คลังเก็บป้ายกำกับ: RANSOMWARE

แฮกเกอร์ใช้ ransomware แฮกการรถไฟเบลารุส ขวางรัสเซียส่งกำลังทหารไปชายแดนยูเครน

หนึ่งในจุดยุทธศาสตร์หากรัสเซียต้องการจะบุกยูเครน คือชายแดนยูเครน-เบลารุส ซึ่งอยู่ติดกับภาคเหนือของยูเครน และใกล้กับกรุงเคียฟมากกว่า ปัจจุบันรัสเซียมีความสัมพันธ์ที่ดีกับประธานาธิบดีอเล็กซานเดอร์ ลูคาเชนโก ผู้นำเบลารุส และได้รับอนุญาตให้วางกำลังพลที่ชายแดนเบลารุส-ยูเครนได้ โดยใช้เส้นทางลำเลียงยุทโธปกรณ์ทางรถไฟเป็นหลัก

ล่าสุดกลุ่มแฮกเกอร์ Cyber-Partisans ได้ใช้ ransomware เข้ารหัสเซิฟเวอร์ ฐานข้อมูล และเวิร์คสเตชั่นของการรถไฟเบลารุส เพื่อชะลอการสะสมกำลังของรัสเซียตามชายแดน ส่งผลกระทบทั้งระบบรถไฟโดยสาร และรถไฟขนส่ง แต่กลุ่มแฮกเกอร์ระบุว่าไม่ส่งผลกระทบต่อระบบอัตโนมัติ และระบบความปลอดภัย โดยในโพสต์ทวิตเตอร์ กลุ่มแฮกเกอร์เรียกร้องให้เบลารุสปล่อยนักโทษการเมือง 50 คนที่มีปัญหาสุขภาพ และเรียกร้องให้ถอนทหารรัสเซียออกไปจากประเทศ

แม้การแฮกการรถไฟของเบลาลุสครั้งนี้อาจจะชะลอการเคลื่อนพลของกองกำลังรัสเซียได้ชั่วคราว และการนำ ransomware มาใช้เป็นส่วนหนึ่งของการต่อสู้ด้านการเมืองจะไม่ใช่เรื่องใหม่ แต่การนำมาใช้ในครั้งนี้ ถือได้ว่าเป็นการนำ ransomware มาใช้ในเหตุการณ์ที่มีความตึงเครียด เป็นที่สนใจ และมีเดิมพันสูงที่สุดครั้งหนึ่งเลยก็ว่าได้

No Descriptionกลุ่มแฮกเกอร์โพสต์ภารพในทวิตเตอร์ โชว์ว่าพนักงานการรถไฟ Belarus ใช้ซอฟต์แวร์เถื่อน

ที่มา – ArsTechnica, @cpartisans

from:https://www.blognone.com/node/126872

บริษัทยา Merck ชนะคดีบริษัทประกัน ต้องจ่ายค่าสินไหมกรณีติดมัลแวร์ NotPetya

อาจเป็นอดีตอันไกลโพ้นในโลกไอที เมื่อปี 2016-2017 มีแรนซัมแวร์ Petya ระบาดเป็นวงกว้าง หน่วยงานที่โดน Petya (หรือเวอร์ชันกลายพันธุ์คือ NotPetya) โจมตีคือโดนเข้ารหัสข้อมูล ต้องจ่ายเงินเรียกค่าไถ่ ไม่อย่างนั้นข้อมูลก็สูญหาย เข้าถึงไม่ได้ไปตลอดกาล

หลังเหตุการณ์นั้นมีหน่วยงานหลายรายที่กู้ข้อมูลไม่ได้ แต่ซื้อประกันภัยไซเบอร์เอาไว้ จึงเรียกค่าสินไหมจากบริษัทประกัน ซึ่งก็เจอปัญหาว่าบริษัทประกันไม่ยอมจ่าย เพราะมองว่าเป็นมัลแวร์ที่เกี่ยวข้องกับรัฐบาลรัสเซีย จึงเข้าข่ายการทำสงคราม (War or Hostile Acts) ที่ปกติแล้วไม่อยู่ในการคุ้มครองของประกันภัย

ประเด็นนี้เป็นที่ถกเถียงกันอย่างมากในวงการประกันภัย เพราะหลายคน (โดยเฉพาะผู้ถือกรมธรรม์) ก็มองว่าเป็นการโจมตีไซเบอร์ธรรมดาๆ ไม่ควรถูกตีความเป็นการทำสงครามอย่างแน่นอน ทำให้เรื่องนี้ต้องไปถึงชั้นศาล

No Description

ล่าสุดบริษัทยายักษ์ใหญ่ Merck ชนะคดีกับบริษัทประกันภัย และได้เงินชดเชย 1.4 พันล้านดอลลาร์แล้ว หลังศาลสูงของสหรัฐตัดสินว่า ข้อยกเว้นเรื่องสงครามของบริษัทประกันนั้น “ไม่สมเหตุสมผล” โดยอธิบายว่าความคลุมเครือของภาษาในเอกสารเงื่อนไขประกันภัย ควรต้องถูกตีความให้ตรงกับ “ความคาดหวังอย่างมีเหตุผล” (reasonable expectation) ของผู้ถือกรมธรรม์

บริษัทประกันภัยเองก็ปรับเงื่อนไขการรับประกันภัยไซเบอร์ให้เข้มงวดขึ้น ปรับถ้อยคำให้ระบุชัดเจนว่าไม่คุ้มครองสงครามไซเบอร์ หรือ การโจมตีที่เกี่ยวข้องกับรัฐ

ที่มา – Threatpost, ภาพจาก Merck

from:https://www.blognone.com/node/126825

ฟรี !! IBM FlashSystem Safeguarded Copy สำหรับการป้องกันข้อมูลจาก Ransomware และ Cyber attack

เปิดใช้งานระบบการป้องกันข้อมูลจาก Ransomware และ Cyber attack ด้วย IBM FlashSystem Safeguarded Copy ได้ฟรี!!!และสร้างความปลอดภัยขั้นสุดด้วยการผนึกกำลังกับ IBM QRadar

เมื่อปีที่แล้วจนกระทั่งเริ่มต้นปีใหม่ปีนี้ก็ยังคงร้อนแรงอย่างต่อเนื่องสำหรับสถานการณ์ภัยคุกคามของโรคระบาด และที่ไม่แพ้กันเลยก็คือภัยคุกคามทางโลก IT ที่นับวันจะยิ่งทวีความซับซ้อนและรุนแรงมากขึ้น ถือว่าเป็นภัยใกล้ตัวที่มีความเสี่ยงสูงมากสำหรับทุกหน่วยงาน ถ้าหากยังไม่มีการเตรียมความพร้อมในการรับมือกับสิ่งเหล่านี้ ก็อาจจะสร้างความเสียหายอย่างมหาศาลให้กับหน่วยงานของคุณได้

ในเบื้องต้นจะขอกล่าวถึง IBM FlashSystem ที่ได้มีการนำเสนอวิธีการสร้าง Data Protection และการรับมือกับภัยคุกคามในยุคปัจจุบันไว้หลากหลายรูปแบบ (ตามภาพด้านล่าง) เพื่อให้ธุรกิจสามารถดำเนินต่อได้โดยไม่มีสะดุด (Business Continuity) แม้เกิดเหตุการณ์ที่ไม่คาดฝันใดๆ ก็ตาม

และในครั้งนี้เราจะขอนำเสนอโซลูชันที่มีความสามารถในเรื่องของการช่วยปกป้องข้อมูลของคุณจาก Cyber Attack ด้วยการจัดเก็บสำเนาที่แก้ไขเปลี่ยนแปลงไม่ได้ (Immutable Copy) ซึ่งนับได้ว่าเป็นวิธีการอีกอย่างหนึ่งในเรื่องของการทำ Data protection ที่ช่วยให้เราคงสภาพของข้อมูลให้มีความปลอดภัยจากการถูกโจมตีจาก ransomware หรือจากการทำลายข้อมูลของผู้ไม่ประสงค์ดี รวมทั้งการลบข้อมูลแบบไม่ได้ตั้งใจของผู้ดูแลระบบ ด้วยความสามารถของ IBM FlashSystem Safeguarded Copy

สำหรับลูกค้าที่ใช้งาน IBM FlashSystem อยู่แล้วสามารถเปิดใช้งานฟังก์ชั่น Safeguarded Copy นี้ได้ฟรี!!!

สำเนาที่แก้ไขเปลี่ยนแปลงไม่ได้ หรือเรียกว่า Immutable copy คืออะไร ?

รูปแบบการทำสำเนาที่แก้ไขเปลี่ยนแปลงไม่ได้ หรือเรียกว่า Immutable copy มีอยู่ด้วยกัน 2 รูปแบบสำหรับใช้ในการจัดเก็บสำเนาข้อมูล (Snapshot) ให้ปลอดภัย ซึ่งอธิบายหลักการทำงานแบบเข้าใจง่ายๆ ได้ดังนี้

  1. การจัดเก็บสำเนาข้อมูลไว้บน Storage ชุดเดียวกันกับต้นฉบับ (Primary volume) แต่ว่าพื้นที่จัดเก็บข้อมูลต้นฉบับกับพื้นที่จัดเก็บข้อมูลชุดสำเนา(Snapshot) จะมีการแยกขาดแบบเสมือน (logically air-gapped) คือไม่สามารถเข้าถึงข้อมูลซึ่งกันและกันได้ แม้จะอยู่บน Storage ชุดเดียวกันก็ตาม กล่าวคือ Host Server ที่เชื่อมต่อใช้งานไม่สามารถมองเห็นหรือใช้งาน logically air-gapped นั้นได้
  2. การจัดเก็บสำเนาข้อมูลไว้ที่หน่วยจัดเก็บข้อมูลประเภทอื่นที่เป็นคนละชุดกัน  ไม่ว่าจะเป็น Cloud Storage, TAPE หรือ Storage อื่นๆ ซึ่งเป็นอุปกรณ์แยกขาดจากกัน (Physically air-gapped) คือเป็นคนละเครื่องกับหน่วยจัดเก็บข้อมูลต้นฉบับ

ไม่ว่าจะใช้วิธีการแยกพื้นที่จัดเก็บข้อมูลบน Storage เดียวกัน (logically air-gapped) หรือแยกไปเก็บไว้ที่อุปกรณ์อื่น (Physically air-gapped) ก็ตาม “การที่จะเรียกได้ว่าเป็น Immutable copy นั้น ข้อมูลสำเนา (Snapshot) ที่จัดเก็บนั้นจะต้องไม่สามารถถูกมองเห็นหรือเข้าถึงได้จาก Host Server ที่เป็นเจ้าของข้อมูลต้นฉบับนั้นได้ และนอกจากนี้จะต้องไม่ถูกแก้ไข, ถูกเข้ารหัส, หรือเปลี่ยนแปลงไป ในกรณีที่ข้อมูลหลัก(Primary volume) ถูกโจมตีโดย ransomware จึงจะเรียกได้ว่าเป็น Immutable copy อย่างสมบูรณ์”

จากสิ่งที่ได้กล่าวมาข้างต้น ทางออกของปัญหาทั้งหมดที่เกิดขึ้น เราสามารถแก้ไขได้ด้วย IBM FlashSystem Safeguarded Copy ที่จะช่วยสร้าง Immutable copy ได้อย่างสมบูรณ์และยังสามารถทำการ Restore กลับมาได้อย่างรวดเร็วอีกด้วย

ก่อนจะไปถึงการเตรียมตัวเพื่อเปิดใช้งาน IBM FlashSystem Safeguarded Copy  หลายๆ คนอ่านมาถึงตรงนี้ก็คงอยากรู้จักกับ Safeguarded Copy โดยละเอียด ซึ่งผมเองได้กล่าวถึงความสามารถและจุดเด่นของ Safeguarded Copy ไว้แล้วในบทความ “กู้คืนข้อมูลบน Storage จาก Cyber Attack เพื่อให้ธุรกิจไปต่อได้ไม่สะดุดด้วย IBM FlashSystem”  สามารถอ่านได้ที่ลิงค์นี้ https://www.techtalkthai.com/faster-restore-your-storage-after-attacked-with-ibm-storage-safeguarded-copy-by-cu/

ตอนนี้เราก็รู้กันแล้วว่า Safeguarded Copy ทำงานยังไง สามารถช่วยปกป้องข้อมูลของเราได้อย่างไร แต่ก่อนที่เราจะเปิดใช้งาน Safeguarded Copy ในเบื้องต้นเราจะต้องจัดเตรียมสิ่งเหล่านี้ก่อน

  1. มีเครื่อง IBM FlashSystem ในรุ่น FS5100, FS5200 , V7000 Gen3, FS7200, FS9xx0, SVC 
  2. มีพื้นที่ว่างภายในเครื่อง จะต้องมีเพียงพอตามความต้องการขั้นต่ำที่กำหนดไว้สำหรับการใช้งาน Safeguarded Copy  
  3. IBM FlashSystem จะต้องมี Spectrum Virtualize เวอร์ชั่น 8.4.2 ขึ้นไป “ไม่ว่าจะเป็นลูกค้าใหม่ หรือลูกค้าเก่าที่เครื่องอยู่ในประกันอยู่แล้ว สามารถอัพเดตเวอร์ชั่นของ Spectrum Virtualize เพื่อใช้งาน Safeguarded Copy ได้”
  4. ถ้าเป็น IBM FlashSystem รุ่น FS5100, V7000 Gen3, SVC จะต้องมี FlashCopy license ลงภายในเครื่องด้วย

เพิ่มศักยภาพในการปกป้องข้อมูลขององค์กรจาก Cyber Attack  ให้ถึงขีดสุดด้วยการผสานการใช้งาน Safeguarded Copy และ IBM QRadar”

IBM QRadar เป็นระบบ Security Information and Event Management (SIEM) system จาก IBM เมื่อนำมาใช้งานร่วมกับ IBM FlashSystem Safeguarded Copy จะยิ่งเพิ่มความสามารถให้กับทีมรักษาความปลอดภัย (Security Admin) ในการตรวจจับ และจัดลำดับความสำคัญของภัยคุกคามที่กระทำต่อข้อมูลสำคัญได้อย่างแม่นยำทั่วทั้งองค์กร

หลายท่านอาจมีข้อสงสัยว่า IBM Storage และ IBM Security Software จะผสานการทำงานร่วมกันได้อย่างไร หรือทำไมต้องนำมาใช้ร่วมกัน

ก่อนอื่นทุกท่านลองจินตนาการว่าผู้โจมตี (Hacker) ทำการโจมตีต่อระบบ IT ในแต่ละครั้งเมื่อเจาะระบบเข้าไปได้สำเร็จ จะมีการปิดบังร่องรอยเส้นทางการโจมตีของตัวเองในขณะที่ปฏิบัติการ ซึ่งแน่นอนว่าการกระทำทุกขั้นตอนมีการบันทึกลงบนหลายอุปกรณ์ที่อยู่ในระบบ เพียงแต่ว่าข้อมูลที่บันทึกลงไปนั้นยากที่มนุษย์จะเข้าใจ อาจกล่าวได้ว่ามนุษย์ไม่อาจเข้าใจข้อมูลทั้งหมดนั้นได้ หรือต่อให้เข้าใจก็อาจจะสายเกินไป ซึ่งการนำ AI เข้ามาใช้วิเคราะห์สิ่งที่มีความซับซ้อนและมีจำนวนมากเหล่านี้ด้วยความเร็วสูง ทำให้ IBM QRadar สามารถเข้าใจเหตุการณ์ที่บันทึกและรูปแบบการเดินทางในระบบเครือข่าย อีกทั้งยังสามารถระบุเหตุการณ์ที่น่าสงสัยได้แบบ Real time รวมถึงเหตุการณ์ที่อาจจะมีความเกี่ยวข้องกัน ทำให้สามารถแจ้งเตือนตามระดับความสำคัญได้อย่างถูกต้อง ทั้งนี้ IBM QRadar จะช่วยให้เรามั่นใจได้ว่าจะไม่มี Cyber Attack อะไรที่ผู้ดูแลระบบจะไม่ได้รับการแจ้งเตือน และสามารถที่จะตอบสนองกับเหตุการณ์นั้นๆ ได้อย่างทันท่วงที

IBM FlashSystem Safeguarded Copy ในส่วนของการทำงานของผู้ดูแลระบบจะมีการแบ่งแยกหน้าที่กันอย่างชัดเจนระหว่าง Admin ที่ดูแล Production data และ Security Admin ที่ดูแล Immutable Copy ที่มีการจัดเก็บข้อมูลด้วย Safeguarded Copies ซึ่งกล่าวเป็นคำพูดสั้นๆ ก็คือ “อย่างน้อยๆ ก็มี Account จำนวน 2 ชุดที่มีหน้าที่แตกต่างกันในการดูแลข้อมูลคนละชุดกัน”

จะเกิดอะไรขึ้นถ้าหากว่าผู้โจมตีระบบจะมีวิธีในการแฮกข้อมูลAccount ของ Security Admin ซึ่งเป็นผู้ที่สามารถเข้าถึง Immutable Copy ที่ดูแลโดย Safeguarded Copy นับว่าเป็นเรื่องที่น่ากลัวมาก

เป็นที่แน่นอนว่าเมื่อเกิดเหตุการณ์เช่นนี้ขึ้น IBM QRadar สามารถตรวจจับการเข้าใช้งานระบบที่มีความผิดปกติ และวิธีการหรือความพยายามในรูปแบบต่างๆ ที่จะทำลาย Safeguarded Copy รวมถึงการเข้าถึง Safeguarded Copy จากหลายที่พร้อมๆ กัน จากสถานที่ที่ผิดปกติได้ นอกจากการตรวจจับเจอสิ่งผิดปกติจากการปฏิบัติการของ Admin โดยปกติแล้ว IBM QRadar ยังสามารถที่จะปิดการกระทำที่เกิดจากการโจมตีนั้นได้ ก่อนที่จะเกิดเหตุการณ์อะไรที่ร้ายแรงขึ้น

CU as-a-Service พร้อมเติมเต็มระบบการใช้งานโซลูชั่น IBM FlashSystem Safeguarded Copy

จากข้อมูลข้างต้นเราได้เข้าใจเกี่ยวกับระบบการทำงานของ IBM FlashSystem Safeguarded Copy ซึ่งเป็นเทคโนโลยีการสำเนาข้อมูลในรูปแบบ Immutable Copy หรือการทำ Snapshot รวมถึงเทคโนโลยี logically air-gapped เพื่อป้องกันไม่ให้ Host Server สามารถเข้าถึงข้อมูลของเรา และป้องกันการเขียนข้อมูลทับไฟล์อีกด้วย แล้วถ้าหากมีความต้องการใช้งานระบบนี้ จะต้องทำอย่างไร จะต้องเตรียมความพร้อมในเรื่องอะไรบ้าง?

คอมพิวเตอร์ยูเนี่ยน เรามีทีมงาน CU as-a-Service ที่มีความเชี่ยวชาญเฉพาะด้านที่สามารถให้คำปรึกษา รวมถึงการ Implement และติดตั้งระบบ โดยเริ่มตั้งแต่กระบวนการทำงานในส่วนของ IBM FlashSystem ตรวจสอบความพร้อมของอุปกรณ์ และจัดเตรียม Environment ไปจนถึงการ Configuration เปิดใช้งานฟังก์ชัน Safeguarded Copy หลังจากที่เปิดใช้งานฟังก์ชันแล้ว จะมีการทดสอบการใช้งานสำเนาข้อมูล (Snapshot) และการกู้คืนข้อมูล เพื่อให้มั่นใจได้ว่าข้อมูลที่มีการจัดเก็บนั้นยังอยู่ครบ มีความปลอดภัย และสามารถนำไปใช้งานได้ตามปกติ นอกจากนี้ยังมีการฝึกอบรมให้ท่านสามารถใช้งานในระดับ Administrator Operation ได้อีกด้วย

บทสรุป

IBM FlashSystem Safeguarded Copy สามารถการันตีได้ว่าสำเนาข้อมูล (Snapshot) ของคุณจะไม่ถูกแก้ไข ไม่ถูกเข้ารหัส หรือถูกทำลายจากการถูกโจมตี หรือเกิดจากความผิดพลาดใดๆ และยังสามารถ Restore ข้อมูลกลับมาได้อย่างรวดเร็วเมื่อเกิดเหตุการณ์ไม่คาดฝัน อีกทั้งยังมีการแยกการบริหารพื้นที่จัดเก็บข้อมูลหลัก (Primary Volume) และพื้นที่จัดเก็บสำเนาข้อมูลที่แก้ไขไม่ได้ด้วยผู้ดูแลระบบคนละ Account ซึ่งมีบทบาทหน้าที่แตกต่างกันตาม User Role ที่กำหนดไว้

นอกจากนี้การผสานการใช้งานร่วมกันระหว่าง IBM QRadar และ IBM FlashSystem Safeguarded Copy สามารถการันตีให้คุณมีความมั่นใจได้ว่า อุปกรณ์ที่จัดเก็บข้อมูลของคุณที่จัดเก็บด้วย Safeguarded Copy จะมีความปลอดภัยถึงขั้นสุด และทำให้ไม่ถูกสวมรอยเป็น Security Admin เข้าไปจัดการ Immutable Data ด้วยระบบการตรวจจับที่แม่นยำ และแบบ Real Time จาก Security Information and Event Management (SIEM) system อย่าง IBM QRadar

หมายเหตุ

  1. เฉพาะฟังก์ชั่น IBM FlashSystem Safeguarded Copy เท่านั้นที่สามารถใช้งานได้ฟรี
  2. ในบทความนี้ยังไม่รวมค่าใช้จ่ายในส่วนของการ Implement ใช้งาน Safeguarded Copy หรือการจัดเตรียม Environment
  3. ในส่วนของ IBM QRadar เป็น Software ที่มีค่าใช้จ่ายในเรื่องของ License สำหรับการใช้งาน

หากต้องการสอบถามข้อมูลเพิ่มเติม สามารถติดต่อได้ที่ บริษัท คอมพิวเตอร์ยูเนี่ยน จำกัด โทร. 02-311-6881 #7151, 7158 หรือ Email. cu_mkt@cu.co.th

from:https://www.techtalkthai.com/ibm-flashsystem-safeguarded-copy-by-cu/

รัสเซียเข้าจับกุมแก๊งค์แรนซั่มแวร์ REvil ที่อยู่เบื้องหลังการโจมตีครั้งใหญ่ๆ ทั่วโลก

เป็นความเคลื่อนไหวที่ไม่คาดคิดมาก่อน เมื่อหน่วยความมั่นคงรัฐของรัสเซีย (FSB) ซึ่งเป็นองค์กรที่ดูแลความมั่นคงหลักของประเทศ ได้เผยรายงานเมื่อวันศุกร์ที่ผ่านมาว่าได้เข้าจับกุมสมาชิกของกลุ่มแรนซั่มแวร์ชื่อดังอย่าง REvil

นอกจากนี้ยังเข้าปราบปรามกิจกรรมของแก๊งค์นี้ด้วย การบุกกระทันหันครั้งนี้ที่ระบุว่ามาจากการประสานงานของทางสหรัฐฯ ได้เข้าไปยังที่อยู่ต่างๆ รวม 25 แห่งที่กระจายทั้งในมอสโคว์, เซนส์ปีเตอร์เบิร์ก, เลนินกราด, และลีเปตสค์

สมาชิกที่เข้าจับกุมมีทั้งหมด 14 คน ถูกตั้งข้อหาพัฒนาซอฟต์แวร์อันตราย พร้อมโยกเงินที่จารกรรมมาได้ไปไว้ตามบัญชีธนาคารของคนที่อยู่ต่างประเทศบ้าง เงินสดบ้าง รวมทั้งฟอกเงินด้วยการจัดซื้อสินค้าราคาแพงตามอินเทอร์เน็ต

ทาง FSB ได้ยึดเงินรวมกว่า 426 ล้านรูเบิล ทั้งในรูปของเงินคริปโต เงินดอลลาร์กว่า 6 แสนเหรียญฯ และเงินยูโรกว่า 5 แสนยูโร รวมทั้งอุปกรณ์คอมพิวเตอร์ วอลเล็ตเงินคริปโตที่ใช้ในการก่ออาชญากรรม และรถหรูกว่า 20 คันที่ใช้เงินสกปรกนี้ซื้อมา

อ่านเพิ่มเติมที่นี่ – THN

from:https://www.enterpriseitpro.net/russia-arrests-revil-ransomware-gang/

รัสเซียจับกุมผู้ต้องสงสัยว่าเป็นกลุ่ม REvil ผู้สร้าง ransomware ที่อาละวาดทั่วโลก

Federal Security Service (FSB) หน่วยงานความมั่นคงรัฐบาลกลางรัสเซียแถลงจับกุมผู้ต้องสงสัยว่าอยู่เบื้องหลังมัลแวร์เรียกค่าไถ่ REvil ที่บุกเครือข่ายบริษัททั่วโลก โดยเฉพาะการแฮกบริษัท Kaseya ผู้ผลิตซอฟต์แวร์จัดการระบบไอที ทำให้มีบริษัทที่ใช้บริการตกเป็นเหยื่ออีกนับพันราย

การจับกุมครั้งนี้ทาง FSB บุกค้นสถานที่ 25 แห่ง จับกุมผู้ต้องสงสัยได้ 14 คน พร้อมกับยึดทรัพย์สินเป็นเงินคริปโตและเงินสดมูลค่าหลายร้อยล้านบาท, รถหรู 29 คัน, คอมพิวเตอร์, และกระเป๋าเงินคริปโต

เมื่อเดือนตุลาคมที่ผ่านมามีข่าวว่าสหรัฐฯ เจาะเซิร์ฟเวอร์ของกลุ่ม REvil ได้สำเร็จ แต่ข่าวการจับกุมครั้งนี้ไม่ได้ระบุว่าได้ข้อมูลมาจากสหรัฐฯ หรือไม่ บอกเพียงว่า FSB ได้แจ้งทางสหรัฐฯแล้ว

ที่มา – Bleeping Computer

No Description

ภาพโดย B_A

from:https://www.blognone.com/node/126722

พบแฮ็กเกอร์ใช้ยูเอสบีฝัง Ransomwaer โจมตีบริษัทด้านความมั่นคง

FBI ออกโรงเตือนบริษัทในสหรัฐฯ ว่ากลุ่มอาชญากรไซเบอร์ที่มุ่งหาเงินเป็นหลักอย่าง FIN7 กำลังจ้องเล่นงานหลายกลุ่มธุรกิจโดยเฉพาะล่าสุดเป็นบริษัทด้านอาวุธยุทโธปกรณ์ โดยใช้การส่งพัสดุที่มีอุปกรณ์ยูเอสบีอันตรายเพื่อติดตั้งแรนซั่มแวร์

โดยผู้โจมตีส่งกล่องที่มีอุปกรณ์ที่เรียกว่า ‘BadUSB’ หรือ ‘Bad Beetle USB’ ซึ่งมีโลโก้ LilyGo ที่มีจำหน่ายอยู่ทั่วไปบนเน็ต ผ่านบริการทั้งของ United States Postal Service (USPS) และ United Parcel Service (UPS)

พัสดุอันตรายเหล่านี้มีการจัดส่งไปยังธุรกิจในกลุ่มขนส่งและประกันภัยตั้งแต่ช่วงเดือนสิงหาคม 2021 เป็นต้นมา และเริ่นหันมาส่งให้บริษัทด้านกลาโหมในช่วงเดือนพฤศจิกายน ทางกลุ่ม FIN7 ได้ปลอมตัวเป็นแอมะซอน

บ้างก็ปลอมว่ามาจากกระทรวงสาธารณสุขสหรัฐฯ (HHS) เพื่อหลอกเป้าหมายให้เปิดแพกเกจและเสียบไดรฟ์ยูเอสบีเข้าเครื่องตัวเอง ซึ่ง FBI ได้รับรายงานว่าพัสดุนี้มีจดหมายเกี่ยวกับวิธีปฏิบัติเพื่อรับมือโควิด 19 บ้าง หรือเป็นกิฟการ์ดที่แฮ็กมาอีกทีพร้อมเขียนโน้ตขอบคุณบ้าง

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer

 

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/hackers-use-badusb-to-target-defense-firms/

กลุ่มโรงแรมสแกนดิเนเวียถูก Ransomware โจมตี ตัดสินใจเปลี่ยน Windows เป็น Chrome OS

Nordic Choice Hotels กลุ่มเชนโรงแรมใหญ่ในสแกนดิเนเวียที่มีโรงแรมมากกว่า 200 สาขา เจอปัญหา ransomware ถล่มระบบคอมพิวเตอร์ และยึดไฟล์ข้อมูลของพนักงานเพื่อเรียกค่าไถ่ ทำให้พนักงานต้องเปลี่ยนมาทำงานด้วยกระดาษ-กระดานกันชั่วคราว

เรื่องดูเหมือนองค์กรทั่วไปที่โดน ransomware โจมตี แต่สิ่งที่ Nordic Choice เลือกทำต่างออกไปคือเปลี่ยนพีซีวินโดวส์กว่า 2,000 เครื่องมาเป็น Chrome OS แทน (Nordic Choice มีโครงการเปลี่ยนมาใช้ Chrome OS อยู่แล้ว แต่พอเจอ ransomware เข้าไปเลยเปลี่ยนทั้งหมดทันที)

โซลูชันที่ Nordic Choice เลือกใช้งานคือเปลี่ยน OS จากวินโดวส์เป็น CloudReady ของบริษัท Neverware ซึ่งเป็นการนำ Chrome OS มาปรับแต่งให้ติดตั้งเองบนพีซีเก่าได้ (Neverware เพิ่งถูกกูเกิลซื้อไปเมื่อปลายปี 2020)

กระบวนการเปลี่ยน OS ทั้งหมดทำแบบรีโมทจากสำนักงานใหญ่ ซึ่งเสร็จสิ้นภายใน 48 ชั่วโมง โดยซีทีโอ Kari Anna Fiskvik บอกว่านี่เป็นสถิติโลก “เพราะไม่เคยมีใครต้องทำแบบนี้มาก่อน”

ปัจจุบัน Nordic Choice ระบุว่าเปลี่ยน OS ในพีซีไปแล้วกว่า 3,500 เครื่อง หรือประมาณ 95% ของพีซีทั้งหมดในองค์กร แต่การเปลี่ยน OS ยังไม่สามารถแก้ปัญหาได้ทั้งหมด มีเรื่องอื่นๆ ที่ต้องแก้ต่อ เช่น ระบบคีย์การ์ดที่ล่มไปด้วย หรือข้อมูลส่วนตัวของพนักงานที่ถูกขโมยไป

No Description

ที่มา – E24 (ภาษานอร์เวย์) via 9to5google

from:https://www.blognone.com/node/126626

แคสเปอร์สกี้เผย เหตุการณ์ด้านความปลอดภัยเกือบครึ่งเชื่อมโยงแรนซัมแวร์

การตอบสนองต่อเหตุการณ์ (Incident response หรือ IR) คือการที่บริษัทต่างๆ ขอให้ทีมเจ้าหน้าที่ดำเนินการเมื่อเกิดการละเมิด เพื่อจำกัดความเสียหายและป้องกันไม่ให้การโจมตีแพร่กระจาย

สำหรับแคสเปอร์สกี้ IR จะจัดการโดยทีม Global Response Emergency Team (GERT) ซึ่งเป็นทีมเฉพาะสำหรับองค์กรขนาดกลางถึงขนาดใหญ่ ข้อมูลตั้งแต่เดือนมกราคมถึงพฤศจิกายน 2021 เหตุการณ์ด้านความปลอดภัยที่จัดการโดย GERT นั้นเชื่อมโยงกับแรนซัมแวร์มากถึงเกือบ 50% ของคำขอ IR ทั้งหมด ซึ่งเพิ่มขึ้นเกือบ 12% เมื่อเทียบกับปี 2020

นี่เป็นหนึ่งในการค้นพบที่สำคัญที่สุดจากรายงานของแคสเปอร์สกี้ เรื่อง “Story of the Year: Ransomware in the Headlines” ซึ่งเป็นส่วนหนึ่งของชุดรายงาน Security Bulletin ประจำปีของแคสเปอร์สกี้ ซึ่งตรวจสอบแนวโน้มความปลอดภัยที่สำคัญในปีที่ผ่านมา Story of the Year 2021 จะเจาะลึกถึงแนวทางแรนซัมแวร์ในปัจจุบันและสิ่งที่คาดการณ์ในปี 2022

แรนซัมแวร์กลายเป็นเรื่องเด่นแห่งปีด้านการรักษาความปลอดภัยในโลกไซเบอร์อย่างไม่อาจโต้แย้งได้ ทั้งการทำลายท่อส่งก๊าซและบริการด้านสุขภาพของรัฐบาล ผู้โจมตีแรนซัมแวร์ได้ปรับปรุงคลังอาวุธของตน เน้นโจมตีองค์กรขนาดใหญ่น้อยลง และมีระบบนิเวศใต้ดินที่สนับสนุนความพยายามโจมตีของแก๊งแรนซัมแวร์

ในช่วง 11 เดือนแรกของปี 2021 เปอร์เซ็นต์ของคำขอเรื่องการตอบสนองต่อเหตุการณ์ หรือคำขอ IR ที่ดำเนินการโดยทีม GERT ของแคสเปอร์สกี้อยู่ที่ 46.7% (37.9% ในปี 2020 และ 34% ในปี 2019)

โดยกลุ่มเป้าหมายส่วนใหญ่อยู่ในภาครัฐและภาคอุตสาหกรรม เมื่อรวมกันแล้วการโจมตีทั้งสองอุตสาหกรรมมีสัดส่วนเกือบ 50% ของคำขอ IR ที่เกี่ยวข้องกับแรนซัมแวร์ทั้งหมดในปี 2021 เป้าหมายยอดนิยมอื่นๆ ได้แก่ ไอทีและสถาบันการเงิน

อย่างไรก็ตาม เนื่องจากผู้โจมตีแรนซัมแวร์ได้เปลี่ยนเป็นการเรียกค่าไถ่ที่ใหญ่กว่าและเป้าหมายที่มีรายละเอียดสูง อีกทั้งเผชิญกับแรงกดดันที่เพิ่มขึ้นจากนักการเมืองและหน่วยงานบังคับใช้กฎหมาย ซึ่งทำให้การเพิ่มประสิทธิภาพของการโจมตีมีความสำคัญอย่างยิ่ง

ด้วยเหตุนี้ ผู้เชี่ยวชาญของแคสเปอร์สกี้จึงสังเกตเห็นแนวโน้มสำคัญสองประการที่จะได้รับความนิยมในปี 2022 ประการแรก กลุ่มแรนซัมแวร์มักจะสร้างแรนซัมแวร์ Linux builds เพื่อเพิ่มพื้นที่การโจมตี นี่คือสิ่งที่เคยเห็นในกลุ่ม RansomExx และ DarkSide ประการที่สอง ผู้โจมตีแรนซัมแวร์จะเริ่มให้ความสำคัญกับ “แบล็กเมล์ทางการเงิน” มากขึ้น คือการข่มขู่ว่าจะเปิดเผยข้อมูลเกี่ยวกับบริษัทต่างๆ ที่กำลังประสบกับเหตุการณ์ทางการเงินที่สำคัญ (เช่น การควบรวมกิจการหรือการเข้าซื้อกิจการ) เพื่อประเมินราคาหุ้นต่ำ เมื่อบริษัทต่างๆ อยู่ในสถานะทางการเงินที่เปราะบาง จึงมักจะจ่ายค่าไถ่

 

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/kaspersky-incident-response/

อุปกรณ์ทางการแพทย์ก็มีสิทธิ์โดนแรนซั่มแวร์?

เมื่อพฤษภาคม 2017 เป็นครั้งแรกที่มีบันทึกว่าอุปกรณ์ทางการแพทย์ที่เชื่อมต่อบนเครือข่ายถูกแรนซั่มแวร์โจมตี โดยเป็นฝีมือของขบวนการ WannaCry ที่แพร่กระจายไปทั่วโลก ลามมาเล่นงานอุปกรณ์ด้านฉายรังสีและอื่นๆ ในโรงพยาบาล

อีกทั้งรวมไปถึงบริการผ่านคลาวด์ที่คอยซัพพอร์ตด้านการรักษาโรคมะเร็งจนทำให้ผู้ป่วยที่รอคิวการฉายรังสีบำบัดในสถานพยาบาล 4 แห่งต้องเลื่อนนัดออกไป จากตัวอย่างนี้ทำให้เห็นว่าการโจมตีทางไซเบอร์มีผลกระทบต่อวงการแพทย์เป็นอย่างมาก

โดยเฉพาะอุปกรณ์การแพทย์ที่จำเป็นต้องเชื่อมต่อออนไลน์ หรือแม้แต่ข้อมูลทางการแพทย์ของผู้ป่วยหรือ PHI ที่จัดเก็บอยู่ในอุปกรณ์เหล่านี้ก็ต้องรับการปกป้องอย่างเพียงพอ ยิ่งตอนนี้มีการส่งต่อ PHI ผ่านคลาวด์ระหว่างเซิร์ฟเวอร์ด้วย

ช่วงไม่กี่ปีที่ผ่านมานั้นเราพบการโจมตีด้วยแรนซั่มแวร์ที่เล่นงานกลุ่มสาธารณสุขบ่อยจนกลายเป็นความเคยชิน แถมยังทวีความซับซ้อนและรุนแรงขึ้นเรื่อยๆ โดยมีเบื้องหลังระดับกลุ่มอาชญากร หรือรัฐบาลของประเทศอื่นคอยหนุนหลังด้วย

อ่านเพิ่มเติมที่นี่ – THN

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/are-medical-devices-at-risk-of-ransomware/

[VDO Webinar] – การทำสงครามกับ Ransomware โดย Veeam V11 (ภาษาไทย)

สำหรับผู้ที่พลาดงาน Webinar เรื่อง The War on Ransomware with Veeam V11 เมื่อครั้งที่แล้ว ทางเราจึงได้นำ VDO มาให้ท่านได้รับชมกันอีกครั้ง

โดยใน VDO ชิ้นนี้ท่านจะได้พบกับ
– ภาพรวมของการป้องกัน Ransomware
– การสร้างแนวทางเพื่อสอดรับกับ NIST Cybersecurity Framework
– กฏเหล็ก 3-2-1-1-0
– เทคโนโลยีและคำแนะนำจาก Veeam
– และอื่นๆ

 

สมัครสมาชิก Enterprise ITPro เพื่อรับข่าวสารด้านไอที

form#sib_signup_form_4 {
padding: 5px;
-moz-box-sizing:border-box;
-webkit-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 input[type=text],form#sib_signup_form_4 input[type=email], form#sib_signup_form_4 select {
width: 100%;
border: 1px solid #bbb;
height: auto;
margin: 5px 0 0 0;
}
form#sib_signup_form_4 .sib-default-btn {
margin: 5px 0;
padding: 6px 12px;
color:#fff;
background-color: #333;
border-color: #2E2E2E;
font-size: 14px;
font-weight:400;
line-height: 1.4285;
text-align: center;
cursor: pointer;
vertical-align: middle;
-webkit-user-select:none;
-moz-user-select:none;
-ms-user-select:none;
user-select:none;
white-space: normal;
border:1px solid transparent;
border-radius: 3px;
}
form#sib_signup_form_4 .sib-default-btn:hover {
background-color: #444;
}
form#sib_signup_form_4 p{
margin: 10px 0 0 0;
}form#sib_signup_form_4 p.sib-alert-message {
padding: 6px 12px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
}
form#sib_signup_form_4 p.sib-alert-message-error {
background-color: #f2dede;
border-color: #ebccd1;
color: #a94442;
}
form#sib_signup_form_4 p.sib-alert-message-success {
background-color: #dff0d8;
border-color: #d6e9c6;
color: #3c763d;
}
form#sib_signup_form_4 p.sib-alert-message-warning {
background-color: #fcf8e3;
border-color: #faebcc;
color: #8a6d3b;
}

from:https://www.enterpriseitpro.net/veeam_vdo_ransomwarev11/