ดาวน์โหลดฟรีทูลสำหรับถอดรหัสแรนซั่มแวร์ Conti จาก Kaspersky

Kaspersky ปล่อยทูลถอดรหัสข้อมูลฟรีอัปเดตใหม่ สำหรับช่วยเหลือเหยื่อแรนซั่มแวร์ Conti สายพันธุ์ปรับปรุงใหม่ที่นักวิจัยบางรายตั้งชื่อใหม่ให้ว่า “MeowCorp” ที่เป็นการพัฒนาจากซอร์สโค้ดของ Conti ต้นฉบับที่หลุดออกมาเมื่อมีนาคม 2022

บริษัทน้องเหมียวนี้ถูกเอาไปใช้โจมตีภาครัฐและเอกชนจำนวนมาก ทาง Kaspersky จึงอัปเดตทูลใหม่จากการสืบข้อมูลเกี่ยวกับ Conti ล่าสุดที่หลุดตามเว็บบอร์ดต่างๆ รวมกว่า 258 รายการ ทั้งไพรเวทคีย์ ซอร์สโค้ด และตัวถอดรหัสแบบก่อนคอมไพล์บางส่วน

ไพรเวทคีย์ที่หลุดมามีอยู่ใน 257 โฟลเดอร์ (มีโฟลเดอร์หนึ่งที่มีสองคีย์) ในจำนวนนี้มีคีย์บางส่วนที่ถูกเอามาสร้างตัวถอดรหัสแล้ว นอกจากนี้ยังมีไฟล์ทั่วไปอย่างไฟล์เอกสาร ไฟล์รูปภาพต่างๆ ด้วย โดยสันนิษฐานว่าเป็นไฟล์ทดสอบที่เหยื่อส่งให้ผู้โจมตีให้แน่ใจว่า คีย์ที่จะส่งมาใช้ถอดรหัสได้

ข้อมูลทั้งหมดนี้ถูกรวมในยูทิลิตี้ RakhniDecryptor รุ่นล่าสุดของ Kaspersky แล้ว พร้อมทั้งเพิ่มเข้าไปในเว็บไซต์รวมฮิตตัวถอดรหัสแรนซั่มแวร์สายพันธุ์ต่างๆ อย่าง noransom.kaspersky.com แล้วด้วย ซึ่งจากข้อมูลช่วงปี 2019 – 2020 พบว่า Conti เป็นหนึ่งในสายพันธุ์แรนซั่มแวร์ที่พบการระบาดมากที่สุด คิดเป็นประมาณ 13%

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/free-decryptor-released-for-conti-ransomware/

Advertisement

แรนซั่มแวร์ IceFire ขยายตลาดมาเจาะลินุกซ์แล้ว ผ่านช่องโหว่บน IBM Aspera Faspex

แรนซั่มแวร์สายพันธุ์ที่เคยขึ้นชื่อเล่นงานบนวินโดวส์อย่าง IceFire ตอนนี้หันมาเล็งเครือข่ายองค์กรที่ใช้ลินุกซ์กันบ้างแล้ว โดยเฉพาะในกลุ่มธุรกิจสื่อและความบันเทิงทั่วโลก โดยเจาะช่องโหว่บนซอฟต์แวร์แชร์ไฟล์ IBM Aspera Faspex

ช่องโหว่ดังกล่าวเพิ่งมีการเปิดเผยไปไม่นานมานี้ เป็นแบบ Deserialization ภายใต้รหัส CVE-2022-47986 คะแนนความร้ายแรงสูงถึง 9.8 ตามสเกล 9.8 อ้างอิงจากข้อมูลของบริษัทด้านความปลอดภัยทางไซเบอร์ SentinelOne

Alex Delamotte นักวิจัยอาวุโสด้านอันตรายของ SentinelOne แชร์ข้อมูลกับทางสำนักข่าว The Hacker News ว่า ถือเป็นความเคลื่อนไหวที่สำคัญมาก สอดคล้องกับแก๊งแรนซั่มแวร์รายอื่นๆ ที่หันมาเล่นงานลีนุกซ์แทนเหมือนกันในช่วงนี้

เหยื่อส่วนใหญ่เป็นบริษัทที่ตั้งในตุรกี อิหร่าน ปากีสถาน สหรัฐอาหรับเอมิเรต ซึ่งล้วนเป็นประเทศที่ปกติแล้วไม่ได้เป็นเป้าสำคัญของแรนซั่มแวร์มาก่อน สำหรับ IceFire นี้ถูกค้นพบครั้งแรกเมื่อมีนาคมปีที่แล้วโดยกลุ่ม MalwareHunterTeam

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/icefire-ransomware-exploits-ibm-aspera-faspex-to-attack-linux/

FBI เผย หน่วยงานโครงสร้างพื้นฐานสำคัญกว่า 860 แห่งถูกโจมตีจากแรนซัมแวร์ในปีที่แล้ว

FBI เผยข้อมูล 2022 Internet Crime Report พบตัวเลขการโจมตีของแรนซัมแวร์ที่เกิดขึ้นกับหน่วยงานโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกาเกิดขึ้นกว่า 860 แห่ง

ในปีที่แล้ว Internet Crime Compliant Center (IC3) ได้รับรายงานการโจมจากแรนซัมแวร์รวมกันทั้งหมด 2,385 เหตุการณ์ มีมูลค่าความเสียหายมากกว่า 34.3 ล้านเหรียญ โดยกลุ่มที่ IC3 ได้รับรายงานมามากที่สุดคือ หน่วยงานโครงสร้างพื้่นฐานที่สำคัญของประเทศ มีรายงานรวมกันเข้ามากว่า 860 ครั้ง สำหรับกลุ่มแรนซัมแวร์ที่ทำการโจมตี 3 อันดับแรก ได้แก่ Lockbit, ALPHV/BlackCat และ Hive โดย FBI นั้นจะปฏิเสธการจ่ายค่าไถ่ทั้งหมดหากถูกโจมตี เนื่องจากไม่สามารถยืนยันได้ว่าจะได้รับไฟล์คืน และเงินค่าไถ่อาจถูกนำไปสนับสนุนการโจมตีในครั้งถัดไป

FBI ได้ให้คำแนะเบื้องต้นกับหน่วยงานต่างๆเพื่อป้องกันการโจมตีจากแรนซัมแวร์ดังนี้

• อัปเดตระบบปฏิบัติการและซอฟต์แวร์อย่างสม่ำเสมอ
• จัดอบรมผู้ใช้งานให้มีความรู้ความเข้าใจเรื่องแรนซัมแวร์และการโจมตีแบบฟิชชิง
• ตรวจสอบการใช้งาน Remote Desktop Protocol (RDP) อยู่ตลอดเวลา
• ทำการสำรองข้อมูลแบบออฟไลน์

ที่มา: https://www.bleepingcomputer.com/news/security/fbi-ransomware-hit-860-critical-infrastructure-orgs-in-2022/

from:https://www.techtalkthai.com/fbi-reports-860-critical-infrastucture-org-attacked-by-ransomware/

จับตาให้ดี แก๊งแรนซั่มแวร์ Medusa กลับมาระบาดหนักอีกครั้ง! เจาะกลุ่มบริษัททั่วโลก

ปฏิบัติการแรนซัมแวร์ภายใต้ชื่อว่า Medusa เริ่มกลับมาเพิ่มขึ้นอีกในปี 2023 โดยมุ่งเป้าหมายเหยื่อกลุ่มบริษัททั่วโลก วางแผนจะเรียกค่าไถ่มูลค่าล้านเหรียญดอลลาร์

แรนซั่มแวร์ Medusa เริ่มแรกนั้น เกิดขึ้นในเดือนมิถุนายนปี 2021 แต่พวกมันไม่ค่อยมีกิจกรรมมากมายนักและมีเหยื่อที่โดนโจมตีเพียงเล็กน้อยเท่านั้น อย่างไรก็ตามในปี 2023 นี้ กลุ่มแรนซัมแวร์ ได้เพิ่มความเข้มแข็งขึ้นกว่าเดิมและมีการเปิดบล็อกที่ชื่อว่า ‘Medusa Blog’ เอาไว้เปิดเผยข้อมูลของเหยื่อที่ไม่ยอมจ่ายค่าไถ่ด้วย

สำหรับ Medusa นี้ มาได้รับการสนใจจากสื่อในสัปดาห์ที่ผ่านมา หลังจากที่พวกเขาอ้างว่าเป็นผู้อยู่เบื้องหลังการโจมตีต่อเขตการศึกษาสาธารณะของทาง Minneapolis (Minneapolis Public Schools: MPS) และก็ได้มีการแชร์ข้อมูลที่ขโมยไปในรูปแบบวิดีโอ

อ่านเพิ่มเติมที่นี่ – BPC

from:https://www.enterpriseitpro.net/medusa-ransomware-gang-picks-up-steam/

การโจรกรรมข้อมูลและมัลแวร์เรียกค่าไถ่: คุณพร้อมรับมือหรือพร้อมจ่ายหรือไม่? [Guest Post]

การโจรกรรมข้อมูลโดยกลุ่มแฮกเกอร์ที่กระทำการอย่างซับซ้อนกำลังเพิ่มมากขึ้น ทั้งในแง่จำนวนครั้งและขอบเขตการโจมตี อย่างเช่นเมื่อไม่กี่เดือนที่ผ่านมาในช่วงปลายปี 2565 มีรายงานว่าเกิดการโจมตีทางไซเบอร์ครั้งใหญ่ที่สุดในประวัติศาสตร์ออสเตรเลียซึ่งกระทบต่อลูกค้าของ Optus บริษัทด้านโทรคมนาคมรวมแล้วกว่า 10 ล้านคน สำหรับประเทศไทยเองก็พบปัญหาการละเมิดข้อมูลของโรงพยาบาลหลายแห่งรวมถึงกระทรวงสาธารณสุขในช่วงสองปีที่ผ่านมา ทำให้ข้อมูลส่วนตัวของผู้ป่วยรั่วไหลและถูกเรียกค่าไถ่เพื่อนำฐานข้อมูลกลับมาเหมือนเดิม

อาชญากรไซเบอร์ เช่น Desorden Group คัดเลือกเหยื่ออย่างพิถีพิถัน โดยมุ่งเป้าไปที่กลุ่มบริษัทขนาดใหญ่ในเอเชียที่มีช่องโหว่ชัดเจนซึ่งสามารถเจาะระบบได้ง่าย โดยจะลอบดึงข้อมูลจากบริษัทหรือองค์กรให้ตกเป็นเหยื่อ และข่มขู่ว่าจะเผยแพร่ข้อมูลเหล่านั้นหากไม่ยอมจ่ายค่าไถ่ และหากไม่ได้รับการตอบกลับ อาชญากรกลุ่มนี้ก็จะทำให้เหยื่อได้รับความอับอายไปทั่ว ปล่อยข้อมูลให้รั่วไหล และยกระดับการกดดันให้เข้มข้นยิ่งขึ้น

วายร้ายทุกวันนี้ไม่ได้อยากเก็บตัวแบบในอดีต หากแต่พร้อมที่จะป่าวประกาศและเปิดเผยรายละเอียดกับสื่อมวลชนว่าตนเองเจาะเข้าระบบรักษาความปลอดภัยไซเบอร์ของเหยื่ออย่างไร อย่างเช่นที่ Daixin Team ซึ่งโจมตี AirAsia ถึงกับหาญกล้าระบุว่า พวกเขาตัดสินใจไม่โจมตีระบบของที่นี่ต่อไปเนื่องจากหงุดหงิดกับความไร้ระเบียบในการตั้งค่าระบบเครือข่ายของสายการบิน

Credit: Ditty about summer/ShutterStock

เตรียมพร้อม รักษาความปลอดภัย

การละเมิดข้อมูลส่วนตัวโดยมากเป็นเรื่องที่หลีกเลี่ยงได้ด้วยการรักษาความมั่นคงปลอดภัยทางไซเบอร์และการใช้มาตรการรักษาความปลอดภัยที่มีประสิทธิภาพ บริษัทต่างๆ มักพูดถึงผู้บุกรุกที่อาศัยเทคนิคอันซับซ้อน แต่ที่จริงแล้วมีเพียงปัจจัยเดียวเท่านั้นที่ผู้ตกเป็นเป้าหมายสามารถควบคุมได้โดยสมบูรณ์ นั่นก็คือ ความพร้อม (หรือการขาดความพร้อม) ของตนเอง

ในช่วงที่เกิดโรคระบาด บริษัทหลายแห่งได้ควบรวมและจัดแจงรายจ่ายทางเทคโนโลยีใหม่ มีการลงทุนเพื่อปรับธุรกิจให้เป็นระบบดิจิทัล ซึ่งเป็นสิ่งจำเป็นต่อการดำเนินธุรกิจต่อไป ฝ่ายไอทีก็เน้นไปที่การเปิดใช้ระบบการทำงานจากทางไกลเพื่อให้พนักงานและระบบภายในองค์กรมีความปลอดภัยและรองรับการทำงานได้อย่างดี

แต่การเปลี่ยนแปลงกระบวนการสู่ดิจิทัลและเทคโนโลยีที่ขยายขอบเขตการใช้งานออกไปโดยกว้าง เช่น ระบบคลาวด์ แอปธุรกิจ และอุปกรณ์ IoT ล้วนสร้างโอกาสให้แฮกเกอร์โจมตีระบบได้มากขึ้น จนทำให้ฝ่ายไอทีพบกับความยุ่งยากในการปกป้องระบบ และเกิดเป็นความต้องการใช้งานโซลูชันรักษาความปลอดภัยที่ทันสมัย จึงเป็นเหตุผลหลักที่อุตสาหกรรมความมั่งคงปลอดภัยไซเบอร์ฟื้นตัวอย่างรวดเร็ว

สิ่งสำคัญสำหรับวันนี้

ที่ผ่านมาบรรดาผู้นำทางเทคโนโลยีต่างมีงบประมาณก้อนใหญ่เพื่อจับจ่ายซื้อหาโซลูชัน แม้กระทั่งที่มีฟังก์ชันการทำงานซ้ำซ้อนกันก็ตาม เพื่อให้องค์กรเกิดความปลอดภัย แต่โซลูชันจำนวนมากดังกล่าวให้มุมมองเพียงเสี้ยวหนึ่งเท่านั้น องค์กรจำเป็นต้องมีช่องทางหลักที่ให้ข้อเท็จจริงเพื่อให้สามารถตัดสินใจได้อย่างถูกต้อง โดยต้องการข้อมูลที่ตรงประเด็น มีจำนวนการแจ้งเตือนเหตุที่เป็นเท็จในระดับต่ำ และสอดคล้องตามบริบทของบริษัท อีกทั้งยังต้องตรวจพบจุดบอดเพื่อติดตั้งและใช้มาตรการรับมือได้อย่างมีประสิทธิภาพ

คุณไม่สามารถปกป้องสิ่งที่มองไม่เห็น ซึ่งบริษัทส่วนใหญ่มองเห็นสินทรัพย์ไซเบอร์ของตนเองได้ไม่ครบถ้วนแม้จะมี CMDB ล่าสุดหรือโซลูชัน CAASM ที่ใหม่ที่สุดก็ตาม ดังนั้นจึงจำเป็นต้องส่งทรัพยากรไปยังจุดที่มีความต้องการอย่างแท้จริง ในอีกไม่กี่เดือนข้างหน้า ผู้บริหารจะเริ่มคุมเข้มเรื่องผลตอบแทนการลงทุน (ROI) ของการใช้จ่ายทางเทคโนโลยีเพราะบรรยากาศทางเศรษฐศาสตร์จุลภาคจะเริ่มถดถอย

นอกจากนี้ทรัพยากรยังอยู่ในภาวะที่เสี่ยงต่อการขาดแคลน ดังนั้นจึงจำเป็นต้องพึ่งพาผู้มีประสบการณ์สูงเพื่อบรรเทาภัยคุกคามดังกล่าว แต่อัตราการลาออกของพนักงานในระดับสูงก็ทำให้เกิดช่องว่างทางองค์ความรู้ในด้านการทำงานของเครื่องมือและระบบภายใน

ระบบอัตโนมัติอาจเป็นทางออกสำหรับเรื่องนี้ เพราะจำนวนภัยคุกคามและความเสี่ยงที่เกิดขึ้นพุ่งทะยานจนถึงระดับที่มนุษย์ไม่สามารถจัดการได้เองอีกต่อไป กระนั้นบริษัทส่วนใหญ่กลับหันไปหาแนวทางที่สะดวกกว่า ซึ่งก็คือ การปฏิบัติตามกฎเกณฑ์ให้เพียงพอตามข้อกำหนดขั้นต่ำเท่านั้น เรียกว่าทำตามเช็กลิสต์ไม่ว่าในกรณีใดก็ตาม แทนที่จะจัดทำแผนงานด้านความปลอดภัยที่มีประสิทธิภาพซึ่งให้ความมั่นคงทางไซเบอร์ที่ดีกว่า

เริ่มต้นที่พื้นฐาน

แผนงานด้านความปลอดภัยที่ดีต้องมีระบบจัดการช่องโหว่อย่างเหมาะสม ขณะที่งานระดับล่างในระบบควรเป็นไปโดยอัตโนมัติ และมีการจัดลำดับความสำคัญของงานเชิงบริหารจัดการเพื่อไม่ให้เกิดจุดบอดด้านความมั่นคงปลอดภัยไซเบอร์ ดังนั้นก่อนที่จะไปพูดถึง AI หรือคุณสมบัติสุดพิเศษใดๆ ก็ตาม ให้คุณหันกลับมามองก่อนว่ายังคงใช้งานสเปรดชีต Excel กับงานส่วนใดและสมาชิกในทีมวิเคราะห์ระบบยังต้องจัดการงานอันน่าเบื่อหน่ายด้านใดด้วยตนเอง เรียกว่ายังมีงานง่ายๆ อีกมากมายที่ควรเริ่มจัดการเป็นลำดับแรก

มัลแวร์เรียกค่าไถ่ ยังคงติดอันดับภัยคุกคามในปี 2566 เพราะให้ผลตอบแทนที่ดีและโจมตีได้ง่าย อีกทั้งยังมีความเสี่ยงที่จะโดนตอบโต้ต่ำ งานวิจัยชิ้นหนึ่งระบุว่า เหยื่อกว่า 60% ยอมจ่ายค่าไถ่ข้อมูลบริษัทต่างๆ ต้องการปกป้องชื่อเสียง ข้อมูลของลูกค้า และหลบเลี่ยงภาระทางการเงินหรือบทลงโทษจากกฎหมายความเป็นส่วนตัวของข้อมูลที่เข้มงวดขึ้นในหลายประเทศ

องค์กรหลายแห่งมักหลงไปกับข่าวการโจมตีระบบล่าสุดที่กระตุ้นให้บริษัทต้องยกเครื่องมาตรการป้องกันเพื่อรับมือกับภัยคุกคามในปัจจุบัน แต่บ่อยครั้งการละเมิดความปลอดภัยมักเกิดขึ้นจากช่องโหว่ในระบบไอทีซึ่งทราบกันดีอยู่แล้วแต่ยังไม่ได้รับการแก้ไข การโจมตีทางไซเบอร์กว่า 80% อาศัยช่องโหว่ที่เผยแพร่มาแล้วกว่าครึ่งทศวรรษ กล่าวได้ว่าผู้เชี่ยวชาญด้านระบบรักษาความปลอดภัยไซเบอร์อาจละเลยหรือไม่สามารถดำเนินการได้อย่างเหมาะสม

หลักการพื้นฐานไม่มีอะไรเปลี่ยนแปลง การเจาะระบบที่เกิดขึ้นมักอาศัยเทคนิคการหลอกล่อผู้ใช้งานให้กรอกข้อมูลส่วนตัวผ่านสื่อต่าง ๆ (social engineering) ดังนั้น “การรักษาความมั่นคงปลอดภัยไซเบอร์” ที่เหมาะสมจึงต้องมีการฝึกอบรมพนักงานให้ตระหนักถึงภัยดังกล่าว เพราะถือเป็นปราการด่านหน้าสำคัญ และควรวางมาตรการตอบโต้ด้วยการอุดรอยรั่วทางระบบอย่างสม่ำเสมอ รวมถึงใช้การบริหารจัดการความเสี่ยงจากช่องโหว่เพื่อขจัดความโกลาหลทางไซเบอร์ให้มองเห็นปัญหาได้อย่างชัดเจนในที่สุด

บทความโดย เพียร์ แซมซัน ประธานเจ้าหน้าที่ฝ่ายดูแลรายได้ บริษัท Hackuity

from:https://www.techtalkthai.com/hackuity-are-you-ready-for-ransomware/

Huawei เปิดตัวระบบตรวจจับแรนซั่มแวร์ที่ “ดีที่สุดในโลก” กลางงาน MWC 2023

Huawei ออกมาโฆษณาระบบความปลอดภัยฐานข้อมูลใหม่ของตัวเองที่ชื่อ Cyber Engine ว่า “ดีที่สุดในโลก” ด้วยอัตราการตรวจจับแรนซั่มแวร์สูงถึง 99.9% ฉลองการเปิดตัวในวันเปิดงาน 2023 Mobile World Congress ที่บาเซโลน่าตอนนี้เลยทีเดียว

Dr Peter Zhou ประธานด้านผลิตภัณฑ์ไอทีของ Huawei กล่าวกับสื่อว่า ระบบตัวเองเป็น “ปราการด่านสุดท้าย” (Last Line of Defense) ที่มีประสิทธิภาพมากที่สุด สำหรับระบบความปลอดภัยที่มาพร้อมสตอเรจเก็บข้อมูลนี้

โดยเป็นกลไกและอัลกอริทึมที่เทรนด้วย AI สำหรับตรวจจับร่องรอยของไวรัส แรนซั่มแวร์ รวมทั้งตรวจได้ด้วยว่ามีการโจมตีเกิดขึ้นบนระบบเราแล้วหรือยัง ถ้าพบ ก็จะสั่งให้ฐานข้อมูลปิดตัวในส่วนที่ได้รับผลกระทบด้วยเทคนิคการแยกส่วนออกมาแบบ Air Gap

Zhuo ย้ำว่า “เราเชื่อในความสามารถในการตรวจจับแรนซั่มแวร์ตัวนี้ว่าดีที่สุดในโลกแล้ว” ทางด้านผู้เชี่ยวชาญด้านความปลอดภัยจาก ESET คุณ Jake Moore ก็ยังชื่นชมระบบ AI นี้ เพียงแต่ตั้งข้อสังเกตว่าต้องเปิดทำงานตลอดเวลาเท่านั้นถึงจะยังปลอดภัย

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/huawei-launches-worlds-best-ransomware-detection/

[Video Webinar] TechTalk Webinar: How-to ป้องกันและรับมือกับ Ransomware สำหรับองค์กร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยายเรื่อง “How-to ป้องกันและรับมือกับ Ransomware สำหรับองค์กร” โดย บริษัท Bluebik Titans ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ค่ะ

รายละเอียดการบรรยาย

หัวข้อ : How-to ป้องกันและรับมือกับ Ransomware สำหรับองค์กร

วิทยากร :

• คุณพลสุธี ธเนศนิรัตศัย ตำแหน่ง Director, Bluebik Titans Co., Ltd.
• คุณรชฏ ถาวรเศรษฐ ตำแหน่ง Associate Director, Bluebik Titans Co., Ltd.

Ransomware เป็นภัยคุกคามทางไซเบอร์อันดับหนึ่งของภาคธุรกิจองค์กรแทบทุกอุตสาหกรรมและทุกขนาด ความเสียหายที่เกิดขึ้นไม่ได้จำกัดอยู่แค่การถูกเข้ารหัสข้อมูลและเรียกค่าไถ่เท่านั้น

ใน Webinar ครั้งนี้ท่านจะได้รับฟังขั้นตอนการปฏิบัติการของ Ransomware ตั้งแต่การระบุเป้าหมาย ขั้นตอนและวิธีการเข้าโจมตี การเรียกค่าไถ่ และทำอย่างไรถึงจะรับมือกับภัยคุกคามนี้ พร้อมวิธีการป้องกันตัวเองไม่ให้ตกเป็นเหยื่อ

มาร่วมฟังประสบการณ์จริงเกี่ยวกับการทำงานของอาชญากรทางไซเบอร์จากผู้เชี่ยวชาญด้าน Incident Response และ Digital Forensics ของ Bluebik ได้

from:https://www.techtalkthai.com/video-webinar-how-to-prevent-and-respond-to-ransomware-for-organizations-by-bluebik-titans/

แก๊งแรนซั่มแวร์ “DarkBit” ถล่มระบบ Techinion เรียกค่าไถ่สูงถึง 1.7 ล้านดอลลาร์ฯ

พบการโจมตีทางไซเบอร์ที่เล่นงานสถาบันเทคโนโลยีของอิสราเอลที่รู้จักกันในชื่อ Technion เมื่อสุดสัปดาห์ที่ผ่านมา โดยเป็นฝีมือของแก๊งแรนซั่มแวร์หน้าใหม่ชื่อ DarkBit พร้อมขูดรีดค่าไถ่กว่า 80 บิทคอยน์ คิดเป็นเงินจริงมากกว่า 1.7 ล้านดอลลาร์สหรัฐฯ เลยทีเดียว

แก๊งนี้ยังขู่ในแรนซั่มโน้ตเพิ่มด้วยว่า จะเพิ่มค่าไถ่อีก 30% ถ้าไม่ยอมจ่ายภายใน 48 ชั่วโมงแรก เนื้อความยังโบ้ยไปว่าเป็นการโจมตีเพื่อต่อต้านทางการอิสราเอล มีเจตนารณรงค์ทางการเมือง (แต่ได้เงินก็รวยข้ามชาติไปเลยทีเดียวสินะ)

ถ้ามีเจตนาเป็นกลุ่มเคลื่อนไหวทางการเมืองจริง ก็โอกาสน้อยมากที่เหยื่อยอมจ่ายแล้วจะได้คีย์ถอดรหัสคืน ทั้งนี้ในโน้ตขู่กรรโชกทิ้งท้ายไว้ว่า เราได้แฮ็กเครือข่ายของ Technion และโอนถ่ายข้อมูล “ทั้งหมด” ดูดออกมาเก็บเรียบร้อยแล้วด้วย

ทาง Technion ยืนยันแล้วว่ากำลังเผชิญกับเหตุการณ์ด้านความปลอดภัยตั้งแต่วันอาทิตย์ที่ 12 กุมภาพันธ์ที่ผ่านมา โดยอยู่ระหว่างการตรวจสอบขอบเขตของผลกระทบที่เกิดขึ้นอยู่ และย้ำว่ากิจกรรมต่างๆ ของมหาวิทยาลัย โดยเฉพาะการสอบจะยังคงมีอยู่ตามปกติ

อ่านเพิ่มเติมที่นี่ – ITPro

from:https://www.enterpriseitpro.net/darkbit-ransomware-gang-shuts-down-technion/

คนร้ายแรนซัมแวร์ผู้ใช้ช่องโหว่ ESXi อัปเดตเวอร์ชันใหม่ ตอกกลับสคิร์ปต์กู้คืน VM

เป็นความพยายามระลอกที่สองของคนร้ายเบื้องหลังการพุ่งเป้าโจมตี ESXi Server จากช่องโหว่ที่ไม่ได้รับการแพตช์ โดยครั้งนี้เพิ่มโค้ดให้หนาแน่นเพื่อแก้ไขวิธีการกู้คืน VM ที่เคยอาศัยความผิดพลาดทางลอจิกของการโจมตีระลอกแรกเมื่อสัปดาห์ที่ผ่านมา

เมื่อช่วงสุดสัปดาห์ก่อนมีการแจ้งเตือนว่าพบแคมเปญการโจมตีเซิร์ฟเวอร์ ESXi เพื่อปล่อยแรนซัมแวร์กับเหยื่อที่ยังไม่ได้แพตช์ช่องโหว่ RCE หมายเลข CVE-2021-21974 โดยเป็น Heap Overflow ในบริการ OpenSLP ทั้งนี้ส่งผลกระทบกับผู้ใช้งาน VMware Esxi ในเวอร์ชัน 7.x ก่อน ESXi70U1c-17325551, Esxi เวอร์ชัน 6.7.x ก่อน ESXi670-202102401-SG และ Esxi เวอร์ชัน 6.5.x ก่อน ESXi650-202102101-SG แน่นอนว่าการแก้ไขเป็นเรื่องของการอัปเดตแพตช์ ซึ่งมาพร้อมกับคำแนะนำอีกส่วนคือให้ปิดบริการ OpenSLP ที่ชี้ว่ากลายเป็นค่าที่ปิดโดยพื้นฐานตั้งแต่ปี 2021 แต่ประเด็นจนกระทั่งตอนนี้ที่ยังน่ากังวลคือมีเหยื่อหลายรายชี้ว่าตนไม่ได้เปิดบริการ OpenSLP ด้วยซ้ำแล้วคนร้ายมายังไง?

กลไกการทำงานของแรนซัมแวร์ที่ใช้นามสกุลไฟล์ .args ก็คือสคิร์ปต์ encrypt.sh เป้าหมายคือไฟล์ .vmxf, .vmx, .vmdk, .vmsd และ .nvram สุดท้ายคือการทิ้งโน๊ตพร้อมบัญชีบิตคอยน์ ทำลาย Log แก้ไขเนื้อหาบางส่วนในหลายไฟล์ ลบ Backdoor และนี่คือการโจมตีระลอกแรก

เคราะห์ดีที่เหยื่อคราวแรกอาจรอดมาได้จากกลไกการเลือกเข้ารหัสที่ไม่สมบูรณ์แบบเนื่องจากภายในลอจิกหลงเหลือข้อมูลส่วนที่ไม่เข้ารหัสไว้เยอะเกินไป จนกระทั่งเป็นสาเหตุให้ผู้เชี่ยวชาญคิดค้นวิธีการสร้าง VM ขึ้นใหม่จาก metadeta บน vDisk ได้ ทำให้คนร้ายอาจต้องผิดหวังที่เหยื่อหลายรายหลุดพ้นได้ ต่อมา CISA ยังทำให้การแก้ไขง่ายขึ้นอีกด้วยสคิร์ปต์ช่วยเหลือที่ใช้ง่ายกว่าเดิม (https://github.com/cisagov/ESXiArgs-Recover/blob/main/recover.sh) 

ล่าสุดคนร้ายได้อัปเดตวิธีการเข้ารหัสไฟล์แล้วให้มีการเข้ารหัสเนื้อหามากขึ้น ซึ่งไม่สามารถกู้คืนด้วยวิธีการเดิมอีกต่อไป และเคราะห์กรรมก็ตกอยู่กับเหยื่อระลอกใหม่นั่นเอง ทั้งนี้แคมเปญการโจมตีในวันแรกของการปฏิบัติการมีเครื่องเซิร์ฟเวอร์ถูกเข้ารหัสไปกว่า 120 เครื่องและเมื่อจบสัปดาห์เหยื่อพุ่งสูงถึง 2,400 เครื่องและจากเลขอัปเดตท้ายสุดคือมากกว่า 3,000 เครื่อง ดังนั้นแอดมินทั้งหลายควรเช็คการอัปเดตของตนกันด้วยนะครับ

ที่มา : https://www.bleepingcomputer.com/news/security/massive-esxiargs-ransomware-attack-targets-vmware-esxi-servers-worldwide/ และ https://www.bleepingcomputer.com/news/security/cisa-releases-recovery-script-for-esxiargs-ransomware-victims/ และ https://www.bleepingcomputer.com/news/security/new-esxiargs-ransomware-version-prevents-vmware-esxi-recovery/

from:https://www.techtalkthai.com/ransomware-esxiargs-updated-code-close-uncomplete-logic/

VMware เตือน พบกลุ่มแรนซัมแวร์มุ่งเป้าโจมตี ESXi Server ที่ไม่ได้รับการแพตช์

VMware เตือน พบกลุ่มแรนซัมแวร์มุ่งเป้าโจมตี ESXi Server ที่ไม่ได้รับการแพตช์

VMware และหน่วยงานรัฐบาลในกลุ่มประเทศยุโรปได้ออกประกาศเตือนผู้ใช้งาน VMware ESXi Hypervisor ว่ากำลังพบการระบาดของแรนซัมแวร์ในกับ ESXi Server ที่ยังไม่ได้รับการแพตช์ โดยกลุ่มผู้ไม่หวังดีโจมตีผ่านช่องโหว่ CVE-2021-21974 ที่ทำให้เกิด Heap overflow ใน OpenSLP ที่ใช้งานใน ESXi เวอร์ชัน 6.5, 6.7 และ 7.0 ซึ่งช่องโหว่นี้ได้รับการแพตช์ไปแล้วตั้งแต่เมื่อปี 2021 ซึ่งการโจมตีนั้นจะเกิดขึ้นผ่านพอร์ต 427 ที่โดยปกติแล้วจะถูกปิดเอาไว้ หากมีการอัปเดตแพตช์ดังกล่าวแล้ว หากโจมตีสำเร็จจะมีการติดตั้งแรนซัมแวร์ลงในเครื่องของเหยื่อและใช้เป็นช่องทางในการโจมตีต่อไป

ปัจจุบันหน่วยงานรัฐบาลจากหลายประเทศในยุโรป เช่น ฝรั่งเศสและอิตาลี ได้ออกมาประกาศเตือนถึงกลุ่มแรนซัมแวร์ที่มุ้งเป้าโจมตีโดยใช้ช่องโหว่นี้ เพื่อให้หน่วยงานทั้งรัฐบาลและเอกชนมีการเตรียมพร้อมสำหรับการโจมตี ผู้ดูแลระบบจึงควรตรวจสอบเวอร์ชันที่ใช้งานและทำการแพตช์ระบบให้เป็นเวอร์ชันล่าสุด

ที่มา: https://siliconangle.com/2023/02/06/vmware-governments-warn-ransomware-attack-targeting-unpatched-esxi-servers/

from:https://www.techtalkthai.com/vmware-warns-ransomware-gangs-target-unpatched-vmware-esxi-server/