บริษัทในเครือ Stoli Group ในสหรัฐอเมริกาได้ยื่นขอล้มละลายหลังจากถูกโจมตีด้วยแรนซัมแวร์ในเดือนสิงหาคม และโรงกลั่นที่เหลืออยู่ของบริษัทในรัสเซียถูกทางการยึดครอง

(more…)

หน่วยงานบังคับใช้กฏหมายในแอฟริกาได้จับกุมผู้ต้องสงสัยกว่า 1,000 รายภายใต้ปฏิบัติการ “Operation Serengeti” ซึ่งมีส่วนเกี่ยวข้องกับอาชญากรรมทางไซเบอร์ที่สร้างความเสียหายกว่า 193 ล้านเหรียญสหรัฐฯ ทั่วโลก

ปฏิบัติการนี้ได้รับความร่วมมือจากหน่วยงานตำรวจสากล (Interpol) และหน่วยงานตำรวจจากแอฟริกา (Afripol) ในช่วงวันที่ 2 กันยายน ถึง 31 ตุลาคม “ซึ่งมุ่งเป้าไปที่อาชญากรที่อยู่เบื้องหลังการโจมตีด้วยแรนซัมแวร์ (Ransomware), การหลอกลวงทางธุรกิจผ่านอีเมล (BEC), การแบล็กเมล์ทางดิจิทัล (Digital extortion) และการหลอกลวงทางออนไลน์ (Online Scams)”

เจ้าหน้าที่ทั้งหมดรวมกว่า 19 ประเทศในแอฟริกา ได้จับกุมผู้ต้องสงสัยกว่า 1,006 ราย และปิดระบบโครงสร้างพื้นฐาน พร้อมทั้งเครือข่ายที่เป็นอันตรายกว่า 134,089 รายการ โดยอ้างอิงจากข้อมูลข่าวกรองที่ได้รับจากพันธมิตรระหว่างปฏิบัติการ ได้แก่ Cybercrime Atlas, Fortinet, Group-IB, Kaspersky, Team Cymru, Trend Micro, และ Uppsala Security

ในรายงานของทีมสอบสวนได้ระบุว่า ผู้ต้องสงสัย และโครงสร้างพื้นฐานที่ถูกจับกุมได้นั้น มีความเชื่อมโยงกับเหยื่ออย่างน้อย 35,224 ราย ซึ่งถือเป็นมูลค่าความเสียหายกว่า 193 ล้านเหรียญสหรัฐฯ ทั้งนี้ จากปฏิบัติการกวาดล้าง Serengi สามารถกู้คืนความเสียหายได้ประมาณ 44 ล้านเหรียญสหรัฐฯ

ข้อมูลดังต่อไปนี้คือเหตุการณ์สำคัญในรายงานจากปฏิบัติการกวาดล้าง ซึ่งแตกต่างกันขึ้นอยู่กับหน่วยงานบังคับใช้กฏหมายในภูมิภาคต่าง ๆ :

Kenya : คดีฉ้อโกงบัตรเครดิตออนไลน์ ถูกเปิดเผยว่ามีมูลค่าความเสียหายถึง 8.6 ล้านเหรียญสหรัฐฯ โดยที่เงินถูกขโมยจากสคริปต์หลอกลวง ถูกโอนผ่านระบบ SWIFT ไปยังบริษัทในสหรัฐอาหรับเอมิเรตส์, ไนจีเรีย และจีน ซึ่งมีผู้ถูกจับกุมกว่า 20 ราย
Senegal : มีการบุกทลาย แผนการ Ponzi scheme ซึ่งสร้างความเสียหายต่อเหยื่อกว่า 1,811 ราย รวมเป็นมูลค่ากว่า 6 ล้านเหรียญสหรัฐฯ โดยยึดซิมโทรศัพท์ได้กว่า 900 ใบ, เงินสดกว่า 11,000 เหรียญสหรัฐฯ, โทรศัพท์มือถือ, แล็ปท็อป และบัตรประชาชนของผู้เสียหายหลายราย ทั้งนี้สามารถจับกุมผู้ต้องหาได้ราว 8 ราย ซึ่งเป็นชาวจีน 5 ราย
Nigeria : จับกุมชายคนหนึ่งซึ่งดำเนินการหลอกลวงเหยื่อให้ลงทุนผ่านช่องทางออนไลน์ที่ทำรายได้กว่า 300,000 เหรียญสหรัฐฯ จากการหลอกให้ลงทุนในสกุลเงินดิจิทัลปลอม
Cameroon : ขัดขวาง multi-level marketing scam ของขบวนการค้ามนุษย์ ซึ่งมีเหยื่อผู้เสียหายจาก 7 ประเทศ โดยที่เหยื่อจะถูกกักขัง และถูกบังคับให้หาเหยื่อรายใหม่เข้ามาเพื่ออิสรภาพของตัวเอง ทั้งนี้ทางกลุ่มได้เก็บค่าธรรมเนียมการเป็นสมาชิกอย่างน้อย 150,000 เหรียญสหรัฐฯ
Angola : กวาดล้างกลุ่มอาชญากรนานาชาติที่ดำเนินธุรกิจพนันออนไลน์ใน Luanda หลอกลวงเหยื่อหลายร้อยรายว่าสามารถชนะการเดิมพันได้หากชักชวนสมาชิกใหม่มาเล่นการพนันได้ ซึ่งจับกุมผู้ต้องหาได้กว่า 150 ราย, คอมพิวเตอร์กว่า 200 เครื่อง และยึดโทรศัพท์มือถือได้กว่า 100 เครื่อง
ประเทศที่มีส่วนเกี่ยวข้องในปฏิบัติการ Serengeti นี้ ได้แก่ Algeria, Benin, Côte d’Ivoire, DRC, Gabon, Ghana, Mauritius, Mozambique, Rwanda, South Africa, Tanzania, Tunisia, Zambia และ Zimbabwe

ที่มา : bleepingcomputer.

Zyxel ออกมาแจ้งเตือนเกี่ยวกับการพบกลุ่มแรนซัมแวร์ที่กำลังใช้ประโยชน์จากช่องโหว่ Command Injection ที่เพิ่งได้รับการแก้ไขในแพตช์ล่าสุดบน Firewall และมีหมายเลข CVE-2024-42057 ซึ่งช่องโหว่นี้ถูกใช้เป็นการโจมตีเพื่อเข้าสู่ระบบในเบื้องต้น (more…)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลเกี่ยวกับ ransomware สายพันธุ์ใหม่ที่เรียกว่า Helldown ในรูปแบบ Linux โดยระบุว่ากลุ่มผู้โจมตีกำลังขยายขอบเขตการโจมตีของตนให้กว้างขึ้น (more…)

นักวิจัยด้านความปลอดภัยของ Arctic Wolf ได้เผยแพร่การพบกลุ่ม Fog และ Akira ransomware กำลังมุ่งเป้าหมายการโจมตีเพื่อเข้าถึงเครือข่ายโดยใช้ SonicWall VPN account จากช่องโหว่ SSL VPN access control (CVE-2024-40766)

โดย SonicWall ได้แก้ไขช่องโหว่ SonicOS ดังกล่าว ในช่วงปลายเดือนสิงหาคม 2024 และประมาณหนึ่งสัปดาห์ต่อมา ก็ได้แจ้งเตือนว่าช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีแล้ว

Fog ransomware เปิดตัวในเดือนพฤษภาคม 2024 และเป็นกลุ่มที่กำลังเติบโตอย่างต่อเนื่อง และมีพันธมิตรเป็นกลุ่มอื่น ๆ ที่มักจะใช้ข้อมูล VPN credentials ที่ถูกขโมยมาใช้เพื่อเข้าถึงระบบ

Akira ransomware เป็นกลุ่มที่มีชื่อเสียงในวงการ ransomware ซึ่งได้ประสบปัญหาในการเข้าถึงเว็บไซต์ Tor เมื่อไม่นานนี้ แต่ปัจจุบันได้กลับมาออนไลน์อีกครั้งแล้ว

นักวิจัยรายงานว่ากลุ่ม Fog และ Akira ransomware ได้ดำเนินการโจมตีเป้าหมายอย่างน้อย 30 ครั้ง โดยทั้งหมดเริ่มต้นจากการเข้าถึงเครือข่ายจากระยะไกลผ่าน VPN account ของ SonicWall ในจำนวนนี้ 75% เชื่อมโยงกับกลุ่ม Akira ส่วนที่เหลือเชื่อมโยงกับกลุ่ม Akira ransomware ทั้งนี้สิ่งที่น่าสนใจคือ กลุ่ม ransomware ทั้ง 2 กลุ่มนี้มีการใช้ infrastructure ร่วมกันแสดงถึงความร่วมมืออย่างไม่เป็นทางการ ตามที่ Sophos ได้เคยเผยพร่ไปก่อนหน้านี้

แม้ว่านักวิจัยจะไม่แน่ใจ 100% ว่าช่องโหว่ดังกล่าวสามารถถูกใช้ได้ในทุกกรณี แต่ระบบที่ถูกโจมตีทั้งหมดก็มีความเสี่ยงต่อช่องโหว่ดังกล่าว เนื่องจากใช้เวอร์ชันเก่าที่มีช่องโหว่ และไม่ได้รับการแก้ไข

ในกรณีส่วนใหญ่ เวลาตั้งแต่เกิดการโจมตีจนถึงการเข้ารหัสข้อมูลนั้นใช้เวลาสั้นมาก ประมาณ 10 ชั่วโมง และเวลาที่เร็วที่สุดคือ 1.5-2 ชั่วโมง โดยในการโจมตี Hacker จะใช้วิธีการ Obfuscating เพื่อซ่อน IP addresses ที่แท้จริง

Arctic Wolf ระบุว่า นอกเหนือจากการโจมตีผ่านอุปกรณ์ที่มีช่องโหว่แล้ว พบว่าองค์กรที่ถูกโจมตีไม่ได้เปิดใช้งาน multi-factor authentication (MFA) บน SSL VPN account ที่ถูกโจมตี และไม่ได้ถูกใช้งานผ่าน default port 4433 อีกด้วย

ทั้งนี้ Artic Wolf อธิบายว่า ในกรณีที่ถูกโจมตี สามารถดูได้ผ่าน firewall log ซึ่งจะตรวจพบ event ID 238 (WAN zone remote user login allowed) หรือ event ID 1080 (SSL VPN zone remote user login allowed) หลังจากนั้นก็จะตามมาด้วยข้อความ SSL VPN INFO log หลายรายการ (event ID 1079) ที่ระบุว่าการเข้าสู่ระบบ และการกำหนด IP เสร็จสมบูรณ์แล้ว

ในขั้นตอนต่อมา Hacker จะทำการโจมตีแบบเข้ารหัสอย่างรวดเร็ว โดยมุ่งเป้าไปที่ virtual machine และ backup server เป็นหลัก รวมถึงทำการขโมยข้อมูลที่เกี่ยวข้องกับเอกสาร และซอฟต์แวร์ที่เป็นกรรมสิทธิ์ แต่จะยกเว้นไฟล์ที่มีอายุมากกว่า 6 เดือน หรือ 30 เดือน ในส่วนของ sensitive files

ที่มา : bleepingcomputer

บริษัท Nidec Corporation แจ้งว่าผู้โจมตีที่อยู่เบื้องหลังการโจมตีด้วย ransomware ที่เกิดขึ้นในช่วงต้นปีนี้ได้ขโมยข้อมูล และนำไปเปิดเผยบน dark web (more…)

กลุ่มแรนซัมแวร์ BianLian อ้างว่า ได้ทำการโจมตี Boston Children's Health Physicians (BCHP) และขู่ว่าจะเปิดเผยข้อมูลที่ขโมยมา หากไม่มีการจ่ายค่าไถ่

BHCP เป็นเครือข่ายของแพทย์ และผู้เชี่ยวชาญด้านเด็กกว่า 300 คน ซึ่งเปิดให้บริการกว่า 60 แห่ง ในเขต Hudson Valley ของรัฐนิวยอร์ก และรัฐคอนเนตทิคัต โดยให้บริการดูแลผู้ป่วยในคลินิก โรงพยาบาลชุมชน และศูนย์สุขภาพที่ร่วมมือกับโรงพยาบาลเด็กบอสตัน

ตามประกาศที่ BHCP เผยแพร่บนเว็บไซต์ของตนเอง การโจมตีทางไซเบอร์เกิดขึ้นกับผู้ให้บริการทางด้าน IT ซึ่งถูกโจมตีเมื่อวันที่ 6 กันยายน 2024 และไม่กี่วันหลังจากนั้น BHCP ก็ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่าย

BHCP ระบุว่า ในวันที่ 6 กันยายน 2024 ผู้ให้บริการทางด้าน IT แจ้งให้ BHCP ทราบว่าพบพฤติกรรมที่ผิดปกติในระบบเครือข่าย และหลังจากนั้นในวันที่ 10 กันยายน 2024 BHCP ได้ตรวจพบพฤติกรรมที่ผิดปกติบนเครือข่ายของ BCHP บางส่วน และได้เริ่มใช้ incident response protocols ทันที รวมถึงทำการปิดระบบเพื่อเป็นมาตรการป้องกัน

การตรวจสอบ ซึ่งได้รับความช่วยเหลือจากผู้เชี่ยวชาญด้าน forensic expert ได้ยืนยันว่าผู้โจมตีสามารถเข้าถึงระบบเครือข่ายของ BHCP ได้บางส่วน และยังสามารถขโมยไฟล์ออกไปได้

ข้อมูลที่ถูกขโมยออกไปส่งผลกระทบต่อพนักงาน ผู้ป่วย และผู้ค้ำประกันทั้งในอดีต และปัจจุบัน โดยข้อมูลที่ถูกขโมยออกไปจะขึ้นอยู่กับข้อมูลที่ลูกค้าให้ไว้กับ BHCP เช่น

ชื่อ-นามสกุล
หมายเลขประกันสังคม
ที่อยู่
วันเกิด
หมายเลขใบขับขี่
เลขที่บันทึกทางการแพทย์
ข้อมูลประกันสุขภาพ
ข้อมูลการเรียกเก็บเงิน
ข้อมูลการรักษา (จำกัด)

BHCP ชี้แจงว่าการโจมตีทางไซเบอร์ไม่ได้ส่งผลกระทบต่อระบบอิเล็กทรอนิกส์บันทึกทางการแพทย์ เนื่องจากระบบเหล่านี้โฮสต์อยู่บนเครือข่ายที่แยกจากกัน

ผู้ที่ได้รับการยืนยันว่าได้รับผลกระทบจากเหตุการณ์ดังกล่าวจะได้รับจดหมายจาก BHCP ภายในวันที่ 25 ตุลาคม 2024 ผู้ที่มีหมายเลขประกันสังคม (SSN) และใบขับขี่ที่ถูกเปิดเผยจะได้รับการตรวจสอบ และป้องกันเครดิตด้วย

กลุ่ม BianLian อ้างการโจมตี

เมื่อต้นสัปดาห์นี้ กลุ่มแรนซัมแวร์ BianLian อ้างว่าได้โจมตี BHCP และได้เพิ่ม BHCP ลงในพอร์ทัลการเรียกค่าไถ่ของตนเอง

ผู้โจมตีอ้างว่า มีข้อมูลการเงิน, ข้อมูลทรัพยากรบุคคล, อีเมลการสนทนา, ฐานข้อมูล, ข้อมูลระบุตัวตน และข้อมูลทางด้านสุขภาพ รวมไปถึงข้อมูลที่เกี่ยวข้องกับเด็ก

ผู้โจมตียังไม่ได้เปิดเผยข้อมูลใดออกไป และยังไม่ได้กำหนดเวลาในการเปิดเผยข้อมูลที่ขโมยมา ซึ่งบ่งบอกว่าผู้โจมตีต้องการที่จะเจรจากับ BHCP อยู่

กลุ่มแรนซัมแวร์อ้างว่าพวกเขามักจะหลีกเลี่ยงการโจมตี และขโมยข้อมูลขององค์กรด้านการดูแลสุขภาพของเด็ก แต่ผู้โจมตีบางกลุ่มก็ไม่ได้สนใจในเรื่องของหลักจริยธรรมตรงส่วนนี้

เมื่อต้นปีนี้ กลุ่มแรนซัมแวร์ Rhysida เรียกร้องค่าไถ่จำนวน 3.6 ล้านดอลลาร์จากโรงพยาบาลเด็ก Lurie ในชิคาโก หลังจากขโมยข้อมูลสำคัญกว่า 600 GB จากระบบ และทำให้การปฏิบัติงานล่ม ซึ่งส่งผลให้การดูแลทางการแพทย์เกิดความล่าช้า

ที่มา : https://www.

พบกลุ่ม Ransomware กำลังใช้ช่องโหว่ CVE-2024-40711 ในการโจมตีเป้าหมาย ที่ทำให้สามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) บนเซิร์ฟเวอร์ Veeam Backup & Replication (VBR) ที่มีช่องโหว่ได้ (more…)

ศูนย์ตอบสนองเหตุภัยคุกคามด้านคอมพิวเตอร์ของญี่ปุ่น (JPCERT/CC) ได้เผยแพร่เทคนิคในการตรวจจับการโจมตีของกลุ่ม Ransomware ต่าง ๆ โดยใช้รายการใน Windows Event Logs ที่ช่วยให้สามารถตรวจจับการโจมตีที่เกิดขึ้นได้ทันท่วงที ก่อนที่การโจมตีเหล่านั้นจะแพร่กระจายไปในเครือข่าย (more…)

AutoCanada ออกคำเตือนว่าข้อมูลของพนักงานอาจถูกเปิดเผยในเหตุการณ์โจมตีทางไซเบอร์เมื่อเดือนสิงหาคมที่ผ่านมา ซึ่งกลุ่มแรนซัมแวร์ Hunters International เป็นผู้อ้างความรับผิดชอบในการโจมตี (more…)