RDP Honeypot อ่วม ถูกบุกโจมตี 3.5 ล้านครั้ง (จบ)

บทความน่าสนใจ, สถานการณ์ไซเบอร์

Loading

    สัปดาห์ที่แล้วผมได้เล่าถึงระบบโดยรวมของ Honeypot และวิธีการในการโจมตีรวมถึงการที่แฮ็กเกอร์ใช้ username และ รหัสผ่านในหลากหลายรูปแบบเพื่อเข้าสู่ระบบ วันนี้เราจะมาตามกันต่อในส่วนอื่น ๆ ที่เกี่ยวข้องกับการแฮ็กระบบนะครับ   จากความพยายามของแฮ็กเกอร์ที่รวบรวมข้อมูลของเหยื่อเพื่อเข้าสู่ระบบนั้น จึงมีข้อสังเกตที่น่าสนใจคือ เมื่อมีการเชื่อมโยงสถิติเหล่านี้กับการโจมตี IP address แล้วพบว่าชื่อ RDP certificate ถูกใช้เฉพาะในการพยายามเข้าสู่ระบบจาก IP address ในประเทศจีนถึง 98% และรัสเซีย 2%   ซึ่งนี่ไม่ได้หมายความว่าแฮ็กเกอร์จะมาจากทั้ง 2 ประเทศ แต่สามารถสื่อได้ว่าพวกเขาใช้โครงสร้างพื้นฐานจากทั้ง 2 ประเทศ และอีกหนึ่งข้อสังเกตคือมีแฮ็กเกอร์จำนวนประมาณ 15% ที่ได้ใช้รหัสผ่านหลายพันอันกับ username เพียง 5 ชื่อเท่านั้น   แฮ็กเกอร์จะปฏิบัติการโดยเริ่มจากการสอดแนมภายในระบบอย่างต่อเนื่องเพื่อหาข้อมูลที่สำคัญและที่มีมูลค่าอีกทั้งปริมาณการแฮ็กมีอัตราที่เพิ่มสูงขึ้นเรื่อย ๆ อย่างเห็นได้ชัด   จุดนี้เองทำให้นักวิจัยจึงตัดสินใจจัดทำแผนผัง (heat map) เพื่อแสดง IP address ที่กำหนดให้ Honeypot เป็นเป้าหมายในการโจมตีและแสดงให้เห็นว่ามีลักษณะการบุกโจมตีเป็นแบบรายวันโดยมีช่วงหยุดชั่วคราวซึ่งหมายความว่าแฮ็กเกอร์จะหยุดพักการโจมตี…

นายกฯ ห่วงภัยไซเบอร์ย้ำทุกกระทรวง-หน่วยงานภาครัฐ เฝ้าระวังป้องกันหากตรวจพบต้องรีบชี้แจงให้ข้อมูลที่ถูกต้อง

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  โฆษกรัฐบาลเผย นายกฯ ห่วงภัยอาชญากรรมทางไซเบอร์ ย้ำทุกกระทรวง-หน่วยงานภาครัฐ เฝ้าระวังป้องกันต่อเนื่องใกล้ชิด หากตรวจพบข้อมูลเท็จ ต้องรีบชี้แจงให้ข้อมูลที่ถูกต้องโดยเร็ว ป้องกันความเสียหายที่จะเกิดต่อชีวิตและทรัพย์สินของประชาชน   วันที่ 21 มิถุนายน 2566 นายอนุชา บูรพชัยศรี รองเลขาธิการนายกรัฐมนตรีฝ่ายการเมือง ปฏิบัติหน้าที่โฆษกประจำสำนักนายกรัฐมนตรี กล่าวว่า พลเอก ประยุทธ์ จันทร์โอชา นายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงกลาโหมห่วงใยกรณีที่ขณะนี้พบปัญหาอาชญากรรมทางไซเบอร์หลากหลายรูปแบบมากขึ้น ทั้งการทุจริตหลอกลวงที่เกิดขึ้นบนโลกอินเทอร์เน็ตและช่องทางออนไลน์ประเภทต่าง ๆ ไม่ว่าจะเป็นเว็บไซต์ แพลตฟอร์มโซเชียลมีเดีย หรือแอปพลิเคชันบนโทรศัพท์มือถือ เช่น ล่าสุดกรณีมิจฉาชีพส่ง SMS หลอกลวง อ้างชื่อกรมการจัดหางาน แจ้งผู้ประกันตนได้รับเงินชดเชย 2,000 บาท ระหว่างว่างงาน รวมถึงกรณีที่มีการแชร์ข้อมูลเท็จผ่านสื่อออนไลน์ ระบุรัฐบาลทบทวนสิทธิโอนเงินเข้าบัญชี 5,000 บาท ในเดือน มิ.ย. 66 ฯลฯ จึงเน้นย้ำให้ทุกกระทรวงและทุกหน่วยงานของภาครัฐ เฝ้าระวังป้องกันปัญหาอาชญากรรมทางเทคโนโลยีที่เกิดอย่างต่อเนื่องใกล้ชิด หากตรวจสอบพบข้อมูลอันเป็นเท็จ ให้ทุกหน่วยงานรีบแก้ไขปัญหาและชี้แจงให้ข้อมูลที่ถูกต้องให้ประชาชนและสังคมรับทราบโดยเร็ว เพื่อป้องกันไม่ให้มีการเผยแพร่ข้อมูลหรือข่าวสารที่เป็นเท็จขยายวงกว้างเพิ่มขึ้น อันจะส่งผลเสียหายต่อประชาชนทั้งชีวิตและทรัพย์สิน   นายอนุชาฯ กล่าวว่าสำหรับการป้องกันตัวเองให้ปลอดภัยจากอาชญากรรมทางไซเบอร์ อีกหนึ่งแนวทางสำคัญคือ…

พบคนไทยตกเป็นเหยื่อภัยไซเบอร์ เสียหายกว่า 40,000 ล้านบาท

ข่าวประจำวัน, สถานการณ์ไซเบอร์

Loading

  ตำรวจไซเบอร์ เปิดสถิติหลอกลวงทางออนไลน์ ในรอบ 1 ปี พบยอดแจ้งความเฉียด 3 แสนคดี มูลค่าเสียหายเกือบ 40,000 ล้านบาท ชี้คดีหลอกขายสินค้าสูงที่สุด ตามด้วยหลอกให้โอนเงิน ด้าน เอไอเอส เปิดตัว ดัชนีชี้วัดสุขภาวะดิจิทัล พบคนไทยมีความรู้ด้านดิจิทัล แค่พื้นฐาน พบว่า มีกว่า 44% ต้องมีการพัฒนาทักษะให้เท่าทันโลกดิจิทัล   16 มิ.ย. 2566 – พล.ต.ต.นิเวศน์ อาภาวศิน รองผู้บัญชาการ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (รอง ผบช.สอท.) เปิดเผยสถิติการหลอกลวงทางออนไลน์ ผ่านระบบแจ้งความออนไลน์บน www.thaipoliceonline.com ยอดสะสม 1 มี.ค. 65 – 31 พ.ค. 2566 พบว่า มียอดสูงถึง 296,243 เรื่อง คิดเป็นมูลค่าความเสียหายเกือบ 40,000 ล้านบาท หรือ คิดเป็นเฉลี่ย…

การโจมตี ‘แรนซัมแวร์’ ยังคงมีช่องทางให้เติบโต

บทความน่าสนใจ

Loading

  แรนซัมแวร์ยังไม่มีทีท่าจะถึงจุดต่ำสุดและอาจพุ่งทะลุเพดานทางทฤษฎีในเร็ววันนี้ หากมีกรณีการบุกโจมตีระบบขององค์กร ตัวการที่มีความเป็นไปได้มากที่สุดก็คือ แรนซัมแวร์   ในช่วงนี้ถือได้ว่า “แรนซัมแวร์” ได้ออกปฏิบัติการ เปิดการโจมตีในทั่วทุกมุมโลก เห็นได้จากรายงานเรื่องการละเมิดข้อมูลประจำปีล่าสุดของ Verizon ที่แสดงให้เห็นว่ามีการใช้ช่องโหว่ Log4j ในการโจรกรรมทางดิจิทัล โดยบุคลากรขององค์กรเป็นส่วนสำคัญที่ก่อให้เกิดภัยคุกคามทางไซเบอร์   ในรายงานของ Verizon เปิดเผยตัวเลขเหตุการณ์การโจรกรรรมซึ่งมีสูงถึง 16,000 ครั้งในปีที่ผ่านมา รวมไปถึงการละเมิดข้อมูลมากกว่า 5,000 ครั้ง ตั้งแต่ พ.ย.2021 ถึง ต.ค. 2022   มีมากกว่า 15,000 เหตุการณ์ หรือประมาณ 42% เป็นการโจมตีแบบ DDoS ที่เข้ามาขัดขวางบริการหรือรบกวนการเข้าถึงเว็บไซต์และระบบอื่นๆ ที่ดำเนินการอยู่โดยการโจมตี DDoS นั้นรุนแรงขึ้นและได้ทำลายสถิติ สังเกตได้จากการที่แฮกเกอร์สามารถเจาะระบบหรือใช้บ็อตเน็ตโจมตี   บริษัทข่าวกรองด้านภัยคุกคามและความปลอดภัยทางไซเบอร์ได้เปิดเผยข้อมูลภายในที่มีการรวบรวมจากลูกค้าและการตอบสนองต่อเหตุการณ์การโจมตีที่เกิดว่า การโจมตีแรนซัมแวร์ลดลงในปี 2565 ก่อนที่จะกลับมาพุ่งสูงขึ้นใหม่ในช่วงครึ่งแรกของปี 2566   สอดคล้องกับข้อมูลของ Verizon ที่รายงานว่า แรนซัมแวร์เกิดขึ้นอยู่ที่ 24%…

ภัยออนไลน์ ที่จ้องเล่นงานคุณ

บทความน่าสนใจ

Loading

    ภัยออนไลน์ ที่ยังระบาดอย่างต่อเนื่อง ระวังตัวให้ดี เงินที่หามาแสนลำบาก อาจโดนปล้นไปโดยไม่รู้ตัว งั้นวันนี้เรามาอัพเดทกันหน่อยดีกว่าว่า โจรที่มากับโลกอินเทอร์เน็ต จะมาขโมยเงินของเราในรูปแบบไหนบ้าง และวิธีป้องกัน   เริ่มจากภัยหลายๆ คนมองข้าม คิดว่าไม่มีอะไร แต่หารู้ไม่ว่ากำลังเปิดประตูให้โจรเข้ามาในเครื่องของคุณ นั้นก็คือการ WiFi ฟรี   ภัยออนไลน์ WiFi ฟรี   WiFi ฟรีที่มาจากร้านกาแฟ ร้านอาหาร สนามบิน ที่ดูเหมือนจะไม่มีอะไร แต่เราจะรู้ได้ยังว่า WiFi ตัวนั้นปล่อยออกมาจากร้านนั้นจริงๆ ไม่ได้มีใครก็ไม่รู้ที่เปิดคอมพิวเตอร์แล้วปล่อยสัญญาณ WiFi ที่ตั้งชื่อแบบเดียวกัน ซึ่งเรื่องนี้ เราไม่มีทางรู้เลย แล้วคนร้ายที่แอบปล่อยสัญญาณก็สามารถเห็นการกระทำบนโลกอินเทอร์เน็ตของเราทุกอย่าง ถึงหลายคนจะบอกว่า https นั้นเข้ารหัส แต่มันก็ใช้ว่าจะถอดไม่ได้ เมื่อคุณอยู๋ในวง WiFi ของเขา ก็เหมือนคุณอยู่ในเงื้อมือของเขาเช่นกัน เพราะทุกการเชื่อมต่ออินเทอร์เน็ต คนร้ายจะเป็นคนกลาง หรือที่เรียกว่า Man in the Middle เขาสามารถเห็นทุกอย่าง และยังสามารถเปลี่ยนแปลงข้อมูลทุกอย่างได้ด้วย​…

‘มัลแวร์’ รัสเซียตัวใหม่ ทำลายระบบเครือข่ายไฟฟ้า

บทความน่าสนใจ

Loading

    มัลแวร์ (Malware) ยังคงเป็นภัยคุกคามตัวฉกาจที่ได้รับการพัฒนาอย่างต่อเนื่องเพื่อบุกโจมตีเหยื่อและแสวงหาผลประโยชน์อย่างไม่หยุดหย่อนอยู่ตลอดเวลา   มีการตรวจพบมัลแวร์ตัวใหม่ซึ่งมีความเชื่อมโยงกับรัสเซีย โดยฟังก์ชั่นการทำงานหลักคือ “การใช้ทำลายระบบเครือข่ายไฟฟ้า” โดยมัลแวร์ในเทคโนโลยีเชิงปฏิบัติการ หรือ Operational Technology (OT) อย่าง COSMICENERGY ที่ได้รับการออกแบบมาเพื่อขัดขวางระบบการทำงานด้านพลังงานไฟฟ้า   โดยการใช้คำสั่งตาม IEC 60870-5-104 (IEC-104) กับอุปกรณ์สแตนดาร์ด เช่น ระบบควบคุมและหน่วยทำงานระยะไกล (RTU) และแน่นอนว่า เหล่าแฮ็กเกอร์ก็จะสามารถส่งคำสั่งจากระยะไกลในการสั่งงานไปยัง Switch และ Circuit Breaker ให้ระบบไฟฟ้าเริ่มหรือหยุดทำงานได้อย่างง่ายดาย และที่น่าสนใจก็คืออุปกรณ์เหล่านี้ส่วนใหญ่นิยมใช้ในการส่งและจ่ายไฟฟ้าในยุโรป ตะวันออกกลาง และเอเชีย   จากการตรวจสอบของนักวิจัยพบว่า การโจมตีครั้งนี้มีความคล้ายกับการโจมตีที่ยูเครนในปี 2559 ที่เข้าโจมตีโครงข่ายไฟฟ้าเป็นเหตุการณ์ Industroyer ซึ่งมีผลทำให้ไฟฟ้าดับที่กรุงเคียฟทันทีและเชื่อกันว่า Sandworm กลุ่ม APT ของรัสเซียเป็นผู้อยู่เบื้องหลังการโจมตีครั้งนั้น   มัลแวร์สามารถควบคุมสวิตช์ของสถานีไฟฟ้าย่อยและเบรคเกอร์ของวงจรได้โดยตรงรวมทั้งจัดการออกคำสั่งเปิด-ปิด IEC-104 เพื่อเป็นการโต้ตอบกับ RTU และใช้เซิร์ฟเวอร์ MSSQL เป็นตัวจัดการระบบเพื่อการเข้าถึงเทคโนโลยีเชิงปฏิบัติการ…