คลังเก็บป้ายกำกับ: THREATS_UPDATE

ผู้เชี่ยวชาญเตือนพบแคมเปญ Skimming บนเว็บไซต์ E-commerce จำนวนมากในสัปดาห์ที่ผ่านมา

Sansec บริษัทด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงแคมเปญลอบขโมยข้อมูลบัตรจ่ายเงินบนเว็บไซต์ E-commerce นับพันที่ใช้แพลตฟอร์ม Magento เวอร์ชันเก่า

Credit: rangizzz/ShutterStock

ไอเดียของคนร้ายไม่ได้มีอะไรซับซ้อนเพียงแค่เข้าไปฝังสคิร์ปเพื่อลอบขโมยข้อมูลบัตรจ่ายเงินของเหยื่อ (Magecart Attack) ไว้บนเว็บไซต์ E-commerce ที่เบื้องหลังใช้ Magento เวอร์ชัน 1 ที่ทาง Oracle ประกาศหมดอายุไปแล้ว แต่ปัจจุบันยังมีเว็บไซต์อีกราว 95,000 แห่งที่ยังไม่อัปเกรต

ประเด็นคือเมื่อสัปดาห์ที่ผ่านมา Sansec ได้เห็นเทรนการโจมตีตั้งแต่วันศุกร์คือ 10 เว็บไซต์ จนพุ่งเป็น 1,058 ไซต์ในวันเสาร์และ 603 ไซต์ในวันอาทิตย์กระทั่งวันจันทร์อีก 203 แห่ง ด้วยเหตุนี้จึงเตือนให้ผู้ดูแลเว็บไซต์เร่งอัปเดตป้องกันตัวครับ เพราะว่าคนที่เสียหายก็คือลูกค้าเองด้วย

ที่มา : https://www.zdnet.com/article/magento-online-stores-hacked-in-largest-campaign-to-date/ และ https://www.securityweek.com/hundreds-magento-stores-hacked-daily-major-skimming-campaign

from:https://www.techtalkthai.com/sansec-warns-magecart-campaign-in-magento-1-website/

เตือนช่องโหว่ Zero-days ในปลั๊กอิน WordPress พบคนร้ายเร่งสแกนหาเหยื่อนับล้านครั้ง

Defiant ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบน WordPress ได้ออกมาเตือนว่าพบคนร้ายพยายามสแกนหาช่องโหว่ Zero-days บนปลั๊กอินของ WordPress ที่ชื่อ ‘File Manager’ โดยเฉพาะในส่วนของที่บริษัทพบนั้นก็มีปริมาณเกิน 1 ล้านครั้งแล้วในวันที่ 4 กันยายนที่ผ่านมา

credit : WordPress.org

File Manager เป็นปลั๊กอินที่ได้รับความนิยมพอสมควร โดยมียอดการติดตั้งใช้บน 700,000 เว็บไซต์ ทั้งนี้มีช่องโหว่ Zero-days ที่ทำให้คนร้ายสามารถอัปโหลดไฟล์แบบไม่ต้องพิสูจน์ตัวตน ซึ่งนำไปสู่การอัปโหลด Web Shell เพื่อแทรกแซงไฟล์บนเซิร์ฟเวอร์เหยื่อหรือเข้ายึดไซต์ได้

ถึงแม้ว่ายังไม่ทราบถึงวิธีการที่แฮ็กเกอร์พบช่องโหว่แต่ Defaint ยืนยันได้แน่ชัดว่าตั้งแต่ต้นเดือนกันยายนมีความพยายามสแกนหาเว็บไซต์ที่ติดตั้งปลั๊กอินนี้ โดยเฉพาะวันที่ 4 กันยายนวันเดียวมีปริมาณการโจมตีสูงขึ้นกว่า 1 ล้านครั้ง ปัจจุบันทางทีมงาน File Manager ได้ออกแพตช์มาให้แก้ไขกันแล้ว ดังนั้นผู้เกี่ยวข้องก็ควรอัปเดตกันนะครับ

ที่มา : https://www.zdnet.com/article/millions-of-wordpress-sites-are-being-probed-attacked-with-recent-plugin-bug/

from:https://www.techtalkthai.com/million-exploit-attempts-the-zero-day-vulnerability-in-file-manager-wordpress-plugin/

Cisco แจ้งเตือนพบการโจมตีช่องโหว่ Zero-days ใน IOS XR

Cisco ได้ออกแจ้งเตือนที่ทีมงานได้พบการโจมตีช่องโหว่ใหม่ 2 รายการ ซึ่งปัจจุบันยังไม่มีแพตช์ แต่ก็มีคำแนะนำเพื่อบรรเทาปัญหาออกมา

ช่องโหว่มี 2 รายการคือ CVE-2020-3566 และ CVE-2020-3569 โดยไอเดียคือเป็นช่องโหว่ใน Distance Vector Multicast Routing (DVMR) บน IOS XR ซึ่งทำให้คนร้ายทางไกลที่ไม่ผ่านการพิสูจน์ตัวตนสามารถส่งแพ็กเก็ต IGMP เข้ามาโจมตีอุปกรณ์ให้สิ้นเปลืองหน่วยความจำจนกระทั่งเกิดความไม่สเถียรหรือค้างได้ 

ทั้งนี้ Cisco ชี้ว่าช่องโหว่ส่งผลกระทบกับอุปกรณ์ที่ใช้ IOS XR และมีการเปิด Multicast Routing เอาไว้ ดังนั้นจึงให้ตรวจสอบเบื้องต้นก่อนว่ามีการ Enable ไว้หรือไม่ด้วยคำสั่ง ‘show igmp interface’ อย่างไรก็แม้ว่าปัจจุบันยังไม่มีแพตช์ออกมา (คาดว่าจะตามมาในไม่กี่วันนี้) ทางบริษัทได้แนะนำให้ทำ Rate-limit IGMP หรือทำ ACE/ACL ป้องกันไม่ให้ทราฟฟิค DVRMP ขา inbound ไหลมายังอินเทอร์เฟสที่เปิด Multicast Routing หรือปิด IGMP Routing บนอินเทอร์เฟสที่ไม่ได้ใช้หากไม่จำเป็น

ที่มา : https://www.bleepingcomputer.com/news/security/cisco-warns-of-actively-exploited-bugs-in-carrier-grade-routers/ และ https://www.zdnet.com/article/cisco-debuts-webex-classrooms/

from:https://www.techtalkthai.com/cisco-urges-user-to-aware-zero-days-exploits-in-ios-xr/

นักวิจัยลอบสั่งปริ้นเตอร์ 28,000 ตัวที่เปิดเผยผ่านอินเทอร์เน็ต พิมพ์คำแนะนำด้านความมั่นคงปลอดภัย

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์จาก CyberNews ได้เผยว่าสามารถเข้าถึงเครื่องปริ้นเตอร์นับหมื่นเครื่องที่มีการตั้งค่าไม่ปลอดภัยและเชื่อมต่อผ่านอินเทอร์เน็ต โดยเข้าไปสั่งพิมพ์วิธีการปฏิบัติด้านความมั่นคงปลอดภัยออกมา ให้รู้ไว้ว่าการแฮ็กปริ้นเตอร์นั้นง่ายแค่ไหน

credit : CyberNews

ผู้เชี่ยวชาญใช้แพลตฟอร์มค้นหาไอพีของเครื่องปริ้นต์ที่มีการเปิดพอร์ตผ่านแพลตฟอร์มค้นหายอดนิยม เช่น Shodan และ Censys โดยพบว่ามีเครื่องปริ้นเตอร์กว่า 800,000 ตัวที่เข้าถึงได้ผ่านอินเทอร์เน็ตและมีการเปิดฟีเจอร์สั่งพิมพ์ผ่านเครือข่ายได้ ซึ่งได้คัดเลือกกลุ่มเป้าหมายเพื่อทดสอบมา 50,000 เครื่อง ที่นักวิจัยสามารถสั่งพิมพ์ได้สำเร็จถึงเกือบ 28,000 เครื่อง นั่นพอเปรียบเทียบได้ว่า 56% ของเครื่องปริ้นเตอร์เหล่านั้นสามารถถูก Hijack ได้

อย่างไรก็ตาม CyberNews ไม่ได้ทดสอบในด้านของช่องโหว่ใดๆ เพียงแค่อยากจะพิสูจน์ว่าให้ใส่ใจกับเรื่องการตั้งค่านิดนึง แต่ก็ยังเผยว่าพบช่องโหว่ของปริ้นเตอร์อยู่เหมือนกันที่สามารถใช้เพื่อทำการอื่นได้เช่น ขัดขวางการทำงาน หรือเปิดเผยข้อมูลสำคัญ ผู้สนใจสามารถติดตามผลการทดลองได้จะเว็บไซต์ของ CyberNews

ที่มา :   https://www.securityweek.com/researchers-hijack-28000-printers-show-how-easily-they-can-be-hacked

from:https://www.techtalkthai.com/cybernews-expertise-shows-hacking-of-28000-printers-over-internet/

อดีตพนักงาน Cisco ยอมรับผิดต่อศาล กรณีลอบลบ VM ของบริการ WebEx บน AWS ไป 456 ตัว

Sudhish Kasaba Ramesh อดีตพนักงานบริษัท Cisco ได้แถลงรับผิดต่อศาลใน San Jose ว่าหลังลาออกมาได้ 5 เดือน ตนนั้นไปกลับเข้าไปลบ VM บน AWS สำหรับบริการ WebEx ของบริษัท

Credit: Jinga/ShutterStock

Ramesh ทำงานที่ Cisco ช่วงปี 2016 – 2018 หลังจากนั้นก็ลาออกหลังจากนั้น 5 เดือนเขาได้ย้อนกลับไปทำลายบริษัทเก่า ด้วยการเข้าไปลบ VM 456 ตัวบน AWS ที่ให้บริการของ WebEx ซึ่งประเมินมูลค่าความเสียหายที่กระทบกับ 16,000 บัญชีที่ใช้ไม่ได้ไปกว่า 2อาทิตย์ โดยคิดจากเวลาของทีมพนักงานคือ 1.4 ล้านเหรียญสหรัฐฯ และค่าชดใช้ให้ลูกค้าอีก 1 ล้านเหรียญสหรัฐฯ

อย่างไรก็ดีนายจ้างใหม่ของ Ramesh ยังคงรับได้หากเขาสามารถทำงานต่อได้ก็ไม่รู้ว่าทำไม แต่ปัจจุบันเจ้าตัวยังอาศัยวีซ่าประเภท H-1B ซึ่งยังอยู่ระหว่างรอ Green Card ที่แน่ๆ คือ Ramesh เจอคุก 5 ปีและปรับ 250,000 เหรียญสหรัฐฯ หลังรับสารภาพ โดยปัจจุบันทาง Cisco ชี้ว่าไม่ได้มีข้อมูลสูญหายหรือถูกขโมย พร้อมกับแก้ไขมาตรการรักษาความมั่นคงปลอดภัยแล้ว เพื่อป้องกันไม่ให้เกิดเหตุแบบเดียวกันนี้ซ้ำอีกในอนาคต

ที่มา :  https://www.theregister.com/AMP/2020/08/26/former_cisco_engineer_aws_webex_teams/

from:https://www.techtalkthai.com/former-cisco-pledge-guity-for-illegally-remove-456-vm-of-webex-on-aws/

อดีตพนักงาน Cisco รับผิด ลบข้อมูล Webex Teams กว่า 16,000 บัญชี

Sudhish Kasaba Ramesh อดีตพนักงาน Cisco วัย 30 ปี ยอมรับผิดต่อศาลว่าได้แอบเข้าถึง Cloud Infrastructure ของ Cisco โดยไม่ได้รับอนุญาต แล้วทำการลบข้อมูลบัญชีผู้ใช้ Webex Teams กว่า 16,000 บัญชี ส่งผลให้ Cisco ต้องปิดบัญชีเหล่านั้นชั่วคราวนานถึง 2 สัปดาห์และสูญเงินค่าเสียหายสูงถึง 75 ล้านบาท

Credit: Jinga/ShutterStock

เหตุการณ์นี้เกิดขึ้นเมื่อวันที่ 24 กันยายน 2018 5 เดือนหลังจากที่ Ramesh ลาออกจากการเป็นวิศวกรระบบของ Cisco โดย Ramesh ยอมรับว่าเขาได้ลอบวางโค้ดจากบัญชี Google Cloud Project ของเขา เพื่อทำการลบข้อมูล Virtual Machines ที่ใช้รัน Cisco Webex Team (ระบบ Collaboration, Video Conference, File Sharing และ Instant Messaging ของ Cisco) รวม 456 เครื่อง ส่งผลให้บัญชี Webex Teams กว่า 16,000 บัญชีถูกปิดการใช้งานนานถึง 2 สัปดาห์ และ Cisco ต้องจ่ายเงินราว 44 ล้านบาทเพื่อกู้คืนความเสียหายที่เกิดขึ้นบนระบบดังกล่าว และจ่ายค่าเสียหายอีกราว 31 ล้านบาทแก่ลูกค้าที่ได้รับผลกระทบ

Cisco ตรวจพบความเสียหายที่เกิดขึ้นอย่างรวดเร็วในเดือนกันยายนนั้นเอง และยืนยันว่าข้อมูลของลูกค้าไม่ได้ถูกแฮ็กหรือสูญหาย ทั้งยังเพิ่มมาตรการควบคุมในการป้องกันระบบ Webex Teams ให้แข็งแกร่งขึ้นกว่าเดิม

Ramesh จ่ายเงินประกันตัวด้วยมูลค่า 1,560,000 บาท และจะเข้าฟังคำตัดสินในวันที่ 9 ธันวาคม 2020 นี้ โดยโทษจากการรุกล้ำระบบคอมพิวเตอร์โดยไม่มีสิทธิ์ และก่อให้เกิดความเสียหายแก่ระบบดังกล่าวอย่างตั้งใจ คือ จำคุกสูงสุด 5 ปีและปรับสูงสุด 7,800,000 บาท

ที่มา: https://threatpost.com/ex-cisco-employee-pleads-guilty-to-deleting-16k-webex-teams-accounts/

from:https://www.techtalkthai.com/ex-cisco-employee-pleads-guilty-to-deleting-webex-teams-accounts/

วิวัฒนาการของ Ransomware และวิธีรับมือโดย CrowdStrike

ทศวรรษที่ผ่านมานับว่าเป็นยุคทองของ Ransomware ไม่ว่าจะเป็นการพัฒนาอย่างก้าวกระโดด เทคนิคการโจมตีที่หลากหลาย หรือปริมาณผู้ตกเป็นเหยื่อ กล่าวได้ว่า Ransomware เป็นหนึ่งในภัยคุกคามที่เติบโตเร็วที่สุดในโลกไซเบอร์ขณะนี้ คาดการณ์ว่าภายในปี 2021 ความเสียหายจาก Ransomware จะพุ่งสูงถึง 625,000 ล้านบาท เพิ่มจากปี 2015 ซึ่งเป็นจุดเริ่มต้นของยุคทองถึงเกือบ 60 เท่า

บทความนี้ CrowdStrike ผู้ให้บริการ Cloud-native Endpoint Security Platform ชั้นนำระดับโลก ได้ออกมาอธิบายถึงวิวัฒนาการของ Ransomware เทคนิคการโจมตีล่าสุด และแนวทางปฏิบัติสำหรับองค์กรในการรับมือกับภัยคุกคามดังกล่าว สามารถสรุปสาระสำคัญได้ดังนี้

วิวัฒนาการของ Ransomware และแนวโน้มการโจมตีในปัจจุบัน

แม้ว่า Ransomware จะเริ่มแพร่ระบาดบนระบบคอมพิวเตอร์ในช่วง 5 – 10 ปีที่ผ่านมา แต่แนวคิดเรื่องการเอาไฟล์หรือคอมพิวเตอร์ของเหยื่อเป็นตัวประกันผ่านทางการเข้ารหัสข้อมูล หรือการล็อกไม่ให้ใช้งานเครื่อง แล้วเรียกค่าไถ่นั้นมีมานานแล้ว ในช่วงปลายทศวรรษที่ 1980 เคยมีข่าวอาชญากรขโมยคอมพิวเตอร์ แล้วส่งจดหมายมาเรียกค่าไถ่ที่บ้าน และหลังจากนั้นก็พัฒนามาเป็นมัลแวร์ โดย Ransomware ตัวแรกที่ได้รับการจดบันทึกมีชื่อว่า AIDS Trojan (PC Cyborg Virus) ซึ่งแพร่กระจายผ่าน Floppy Disk ในปี 1989 เหยื่อจำเป็นต้องจ่ายค่าไถ่ราว 6,000 บาทผ่านไปรษณีย์เพื่อกู้ไฟล์กลับคืนมา โทรจันดังกล่าวถือเป็นต้นกำเนิดของ Ransomware ในปัจจุบันซึ่งใช้ Symmetric Cryptography ในการเข้ารหัสข้อมูล

แม้ Ransomware จะมีประวัติยาวนานกว่า 30 ปี แต่การโจมตีดังกล่าวก็ไม่ได้เป็นที่แพร่หลายนัก คาดว่ามีสาเหตุมาจากความยากในการเรียกค่าไถ่โดยไม่ถูกตรวจจับ จนมาถึงช่วงปี 2010 ที่สกุลเงินดิจิทัลอย่าง Bitcoin ถือกำเนิดขึ้นมา ด้วยความง่ายในการทำธุรกรรมแต่ยากในการตามรอย ทำให้ Bitcoin กลายเป็นช่องทางที่แสนสะดวกสบายในการเรียกค่าไถ่ เราจึงเริ่มเห็นเหตุการณ์ Ransomware โจมตีเพิ่มมากขึ้นเรื่อยๆ และแพร่กระจายอย่างหนักตั้งแต่ปี 2012 เป็นต้นมา

อย่างไรก็ตาม การเรียกค่าไถ่ของ Ransomware ก็ไม่ได้สมบูรณ์แบบ แม้ Bitcoin จะใช้งานง่ายสำหรับการก่ออาชญากรรม แต่ยังคงยากไปสำหรับบุคคลทั่วไปที่ไม่ได้เชี่ยวชาญเทคโนโลยี เพื่อเพิ่มโอกาสในการเรียกค่าไถ่ อาชญากรไซเบอร์บางกลุ่มถึงขั้นเปิด Call Center เพื่อช่วยเหยื่อลงทะเบียน Bitcoin และตอบคำถามเชิงเทคนิค แต่ก็ทำให้เสียเวลาและต้องลงทุนเพิ่มเติม เพื่อแก้ปัญหาดังกล่าว อาชญากรไซเบอร์จึงเปลี่ยนไปใช้โมเดล “Spray and Pray” และ “Big Game Hunting” ในช่วงไม่กี่ปีมานี้แทน

Spray and Pray คือการกวาดโจมตี Ransomware ไปมั่วๆ เพื่อเน้นปริมาณโดยไม่สนใจกลุ่มเป้าหมาย แล้วคาดหวังว่าจะมีเหยื่อสักคนยอมจ่ายค่าไถ่ ในขณะที่ Big Game Hunting จะใช้เทคนิคและกลยุทธ์สำหรับโจมตีเป้าหมายเฉพาะกลุ่ม (Targeted Attacks) ที่ถึงแม้จะโจมตีสำเร็จได้ยากกว่า แต่ก็มีแนวโน้มว่าจะยอมจ่ายค่าไถ่ในราคาสูง

เช่นเดียวกับการพัฒนาซอฟต์แวร์ Ransomware ในปัจจุบันมีการปรับปรุงและอัปเกรดไปไกลมาก บางชนิดมีการเพิ่มฟีเจอร์นอกเหนือจากการเข้ารหัสข้อมูลเพื่อสนับสนุนการทำงานและทำให้การโจมตีมีโอกาสประสบความสำเร็จมากยิ่งขึ้น เช่น Ryuk Ransomware มีการเพิ่มโมดูล Enumeration เข้าไป โดยโมดูลดังกล่าวจะถูกดาวน์โหลดลงบนเครื่องของเหยื่อเพื่อระบุตำแหน่งของ Credentials และดำเนินการแทรกซึม (Lateral Movement) ไปในระบบเครือข่ายจนสามารถเข้าถึง Domain Controller ได้ เมื่อยึดครอง Domain Controller ได้แล้ว Ryuk Ransomware ก็จะถูกแพร่กระจายไปยังคอมพิวเตอร์ทั้งหมดบนเครือข่ายทันที ที่น่าสนใจคือ Ransomware เหล่านี้ต้องสงสัยว่าถูกนำไปใช้ใน Nation-state Attacks ด้วย

Ransomware แพร่กระจายอย่างไร

มีหลากหลายช่องทางที่ Ransomware ใช้โจมตีเป้าหมาย เช่น Phishing Emails, Website Pop-ups, Exploit Kits หรือ Fileless Attacks

Phishing Emails คือหนึ่งในช่องทางที่พบได้ทั่วไปที่สุดในการลอบส่ง Ransowmare เข้ามาโจมตีเป้าหมาย ยกตัวอย่างเช่น การปลอมอีเมลของผู้บริหารและใช้ Social Engineering ในการหลอกพนักงานให้คลิกลิงค์ที่มากับอีเมลดังกล่าวเพื่อติดตั้ง Ransomware การโจมตีรูปแบบนี้จะสำเร็จได้ อาชญากรรมไซเบอร์จำเป็นต้องศึกษาเกี่ยวกับสายบริหาร พนักงาน และตัวบริษัทเป้าหมายมาเป็นอย่างดี สื่อโซเชียลก็นับเป็นอีกช่องทางหนึ่งที่ช่วยให้อาชญากรไซเบอร์สามารถค้นหาข้อมูลดังกล่าวได้ง่ายยิ่งขึ้น

Website Pop-ups และ Exploit Kits สามารถนำมาใช้รวมกันเพื่อสร้าง “Trojan Pop-ups” หรือโฆษณาที่แฝงโค้ดอันตรายสำหรับแพร่กระจาย Ransomware ถ้าเหยื่อเผลอไปคลิกโดน จะถูกส่งไปยังหน้าเพจที่อาชญากรไซเบอร์วาง Exploit Kits ไว้ จากนั้น Exploit Kits จะทำการค้นหาช่องโหว่บนเครื่องของเหยื่อที่สามารถเจาะเข้าไปได้ แล้วส่ง Ransomware Payload เข้าไป การแพร่ Ransomware ผ่าน Exploit Kits นับว่าเป็นที่นิยมสำหรับกลุ่มอาชญากรรมไซเบอร์ เนื่องจากสามารถทำงานได้โดยอัตโนมัติ นอกจากนี้ Exploits ยังเป็นเทคนิคแบบ Fileless ประสิทธิภาพสูงที่สามารถโจมตีเข้าไปยัง Memory ได้โดยตรงและไม่มีการเขียนข้อมูลใดๆ ลงดิสก์ ส่งผลให้ซอฟต์แวร์ Antivirus แบบดั้งเดิมไม่สามารถตรวจจับได้ ที่สำคัญคือไม่จำเป็นต้องรู้เทคนิคมากในการใช้งาน (ดูรายละเอียดเกี่ยวกับ Fileless Ransomware เพิ่มเติมได้ที่ https://www.crowdstrike.com/resources/infographics/how-fileless-ransomware-works/)

เพื่อยกระดับการปฏิบัติงานและสร้างรายได้ให้มากขึ้น อาชญากรรมไซเบอร์ได้นำโมเดล SaaS มาสร้างเป็นบริการ Ransomware as a Service (RaaS) เพื่อให้บริการคนอื่นต่อ บริการรูปแบบนี้จะประกอบด้วยเครื่องมือทั้งหมดที่จำเป็นในการเริ่มแคมเปญ Ransomware ตั้งแต่ตัวมัลแวร์ไปจนถึงหน้าติดตามสถานะ บางบริการอาจมีแผนกบริการลูกค้าแถมให้อีกด้วย ทำให้แม้แต่อาชญากรไซเบอร์ที่ไม่มีความรู้เชิงเทคนิคก็สามารถเข้าถึง Ransomware ได้ นอกจากนี้ ค่าบริการมักคิดโดยการหักส่วนหนึ่งออกจากค่าไถ่ที่เรียกมาได้ จึงทำให้ RaaS กลายเป็นที่นิยมอย่างมากในปัจจุบัน ตัวอย่าง RaaS ที่โด่งดัง คือ “Hermes” ซึ่งเริ่มปรากฏโฉมในปี 2017 โดยวางขายในฟอรัม Darknet มูลค่าราว 9,500 บาท และ PINCHY SPIDER ปี 2018 ที่ใช้โมเดลแบ่งผลประโยชน์ 60-40

องค์กรสามารถป้องกัน Ransomware ได้อย่างไร

แนวทางปฏิบัติพื้นฐานของการป้องกัน Ransomware คือการสำรองข้อมูล (Backup) ในกรณีที่ถูกโจมตีจนไม่สามารถเข้าถึงข้อมูลได้ จะได้มีข้อมูลสำรองมาใช้งานแทน อย่างไรก็ตาม องค์กรจำเป็นต้องมีกลไกในการปกป้องข้อมูลสำรองด้วยเช่นกัน เนื่องจากข้อมูลสำรองมักเป็นเป้าหมายแรกที่อาชญากรไซเบอร์ต้องการทำลายเพื่อให้การเรียกค่าไถ่ประสบความสำเร็จ ดังนั้น องค์กรจำเป็นต้องแยกข้อมูลสำรองออกมาจากระบบเครือข่ายและจัดเก็บอย่างมั่นคงปลอดภัย

เดือนกันยายน 2019 ที่ผ่านมา Department of Homeland Security ของสหรัฐฯ ได้ออกเอกสารเกี่ยวกับการรับมือ Ransomware สำหรับองค์กร โดยเนื้อหาประกอบด้วย วิธีการป้องกัน Ransomware, การเตรียมตัวรับมือกับสถานการณ์ที่อาจจะเกิดขึ้น และการฟื้นฟูความเสียหายที่เกิดจากการโจมตี รวมไปถึงคำแนะนำเรื่องการแพตช์ช่องโหว่ การอบรมพันกงาน และการสร้าง Incident Response Plan ผู้ที่สนใจสามารถดาวน์โหลดเอกสารมาศึกษาเพิ่มเติมได้ที่นี่ [PDF]

อีกหนึ่งเครื่องมือที่น่าสนใจ คือ MITRE ATT&CK Framework ที่ได้รวบรวมและจัดจำแนกเทคนิคและยุทธวิธีที่อาชญากรรมไซเบอร์ใช้โจมตี โดยในกลุ่ม “Impact” หัวข้อ “Data Encrypted for Impact” จะมีการบรรยายถึงเทคนิคที่เกี่ยวข้องกับ Ransomware ไม่ว่าจะเป็นวิธีการโจมตี การตรวจจับ การยับยั้ง และการวางแผนเพื่อป้องกันซึ่งองค์กรสามารถนำไปประยุกต์ใช้ได้

แนะนำ CrowdStrike Flacon ป้องกัน Ransomware ระดับ Endpoint

CrowdStrike ในฐานะผู้ให้บริการ Cloud-native Endpoint Security Platform ชั้นนำระดับโลก ได้นำเสนอ CrowdStrike Falcon Next-generation Endpoint Protection Platform ที่ผสานรวมเทคนิคหลายประการสำหรับตรวจจับและป้องกัน Ransomware บนอุปกรณ์ Endpoint ได้แก่

  • Machine Learning: ป้องกันทั้ง Known และ Zero-day Ransomware โดยไม่จำเป็นต้องรอการอัปเดต Signatures
  • Exploit Blocking: ยับยั้งการทำงานและการแพร่กระจายของ Ransomware ผ่านช่องโหว่ที่ยังไม่ได้รับการแพตช์
  • Indicators of Attack (IOAs): ตรวจจับและบล็อกพฤติกรรมที่เกี่ยวข้องกับ Ransomware รวมไปถึง Fileless Ransomware และ Ransomware กลุ่มใหม่ๆ
  • Automated Threat Analysis: รับทราบข้อมูลเชิงลึกเกี่ยวกับ Ransomware ที่ตรวจพบ เช่น แหล่งกำเนิด คุณลักษณะ ตระกูลที่ใกล้เคียง และ IOCs (Indicators of Compromise)

CrowdStrike Falcon ยังช่วยจับคู่ Ransomware เข้ากับ MITRE ATT&CK Framework ช่วยให้ทีมรักษาความมั่นคงปลอดภัยสามารถเข้าใจการโจมตีที่เกิดขึ้นบนอุปกรณ์ Endpoint ได้อย่างรวดเร็วและชัดเจน ตั้งแต่ขั้นตอนการโจมตีไปจนถึงกลุ่มอาชญากรรมไซเบอร์ที่อยู่เบื้องหลังหรือมีความเชื่อมโยงกับ Ransomware ดังกล่าว

นอกจากนี้ CrowdStrike มีเครื่องมือที่ช่วยให้สามารถรับมือกับภัยคุกคามอื่นๆ ได้อย่างมีประสิทธิภาพอีกด้วย เช่น ตัดการเชื่อมต่อของอุปกรณ์ Endpoint กับภายนอก, กักกันไฟล์ที่ติดมัลแวร์, ลบ Registry และ Kill Process รวมไปถึงสามารถหยุดการนำอุปกรณ์ USB จากภายนอกเข้ามาใช้งาน โดยอ้างอิงข้อมูลการอนุญาตใช้งานจากชื่อผู้ผลิต ชื่ออุปกรณ์ และ Serial Number

กรณีศึกษา: CrowdStrike Flacon รับมือ WannaCry ได้ตั้งแต่วันแรก

WannaCry เป็นหนึ่งใน Ransomware ที่มีชื่อเสียงโด่งดังมากที่สุด เนื่องจากความสามารถในการแพร่กระจายตัวอย่างรวดเร็วผ่านระบบเครือข่ายจนทำให้หลายๆ ธุรกิจต้องหยุดชะงัก WannaCry ปรากฏโฉมครั้งแรกเมื่อวันที่ 12 พฤษภาคม 2017 และแพร่ระบาดไปทั่วโลกกว่า 100 ประเทศภายในไม่ถึง 24 ชั่วโมงโดยมีอุปกรณ์ถูกโจมตีมากกว่า 100,00 เครื่อง เมื่อ WannaCry เข้ามาในระบบเครือข่ายได้แล้ว มันจะใช้ช่องโหว่บนโปรโตคอล SMB ในการแพร่กระจายตัวจากเครื่องหนึ่งไปสู่อีกเครื่องหนึ่ง ก่อนที่จะเข้ารหัสข้อมูลทั้งหมดและแสดงข้อความเรียกค่าไถ่

นอกจาก CrowdStrike Falcon จะสามารถป้องกันอุปกรณ์คอมพิวเตอร์จากการโจมตีของ WannaCry ตั้งแต่เริ่มได้แล้ว ยังสามารถป้องกันการแพร่กระจายของ WannaCry ไปในระบบเครือข่ายอีกด้วย ที่สำคัญคือ CrowdStrike Intelligence สามารถระบุ Variant ใหม่ของ WannaCry ได้อย่างรวดเร็ว แล้วทำการส่งข้อมูลอัปเดตมายัง CrowdStrike Falcon เพื่อเพิ่มความสามารถในการตรวจจับและป้องกันการโจมตีให้แม่นยำยิ่งขึ้น ส่งผลให้ลูกค้าที่ใช้ CrowdStrike Falcon ในขณะนั้นสามารถรับมือกับ WannaCry ได้ตั้งแต่วันแรกที่เริ่มมีการโจมตี

โดยสรุปแล้ว Ransomware ยังคงเป็นหนึ่งในภัยคุกคามอันตรายที่ทุกองค์กรต้องพึงระวัง เนื่องจากทั้งอาชญากรรมไซเบอร์ รวมไปถึงหน่วยงานรัฐที่อาจอยู่เบื้องหลังมีการพัฒนาเพื่อเพิ่มขีดความสามารถของ Ransomware มากขึ้นเรื่อยๆ แน่นอนว่า CrowdStrike เองก็มีการพัฒนานวัตกรรมและฟังก์ชันการทำงานใหม่ๆ ให้ก้าวล้ำเหนืออาชญากรไซเบอร์ ช่วยให้องค์กรสามารถรับมือกับ Ransomware ได้อย่างมีประสิทธิภาพ และทำให้มั่นใจว่าทั้งพนักงานและข้อมูลสำคัญขององค์กรจะได้รับการปกป้อง

ผู้ที่สนใจใช้โซลูชัน CrowdStrike ในการป้องกัน Ransomware สามารถติดต่อ Exclusive Networks ผู้จัดจำหน่ายผลิตภัณฑ์ของ CrowdStrike อย่างเป็นทางการในประเทศไทยได้ที่อีเมล marketing_th@exclusive-networks.com หรือโทร 0-2694-1421-3 ext. 2512

from:https://www.techtalkthai.com/the-evolution-of-ransomware-by-crowdstrike/

สถิติชี้ RDP, VPN และ Phishing Email คือช่องทางยอดนิยมเพื่อเข้ามาปล่อยแรนซัมแวร์

แนวโน้มที่องค์กรถูกแรนซัมแวร์เพียงครึ่งปีของ 2020 ดูมีแนวโน้มที่เรียกได้ว่ายับเยินทีเดียว เพราะมีข่าวร้ายออกมารายวัน โดยมีการรวบรวมสถิติที่คนร้ายได้ใช้เป็นทางเข้าเพื่อเข้ามาปล่อยแรนซัมแวร์ให้ได้ติดตามกันครับ

Remote Desktop Protocol (RDP) ยืนหนึ่งท่ามกลางปัจจัยอื่นๆ มาระยะหนึ่งแล้ว หลายคนอาจคิดว่าเพราะโรคระบาดทำให้ RDP บูม แต่อันที่จริงแล้ว RDP เป็นเป้าของแรนซัมแวร์มาตั้งแต่ปีก่อน หลังจากคนร้ายแรนซัมแวร์ย้ายฐานการโจมตีจากผู้ใช้งานทั่วไปมาเป็นระดับองค์กร โดยมีความเห็นตรงกันในหลายสำนัก เช่น Coveware, Emsisoft และ Recorded Future ที่รายงานออกมาสอดคล้องกัน ซึ่งกระบวนการก็ไม่ซับซ้อนนักคนร้ายเพียงแค่สแกนหาพอร์ตผ่านอินเทอร์เน็ตและ Brute-force หา Credentials ที่อ่อนแอ หลังจากเสร็จภารกิจแล้วก็นำ Credentials ไปขายต่อใต้ดิน ส่งความอันตรายต่อให้แก่แก๊งค์แรนซัมแวร์ที่กลายเป็นลูกค้าหลักในปัจจุบัน

VPN ถือเป็นจุดหมายยอดนิยมชั้นดี เนื่องจากหลายคนคิดว่ามี VPN คือปลอดภัยแล้ว แต่กลายเป็นว่าเมื่อปีก่อนจนถึงปีนี้ มีการทยอยพบช่องโหว่บน VPN หลายค่าย เช่น Pulse Secure, Fortinet, Palo Alto Networks, F5, Secureworks และ Citrix ซึ่งประเด็นคือข่าวก็เตือนออกบ่อย แต่องค์กรก็ยังไม่กระตือรือล้นอัปเดตแพตช์กันเสียที ด้วยเหตุนี้เองจึงเป็นอีกหนึ่งจุดที่ได้รับความนิยมและมีข่าวองค์กรเจ็บกันมากในช่วงปี 2020 นี้

อีกจุดก็คือ Email Phishing ซึ่งได้รับความนิยมมานานไม่ใช่เพียงแต่กับแรนซัมแวร์เท่านั้น เพราะคนคือจุดอ่อนเสมอ

ที่มา :  https://www.zdnet.com/article/top-exploits-used-by-ransomware-gangs-are-vpn-bugs-but-rdp-still-reigns-supreme/

from:https://www.techtalkthai.com/rdp-vpn-phishing-email-are-the-most-popular-for-ransomware-gangs/

บริการแจกฟรีรูปและกราฟฟิค ‘Freepik’ ถูกแฮ็ก คาดกระทบผู้ใช้หลายล้านคน

สำหรับใครที่เคยสมัครบัญชีกับเว็บไซต์ของ Freepik หลายคนอาจจะได้รับอีเมลแจ้งเหตุของเว็บแล้ว ทั้งนี้เกิดจากการถูกโจมตีผ่าน SQL Injection

credit : Freepik

Freepik เป็นเว็บไซต์ที่แจกฟรีรูปภาพและรูปกราฟฟิคคุณภาพสูง โดยเมื่อไม่กี่วันที่ผ่านมาบริษัทได้ประกาศเหตุถูกแฮ็ก ซึ่งคนร้ายได้เข้าถึงฐานข้อมูลบัญชีผู้ใช้ตัวหนึ่ง ผ่านทางการโจมตีผ่าน SQL Injection โดยคาดว่ามีข้อมูลบัญชีของผู้ใช้เมื่อนานมาแล้วประมาณ 8.3 ล้านราย

อย่างไรก็ดีบริษัทชี้ว่าข้อมูลผู้ใช้ประมาณ 4.5 ล้านรายมาจากระบบ Federate Login ผ่าน Google, Facebook หรือ Twitter ที่เหลือ 3.77 ล้านคนมีการทำ Hash รหัสผ่านเอาไว้ แต่ส่วนหนึ่งราว 229,000 รายใช้ MD5 อยู่ ดังนั้นการแจ้งเตือนจึงมีความแตกต่างกันคือถ้าเป็น MD5 จะถูกบังคับให้เปลี่ยนรหัสใหม่พร้อมกับบอกให้ตระหนักถึงบริการอื่นที่ใช้รหัสผ่านเดียวกัน แต่หากเป็น Bcrypt Hash เนื้อหาอีเมลเตือนก็จะแค่แนะนำให้เปลี่ยนรหัสผ่านแต่ไม่ได้บังคับ ทั้งนี้การแจ้งเตือนจะผ่านไป 2 ทางคือเว็บไซต์ของ Freepik และ Flaticon ซึ่งจะมีเนื้อหาอีเมลตามแต่ผลกระทบของแต่ละบุคคล

ปัจจุบันทางบริษัทยังไม่ได้เปิดเผยรายละเอียดวันเวลาของเหตุการณ์มากกว่านี้ แต่สำหรับใครที่นึกได้ว่าเคยมีบัญชีก็ตรวจสอบตัวเองกันหน่อยนะครับ

ที่มา :  https://www.zdnet.com/article/free-photos-graphics-site-freepik-discloses-data-breach-impacting-8-3m-users/

from:https://www.techtalkthai.com/freepik-hacked-via-sql-injection-effect-8-millions-of-user/

พบ P2P Botnet ระบาดหนัก ‘FritzFrog’ แทรกซึมเซิร์ฟเวอร์องค์กรได้แล้วอย่างน้อย 500 แห่ง

Guardicore ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้เผยผลการศึกษา Botnet ตัวใหม่ที่มุ่งเน้นโจมตีองค์กรสำคัญ เช่น หน่วยงานรัฐบาล ธุรกิจการเงิน หรือองค์กรการศึกษา เบื้องต้นพบว่ามีเซิร์ฟเวอร์อย่างน้อย 500 ตัวอยู่ในเครือของการปฏิบัติการแล้ว

credit : Guardicore, BleepingComputer

เป้าหมายหลักของคนร้ายมุ่งเน้นไปที่องค์กรใหญ่ๆ เช่น หน่วยงานรัฐบาล ธุรกิจการเงิน องค์กรการศึกษา ธุรกิจการแพทย์ หรือผู้ให้บริการโทรคมนาคม ในประเทศสหรัฐฯและแถบยุโรป โดยไอเดียการโจมตีง่ายมากคือคนร้ายได้ Brute-force SSH Server ขององค์กรต่างๆ เพื่อเจาะเข้าไป แต่สิ่งที่ทำให้ FritzFrog น่าจับตามองมีดังนี้

1.) เมื่อเจาะเข้ามาได้แล้วมัลแวร์จะปฏิบัติการแบบ Fileless ใน Memory เท่านั้น เพื่อหลีกเลี่ยงการตรวจจับ

2.) ณ โอกาสแรกมัลแวร์ยังไม่ได้ใช้พอร์ทแปลกๆ ทันที ซึ่งหากเป็นเช่นนั้นอาจจะถูกอุปกรณ์ป้องกันตรวจจับได้ แต่ FritzFrog จะเชื่อมต่อกับเซิร์ฟเวอร์ของเหยื่อผ่าน SSH พอร์ท 22 หรือ 2222 ก่อน หลังจากนั้นค่อยเพิ่ม RSA SSH Key เข้ามาใน authorized_keys บนเครื่อง เมื่อสำเร็จแล้วจะปล่อย netcat client เป็น Backdoor ไว้ผ่านพอร์ท 1234 เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ของคนร้าย 

3.) มัลแวร์จะมีการเพิ่มเครื่องที่แฮ็กได้เข้ามายังฐานข้อมูลเป็น Slave จากนั้นคำสั่งปฏิบัติการอื่นๆ จะถูกเข้ารหัสด้วย AES ซึ่งนักวิจัยพบว่ามัลแวร์มีคำสั่งปฏิบัติการมากกว่า 30 คำสั่ง

4.) มัลแวร์เชื่อมต่อหากันด้วยโปรโตคอล P2P ที่เขียนขึ้นมาแบบพิเศษ ซึ่งบ่งชี้ได้ว่าคนร้ายนั้นชั้นเซียนทีเดียว

ตั้งแต่มกราคมปีนี้ Guardicore ได้ติดตาม FritzFrog อย่างใกล้ชิดและพบว่ามัลแวร์มี Variant ต่างๆ แปรไปถึง 20 แบบ โดยถูกพัฒนาขึ้นจากภาษา Golang ซึ่งแม้เป้าประวงค์หลักจะเป็นเรื่องของการขุดเหมืองเงินดิจิทัล แต่ด้วยลูกเล่นขั้นสูงที่พบก็ดูเหมือนว่ามัลแวร์ตัวนี้น่าสนใจเป็นอย่างยิ่ง สำหรับผู้สนใจสามารถศึกษา Indicator of Compromise จาก Guardicore ได้ที่นี่ 

ที่มา :  https://www.bleepingcomputer.com/news/security/fritzfrog-malware-attacks-linux-servers-over-ssh-to-mine-monero/ และ  https://www.zdnet.com/article/new-fritzfrog-p2p-botnet-has-breached-at-least-500-enterprise-government-servers/

from:https://www.techtalkthai.com/fritzfrog-p2p-botnet-infected-over-500-enterprise-servers/