แรนซัมแวร์ Archives

Fortinet รายงาน พบจำนวนแรนซัมแวร์เพิ่มขึ้นสองเท่าภายในหกเดือน

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 24 August 2022

Credit: Fortinet Fortinet ออกรายงาน FortiGuard Labs Global Threat Landscape Report ประจำครึ่งปีแรก 2022 พบจำนวนแรนซัมแวร์สายพันธุ์ใหม่เพิ่มขึ้นกว่าสองเท่าภายในหกเดือน รายงาน FortiGuard Labs Global Threat Landscape Report 1H 2022 ระบุว่า ที่ผ่านมาในครึ่งปีแรกนั้น มีจำนวนแรนซัมแวร์สายพันธุ์ใหม่ที่ถูกตรวจพบโดย Fortinet ถือกำเนิดขึ้นกว่า 10,666 สายพันธุ์ ภายในระยะเวลาหกเดือนเท่านั้น ซึ่งเป็นผลจากการที่กลุ่มแฮกเกอร์พยายามลงทุนพัฒนาทางด้านนี้ เนื่องจากเป็นเส้นทางในการโจมตีและสร้างรายได้ได้ดีที่สุด นอกจากนี้การเติบโตของจำนวนสายพันธุ์ยังมาจากบริการ Ransomware-as-a-Service (RaaS) อีกด้วย Fortinet ได้แนะนำขั้นตอนในการป้องกันเบื้องต้น ได้แก่ การลงทุนในระบบ Real-time visibility, การเริ่มใช้งาน Zero-trust Network Access (ZTNA) และ การลงทุนในระบบ Endpoint Detection and Response (EDR) นอกจากนี้ในรายงานยังพบสิ่งที่น่าสนใจดังนี้…

พบแรนซัมแวร์ BianLian กำลังแพร่กระจายเป็นวงกว้าง

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 23 August 2022

พบแรนซัมแวร์ BianLian พัฒนาด้วยภาษา Go กำลังแพร่กระจายเป็นวงกว้าง Cyble Research Labs เผยข้อมูลแรนซัมแวร์ตัวใหม่ ใช้ชื่อ BianLian ถูกพบเป็นครั้งแรกเมื่อกลางเดือนกรกฎาคมที่ผ่านมา มีการมุ่งเป้าในการโจมตีองค์กรในหลายภาคธุรกิจ โดยธุรกิจสื่อและธุรกิจบันเทิงตกเป็นเป้าหมายกว่า 25% และกลุ่มโรงงาน , ภาคการศึกษา , ธุรกิจสุขภาพ และธุรกิจการเงินการลงทุน มีสัดส่วนการโจมตีเท่าๆ กันที่ 12.5% ซึ่งแรนซัมแวร์ตัวนี้พัฒนาด้วยภาษา Go ที่รองรับการทำงานแบบ Cross-platform และง่ายต่อการปรับแต่ง ใช้วิธีการแบ่งไฟล์ออกเป็นขนาดเล็กประมาณ 10 bytes หลังจากนั้นจึงเข้ารหัสไฟล์ เพื่อหลบเลี่ยงการตรวจจับของ Antivirus หลังจากนั้นจะใช้วิธีเรียกค่าไถ่แบบสองชั้น (double-extortion) หากไม่มีการจ่ายค่าไถ่ภายในระยะเวลา 10 วัน จะไม่มีการปลดล๊อกไฟล์และจะปล่อยไฟล์นั้นสู่สาธารณะอีกด้วย Cyble ได้แนะนำขั้นตอนในการปฏิบัติหากโดนแรนซัมแวร์ตัวนี้โจมตี ได้แก่ ตัดการเชื่อมต่ออุปกรณ์กับระบบเครือข่ายเพื่อป้องกันการแพร่กระจาย , ถอดอุปกรณ์ External Storage ออก และตรวจสอบ Log ของระบบ เพื่อหาเส้นทางการโจมตี…

สู้กลับ แรนซัมแวร์ เครื่องมือถอดรหัส ให้ใช้ฟรี ป้องกัน ก่อนโดนเรียกค่าไถ่

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 16 August 2022

เหตุการณ์โจมตีของแรนซัมแวร์ที่หนักหน่วงมากขึ้น ล่าสุดบริษัทไอทียักษ์ใหญ่อย่าง Ciscoโดนโจมตีจากกลุ่มแรนซัมแวร์ Yanluowang ที่ลักลอบเข้าถึงเครือข่ายขององค์กรและขู่เรียกเงินจากไฟล์ที่รั่วไหลผ่านอินเทอร์เน็ต ถึงแม้จะเป็นแรนซัมแวร์ที่ค่อนข้างใหม่ แต่นี่ไม่ใช่ครั้งแรกของการจู่โจมโดย Yanluowang เพราะแรมซัมแวร์ตัวนี้ถูกพบตั้งแต่ช่วงปลายปี 2021 ซึ่งมีเป้าหมายอยู่ที่บริษัทขนาดใหญ่ ที่ตกเป็นเหยื่อแล้วทั้งในอเมริกา บราซิล เยอรมนี สหรัฐอาหรับเอมิเรตส์ จีน ตุรกี และประเทศอื่นๆ กรณีของ Cisco ผู้ไม่หวังดีได้พยายามฉวยโอกาสทุกวิถีทางเพื่อรีดไถเงินค่าไถ่ และทำลายชื่อเสียงของเหยื่อ ซึ่งการยอมจ่ายเงินค่าไถ่ ไม่ได้รับประกันว่าได้คืนข้อมูลหรือจะหยุดการโจมตีได้เสมอไป สิ่งสำคัญคือ องค์กรจะต้องสนใจกับการรักษาความปลอดภัยขั้นพื้นฐาน เพื่อปกป้องและลดความสูญเสียที่อาจเกิดจากการโจมตีของแรนซัมแวร์ให้เหลือน้อยที่สุด อย่างไรก็ตาม แคสเปอร์สกี้ ได้เจอช่องโหว่ของ Yanluowang และได้สร้างตัวถอดรหัสไฟล์ที่ถูกเข้ารหัส หรือถูกล็อคอุปกรณ์ ที่ใช้ชื่อว่า Rannoh Decryptor ซึ่งสามารถวิเคราะห์ไฟล์ที่เข้ารหัสและช่วยกู้คืนข้อมูลเหยื่อ Yanluowang ได้ ล่าสุดแคสเปอร์สกี้ ได้เปิดให้คนทั่วไปค้นหาตัวถอดรหัสแรนซัมแวร์ได้เองบนหน้าเว็บ No Ransom พร้อมทั้งเรียนรู้เครื่องมือกำจัดแรนซัมแวร์ และข้อมูลเกี่ยวกับการป้องกันแรนซัมแวร์ เพื่อลดความเสี่ยงที่เกิดขึ้น ดูเพิ่มเติม https://noransom.kaspersky.com/ ที่มา : techhub …

“No More Ransom” แหล่งรวมเครื่องมือถอดรหัส Ransomware

บทความน่าสนใจBy Admin S.10 29 July 2022

Credit : Europol ผู้คนกว่า 1,500,000 ราย ได้ไฟล์คืนโดยไม่ต้องเสียค่าไถ่ No More Ransom เป็นโครงการริเริ่มการต่อต้านแรนซัมแวร์ ของหน่วยงานบังคับใช้กฏหมายของสหภาพยุโรป เปิดตัวครั้งแรกในปี 2016 โดย Europol สำนักงานตำรวจแห่งชาติดัตช์ (Politie) และบริษัทรักษาความปลอดภัยทางไซเบอร์และไอทีจำนวนหนึ่งที่มีเครื่องมือถอดรหัสสี่ตัวที่พร้อมใช้งาน พันธกิจของ No More Ransom – “ให้การช่วยเหลือเพื่อปลดล็อกข้อมูลโดยไม่ต้องเสียค่าใช้จ่ายให้กับผู้โจมตี” No More Ransom ได้เติบโตขึ้นเพื่อเสนอเครื่องมือถอดรหัสฟรี 136 รายการสำหรับแรนซัมแวร์ 165 ประเภท รวมถึง GandCrab, REvil, Maze และอื่นๆ ซึ่งทำงานร่วมกับพันธมิตรกว่า 188 รายจากภาคเอกชน ภาครัฐ การบังคับใช้กฎหมาย สถาบันการศึกษา และอื่นๆ ที่เข้ามามีส่วนร่วมในโครงการนี้ และปัจจุบันยังคงจัดหาเครื่องมือถอดรหัสใหม่อย่างต่อเนื่อง โดยมีพอร์ทัลให้บริการใน 37 ภาษาเพื่อช่วยเหลือผู้ที่ตกเป็นเหยื่อของการโจมตีด้วยแรนซัมแวร์จากทั่วโลก …

ยืนยันแล้ว! Bandai Namco เจอแรนซัมแวร์ ALPHV แฮ็ก โดน Data Leak ไปอีกราย

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 15 July 2022

ล่าสุดยักษ์ใหญ่วงการเกมอย่าง Bandai Namco ได้ออกมายืนยันว่าพวกเขาโดนโจมตีทางไซเบอร์ (Cyberattack) ที่ส่งผลกระทบทำให้ข้อมูลรั่วไหล (Data Leak) ซึ่งเป็นข้อมูลส่วนตัวของลูกค้าของบริษัทที่ถูกโดนขโมยออกไป เมื่อวันจันทร์ที่ผ่านมา ทาง BlackCat แรนซันแวร์ (aka AlphV) ได้ออกมาเคลมว่าได้ดำเนินการโจมตี Bandai Namco และสามารถขโมยข้อมูองค์กรออกมาได้ระหว่างการโจมตีด้วย ซึ่งล่าสุดนี้ Bandai Namco ก็ได้ออกมายืนยันแล้วว่าเกิดเหตุดังกล่าวขึ้นจริงเมื่อวันที่ 3 กรกฎาคม 2022 ที่ผ่านมา โดยแฮ็กเกอร์สามารถทะลวงช่องโหว่เข้ามาที่ระบบภายในของออฟฟิศในภูมิภาคเอเชียที่ไม่ใช่ญี่ปุ่นได้สำเร็จ Credit : BleepingComputer ในขณะที่ Bandai Namco ไม่ได้เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับการโจมตีทางไซเบอร์ดังกล่าว แต่ข้อมูลบนเว็บไซต์ข้อมูลรั่วไหลของ BlackCat นั้นได้แสดงรายการข้อมูลของ Bandai Namco ขึ้นมาแล้ว ทั้งนี้ ยังไม่ได้มีการแสดงผลข้อมูลที่ขโมยมาได้สำเร็จบนเว็บแต่อย่างใด อย่างไรก็ดี กลุ่มแรนซัมแวร์มักจะมีการชะลอการเปิดเผยข้อมูลที่ขโมยมาได้สำเร็จก่อนจนกว่าพวกเขาจะมั่นใจว่าบริษัทจะไม่ได้จ่ายค่าไถ่แล้วจริง ๆ แต่ด้วยสถานการณ์ตอนนี้ที่ Bandai Namco ได้ออกมายืนยันอย่างเป็นทางการกับสาธารณะแล้ว…

เนียนขั้นสุด แรนซัมแวร์ตัวใหม่ แฝงมากับอัปเดตปลอม

ข่าวประจำวัน, สถานการณ์ไซเบอร์By Admin S.10 14 July 2022

ปัจจุบัน วิธีใหม่ของเหล่าแฮกเกอร์คือพยายามส่ง Ransomware หรือมัลแวร์เรียกค่าไถ่มากับการอัปเดต Windows หรือซอฟต์แวร์ที่ผู้คนไว้ใจ ซึ่งจะส่งผลให้การโจมตีมีโอกาสประสบความสำเร็จมากขึ้น มัลแวร์ตัวใหม่นี้มีชื่อ HavanaCrypt ค้นพบโดยนักวิจัยจาก Trend Micro ซึ่งได้ปลอมแปลงตัวเองเป็นการอัปเดตจาก Google Software Update และสิ่งที่น่าแปลกใจอีกอย่างคือ เซิร์ฟเวอร์คำสั่งและการควบคุม ของมัลแวร์ใช้โฮสต์บนที่อยู่ IP เว็บโฮสติ้งของ Microsoft HavanaCrypt นั้นมีการใช้เทคนิคในการโจมตีมากมาย ไม่ว่าจะเป็น การตรวจสอบว่าเครื่องดังกล่าวกำลังทำงานในสภาพแวดล้อมเสมือนจริงหรือไม่ หรือเป็นแค่เครื่องหลอกที่ใช้ดักมัลแวร์ มีการใช้รหัสของตัวจัดการรหัสผ่านโอเพ่นซอร์สอย่าง KeePass Password Safe ระหว่างการเข้ารหัส และการใช้ฟังก์ชัน .Net ที่เรียกว่า “QueueUserWorkItem” เพื่อเพิ่มความเร็วในการเข้ารหัส HavanaCrypt เป็นหนึ่งในเครื่องมือเรียกค่าไถ่และมัลแวร์อื่นๆ ที่มีจำนวนเพิ่มขึ้นเรื่อยๆ ซึ่งในช่วงไม่กี่เดือนที่ผ่านมาได้มีการเผยแพร่ในรูปแบบของการอัปเดตปลอมสำหรับ Windows 10, Microsoft Exchange และ Google Chrome ในเดือนพฤษภาคม นักวิจัยด้านความปลอดภัยพบแรนซัมแวร์ที่มีชื่อว่า…

Tag Archives: แรนซัมแวร์