network Detection and Response: NDR) ที่ใช้เทคโนโลยีเอไอซึ่งเรียนรู้ได้ด้วยตนเอง ที่สามารถตรวจจับการบุกรุกได้ดียิ่งขึ้น และต้องสำรองข้อมูลไว้นอกสถานที่และเป็นแบบออฟไลน์ จึงจะช่วยลดผลกระทบจากการโจมตีของมัลแวร์ไวเปอร์ได้

4. ผู้ประสงค์ร้ายทั่วโลกใช้กลยุทธ์หลบเลี่ยงการถูกค้นพบและป้องกันเป็นหลัก: ฟอร์ติการ์ดแล็บส์ได้วิเคราะห์การทำงานของมัลแวร์ที่ตรวจพบได้ เพื่อติดตามแนวทางที่มัลแวร์ใช้มากที่สุดในช่วง 6 เดือนที่ผ่านมา พบว่าในบรรดากลวิธีและเทคนิค 8 อันดับแรกที่เน้นคุกคามที่อุปกรณ์ปลายทางนั้น นักพัฒนามัลแวร์ใช้กลวิธีการหลีกเลี่ยงการป้องกันมากที่สุด โดยมักจะเรียกใช้งานพร็อกซีไบนารีของระบบเพื่อช่วยหลบแอบ ทั้งนี้ ผู้ประสงค์ร้ายต้องซ่อนเจตนาร้ายเป็นสิ่งสำคัญ ดังนั้น ผู้คุกคามจึงใช้เทคนิคการหลบเลี่ยงการป้องกันโดยการปิดบังและพยายามซ่อนคำสั่งโดยใช้ใบรับรองที่ถูกต้องเพื่อดำเนินการตามกระบวนการที่ดูเชื่อถือ นอกจากนี้ เทคนิคที่ได้รับความนิยมอันดับ 2 คือ การแทรกในกระบวนการ ซึ่งอาชญากรจะแอบแทรกโค้ดลงในกระบวนการอื่นแห่งหนึ่ง เพื่อหลบเลี่ยงการป้องกันของระบบและใช้พรางตัวให้แนบเนียนมากขึ้น องค์กรต่างๆ จึงควรใช้ข้อมูลข่าวกรองภัยคุกคามทางไซเบอร์ที่สามารถนำไปปฏิบัติใช้ได้จริง ทั้งนี้ แพลตฟอร์มการรักษาความปลอดภัยทางไซเบอร์ที่ใช้เอไอและแมชชีนเลิร์นนิ่ง และมีความสามารถในการตรวจจับและตอบสนองขั้นสูงซึ่งขับเคลื่อนโดยข่าวกรองภัยคุกคามที่นำไปปฏิบัติได้ทันทีนั้นเป็นสิ่งสำคัญในการปกป้องในทุกส่วนเอดจ์ของเครือข่ายไฮบริดทุกประเภท

ภาพที่ 2: กลวิธีและเทคนิคยอดนิยมที่มัลแวร์ใช้โจมตีอุปกรณ์ปลายทาง

แนะนำให้ใช้การรักษาความปลอดภัยที่ขับเคลื่อนด้วยเอไอทั่วพื้นผิวการโจมตีแบบขยาย

เมื่อองค์กรใช้ข่าวกรองภัยคุกคามที่นำไปปฏิบัติได้มาสร้างความเข้าใจอย่างลึกซึ้งยิ่งขึ้นเกี่ยวกับเป้าหมายและยุทธวิธีที่ผู้ประสงค์ร้ายแล้ว องค์กรจะสามารถจัดแนวการป้องกันภัยเพื่อปรับตัวและตอบสนองต่อเทคนิคการโจมตีที่เปลี่ยนแปลงไปอย่างรวดเร็วในเชิงรุกได้ดีขึ้น ซึ่งข้อมูลเชิงลึกเกี่ยวกับภัยคุกคามมีความสำคัญอย่างยิ่งในการช่วยจัดลำดับความสำคัญของกลยุทธ์ที่ปกป้องสภาพแวดล้อมให้ปลอดภัยยิ่งขึ้นได้ ทั้งนี้ การสร้างความตระหนักรู้และการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ให้กับพนักงานและทีมรักษาความปลอดภัยเป็นกลยุทธ์ที่สำคัญเช่นกันเนื่องจากมีการเปลี่ยนแปลงภูมิทัศน์ของภัยคุกคามอยู่ตลอดเวลา องค์กรจำเป็นต้องมีการปฏิบัติงานด้านความปลอดภัยที่ทำงานได้เร็วเท่าที่ความเร็วของเครื่องเพื่อให้ทันกับปริมาณ ความซับซ้อน และความเร็วของภัยคุกคามทางไซเบอร์ในปัจจุบัน ทั้งนี้ กลยุทธ์การป้องกัน การตรวจจับ และการตอบสนองที่ขับเคลื่อนโดยเอไอ และแมชชีนเลิร์นนิ่งที่เป็นแบบสถาปัตยกรรมตาข่ายความปลอดภัยทางไซเบอร์ (Cybersecurity mesh architecture) ช่วยให้คุณสมบัติด้านความปลอดภัยทำงานกันได้แข็งแกร่งมากขึ้น ระบบเป็นอัตโนมัติมากขึ้น ตลอดจนมีการตอบสนองต่อภัยคุกคามทั่วทั้งเครือข่ายที่ขยายได้อย่างรวดเร็ว สอดประสานการทำงานกัน และมีประสิทธิภาพมากขึ้น

ภาพรวมของรายงาน

รายงานภูมิทัศน์ภัยคุกคามทั่วโลกล่าสุดนี้เป็นผลการประมวลที่แสดงถึงข้อมูลข่าวกรองโดยรวมของฟอร์ติการ์ดแล็บส์ซึ่งได้รับมาจากเซ็นเซอร์จำนวนมากของฟอร์ติเน็ตที่รวบรวมอีเว้นต์ภัยคุกคามนับพันล้านครั้งทั่วโลกในช่วงครึ่งแรกของปีนี้ รายงานภูมิทัศน์คล้ายกับที่กรอบงาน MITRE ATT&CK ที่จำแนกกลยุทธ์ของผู้ประสงค์ร้ายและเทคนิคต่างๆ ด้วยการจัดกลุ่มโดย 3 กลุ่มแรกครอบคลุมการลาดตระเวน (Reconnaissance) การพัฒนาทรัพยากร (Resource Development) และการเข้าถึงเบื้องต้น (Initial Access)  รายงานภูมิทัศน์ภัยคุกคามทั่วโลกของฟอร์ติการ์ดแล็บส์อิงโครงสร้างจากโมเดลนี้เพื่ออธิบายว่าผู้คุกคามกำหนดเป้าหมายช่องโหว่ สร้างโครงสร้างพื้นฐานที่เป็นอันตราย และใช้ประโยชน์จากช่องโหว่ของเป้าหมายได้อย่างไร รายงานนี้ยังให้มุมมองในระดับโลกและระดับภูมิภาค ตลอดจนแนวโน้มภัยคุกคามที่ส่งผลต่อไอทีและโอทีอีกด้วย

สำหรับประเทศไทยนั้น ฟอร์ติการ์ดแล็บส์รายงานว่า เมื่อเปรียบเทียบไตรมาส 1 และ 2 นั้น ตรวจพบไวรัส HTML/Generic.31221958itr คุกคามมากที่สุดที่ 21.24% และ 21.41% ตามลำดับ ส่วนภัยประเภทบอตเน็ตนั้น พบ Mirai.Botnet  มากที่สุดที่ 49.19% และ 50.07% ตามลำดับ และภัยประเภทเอ็กซปลอยท์ที่หาประโยชน์จากช่องโหว่นั้นพบ MS Windows HTTP.sys.UipParSeAccep_ ในไตรมาส 1 มากที่สุดที่ 38.11% โดยกลับพบ HTTP.URl.Java Code.Injection ในไตรมาส 2 มากที่สุดที่ 31.71%

ภาพที่ 3 : ในไตรมาส 1 พบไวรัส HTML/Generic.31221958itr คุกคามมากที่สุดที่ 21.24%
ภาพที่ 4 : ในไตรมาส 1 พบภัยบอตเน็ต Mirai.Botnet คุกคามมากที่สุดที่ 49.19%
ภาพที่ 5 : ในไตรมาส 1 พบภัยประเภทเอ็กซปลอยท์ MS Windows HTTP.sys.UipParSeAccep_ มากที่สุดที่ 38.11%
ภาพที่ 6 : ในไตรมาส 2 พบไวรัส HTML/Generic.31221958itr คุกคามมากที่สุดที่ 21.41%
ภาพที่ 7: ในไตรมาส 2 พบภัยบอตเน็ต Mirai.Botnet คุกคามมากที่สุดที่ 50.07%
ภาพที่ 8 : ในไตรมาส 2 พบภัยประเภทเอ็กซปลอยท์ HTTP.URl.Java Code.Injection มากที่สุดที่ 31.71%
เกี่ยวกับฟอร์ติเน็ต
ฟอร์ติเน็ตปกป้ององค์กร ผู้ให้บริการ และหน่วยงานรัฐบาล ขนาดใหญ่ทั่วโลกให้พ้นจากภัยไซเบอร์ ฟอร์ติเน็ตช่วยให้ลูกค้าสามารถมีข้อมูลเชิงลึกในภัยคุกคาม และสร้างการป้องกันที่ชาญฉลาดให้ธุรกิจลูกค้าดำเนินไปอย่างราบรื่น เพื่อตอบสนองความต้องการด้านประสิทธิภาพที่เพิ่มขึ้นตลอดเวลาต่อเครือข่ายไร้พรมแดนในวันนี้และในอนาคต  ทั้งนี้ เครือข่ายด้านความปลอดภัยซีเคียวริตี้แฟบลิคอันเป็นสถาปัตยกรรมใหม่จากฟอร์ติเน็ตเท่านั้นที่สามารถมอบคุณสมบัติด้านความปลอดภัยโดยจะไม่ยอมแพ้แก่ภัยที่เข้ามา ไม่ว่าจะเป็นในเครือข่าย แอปพลิเคชัน มัลติ-คลาวด์ หรือ อุปกรณ์ปลายทาง เช่น โมบาย หรือไอโอที ฟอร์ติเน็ตดำรงตำแหน่งเป็น #1 ในการจัดส่งอุปกรณ์ด้านความปลอดภัยสู่ตลาดโลกมากที่สุด  และมีลูกค้ามากกว่า 580,000 รายทั่วโลกไว้วางใจฟอร์ติเน็ตให้ปกป้องธุรกิจของตน ทั้งนี้ ศูนย์อบรม Fortinet Network Security Expert (NSE) Training Institute เป็นผู้จัดหลักสูตรการอบรมด้านความปลอดภัยไซเบอร์ที่ใหญ่ที่สุดและครอบคลุมมากที่สุดแห่งหนึงในอุตสาหกรรม   รู้จักฟอร์ติเน็ตเพิ่มเติมได้ที่ www.fortinet.com   และ The Fortinet Blog  หรือ FortiGuard Labs  

from:https://www.techtalkthai.com/guest-post-fortinet-fortiguard/

ยืนยันแล้วว่าเครือโรงแรม InterContinental โดนโจมตี ผู้เชี่ยวชาญคาดว่าเป็นแรนซั่มแวร์

เครือโรงแรม InterContinental Hotels Group (IHG) ที่เป็นเจ้าของโรงแรมชื่อดังไม่ว่าจะเป็น Holiday Inn, Holiday Express, Regent, Crowne Plaza, Kimpton, และ Six Senses ได้ออกมายอมรับว่า โดนโจมตีทางไซเบอร์ ซึ่งเหล่าผู้เชี่ยวชาญมองว่าน่าจะเป็นการโจมตีแบบแรนซั่มแวร์

โดยทาง IHG ได้ระบุไว้ในรายงานที่ส่งให้สำนักงานตลาดหลักทรัพย์ลอนดอน (LSE) เมื่อวันอังคารที่ผ่านมา พร้อมทั้งเน้นว่า IHG กำลังทำงานอย่างหนักเพื่อกู้ระบบทั้งหมดกลับมาให้เร็วที่สุดเท่าที่เป็นไปได้ ซึ่งคำพูดนี้เองที่คนต้องนึกถึงฝีมือแรนซั่มแวร์

อย่างผู้เชี่ยวชาญทางความปลอดภัยทางไซเบอร์บางรายทวีตเองว่าการโจมตีนี้เป็นแรนซั่มแวร์แน่ๆ บางคนลงลึกไปถึงขั้นว่าน่าจะเป็นตัว LockBit ที่เคยออกตัวว่าอยู่เบื้องหลังการโจมตีโรงแรมฮอลิเดย์อินน์สาขากรุงอิสตันบูลเมื่อเดือนที่แล้ว

ในรายงานนี้ยังระบุด้วยว่า ระบบที่ได้รับผลกระทบคือระบบการจองห้องและ “แอพพลิเคชั่นอื่นๆ” ที่ “ค่อนข้างมีปัญหา” ตั้งแต่เมื่อวันจันทร์ ลูกค้า IHG เองก็คอมเพลนบนโซเชียลเกี่ยวกับปัญหาการจองห้อง แม้แต่พนักงานก็ยังบ่นออกมาว่า “เป็นวันที่นรกมาก”

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/intercontinental-hotels-group-confirms-cyber-attack/

แก๊งแรนซั่มแวร์ REvil คุยว่าโจมตีบริษัท Midea โรงงานยักษ์ใหญ่ระดับหลายพันล้านดอลล์

กลุ่มที่อยู่เบื้องหลังแรนซั่มแวร์ชื่อดัง REvil (หรือบางทีรู้จักในชื่อ Sodinokibi) ได้ออกมาอ้างว่า ตัวเองสามารถโจมตีโรงงานผลิตเครื่องใช้ไฟฟ้ายักษ์ใหญ่ในจีนอย่าง Midea Group รวมทั้งเอาข้อมูลที่จารกรรมออกมาเผยแพร่สู่สาธารณะ

แก๊ง REvil นี้ถือว่าออกมาสร้างชื่อให้ตัวเองอีกครั้งเมื่อเมษายน 2022 ที่ผ่านมา หลังจากเงียบหายไปนานตั้งแต่คดีแฮ็ก Kaseya เมื่อปี 2021 ทั้งนี้ Midea Group ถือเป็นหนึ่งในเหยื่อเจ้าใหญ่หลังจากเปิดตัวรอบใหม่นี้ แม้จะยังไม่มีการออกมายืนยันเป็นทางการก็ตาม

Midea เป็นบริษัทจีนมูลค่าหลักหลายพันล้านดอลลาร์สหรัฐฯ ที่อ้างตัวว่าเป็นเบอร์หนึ่งด้านผู้ผลิตเครื่องใช้ไฟฟ้า และเป็นหุ้นส่วนการค้ากับองค์กรและสโมสรกีฬาต่างๆ ทั่วโลก โดยเฉพาะที่มีชื่ออย่างทีมฟุตบอลแมนยู และ Corinthians

โดยทำรายรับเฉลี่ยต่อปีอยู่ที่ 5.33 หมื่นล้านดอลลาร์ฯ ขึ้นแท่นเป็นอันดับที่ 245 ในลิสต์ Fortune Global 500 สำหรับการแฮ็กครั้งนี้ REvil อ้างว่าได้จารกรรมข้อมูลหลากหลายรูปแบบจากระบบจัดการวงจรชีวิตผลิตภัณฑ์ (PLM) ที่รวมแผนผังเครื่องและที่มาของเฟิร์มแวร์ ไปจนถึงข้อมูลทางการเงินที่ “พร้อมขายต่อ”

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/revil-claims-ransomware-attack/