แรนซัมแวร์ Archives

ผู้เชี่ยวชาญเตือนกลุ่มคนร้ายแรนซัมแวร์เพิ่มระดับการหลอกล่อผู้ใช้ด้วย ‘SEO poisoning’

ข่าวประจำวันBy Admin S.10 31 October 2021

Menlo Security ได้ออกมาเตือนถึงแคมเปญการล่อลวงเหยื่อจากคนร้ายแรนซัมแวร์ ด้วยการทำ SEO poisoning SEO poisoning (หรือ Search Poisoning) คือการทำ Black hat SEO เพื่อทำให้เว็บไซต์ที่ต้องการนั้นติดอันดับการค้นหา เพื่อสร้างความน่าเชื่อถือและยังปรากฏโดดเด่นดึงดูดผู้ชม โดยผู้เชี่ยวชาญจาก Menlo Security พบว่าคนร้ายมีการเพิ่มศักยภาพในการทำ SEO Poisoning ที่ครอบคลุมคีย์เวิร์ดกว่า 2,000 ตัว เช่น ‘sports mental toughness,’ ‘industrial hygiene walk-through’ และอื่นๆ ซึ่งไซต์ปฏิบัติการของคนร้ายจะมีการแสดงผลที่มีเอกสาร PDF ให้ดาวน์โหลดได้ เหยื่อที่หลงเชื่อเข้าไปดาวน์โหลดเอกสาร กลไกภายในจะมีการ Redirect เหยื่อไปยังหลายๆเว็บไซต์ที่ไปดึงเอา Payload อันตรายเข้ามาทำงาน ทั้งนี้กลไก Redirect หลายครั้งจะช่วยป้องกันไม่ให้เว็บไซต์ถูกลบออกจากผลลัพธ์ของการค้นหาจากการมีเนื้อหาอันตราย นอกจากนี้เว็บไซต์เหล่านั้นคนร้ายก็ไม่ได้สร้างขึ้น แต่ไปเจาะช่องโหว่ปลั๊กอินจากเว็บไซต์ WordPress ที่อยู่ในอันดับสูง โดยจากการศึกษาผู้เชี่ยวชาญพบว่าเว็บไซต์ที่คนร้ายนิยมคือกลุ่มของเว็บไซต์ธุรกิจ…

PwC เตือน “แรนซัมแวร์” โจมตีพุ่ง!! แนะธุรกิจไทยคุมเสี่ยงจาก “บุคคลภายนอก”

บทความน่าสนใจBy Admin S.10 29 October 2021

PwC ประเทศไทย เผยภัยการโจมตีทางไซเบอร์ด้วยซอฟต์แวร์เรียกค่าไถ่ หรือ “แรนซัมแวร์” มีแนวโน้มจะขยายตัวเพิ่มขึ้น จนกลายเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดของไทย แนะองค์กรต้องมีการบริหารจัดการความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลภายนอก PwC ประเทศไทย เผยภัยการโจมตีทางไซเบอร์ ด้วย ซอฟต์แวร์เรียกค่าไถ่ หรือ “แรนซัมแวร์” มีแนวโน้มจะขยายตัวเพิ่มขึ้นจนกลายเป็นหนึ่งในภัยคุกคามที่ร้ายแรงที่สุดของไทย แนะองค์กรต้องมีการบริหารจัดการความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลภายนอก อีกทั้งให้ความสำคัญกับสุขลักษณะที่ดีต่อความปลอดภัยไซเบอร์ เพื่อสร้างภูมิคุ้มกันในการรับมือภัยคุกคามและสร้างความเชื่อมั่นให้แก่ลูกค้า พนักงาน และผู้มีส่วนได้ส่วนเสีย วิไลพร ทวีลาภพันทอง หุ้นส่วนสายงานธุรกิจที่ปรึกษา และหัวหน้าสายงานกลุ่มธุรกิจบริการทางการเงิน บริษัท PwC ประเทศไทย เปิดเผยว่า การโจมตีทางไซเบอร์ ด้วยโปรแกรมที่ถูกออกแบบมาให้เรียกค่าไถ่ข้อมูล โดยขโมยข้อมูลด้วยการเข้ารหัส หรือล็อกไม่ให้ผู้ใช้เข้าถึงหรือเปิดไฟล์ได้และเรียกร้องให้มีการจ่ายค่าไถ่ (Ransomware) จะเป็นภัยไซเบอร์ที่พบมากที่สุดในปี 2565 “การโจมตีด้วยแรนซัมแวร์จะกลายมาเป็นภัยไซเบอร์ที่มีแนวโน้มการเกิดมากที่สุดในระยะข้างหน้า โดยเราจะเห็นว่า แรนซัมแวร์เกิดขึ้นเป็นจำนวนมากในช่วงนี้ โดยเฉพาะอย่างยิ่ง ในกลุ่มสถาบันการเงินและโรงพยาบาล หลังจากที่ก่อนหน้านี้ ภัยไซเบอร์ที่พบมากจะเป็นมัลแวร์ประเภทไวรัส โทรจัน และโปรแกรมอื่น ๆ ที่ใช้ในการโจมตีและเข้าถึงข่อมูลที่มีความอ่อนไหว” วิไลพร กล่าว ทั้งนี้ ความเสี่ยงทางไซเบอร์ที่เกิดขึ้นจากบุคคลที่สาม (Third-party…

VirusTotal รายงานผลวิเคราะห์แรนซัมแวร์กว่า 80 ล้านตัวอย่าง

บทความน่าสนใจBy Admin S.10 22 October 2021

VirusTotal ซึ่งอยู่ภายใต้การบริหารของ Google นั้นได้ออกรายงานเกี่ยวกับผลวิเคราะห์ตัวอย่างของแรนซัมแวร์จะทุกมุมโลกกว่า 80 ล้านตัวอย่าง ประเด็นสำคัญมีดังนี้ – รายงานถูกเก็บในช่วงปี 2020 ถึงครึ่งปีแรกของ 2021 – ข้อมูลกว่า 80 ล้านตัวอย่างถูกเก็บมาจาก 140 ประเทศ โดยภาพรวมพบว่าอิสราเอลมีจำนวนมากที่สุด ตามมาด้วยเกาหลีใต้ และเวียดนาม – เป้าหมายของแรนซัมแวร์กว่า 95% คือ Windows ซึ่งตัวอย่างที่เข้ามาก็คือ Executable หรือ DLL ในขณะที่แอนดรอยด์มีปริมาณตัวอย่างคิดเป็น 2% ของทั้งหมด อย่างไรก็ดีพบแรนซัมแวร์ EvilQuest ราว 1 ล้านตัวอย่างที่โจมตี macOS – แคมเปญการโจมตีขนาดใหญ่จะอยู่ได้ไม่นาน แต่ทีมงานพบว่ามีกิจกรรมของแรนซัมแวร์นับ 100 สายพันธุ์ที่เคลื่อนไหวอยู่เรื่อยๆ – ตัวอย่างใหม่ๆที่เข้ามาก็คือแคมเปญใหม่ โดย Botnet…

รู้จัก “LockBit” แรนซัมแวร์ ABCD ตัวร้ายที่โจมตีสายการบินในไทย

บทความน่าสนใจBy Admin S.10 4 September 2021

ตามติดแรนซัมแวร์ LockBit ที่ถูกค้นพบในเดือนกันยายน 2019 พบหลายองค์กรตกเป็นเหยื่อ ตั้งแต่องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ ยังพบการโจมตีในหลายประเทศทั่วยุโรป ทั้งฝรั่งเศส สหราชอาณาจักร และเยอรมนี นายเซียง เทียง โยว ผู้จัดการทั่วไป ประจำภูมิภาคเอเชียตะวันออกเฉียงใต้ แคสเปอร์สกี้ กล่าวว่า ไม่นานนี้เราเพิ่งได้เห็นภัยคุกคามไซเบอร์ที่โจมตีบริษัทประกันภัยขนาดใหญ่ในประเทศไทย รูปแบบภัยคุกคามทางไซเบอร์มีเป้าหมายและมีความซับซ้อนมากขึ้น ทำให้มีขอบเขตการโจมตีที่รุนแรงมากขึ้นอีก โดยเมื่อเร็วๆ นี้ สายการบินชั้นนำของประเทศไทยรายหนึ่งได้ประกาศเหตุการณ์การละเมิดข้อมูลต่อสาธารณะ “ทั้งหมดนี้เกิดพร้อมกับที่กลุ่มแรนซัมแวร์ LockBit ได้ประกาศผลงานร้ายและอ้างว่าจะเปิดเผยไฟล์ข้อมูลบีบอัดขนาด 103 GB” แรนซัมแวร์ LockBit ถูกค้นพบในเดือนกันยายน 2019 ซึ่งเดิมมีชื่อว่าแรนซัมแวร์ “ABCD” ออกแบบมาเพื่อบล็อกการเข้าถึงระบบคอมพิวเตอร์เพื่อแลกกับค่าไถ่ อาชญากรไซเบอร์ปรับใช้แรนซัมแวร์นี้บนตัวควบคุมโดเมนของเหยื่อ จากนั้นจะแพร่กระจายการติดเชื้อโดยอัตโนมัติ และเข้ารหัสระบบคอมพิวเตอร์ที่เข้าถึงได้ทั้งหมดบนเครือข่าย แรนซัมแวร์นี้ใช้ในการโจมตีที่กำหนดเป้าหมายประเภทเอ็นเทอร์ไพรซ์และองค์กรอื่นๆ เป้าหมายในอดีตที่โดดเด่น ได้แก่ องค์กรในสหรัฐอเมริกา จีน อินเดีย อินโดนีเซีย ยูเครน นอกจากนี้ ยังพบการโจมตีในหลายประเทศทั่วยุโรป (ฝรั่งเศส…

แคสเปอร์สกี้ระบุ ปี 2020 คือปีแห่ง “Ransomware 2.0” ของเอเชียแปซิฟิก

บทความน่าสนใจBy Admin S.10 31 May 2021

แคสเปอร์สกี้ บริษัทรักษาความปลอดภัยทางไซเบอร์ระดับโลก ระบุว่าปี 2020 เป็นปีแห่ง “Ransomware 2.0” สำหรับภูมิภาคเอเชียแปซิฟิก (APAC) ผู้เชี่ยวชาญยังได้กล่าวถึงตระกูลแรนซัมแวร์ชื่อฉาวสองกลุ่ม คือ REvil และ JSWorm ที่จับจ้องเหยื่อในภูมิภาคโดยเฉพาะ Ransomware 2.0 หมายถึงกลุ่มอาชญากรไซเบอร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกัน เป็นการขุดเจาะข้อมูลที่ควบคู่ไปกับการแบล็กเมล์ การโจมตีที่ประสบความสำเร็จนั้นรวมถึงการสูญเสียเงินจำนวนมาก และการสูญเสียชื่อเสียง ซึ่งเกือบทุกครั้งเป็น “การโจมตีด้วยแรนซัมแวร์ที่กำหนดเป้าหมาย” ทั้งสิ้น นายอเล็กซี่ ชูลมิน หัวหน้านักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ กล่าวว่า “ปี 2020 เป็นปีที่มีประสิทธิผลมากที่สุดสำหรับตระกูลแรนซัมแวร์ที่เปลี่ยนจากการใช้ข้อมูลเป็นตัวประกันไปเป็นการฉกข้อมูลควบคู่ไปกับการแบล็กเมล์ ในภูมิภาคเอเชียแปซิฟิกนี้ เราสังเกตเห็นการเกิดขึ้นใหม่ที่น่าสนใจของกลุ่มอาชญากรไซเบอร์ที่มีการเคลื่อนไหวสูงสองกลุ่มคือ REvil และ JSWorm ทั้งสองกลุ่มนี้กลับมาปรากฏตัวอีกครั้งในช่วงการแพร่ของโรคระบาดในภูมิภาคเมื่อปีที่แล้ว และเราไม่เห็นสัญญาณว่าจะหยุดปฏิบัติการในเร็วๆ นี้” -REvil (หรือ Sodinokibi, Sodin) เมื่อเดือนกรกฎาคม 2019 แคสเปอร์สกี้เขียนเกี่ยวกับแรนซัมแวร์ REvil เป็นครั้งแรก หรือที่เรียกว่า Sodinokibi และ…

สหรัฐเป็นอัมพาต ท่อส่งน้ำมันใหญ่ที่สุดถูกแฮกเรียกค่าไถ่

ข่าวประจำวันBy Admin S.10 9 May 2021

สถานการณ์ใหญ่จนต้องรายงานสรุปให้ไบเดน ผู้ต้องสงสัยอาจมีส่วนเกี่ยวข้องกับกองทัพไซเบอร์ของบางประเทศที่สหรัฐหมายหัวว่าสร้างกองทัพทำสงครามไซเบอร์ The New York Times รายงานว่าท่อส่งน้ำมันที่ใหญ่ที่สุดแห่งหนึ่งของสหรัฐซึ่งขนถ่ายน้ำมันเบนซินและน้ำมันเครื่องบินจากเท็กซัสฝั่งตะวันออกไปยังนิวยอร์กต้องถูกปิดลงหลังจากถูกโจมตีโดยแรนซัมแวร์ (Ransomware) หรือมัลแวร์เรียกค่าไถ่ นับเป็นการโจมตีที่ใหญ่ที่สุดครั้งหนึ่งและแสดงให้เห็นถึงช่องโหว่ของโครงสร้างพื้นฐานด้านพลังงานต่อการโจมตีทางไซเบอร์ ผู้ดำเนินการระบบ Colonial Pipeline กล่าวในแถลงการณ์ถึงเรื่องที่เกิดขึ้นแต่ใช้ถ้อยคำที่คลุมเครือโดยกล่าวว่าได้ปิดท่อส่งน้ำมันระยะทาง 5,500 ไมล์ซึ่งระบุว่าบรรทุกน้ำมันเชื้อเพลิง 45% ของชายฝั่งตะวันออกเพื่อพยายามควบคุมการแทรกซึมเข้ามาในระบบบ ต่อมา สำนักงานสืบสวนกลาง หรือ FBI, กระทรวงพลังงาน และทำเนียบขาวได้เจาะลึกรายละเอียด จน Colonial Pipeline ต้องยอมรับว่าเครือข่ายคอมพิวเตอร์ของบริษัทถูกโจมตีโดยแรนซัมแวร์ ซึ่งกลุ่มอาชญากรจับข้อมูลเป็นตัวประกันจนกว่าเหยื่อจะจ่ายค่าไถ่ บริษัทกล่าวว่าได้ปิดท่อไปเองซึ่งเป็นมาตรการป้องกันเนิ่นๆ คาดว่าเพราะบริษัทกลัวว่าแฮกเกอร์อาจได้รับข้อมูลที่จะทำให้สามารถโจมตีส่วนที่มีความเสี่ยงของท่อส่งน้ำมันได้ เจ้าหน้ารัฐบาลสหรัฐกล่าวว่าพวกเขาเชื่อว่าการโจมตีดังกล่าวเป็นการกระทำของกลุ่มอาชญากรมากกว่าที่จะเป็นกองทัพไซเบอร์ของประเทศที่ต้องการทำลายโครงสร้างพื้นฐานที่สำคัญในสหรัฐ แต่ในบางครั้งกลุ่มดังกล่าวมีความผูกพันกับหน่วยข่าวกรองต่างประเทศอย่างหลวมๆ และดำเนินการในนามของประเทศนั้นๆ สำนักข่าว Bloomberg รายงานว่าสิ่งที่ทำให้สถานการณ์นี้น่าตกใจก็คือเป็นเรื่องที่เกิดขึ้นได้ยากที่โครงสร้างพื้นฐานที่สำคัญและมีขนาดใหญ่เช่นจะถูกทำให้ออฟไลน์โดยสิ้นเชิง เช่น Colonial Pipeline ที่ทอดยาวตลอดเส้นทางจากเท็กซัสไปยังนิวเจอร์ซีย์ การหยุดทำงานเป็นการหยุดชะงักครั้งใหญ่ที่สุดของแหล่งพลังงานทางกายภาพนับตั้งแต่การปฏิบัติการน้ำมันของซาอุดีอาระเบียถูกโจมตีโดยโดรนในปี 2561 ตามคำกล่าวของบ็อบ แมคแนลลี (Bob McNally) อดีตที่ปรึกษาด้านนโยบายอาวุโสของทำเนียบขาว “การรีสตาร์ทท่อส่งก๊าซเป็นเรื่องง่ายหากไม่มีความเสียหายเกิดขึ้นจริง” บ็อบ แมคแนลลีกล่าวกับ Bloomberg “คำถามคือว่าการโจมตีถูกจำกัดและถูกควบคุมได้หรือไม่…

Tag Archives: แรนซัมแวร์