คลังเก็บป้ายกำกับ: ค่าไถ่

แฮ็กเกอร์กลับใจ คืนเงินค่าไถ่ให้เหยื่อที่เคยโดนแรนซั่มแวร์

ผู้ที่อยู่เบื้องหลังแรนซั่มแวร์ Ziggy ได้ประกาศยุติบทบาทความเคลื่อนไหว พร้อมทยอยเริ่มคืนเงินที่เคยรีดไถมาคืน โดยแอดมินของแรนซั่มแวร์นี้ใช้คำว่า “ข่าวดี” ในบล็อกที่ประกาศเมื่อสัปดาห์ก่อนหน้าโดยที่ไม่ได้ให้รายละเอียดเพิ่มเติม

แรนซั่มแวร์ Ziggy ได้ปิดตัวลงช่วงต้นเดือนกุมภาพันธ์ที่ผ่านมา ซึ่งเนื้อหาในประกาศนั้น แอดมินผู้อยู่เบื้องหลังขบวนการแรนซั่มแวร์นี้ได้กล่าวว่าพวกเขา “รู้สึกเสียใจ” กับสิ่งที่ทำไปทั้งหมด จึง “ตัดสินใจที่จะเผยแพร่คีย์ถอดรหัสทั้งหมด” ให้

ซึ่งหนึ่งวันให้หลัง ในวันที่ 7 กุมภาพันธ์ ก็ได้ปล่อยไฟล์ SQL ที่มีคีย์ถอดรหัสมากถึง 922 รายการที่เหยื่อสามารถนำไปปลดล็อกไฟล์ตัวเองได้ นอกจากนี้แอดมินคนดังกล่าวยังได้สร้างทูลถอดรหัสที่ช่วยอำนวยความสะดวกในการปลดล็อกด้วย

รวมไปถึงให้ซอร์สโค้ดสำหรับตัวปลดรหัสที่ไม่จำเป็นต้องเชื่อมต่ออินเทอร์เน็ตก็นำไปใช้งานได้ และล่าสุดเมื่อวันที่ 19 มีนาคม แอดมินของแรนซั่มแวร์ Ziggy ก็กล่าวว่าต้องการจะคืนเงินให้แก่เหยื่อที่เคยจ่ายค่าไถ่ ซึ่งให้หลังอีกสัปดาห์หนึ่งก็ออกมากล่าวว่าพร้อมโอนเงินคืนแล้ว โดยให้เหยื่อติดต่อผ่านอีเมล์พร้อมสลิปหรือหลักฐานการชำระ

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/ransomware-admin-is-refunding-victims/

ยักษ์ใหญ่ด้านประกันภัย CNA ถูกแรนซั่มแวร์ Phoenix CryptoLocker เล่นงาน

สำนักข่าว BleepingComputer รายงานว่า บริษัทด้านประกันภัยรายใหญ่ของโลก CNA กำลังเสียหายจากการโจมตีด้วยแรนซั่มแวร์สายพันธุ์ใหม่ที่ชื่อ Phoenix CryptoLocker ซึ่งพบว่าอาจมีความสัมพันธ์กับกลุ่มแฮ็กเกอร์ Evil Corp

ผลกระทบที่เกิดขึ้นนั้นส่งผลทั้งบริการออนไลน์ และกระบวนการดำเนินธุรกิจ ซึ่งหลังจากทางสื่อเปิดเผยเรื่องนี้แล้ว ทาง CNA ก็ได้ออกแถลงการณ์ยืนยันว่าโดนโจมตีทางไซเบอร์เมื่อช่วงสุดสัปดาห์ก่อน ตั้งแต่วันที่ 21 มีนาคมที่ผ่านมา

โดยทาง CNA ตรวจพบว่ามีการโจมตีทางไซเบอร์ที่ซับซ้อนเข้ามาอย่างต่อเนื่อง จนทำให้เน็ตเวิร์กใช้งานไม่ได้ กระทบกับระบบบางอย่างของ CAN อย่างเช่นอีเมล์บริษัท ทั้งนี้ แหล่งข่าวใกล้ชิดออกมาเผยว่าอุปกรณ์ที่โดนล็อกเข้ารหัสมีมากกว่า 15,000 เครื่อง

ซึ่งคอมพิวเตอร์ที่โดนแรนซั่มแวร์เล่นงานส่วนหนึ่งนั้นเป็นคอมพ์ส่วนตัวพนักงานที่ทำงานจากระยะไกลด้วยการเชื่อมต่อกับเครือข่ายบริษัทผ่านวีพีเอ็นระหว่างที่มีการโจมตี เมื่อแรนซั่มแวร์ล็อกเครื่องแล้ว ก็จะตั้งสกุลไฟล์ที่เข้ารหัสไว้เป็น .phoenix

ที่มา : BleepingComputer

from:https://www.enterpriseitpro.net/cna-phoenix-cryptolocker/

ขบวนการแรนซั่มแวร์ Ryuk รีดไถเงินเหยื่อรวมกว่า 150 ล้านดอลลาร์ฯ

นักวิจัยด้านความปลอดภัยได้ติดตามเส้นทางทางการเงินของเหยื่อแรนซั่มแวร์ Ryuk ไปจนถึงบัญชีเก็บเงินของอาชญากรที่อยู่เบื้องหลัง ซึ่งพบว่าแก๊งนี้น่าจะรีดเงินจากเหยื่อมาได้รวมๆ แล้วอย่างต่ำมากถึง 150 ล้านดอลลาร์สหรัฐฯ

โดยบริษัทด้านวิจัยข้อมูลอันตรายอย่าง Advanced Intelligence และ HYAS พบว่าขบวนการนี้ใช้ตลาดแลกเปลี่ยนเงินคริปโตที่ถูกต้องตามกฎหมายสองแห่งเป็นหลักในการแลกบิทคอยน์ที่ได้มาจากเหยื่อออกมาเป็นเงินสด

ซึ่งมีวอลเล็ตบิทคอยน์กว่า 61 บัญชีที่โยงไปถึงองค์กรเบื้องหลังมัลแวร์ Ryuk มีการเคลื่อนย้ายเงินคริปโตไปยังตัวกลางฟอกเงินก่อนไหลไปยังตลาดแลกเปลี่ยนอย่าง Huobi และ Binance เวลาที่เหยื่อ Ryuk จ่ายเงินค่าไถ่มานั้น

เงินจะไหลไปที่ตัวกลางก่อนจะไปถึงผู้อยู่เบื้องหลังมัลแวร์ ซึ่งจะใช้บริการฟอกเงินก่อนที่จะวิ่งไปยังตลาดแลกเปลี่ยนเงินคริปโตที่ถูกกฎหมาย หรือนำไปใช้จ่ายในตลาดมืดต่อไป และพบว่ามีหนึ่งในธุรกรรมขนาดใหญ่ที่สุดจากวอลเล็ตเหล่านี้มีมูลค่าสูงกว่า 5 ล้านดอลลาร์ (365 บิทคอยน์)

from:https://www.enterpriseitpro.net/ryuk-ransomware-bitcoin-wallets-point-to-150-million-operation/

ผู้ผลิตชิป IIoT อย่าง Advantech โดนแรนซั่มแวร์เรียกค่าไถ่สูง 12.5 ล้านเหรียญฯ

กลุ่มแรนซั่มแวร์ Conti ได้เข้าโจมตีผู้ผลิตชิปสำหรับระบบ IoT และระบบออโตเมชั่นเชิงอุตสาหกรรม (IIoT) อย่าง Advantech แล้วเรียกค่าไถ่เป็นเงินมหาศาลเพื่อถอดรหัสปลดล็อกระบบและหยุดการปล่อยข้อมูลที่จารกรรมมา

Advantech เป็นผู้ผลิตผลิตภัณฑ์และโซลูชั่นไอทีชั้นนำระดับโลก ไม่ว่าจะเป็นพีซีแบบฝังในอุปกรณ์, อุปกรณ์เครือข่าย, IoT, เซิร์ฟเวอร์, และโซลูชั่นสำหรับกลุ่มธุรกิจบริการสุขภาพ มีพนักงานกว่า 8,000 คนใน 92 เมืองใหญ่ทั่วโลก

บริษัทนี้เคยเป็นผู้นำระดับโลกด้านตลาดคอมพิวติงสำหรับอุตสาหกรรมมาแล้ว ด้วยส่วนแบ่งตลาดกว่า 34% เมื่อปี 2018 หรือแม้แต่ในปี 2019 ก็ทำยอดขายรวมทั้งหมดได้มากถึง 1.7 พันล้านดอลลาร์ฯ สำหรับการโจมตีครั้งนี้

กลุ่ม Conti ได้ตั้งเงินค่าไถ่ไว้ที่ 750 บิทคอยน์ (ประมาณ 12.6 ล้านดอลลาร์ฯ) ตามข้อมูลบันทึกแชทที่หลุดออกมา รวมทั้งยอมถอดรหัสให้สัก 2 ไฟล์เป็นตัวอย่างก่อนเพื่อแสดงให้เห็นว่าตัวถอดรหัสที่จะได้มานี้ใช้ได้จริง อีกทั้งปล่อยข้อมูลที่ดูดมาบางส่วนไปแล้วเพื่อข่มขู่

ที่มา : Bleepincomputer

from:https://www.enterpriseitpro.net/iiot-advantech-ransom/

ลือหึ่ง ทาง Garmin ยอมจ่ายค่าไถ่ ถึงได้ตัวถอดรหัสจากแรนซั่มแวร์

ทางสำนักข่าว BleepingComputer ออกมายืนยันว่า Garmin ได้คีย์ถอดรหัสสำหรับกู้ไฟล์ที่โดนล็อกไว้จากการโจมตีของแรนซั่มแวร์ WastedLocker แล้ว

หลังจากเมื่อวันที่ 23 กรกฎาคมที่ผ่านมาต้องเผชิญกับระบบล่มทั่วโลก ที่ทำให้ลูกค้าไม่สามารถเข้าถึงบริการเชื่อมต่อของบริษัท ไม่ว่าจะเป็น Garmin Connect, flyGarmin, Strava, inReach เป็นต้น จากนั้นทาง BleepingComputer ก็ออกมาเป็นสื่อแรกที่เผยว่าบริษัทนี้โดนโจมตีทางไซเบอร์

หลังจากมีพนักงานแชร์รูปของคอมพิวเตอร์ที่โดนเข้ารหัสไฟล์ออกมา รวมทั้งพบตัวอย่างของแรนซั่มแวร์ที่ถูกใช้ในการโจมตีด้วย ต่อมาพนักงานเองก็ได้แชร์ข้อมูลเพิ่มเติมกับสำนักข่าวว่าถูกเรียกค่าไถ่เป็นจำนวนเงินถึง 10 ล้านดอลลาร์สหรัฐฯ

หลังจากระบบล่มต่อเนื่องกัน 4 วัน อยู่ดีๆ ทาง Garmin ก็ออกมาประกาศให้บริการได้ตามปกติ จนคนเดาว่าน่าจะยอมจ่ายค่าไถ่ ล่าสุดทางสำนักข่าว BleepingComputer ได้รับไฟล์ Executiable จากฝ่ายไอทีของ Garmin สำหรับถอดรหัสไฟล์ ซึ่งพิจารณาแล้วว่าไม่น่าใช่ตัวถอดรหัสที่บริษัทสร้างเอง ค่อนข้างชัดเจนว่าน่าจะได้มาจากการจ่ายค่าไถ่จริง

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/garmin-received-a-wastedlocker-decryption-key/

รัฐแมสซาชูเสจ เสียท่า! โดนแรนซั่มแวร์ RYUK โจมตี เรียกค่าไถ่ 5.3 ล้านเหรียญฯ

มีกลุ่มอาชญากรไซเบอร์เจาะรบบคอมพิวเตอร์ของทางการเมือง New Bedford รัฐแมสซาชูเสจ แล้วฝังแรนซั่มแวร์ Ryuk พร้อมทั้งเรียกค่าตอบแทนจำนวนมากถึง 5.3 ล้านเหรียญฯ เพื่อปลดล็อกคอมพิวเตอร์ที่ได้รับผลกระทบ

โดยเมื่อวันที่ 5 กรกฎาคมที่ผ่านมา ระบบฐานข้อมูลการจัดการหรือ MIS ของเมือง New Bedford พบแรนซั่มแวร์ที่ติดเชื้อบนคอมพิวเตอร์หลายเครื่อง ซึ่งหลังตรวจพบได้ไม่นาน ทีมงานของ MIS ได้ตัดการเชื่อมต่อของเครื่องเซิร์ฟเวอร์พร้อมทั้งปิดการทำงานของระบบ

แต่แรนซั่มแวร์ก็สามารถจัดการคอมพิวเตอร์ไปได้มากถึง 158 เครื่อง นับเป็น 4 เปอร์เซ็นต์ของคอมพิวเตอร์ทั้งหมดกว่า 3,532 เครื่องที่ใช้งานโดยพนักงานของทุกแผนกของทางการเมือง ซึ่งผู้ว่าการเมือง New Bedford นาย Jon Mitchell ออกมาแถลงข่าวว่า

“คนร้ายที่อยู่เบื้องหลังการโจมตีของแรนซั่มแวร์ Ryuk ครั้งนี้ได้เรียกร้องค่าไถ่เป็นบิทคอยน์มูลค่ากว่า 5.3 ล้านเหรียญฯ เพื่อแลกกับคีย์ถอดรหัสสำหรับปลดล็อกคอมพิวเตอร์ที่ติดเชื้อ แต่เขาตัดสินใจเสนอจะจ่ายเท่ามูลค่าที่ทำประกันไว้ที่ 400,000 เหรียญฯ ที่ดูเทียบเท่ากับกรณีของเมืองอื่นที่เกิดเหตุคล้ายกันแทน”

ที่มา : GBhackers

from:https://www.enterpriseitpro.net/hackers-demand-5-3-million-with-ryuk-ransomware/

แรนซั่มแวร์ทำลายเครือข่ายบริษัทผู้ให้บริการไฟฟ้าในแอฟริกาใต้ จนพังทั้งระบบ

มีเหตุแรนซั่มแวร์เข้าโจมตีผู้ให้บริการกระแสไฟฟ้าในแอฟริกาใต้รายใหญ่ที่สุดรายหนึ่งชื่อ City Power ในโยฮันเนสเบิร์กเมื่อช่วงเช้าของวันพฤหัสที่ผ่านมา ทำให้ระบบทุกอย่างถูกเข้ารหัส ซึ่งรวมถึงฐานข้อมูลและแอพพลิเคชั่นที่ใช้งานอยู่ด้วย

บริษัทนี้เป็นของทางการเมืองโยฮันเนสเบิร์ก ซึ่งหลังเหตุการณ์ดังกล่าวก็มีลูกค้าต่างรายงานเหตุไฟดับหลายแห่งผ่านทางทวิตเตอร์ แม้ว่าจะยังไม่มีการยืนยันว่ามีความสัมพันธ์กับเรื่องของแรนซั่มแวร์ อย่างไรก็ตามการโจมตีนี้ได้ใช้แรนซั่มแวร์ไม่ทราบสายพันธุ์เพื่อปิดกั้นไม่ให้ลูกค้าซื้อหน่วยไฟฟ้า

ระบบจำหน่ายไฟฟ้าที่โดนหางเลขนั้นเป็นแบบชำระก่อนล่วงหน้าหรือ PrePaid นอกจากนี้ยังกระทบกับระบบให้บริการซัพพอร์ตทางโทรศัพท์อีกด้วย อย่างไรก็ดี ทาง City Power ได้ออกมาทวีตว่าระบบแอพพลิเคชั่นและเครือข่ายที่โดนโจมตีส่วนใหญ่ได้รับการกู้ระบบคืนมาแล้ว

ที่ผ่านมานอกจากที่แอฟริกาใต้แล้ว แรนซั่มแวร์ยังได้ระบาดไปยังระบบสาธารณูปโภคในเมืองต่างๆ ทั่วโลก เช่น ระบบของทางการ La Porte County ในรัฐอินเดียน่าที่ยอมจ่ายค่าไถ่กว่า 130,000 ดอลลาร์สหรัฐฯ หรือระบบของตำรวจเมือง Lawrenceville, Northwest Indian College (NWIC), และ Monroe Collegeในกรุงนิวยอร์ก

ที่มา : Bleepingcomputer

from:https://www.enterpriseitpro.net/ransomware-attack-cripples-power-companys-entire-network/

รัฐฟลอริด้ายอมจ่ายค่าไถ่แก่แก๊งแรนซั่มแวร์มากถึง 600,000 ดอลลาร์สหรัฐฯ

โดยสภาเมือง Riviera Beach รัฐฟลอริด้า ได้โหวตเสียงส่วนใหญ่ให้จ่ายค่าไถ่เป็นเงินมากกว่า 6 แสนดอลลาร์ฯ แก่ขบวนการแรนซัมแวร์ เพื่อให้เจ้าหน้าที่ของเมืองสามารถกู้คืนข้อมูลที่ถูกล็อกและเข้ารหัสไปแล้วนานกว่า 3 สัปดาห์ได้

การตัดสินใจของทางการเมืองครั้งนี้ ทางสำนักข่าว CBS News รายงานว่าเกิดขึ้นหลังจากเจ้าหน้าที่ออกมาสรุปว่า ไม่มีวิธีอื่นที่จะสามารถกู้คืนไฟล์ได้ โดยการเข้าถึงข้อมูลของ Riviera City ถูกล็อกไปตั้งแต่วันที่ 29 พฤษภาคมที่ผ่านมา

สาเหตุมาจากการที่เจ้าหน้าที่สำนักงานตำรวจของ Riviera Beach เปิดอีเมล์ที่มีแรนซั่มแวร์ จนแพร่กระจายไปทั่วเครือข่ายของทางการเมือง แรนซั่มแวร์ได้ล็อกไฟล์พร้อมกับปิดบริการของเมืองทุกอย่างตั้งแต่นั้นเป็นต้นมา ยกเว้นบริการโทรสายด่วน 911

แต่ระบบเว็บไซต์ เซิร์ฟเวอร์อีเมล์ ระบบชำระเงิน และอย่างอื่นทุกอย่างล่มทั้งหมด เจ้าหน้าที่สื่อสารกันได้แค่การพูดคุยต่อหน้า หรือผ่านโทรศัพท์เท่านั้น จนทำให้งานทุกอย่างลำบากมาก โดยทางการของเมืองได้จัดการประชุมไปเมือวันที่ 3 มิถุนายนเพื่อผ่านงบประมาณสูงถึง 941,000 ดอลลาร์ฯ เพื่อจัดซื้อคอมพิวเตอร์และอุปกรณ์ไอทีอื่นใหม่ทั้งหมดเพื่อป้องกันปัญหาในอนาคต

from:https://www.enterpriseitpro.net/florida-city-pays-600000-to-ransomware-gang-to-have-its-data-back/

สนามบิน Bristol ถูกแรนซั่มแวร์โจมตี จนหน้าจอแสดงเที่ยวบินล่ม!

ทางสนามบิน Bristol ในอังกฤษได้ออกแถลงการณ์ว่า เมื่อเช้าวันศุกร์ที่ผ่านมาได้เผชิญกับการโจมตีแบบเรนซั่มแวร์ จนทำให้คอมพิวเตอร์หลายเครื่องบนเครือข่าย ที่รวมถึงหน้าจอแสดงข้อมูลไฟลท์บินภายในสนามบินล่มเป็นตลอดช่วงสุดสัปดาห์ทั้ง 2 วัน

ผลจากการโจมตีดังกล่าว ทำให้เจ้าหน้าที่ต้องปิดระบบคอมพิวเตอร์ แล้วใช้กระดานไวท์บอร์ดกับกระดาษเขียนประกาศข้อมูลเที่ยวบินทั่วทั้งสนามบินแทน รวมไปถึงใช้แทนป้ายประกาศสายพานลำเลียงกระเป๋าเดินทางด้วย

นอกจากนี้ ทางสนามบินยังออกประกาศขอความร่วมมือให้ผู้โดยสารมาถึงก่อนเวลาล่วงหน้ากว่าเดิม เพื่อ “ใช้เวลาในการเช็คอินและบอร์ดดิ้งที่จะยาวนานกว่าปกติ” เนื่องจากปัญหาทางเทคนิคในช่วงสองวันดังกล่าวทำให้มีดีเลย์ในระบบลำเลียงกระเป๋า จนทำให้ผู้โดยสารอาจต้องรอนานเป็นชั่วโมง

ทั้งนี้ ทางสนามบินย้ำว่าไม่ได้จ่ายค่าไถ่ใดๆ แก่ผู้โจมตี และสามารถกู้ระบบกลับมาเป็นปกติได้แล้วตั้งแต่วันอาทิตย์ รวมทั้งดำเนินการสืบสวนอย่างเร่งด่วน แม้จนถึงตอนนี้ยังไม่ทราบแน่ชัดว่าโดนแรนซั่มแวร์กันได้อย่างไร

ที่มา : Thehacknews

from:https://www.enterpriseitpro.net/cyberattack-bristol-airport/

แรนซั่มแวร์ SamSam รีดค่าไถ่จากเหยื่อทั่วโลกได้ถึง 6 ล้านดอลลาร์ฯ แล้ว

นักวิจัยจาก Sophos ค้นพบแรนซั่มแวร์ชื่อ SamSam ที่แฮ็กเกอร์ผู้อยู่เบื้องหลังได้ปล่อยแพร่ระบาดไปทั่วโลกตั้งแต่ธันวาคมปี 2558 จนปัจจุบันสามารถเก็บรายได้จากค่าไถ่รวมแล้วมูลค่านับ 6 ล้านดอลลาร์สหรัฐฯ เลยทีเดียว เป็นอีกหนึ่งกรณีที่ตอกย้ำตลาดมืดของแรนซั่มแวร์ที่มีมูลค่ามหาศาล

จากการตรวจสอบที่อยู่บิทคอยน์ของผู้โจมตีที่ระบุในข้อความเรียกค่าไถ่ของแรนซั่มแวร์SamSamแต่ละเวอร์ชั่นนั้น พบว่าแฮ็กเกอร์น่าจะได้รับเงินรวมกันตีมูลค่ามากกว่า 5.9 ล้านดอลลาร์ฯ จากเหยื่อจำนวนทั้งหมด 233 ราย และยังคงมีแนวโน้มการทำกำไรจากแรนซั่มแวร์นี้ในอัตราเพิ่มขึ้นอย่างต่อเนื่อง โดยล่าสุดทำรายได้ถึง 3 แสนดอลลาร์ฯ ต่อเดือนเลยทีเดียว

สิ่งที่ทำให้ SamSamโดดเด่นกว่าแรนซั่มแวร์ตัวอื่นคือ แทนที่จะส่งสแปมมั่วๆ แบบไม่เจาะจง ผู้โจมตีกลับใส่ใจให้เวลากับการเลือกเฟ้นเหยื่อเป้าหมายที่มีศักยภาพสูง แล้วเจาะระบบเพื่อส่งแรนซั่มแวร์ด้วยตัวเองทุกราย เริ่มจากการแฮ็กระบบรีโมทเดสก์ท็อป ไม่ว่าจะใช้วิธีเดาสุ่มรหัสหรือซื้อรหัสที่โดนขโมยจากเว็บมืด แล้วจึงลอบติดตั้งแซมแซมผ่านช่องโหว่บนระบบดังกล่าว

เมื่อเทียบกับแรนซั่มแวร์ชื่อดังอย่าง WannaCry และ NotPetya แล้ว แซมแซมไม่ได้ฝังความสามารถในการแพร่กระจายตัวเองแบบเวิร์มหรือไวรัส แต่พึ่งความสามารถของผู้โจมตีที่เป็นมนุษย์ในการติดเชื้อแต่เพียงอย่างเดียว โดยเมื่อเข้ารหัสไฟล์บนเครื่องเหยื่อแล้ว ก็จะเรียกค่าไถ่ที่แพงหูฉี่มาก (ประมาณ 50,000 ดอลลาร์ฯ หรือมากกว่า) ในรูปบิทคอยน์เพื่อแลกกับคีย์ถอดรหัส

ที่มา : Thehackernews

from:https://www.enterpriseitpro.net/ramsomware-samsam-malware/