คลังเก็บป้ายกำกับ: THREATS_UPDATE

[Video Webinar] ก้าวสู่อันตรายใหม่ – จาก DDoS สู่ Smart DDoS โดย Netscout

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Netscout Webinar “ก้าวสู่อันตรายใหม่ – จาก DDoS สู่ Smart DDoS” พร้อมอัปเดตเทรนด์การโจมตีแบบ DDoS ล่าสุดในปี 2020 ภายใต้วิถีชีวิตใหม่ (New Normal) และแนวทางปฏิบัติที่ดีที่สุดในการรับมือ ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ผู้บรรยาย: คุณ Narumol Somboon, Sales Engineering Manager, ASEAN, Netscout Systems

ภายใน Webinar นี้ท่านจะได้เรียนรู้เกี่ยวกับรูปแบบและเป้าหมายของการโจมตีแบบ DDoS ในยุคที่หลายองค์กรอนุญาตให้สามารถทำงานจากภายนอกสถานที่หรือ Work from Home ได้ รวมไปถึงผู้ให้บริการ ISP และองค์กรทั่วไปควรปรับเปลี่ยนกลยุทธ์ด้านความมั่นคงปลอดภัยอย่างไรให้สามารถรับมือกับการโจมตีแบบ DDoS ยุค New Normal ได้อย่างมีประสิทธิภาพสูงสุด

หัวข้อการบรรยายประกอบด้วย

  • แนวโน้มและภาพรวมของการโจมตีแบบ DDoS ในปี 2020
  • การโจมตีและรูปแบบพฤติกรรมของทราฟฟิกในวิถีชีวิตใหม่ (New Normal)
  •  แนวทางปฏิบัติทั่วไปที่ดีที่สุดในการป้องกัน DDoS สำหรับ ISP และองค์กรทั่วไป
  • ถามตอบประเด็นเกี่ยวกับ DDoS โดยผู้เชี่ยวชาญจาก Netscout

from:https://www.techtalkthai.com/video-webinar-the-journey-from-ddos-to-smart-ddos-by-netscout/

พบแรนซัมแวร์ตัวใหม่มุ่งโจมตีผู้ใช้งาน macOS ‘EvilQuest’

ผู้เชี่ยวชาญหลายฝ่ายได้เตือนถึงแรนซัมแวร์ตัวใหม่ที่ชื่อ ‘EvilQuest’ โดยเน้นการโจมตีไปที่ macOS นอกจากนี้ยังมีความสามารถอื่นๆ แฝงมาเช่นติดตั้ง Keylogger หรือควานหาไฟล์กระเป๋าเงินดิจิทัล

EvilQuest เป็นแรนซัมแวร์ตัวใหม่ที่มีพฤติกรรมมากกว่าแรนซัมแวร์ทั่วไป คือหลังจากที่เข้าไปได้จะทำการเข้ารหัสทันที แต่หลังจากนั้นจะไปติดตั้ง Keylogger, Reverse Shell และพยายามหาไฟล์ที่เกี่ยวกับกระเป๋าเงินดิจิทัลด้วย โดยผู้เชี่ยวชาญพบว่ามัลแวร์ได้แฝงตัวมากับซอฟต์แวร์เถื่อนหลายช่องทางตาม Torrent หรือเว็บกระทู้ต่างๆ 

สำหรับเหยื่อจะมีการเข้ารหัสไฟล์นามสกุลเหล่านี้ประกอบด้วย .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat นอกจากนี้ยังพบความพยายามปรับแต่งไฟล์ของ Google Chrome Update ซึ่งยังไม่ทราบแน่ชัดว่าทำไปทำไม เพราะ Google ก็ไม่อนุญาตใครมาแก้ไขไฟล์ตัวเองได้อยู่ดี ปัจจุบันจากแหล่งที่น่าเชื่อถือที่สุดคือ Malwarebytes for Mac น่าจะมีการอัปเดตให้ป้องกัน EvilQuest ได้ แต่ทางที่ดีอย่าให้หลุดเข้ามาได้แต่แรกเลยจะดีกว่า…

ที่มา :  https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/

from:https://www.techtalkthai.com/new-macos-ransomware-evilquest/

พบ Ransomware ใหม่ EvilQuest มุ่งโจมตีผู้ใช้ Apple macOS ผ่านแอปเถื่อน

ทีมนักวิจัยทางด้าน Cybersecurity ได้ออกมาเผยถึงการค้นพบ Ransomware ชนิดใหม่ที่มีชื่อเรียกว่า EvilQuest ซึ่งมุ่งเน้นการโจมตีผู้ใช้งาน macOS โดยเฉพาะ โดยมีการแพร่กระจายผ่านมา Application ผิดลิขสิทธิ์หรือแอปเถื่อนนั่นเอง

Credit: Malwarebytes

รายงานของนักวิจัยจาก K7 Lab ได้แก่ Dinesh Devadoss, Patrick Wardle และ Malwarebytes ได้ระบุว่า EvilQuest นี้เป็น Ransomware ที่มักถูกแนบมากับ Application ปกติ และปลอมตัวเองเป็น Apple CrashReporter หรือ Google Software Update ในระหว่างที่ทำการติดตั้ง Application นั้นๆ ซึ่งนอกจากจะมีความสามารถในการเข้ารหัสข้อมูลของเหยื่อแล้ว ก็ยังแฝงความสามารถในการฝังตัวเอาไว้อย่างแนบเนียน, บันทึกข้อมูลการพิมพ์, สร้าง Reverse Shell และยังสามารถทำการขโมยไฟล์ต่างๆ ที่เกี่ยวข้องกับ Cryptocurrency Wallet ได้อีกด้วย

EvilQuest นี้อาศัยการแนบตัวมากับ Application ที่เป็นที่นิยมแจกฟรีบนเว็บ Torrent อย่างเช่น Little Snitch, Mixed In Key 8 และ Ableton Live โดยทีมวิจัยได้ยกตัวอย่างของวิธีการที่ผู้พัฒนา EvilQuest ใช้ เช่นใน Installer ของ Little Snitch ที่ถึงแม้จะออกแบบมาเป็นอย่างดี แต่ก็มีจุดอ่อนที่หน้าตาของ Installer นั้นเป็นเพียง Apple Installer Package ที่ใช้ไอคอนมาตรฐานทั่วไป และยังอยู่ในรูปแบบของ Disk Image File โดยไม่จำเป็น ทำให้สามารถถูกปลอมแปลงโดย EvilQuest ให้ผู้ใช้งานนึกว่าเป็นของจริงได้

เมื่อเหยื่อติดตั้ง EvilQuest ไปโดยไม่รู้ตัวแล้ว EvilQuest ก็จะทำ Sandbox Check เพื่อตรวจจับการทำ Sleep-Patching ทันที และยังมีการใช้เทคนิค Anti-Debugging ในตัวเพื่อหลีกเลี่ยงจากการถูกเรียกใช้งานผ่าน Debugger ได้ รวมถึงยังสามารถหยุดการทำงานของ Security Software ที่ตรวจพบได้ และจะไม่ได้ทำการโจมตีอุปกรณ์ของเหยื่อทันทีที่ติดตั้งทำให้ผู้ใช้งานคาดเดาได้ยากว่าตนเองติด EvilQuest มาได้อย่างไร

ถ้าเหยื่อถูกเข้ารหัสไฟล์แล้ว EvilQuest จะให้โอกาสในการจ่ายเงินเรียกค่าไถ่มูลค่า 50 เหรียญในเวลา 72 ชั่วโมงเท่านั้น และถึงแม้จะจ่ายเงินไปแล้ว EvilQuest ก็ยังมีความสามารถในการโจมตีเครื่องของผู้ใช้งานต่อเนื่องอีกหลากหลายในอนาคต จึงไม่สามารถรับประกันได้เลยว่าหลังจากนี้จะถูกโจมตีซ้ำเติมอย่างไรอีกบ้าง

EvilQuest นี้ไม่ใช่ Ransomware ชนิดแรกที่โจมตีแต่ผู้ใช้งาน macOS เท่านั้น แต่ก่อนหน้านี้ก็เคยมี Ransomware อย่าง KeRanger และ Patcher ที่โจมตีเฉพาะผู้ใช้ macOS มาแล้ว ดังนั้นผู้ใช้ macOS เองก็อาจต้องระมัดระวังด้านความมั่นคงปลอดภัยของระบบบ้าง และควรจะต้องมีการ Backup ข้อมูลออกไปจัดเก็บเอาไว้ที่อื่นอยู่เสมอเพื่อรับมือกับเหตุไม่คาดฝัน

ที่มา: https://thehackernews.com/2020/07/macos-ransomware-attack.html

from:https://www.techtalkthai.com/evilquest-ransomware-attackes-apple-macos-users-via-pirated-apps/

ผู้เชี่ยวชาญพบ Brute-force Attack RDP เพิ่มขึ้นกว่าปกติหลายเท่า แนะองค์กรเพิ่มมาตรการป้องกัน

ESET รายงานจำนวนของเหตุการณ์ Brute-force Attack การใช้งาน RDP เพิ่มขึ้นถึง 1 แสนครั้งต่อวันในเดือนเมษาและพฤษภาคมเทียบกัยปลายปีก่อนที่มีแค่ 30,000 ครั้งต่อวัน โดยมีปัจจัยสนับสนุนมากจากการทำงานจากที่บ้าน

ด้วยสถานการณ์โควิท 19 ทำให้องค์กรต้องเปลี่ยนนโยบายมาทำงานที่บ้าน ซึ่งมีจำนวนไม่น้อยที่เปิด Remote Desktop ผ่านอินเทอร์เน็ตแต่มีมาตรการป้องกันไม่ดีพอ ทำให้คนร้ายสามารถ Brute-force รหัสผ่านซึ่งอาจจะเพราะว่าตั้งมาอ่อนแออยู่แล้ว หรือมีการใช้ซ้ำกับ Credentials ที่เร่ขายใต้ดินในราคาถูกมากมาย อย่างไรก็ตามจากรายงานของ ESET พบพฤติกรรมของคนร้ายหลังเจาะเข้ามาได้ดังนี้

  • ลบ Log File เพื่อกลบร่องรอย
  • ดาวน์โหลดเครื่องมืออื่นและมัลแวร์เข้ามาเพื่อแทรกแซงระบบ
  • ปิดการตั้งเวลาสำรองข้อมูล เช่น Shadow Copies หรือลบทิ้ง
  • ชโมยข้อมูลจากเซิร์ฟเวอร์

โดย ESET รายงานถึงผลความเสียหายว่าการที่องค์กรไม่ใส่ใจต่อการรักษาความปลอดภัย ทำให้อาจเจอกับแรนซัมแวร์ คริปโตไมเนอร์มัลแวร์ ได้รับผลกระทบทางการเงินและความน่าเชื่อถือ รวมถึงอาจถูกลงดาบซ้ำด้วยกฏหมายด้านข้อมูลต่างๆ ทั้งนี้ประเทศที่ตกเป็นเป้าหมายหลักของคนร้ายคือ สหรัฐฯ จีน รัสเซีย เยอรมันนี และฝรั่งเศส 

ถึงแม้ว่าเราอาจจะไม่ตกเป็นเหยื่อโดยตรงแต่ก็จำเป็นต้องใส่ใจเอาไว้เพราะก็มีหลายองค์กรโดนมาแล้ว ซึ่งผู้เชี่ยวชาญแนะนำวิธีป้องกันตัวไว้ดังนี้

  • ปิดการเชื่อมต่อ RDP ผ่านอินเทอร์เน็ตหรือจำกัดจำนวนผู้ใช้งานที่จำเป็นจริงๆ
  • บังคับให้ตั้งรหัสผ่านที่ซับซ้อนเพื่อใช้งาน RDP
  • เปิดใช้ Multi-factors Authentication 
  • ติดตั้ง VPN Gateway เพื่อรับการเชื่อมต่อ RDP จากภายนอก
  • บนไฟล์วอลปิดการเชื่อมต่อจากภายนอกเข้ามายังเครื่องภายในที่พอร์ต 3389 หรือใดๆ ก็ตามที่เป็นบริการ RDP
  • แยกระบบหรือเครื่องที่เก่ามากแล้วแต่ยังจำเป็นต้อง RDP ผ่านอินเทอร์เน็ตออกมาต่างหากและเตรียมทดแทนให้เร็วที่สุด

ที่มา :  https://www.bankinfosecurity.com/brute-force-attacks-targeting-rdp-on-rise-a-14531

from:https://www.techtalkthai.com/rdp-brute-force-attack-are-double-after-covid19-pandemic/

ผู้เชี่ยวชาญเตือน Docker กำลังตกเป็นเหยื่อชั้นดีให้กับ Botnet

Trend Micro ได้เปิดเผยรายงานพบเซิร์ฟเวอร์ Docker ที่ตกเป็นเหยื่อของ Botnet ที่สมัยก่อนมักมุ่งเน้นการโจมตีอุปกรณ์ IoT

Docker ที่ได้รับการคอนฟิคไม่ดีอาจกลายเป็นเหยื่อของมัลแวร์ลอบขุดเหมืองอยู่แล้วด้วยเหตุว่าครอบครองทรัพยากรสูง รวมถึงตัวมัลแวร์เองก็ไม่เรียกร้องมากขอเพียงเชื่อมต่อผ่าน HTTPS ได้ อย่างไรก็ดีผู้เชี่ยวชาญเริ่มพบว่า Botnet ที่ชื่อ XORDOS และ Kaiji ที่แต่ก่อนโจมตีอุปกรณ์อัจฉริยะต่างๆ และเราเตอร์ได้ถูกติดอาวุธมายังเซิร์ฟเวอร์ Docker เรียบร้อยแล้ว

มีความเห็นจาก Pascal Geenens, Cybersecurity Evangelist ของ Radware กล่าวว่า “Docker Container มีทรัพยากรหรูหรากว่า IoT แต่แน่นอนว่ามักอยู่ในสภาพแวดล้อมที่ปลอดภัยมากกว่า จึงเป็นเรื่องยากที่จะใช้ Container เป็นฐานของ DDoS ในทางกลับกันอุปกรณ์ IoT เปิดกว้างในการเชื่อมต่ออินเทอร์เน็ตมากกว่าแต่ก็มีทรัพยากรจำกัด ถึงกระนั้นก็ไม่ใช่อุปสรรคที่แฮ็กเกอร์จะไม่โจมตี Docker Cluster เนื่องจากเป็นสนามที่ค่อนข้างใหม่เทียบกับ IoT ที่มีคู่แข่งรายอื่นมากมาย” นอกจากนี้ Geenens ยังเผยว่าคนร้ายเบื้องหลัง DDoS เริ่มจะคุ้นเคยกับการใช้งาน Docker มากแล้ว 

ด้วยเหตุนี้เองผู้เชี่ยวชาญจึงแนะว่าลองเริ่มตรวจสอบการเปิด Management API ของ Docker ตัวเองกันก่อนว่ามีการป้องกันหรือยัง ส่วนเว็บไซต์ของ Docker เองก็ได้แนะนำการป้องกัน Docker ไว้ที่นี่ 

ที่มา :  https://www.zdnet.com/article/docker-servers-infected-with-ddos-malware-in-extremely-rare-attacks/

from:https://www.techtalkthai.com/docker-are-now-targeted-by-botnet-operators/

ผู้เชี่ยวชาญเตือนพบมัลแวร์ ‘GoldenSpy’ ซ่อนอยู่ในซอฟต์แวร์ภาษีของจีน

Trustwave ผู้เชี่ยวชาญด้านไซเบอร์ซีเคียวริตี้ของสหราชอาณาจักรฯ เตือนบริษัทต่างชาติที่จะเข้าไปลงทุนในจีน ให้ระวังตัวจากซอฟต์แวร์ภาษีของจีนที่มีมัลแวร์ติตมาด้วย โดย Trustwave สืบพบจากลูกค้าของตัวเองหลังติดตั้งซอฟต์แวร์ที่ธนาคารแห่งหนึ่งในจีนให้มา

Trustwave ตั้งชื่อมัลแวร์ว่า ‘GoldenSpy’ ที่พบในซอฟต์แวร์ภาษีของจีนที่ชื่อ Aisino Intelligent Tax Software หลังจากพบเหตุการณ์แปลกๆ ในเครือข่ายของลูกค้า ถึงแม้ว่าซอฟต์แวร์ภาษีจะทำงานได้ตามฟังก์ชันหลักจริงแต่สิ่งที่ติดมาก็คือมัลแวร์ อย่างไรก็ดีแม้ว่าเป็นเรื่องธรรมดาหากซอฟต์แวร์จะมีฟีเจอร์ Remote Access เพื่อไว้ใช้ Debug ได้ แต่หลังจากวิเคราะห์พฤติกรรมของ GoldenSpy แล้วเชื่อว่าไม่น่าจะหวังดี โดยฟีเจอร์ที่พบมีดังนี้

  • มีการทำ Persistent ให้เริ่มต้น Service กลับมาได้หากหยุดรันไป มีการติดตามว่าหากถูกลบก็จะกลับมาใหม่ได้ 
  • ฟังก์ชัน Uninstall ของซอฟต์แวร์ภาษีไม่ได้ลบ GoldenSpy ออกไปด้วย
  • หลังติดตั้งซอฟต์แวร์ภาษีออกไปแล้ว 2 ชั่วโมง GoldenSpy ถึงถูกเรียกติดตั้งอย่างเงียบๆ
  • GoldenSpy ไม่ได้ติดต่อโดเมนเดียวกับซอฟต์แวร์ แต่มีโดเมนแยกต่างหากที่ชื่อ ningzhidata[.]com ซึ่งเมื่อติดต่อไปได้ 3 ครั้ง จะมีการสุ่มคาบเวลาติดต่อ ที่ปกติแล้วมัลแวร์มักจะทำเพื่อป้องกันโซลูชันที่ตรวจจับคาบเวลาได้
  • GoldenSpy มีสิทธิ์ระดับ SYSTEM ซึ่งทำให้สามารถเรียก Execute มัลแวร์อื่นในระบบหรือเครื่องมือแอดมินได้ จึงมีความอันตรายอย่างยิ่ง

ปัจจุบันยังไม่รู้ความจริงแน่ใจโดยมีสมมติฐานได้ 2 ทางคือรัฐบาลจีนบังคับให้ธนาคารหรือ Aisino Intelligent Tax Software ทำการสอดแนมบริษัทต่างชาติหรือว่าเป็นฝีมือของคนในธนาคารเองที่อาจจะเล็งเกี่ยวกับผลประโยชน์ด้านการเงินเอาไว้ ด้วยเหตุนี้เอง Trustwave จึงเตือนบริษัทต่างชาติที่จะเข้าไปลงทุนไว้ล่วงหน้า…

ที่มา :  https://www.zdnet.com/article/chinese-bank-forced-western-companies-to-install-malware-laced-tax-software/

from:https://www.techtalkthai.com/trustwave-warns-goldenspy-malware-embedded-in-aisino-tax-software-in-china/

พบแฮ็กเกอร์ลอบขโมยข้อมูลเลขบัตรเครดิตในเว็บไซต์ผ่าน Google Analytics

Google Analytics เป็นเครื่องมือที่ช่วยให้เจ้าของเว็บได้ข้อมูลการเข้าเยี่ยมชม แต่ล่าสุดแฮ็กเกอร์ก็หาทางใช้ประโยชน์จากช่องทางนี้เพื่อรันแคมเปญการขโมยข้อมูลของเว็บไซต์ E-commerce อีกจนได้

credit : Bleepingcomputer – JavaScript code abusing GA for exfiltration purposes

มาถึงตรงนี้หลายคนอาจจะงงว่า เอ๊ะแล้วปกติเว็บไซต์ไม่มีการป้องกันอะไรไว้เลยหรอ ความจริงก็คือต้องอธิบายก่อนว่าปกติแล้วเว็บไซต์มีกลไกที่ชื่อ Content Security Policy (CSP) ที่ช่วยป้องกันไม่ให้โค้ดที่ไม่ปลอดภัยรันในเว็บได้ แต่ประเด็นคือปกติมักจะมีการเปิดยกเว้น Google Analytics API ในผู้ใช้ CSP อยู่แล้ว ซึ่งตรงนี้เองสิ่งที่คนร้ายทำก็คือการใช้สคิร์ปต์ของ Analytics แบบพิเศษด้วย TAG-ID ของตนเองเข้ามาลอบขโมยข้อมูลในหน้าเว็บไซต์ได้ โดย CSP ไม่สามารถแยกแยะได้ระดับ TAG-ID ด้วยเหตุนี้จึงเกิดการ Bypass ขึ้นแล้ว โค้ดสาธิตจาก PerimeterX (ตามรูปด้านบน)

ถัดมา Sansec ได้รายงานว่าตั้งแต่ 17 มีนาคมที่ผ่านมา พบแคมเปญการโจมตีลักษณะนี้ในเว็บไซต์ด้าน E-commerce หลายสิบแห่ง ซึ่งคนร้ายได้ทำให้เนียนมาขึ้นไปอีก ด้วยการรับข้อมูลที่ได้ผ่าน firebasestorage.googleapis.com ที่เป็นบริการปกติ ซึ่งโดยทั่วไปมักคิดว่าคนร้ายต้องใช้เซิร์ฟเวอร์ที่ลึกลับ สิ่งที่เกิดขึ้นคือ Skimmer จะเข้าไปขโมยข้อมูล input บัตรเครดิต เข้ารหัสและส่งข้อมูลไปยัง Google Analytics Dashboard ของคนร้ายโดยอัตโนมัตินั่นเอง

สำหรับการป้องกันผู้เชี่ยวชาญแนะว่าให้ใช้ Adaptive URL ประกอบกับการเพิ่ม ID ในส่วนของ URL และ Subdomain เพื่อให้ใช้งาน CSP ได้อย่างจำกัดมากขึ้น หรือใช้ XHR proxy enforcement เพื่อควบคุมประเภทข้อมูลที่ถูกส่งออก

ที่มา :  https://www.hackread.com/attackers-steal-payment-data-google-analytics/ และ https://www.hackread.com/attackers-steal-payment-data-google-analytics/

from:https://www.techtalkthai.com/hacker-abused-google-analytics-api-for-magecart-attack/

ข้อมูลหน่วยงานตำรวจกว่า 200 แห่งรั่วไหล เปิดให้ดาวน์โหลดได้สาธารณะ

กลุ่มแฮ็กเกอร์ที่ชื่อ ‘Distributed Denial of Secrets’ หรือ DDoSecrets ได้เผยแพร่ข้อมูลที่อ้างว่าเป็นของหน่วยงานตำรวจหลายร้อยแห่ง ซึ่งเข้าถึงได้ผ่านอินเทอร์เน็ต โดยตั้งชื่อให้ชุดข้อมูลชุดใหญ่ขนาดกว่า 296 GB ครั้งนี้ว่า ‘Blueleaks’

credit : hackread

ในเว็บไซต์เผยแพร่อ้างว่าข้อมูลชุดนี้มีไฟล์ข้อมูลจากหน่วยงานตำรวจกว่า 200 แห่งและมีอายุข้อมูลกว่า 20 ปี ประกอบด้วยข้อมูล เอกสาร วีดีโอ อีเมล ไฟล์เสียง รูปภาพ และอื่นๆ หลักล้านไฟล์ นอกจากนี้ยังมีข้อมูลจากศูนย์ประสานงานหรือ Fusion Center ซึ่งมีหน้าที่คอยประสานงานด้านข้อมูลระหว่างหน่วยงานระดับรัฐฯ กับตำรวจท้องถิ่น 

โดยมีการยืนยันมากจาก National Fusion Center Association (NFCA) ว่าข้อมูลที่รั่วไหลนั้นเป็นข้อมูลภายในจริง ที่คาดว่าคนร้ายอาจได้มากเซิร์ฟเวอร์ของผู้ให้บริการเว็บโฮสต์ให้หน่วยงานรัฐที่ชื่อ Netsential อย่างไรก็ดีถึงแม้ว่า DDoSecrets จะเป็นคนเปิดเผยข้อมูลแต่ก็บอกว่าอันที่จริงแล้วมีกลุ่มแฮ็กเกอร์ไม่ประสงค์ออกนามส่งให้ตนอีกทีหนึ่ง แต่ค่อนข้างชัดเจนว่านี่ถือเป็นกรณีของแฮ็กเกอร์นักเคลื่อนไหวที่มีแรงจูงใจเรื่องการเมืองอย่าง ‘Hacktivist’ ที่เข้าร่วมแคมเปญ ‘Black Live Matter’ 

ที่มา :  https://www.zdnet.com/article/blueleaks-data-from-200-us-police-departments-fusion-centers-published-online/ และ  https://www.hackread.com/hackers-leak-296-gb-us-police-fusion-centers-data/

from:https://www.techtalkthai.com/hacktivists-exposed-296-gb-police-data-over-internet/

APAC ยังคงมีอัตราโจมตีทางไซเบอร์บ่อยครั้งที่สุด

มีรายงานสถิติจาก Microsoft พบว่าภูมิภาคเอเชียแปซิฟิคยังคงมีอัตราการโจมตีทางไซเบอร์มากที่สุด ไม่ว่าจะเป็นรายบุคคลเองหรือระดับองค์กรก็ตาม

จากรายงาน ‘Security Endpoint Threat Report 2019’ ซึ่งเก็บข้อมูลมาตลอดทั้งปีก่อนพบว่า ถึงแม้การโจมตีมัลแวร์ในฝั่ง APAC จะลดลงกว่าปี 2018 ก็ตามแต่ก็ถือว่ายังสูงกว่าค่าเฉลี่ยของโลกอยู่ 1.6 เท่า เลยทีเดียว

ประเด็นแรกที่น่าสนใจคือเชื่อว่าสำหรับประเทศที่กำลังพัฒนานั้น ขาดกิจกรรมป้องกันทางไซเบอร์อย่างจริงจัง รวมถึงการใช้ซอฟต์แวร์ละเมิดลิขสิทธิ์ไม่ว่ามาในรูปแบบซีดีหรือดาวน์โหลดมาก็ตาม แต่การที่ต้องระแวดระวัง ด้วยการลดการป้องกันของแอนตี้ไวรัสหรืออื่นๆ เป็นปัจจัยที่ทำให้เกิดอัตราโจมตีจากแรนซัมแวร์สูงกว่า ซึ่งสถิติในประเทศที่มีอัตราละเมิดลิขสิทธิ์ต่ำและมีการปฏิบัติป้องกันด้านความมั่นคงปลอดภัยทางไซเบอร์ที่ดีจะสถิติการโจมตีลดลง อย่างปัญหามัลแวร์และแรนซัมแวร์ในญี่ปุ่น นิวซีแลนด์ และออสเตรเลีย มีค่าต่ำกว่าอัตราโจมตีในภูมิภาค 3 ถึง 6 เท่า

ประเด็นที่สองคือสิงค์โปร์กับฮ่องกงมีปริมาณของ Drive-by Attacks มากที่สุดหรือการดาวน์โหลดมัลแวร์เข้ามาเองผ่านการท่องเว็บไซต์หรือกรอกฟอร์มบางอย่าง หลังจากนั้นคนร้ายก็มุ่งขโมยข้อมูลทางการเงินและรหัสผ่าน ซึ่งทั้งสองประเทศมีความน่าสนใจคือเป็นตลาดที่พัฒนาแล้วและเป็น Hub ด้านการเงิน

ประเด็นสุดท้ายคือเรื่องของมัลแวร์ขุดเหมือง (Cryptomining) ที่ตกลงมามาก แต่ยังมีปริมาณมากกว่าใน ฮ่องกง สิงค์โปร์ และญี่ปุ่น คาดว่าเหตุผลเบื้องหลังคือการขุดเหมืองใช้เวลานานกว่าเดิม แถมยังมีเรื่องอื่นที่น่าจะได้รับประโยชน์ดีกว่าเช่นแรนซัมแวร์ ด้วยเหตุนี้เอง Cryptomining จึงไม่ใช่กระแสหลักอีกแล้ว

แม้ว่ารายงานจะมีสถิติก่อน Covid-19 ก็ตาม แต่ Microsoft ยังเผยว่าปัจจุบันทุกประเทศมีการโจมตีเกี่ยวกับ Covid-19 อย่างน้อย 1 แคมเปญ ซึ่งน่ากังวลถึงอัตราความสำเร็จที่ค่อยๆ ได้ผลมากขึ้น

ที่มา :  https://www.computerweekly.com/news/252484955/APAC-still-hotbed-for-cyber-attacks

from:https://www.techtalkthai.com/report-shown-apac-is-still-has-significant-rate-of-cyber-attack/

Postbank เสียหายกว่า 58 ล้านดอลล่าร์สหรัฐฯ หลังพนักงานภายในเข้าถึง Master Key ได้

เมื่อวันอาทิตย์ที่ผ่านมาสำนักข่าวท้องถิ่นของแอฟริกาใต้ได้รายงานเหตุความเสียหายที่เกิดขึ้นกับ Postbank ซึ่งเป็นธนาคารแห่งหนึ่งในแอฟริกาใต้ ได้ประสบเหตุว่าพนักงานภายในเข้าถึง Master Key และนำไปใช้ขโมยเงินลูกค้ากว่า 3.2 ล้านดอลล่าร์สหรัฐฯ แต่ยังมีความเสียหายเพิ่มจากการที่ต้องออกบัตรต่างๆ ให้ลูกค้าใหม่กว่า 12 ล้านใบ

Host Master Key (HMK) นั้นเป็นกุญแจหลักที่ธนาคารจะนำไปใช้เพื่อปกป้องกุญแจอื่นทั้งหมดในระบบเมนเฟรม ซึ่งทำให้คนที่ได้คีย์นี้ไปอาจเข้าถึง ATM Pin, ข้อมูลลูกค้า, บัตรเครดิต ทั้งนี้ก็แล้วแต่การออกแบบโครงสร้างระบบของแต่ละธนาคารแตกต่างกันไป โดยปกติแล้วถือเป็นสิ่งสำคัญสูงสุดที่ต้องมีมาตรการเช่น เก็บคีย์ในเซิร์ฟเวอร์ที่จำกัดการเข้าถึงตั้งแต่เชิงกายภาพ บุคคลเดียวไม่สามารถเข้าถึงคีย์ได้ทั้งหมดให้ต้องทำร่วมกันหลายคน และต้องมีการเปลี่ยนแปลงอยู่เรื่อยๆ 

อย่างไรก็ตาม Postbank ถือเป็นอีกกรณีหนึ่งกับการบริหารจัดการคีย์ที่ไม่ดีพอเพราะจากแหล่งข่าวรายงานว่า พนักงานได้เข้าถึง Master Key 36 หลักและนำไปใช้สร้าง Transaction ปลอมกว่า 25,000 รายการเพื่อขโมยเงินจากลูกค้าไปได้กว่า 3.2 ล้านดอลล่าร์สหรัฐฯ โดยเหตุการณ์เกิดขึ้นตั้งแต่ธันวาคมปี 2018 ที่มีใครบางคนแอบปริ้นต์ Master Key จากดาต้าเซ็นเตอร์เก่าในปีเมือง Pretoria หลังจากนั้นการปล้นเหนือเมฆก็เกิดขึ้นราวเดือนมีนาคมถึงธันวาคม 2019 

แม้ว่าความเสียหายอาจดูไม่มากแต่อันที่จริงแล้วก็ทำให้ธนาคารต้องออกบัตรต่างๆ ที่ได้รับผลกระทบให้ลูกค้าใหม่กว่า 12 ล้านบัตร ซึ่งถูกประเมินว่าจะมีค่าเสียหายรวมมากกว่า 58 ล้านดอลล่าร์สหรัฐฯ นี่ถ้ามีเรื่องของ GDPR แบบในยุโรปรับรองว่าอ่วมหนักกว่านี้อีก ข้อสรุปของเรื่องนี้ก็คือเป็นอุทาหรณ์ให้ตระหนักถึง Insider Threat ในองค์กรด้วยเช่นกันครับ

ที่มา :  https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/

from:https://www.techtalkthai.com/postbank-could-lost-more-than-58-millions-after-internal-employees-accessed-and-abused-mater-key/